TariffPilot

IT-Sicherheitsmaßnahmen

Einführung

Dieses Dokument beschreibt die IT-Sicherheitsmaßnahmen, die bei TariffPilot implementiert werden, um Informationssicherheits-, Datenschutz- und Compliance-Anforderungen zu erfüllen.

Risikomanagement

Bei unserem Infrastrukturanbieter Google Cloud EMEA liegt eine Zertifizierung nach einem ISMS-Standard wie ISO 27001 oder PCI DSS vor. Für TariffPilot leitend sind die Informationssicherheits-Standards nach BSI IT-Grundschutz. Auf Dauer streben wir eine Zertifizierung per ISO 27001-Zertifikat auf Basis des BSI IT-Grundschutzes an.

Anforderungsmanagement

Das Anforderungsmanagement wird bei TariffPilot auf Basis von SCRUM umgesetzt, wodurch der Cloud-Dienstleister Kundenanforderungen schnell und effektiv erfassen, priorisieren und umsetzen kann. Scrum bietet einen iterativen und inkrementellen Ansatz, der es dem Team ermöglicht, schnell auf Änderungen zu reagieren und kontinuierlich Mehrwert für den Kunden zu schaffen. Die Dokumentation von Anforderung erfolgt als SCRUM-Items in einem Product Backlog bzw. dem Sprint Backlog auf Basis eines SCRUM-Tools.

Personalsicherheit

Für Mitarbeiter werden regelmäßig verpflichtende Schulungen und Informationsveranstaltungen zum Thema IT-Sicherheit durchgeführt.

Verschlüsselung

In der TariffPilot Cloud Platform werden sowohl ruhende als auch übertragene Daten mit modernster Verschlüsselung verschlüsselt. Wir befolgen branchenübliche Best Practices und Standards wie AES und TLS.

Data at Rest

Daten im Ruhezustand werden mit der integrierten Google-Verschlüsselung und anschließend noch einmal mit unserer eigenen AES-Verschlüsselung verschlüsselt. Wir verfügen über einen eigenen AES-Schlüssel.

Für alle ruhenden Daten gibt es automatische Ablaufdaten zwischen 7 und maximal 720 Tagen. Der Kunde entscheidet, welche Daten wie lange gespeichert werden.

Data in Transit

Die übertragenen Daten werden mit Punkt-zu-Punkt-Verschlüsselung verschlüsselt, um Vertraulichkeit und Integrität während der Datenübertragung zu gewährleisten. Dies gilt auch für den Transfer zu Azure OpenAI, OpenAI und anderen Drittanbietern. Die Punkt-zu-Punkt-Verschlüsselung wird auf Protokollebene mit TLS für HTTPS und SMTPS implementiert. Alle Schlüssel werden automatisch von Google Cloud Run verwaltet.

Entwicklung

Entwicklungsprozess

Die Entwicklung der TariffPilot Cloud Platform basiert auf der SCRUM-Methodik. Neue Features und Code-Anpassungen werden in Sprints von ca. 2 Wochen entwickelt. Gemäß Test-Driven Development (TDD) und Continuous Integration (CI) basiert der Entwicklungsprozess auf einer automatisierten Testsuite, die nach jedem Push in die Versionskontrolle durch Git-Push ausgeführt wird. Die Versionskontrolle basiert auf Git. Der Zugriff auf das Git-Repository basiert auf der Zwei-Faktor-Authentifizierung (2FA).

Die Entwicklung von Funktionen und Codeanpassungen erfolgt durch Entwickler in Branches. Branches werden über Pull-Requests mit dem Main-Branch zusammengeführt. Jeder Pull-Request wird einem Peer-Review unterzogen, bevor er in den Main-Branch integriert wird.

Freigabeprozess

Ein neues Release kann ein- oder zweimal im Monat bereitgestellt werden. Releases werden vom Entwicklungsleiter, meist CTO, zusammengestellt. Nur der CTO und ein weiterer Entwickler haben Zugriff auf die Produktionsumgebung und können somit Releases bereitstellen. Der Zugriff auf die Produktionsumgebung erfolgt über eine Zwei-Faktor-Authentifizierung (2FA).

TariffPilot-Infrastruktur

TariffPilot verfügt über grundlegende Sicherheitsmaßnahmen wie Änderungsmanagement, Schutz vor Malware, Datensicherung und -wiederherstellung, Härtung, Patch-Management, Schwachstellenmanagement und Verschlüsselung. Für diese Prozesse werden Richtlinien und Verfahren definiert.

IT-Notfallmanagement

Um die Kontinuität der Leistungserbringung zu gewährleisten, wird der überwiegende Teil der Geschäftsabläufe von TariffPilot über Managed Services (PaaS) in der Google Cloud Platform umgesetzt. Bei Software- und Hardwareausfällen, die über Change Requests hinausgehen, erfolgt in der Regel automatisch eine Reaktion der Google Cloud Platform. Ausfälle im Rahmen von Change Requests werden von der Geschäftsführung überwacht.

Physischer Schutz und umgebungsbezogene Sicherheit für IT-Geräte

TariffPilot nutzt die Infrastruktur der Google Cloud Platform, die physischen Schutz und umgebungsbezogene Sicherheit für IT-Geräte bietet. Dazu gehört die Sicherung von Versorgungseinrichtungen wie Strom und Klima.

Zugriffsverwaltung

TariffPilot verwendet ein rollenbasiertes Sicherheitssystem und eine Zwei-Faktor-Authentifizierung (2FA) für den logischen Zugriff und den Zugriff auf die Plattform. Die Büroräume sind abschließbar und Besucher sind nur in Begleitung von Mitarbeitern gestattet.

IT-Betriebsprozess

Die IT-Betriebsprozesse bei TariffPilot basieren auf ITIL. Dazu gehören Kapazitätsmanagement, Verfügbarkeitsmanagement, Änderungsmanagement, Release- und Bereitstellungsmanagement, Vorfallmanagement und Problemmanagement.

Beschaffung, Entwicklung und Wartung von Systemen

Systeme werden in folgenden Bereichen eingesetzt:

  • Server (Hardware und Software): Die für die Produktion von TariffPilot verwendete Hardware wird vollständig von der Google Cloud Platform verwaltet. Auch die verwendete Software inklusive Betriebssystem wird vollständig von der Google Cloud Platform verwaltet. Lediglich TariffPilots eigener Code für die TariffPilot-Cloud-Plattform wird vom DevOps-Team primär in Form von Docker-Containern verwaltet.

Schwachstellen- und Bedrohungsmanagement

TariffPilot verfügt über ein Schwachstellen- und Bedrohungsmanagementsystem auf mehreren Ebenen. Auf der Entwicklungsseite werden Abhängigkeiten kontinuierlich auf Schwachstellen überwacht und dem Entwicklungsteam per E-Mail gemeldet. Auf der operativen Seite werden die Datenzugriffe in Mandanten protokolliert und bei einer ungewöhnlichen Konzentration der Datenzugriffe eine E-Mail versendet.

Zero Trust

Die TariffPilot Cloud Platform setzt nicht auf VPN- oder IP-Adresszugriffskontrolle, sondern wendet stattdessen eine Zero-Trust-Strategie an (vgl. M-22-09 Federal Zero Trust-Strategie). Daher müssen alle Endpunkte der TariffPilot Cloud Platform gehärtet werden, damit nur autorisierte Benutzer auf Daten und Dienste zugreifen können.

Logische Trennung

Die Entwicklungsumgebung ist strikt von der Produktionsumgebung getrennt. Somit haben Entwickler mit Ausnahme des CTO und eines weiteren Entwicklers keinen Zugriff auf die Produktionsumgebung. Stattdessen können alle Entwickler auf eine Staging-Umgebung zugreifen, die jedoch keine Produktionsdaten enthält.

Kennwortrichtlinie

Für Anwendungen, die bei TariffPilot verwendet werden, erzwingen wir sichere Passwörter. Um die Anwendung nutzen zu können, müssen die ursprünglichen Passwörter geändert werden.

Bring Your Own Device

Mitarbeiter, die potenziell oder tatsächlich mit Kundendaten umgehen, dürfen ausschließlich Firmenhardware nutzen.

Sicheres WLAN

Es werden ausschließlich verschlüsselte WLAN-Netze (mindestens WPA2) genutzt.

Firewall

Cloud-Produktionsserver werden durch ein Cloud-Firewall-System geschützt.

Spam-Filter

Obligatorisch integrierter SPAM-Filter für alle Firmen-Posteingänge.

Admin-Audit-Protokolle

Admin-Aktivitäten in den Infrastruktursystemen werden gespeichert und archiviert.

Löschkonzept zur Datenlöschung und Entsorgung von Datenträgern und Geräten

Für alle ruhenden Daten gibt es automatische Ablaufdaten zwischen 7 und maximal 720 Tagen. Der Kunde entscheidet, welche Daten wie lange gespeichert werden. Kundendaten werden mit AES-Verschlüsselung verschlüsselt. Offsite-Backups werden auf ausgewählten verschlüsselten Geräten gespeichert, die unter der Aufsicht des Managements stehen.

Prozess zur Sicherstellung der Einhaltung von Aufbewahrungs- und Löschfristen

Die Löschung erfolgt durch einen automatisierten Prozess. Das Löschdatum (expires_at) ist bereits bei der Erstellung zwingend festgelegt.

Zugriffsberechtigung

Die Zugriffsberechtigung für Mitarbeiter erfolgt nach dem Prinzip der geringsten Rechte. Dies wird durch Rollen und eine begrenzte Gruppe von Mitarbeitern mit Zugriffsrechten auf die TariffPilot-Infrastruktur ermöglicht. Die Zugriffsrechte für die TariffPilot-Plattform werden von den Mandanten-Administratoren verwaltet. Die Zugangsberechtigungen der Mitarbeiter werden in regelmäßigen Abständen auf ihre Erforderlichkeit überprüft.

Notfall- und Wiederherstellungspläne

Aus Sicherheitsgründen setzt TariffPilot ausschließlich auf verwaltete Cloud-Umgebungen (PaaS). Verbleibende Risiken werden dadurch gemindert, dass immer mindestens ein Mitarbeiter mit der Qualifikation und Berechtigung zur Bergung in Bereitschaft ist.

TariffPilot-Plattform

Rollenbasierte Sicherheit

Mit der TariffPilot Cloud Platform kann jeder Mandant einen oder mehrere Benutzer haben und jeder Benutzer kann einem oder mehreren Mandanten als Mitglied zugewiesen werden. Jede Mitgliedschaft eines Benutzers in einem Mandanten wird mit einer Benutzerrolle in diesem bestimmten Mandanten angegeben. Mögliche Benutzerrollen, wie sie von der TariffPilot Cloud Platform bereitgestellt werden, sind:Editor, Owner und Revision.

  • Editor: Kann Memos erzeugen und bearbeiten.
  • Inhaber: Kann alles tun, was ein Editor kann, sowie den Mandanten verwalten, einschließlich der Benutzerverwaltung.
  • Revision: Kann alles anzeigen, aber keine Änderungen anwenden.

Benutzerzugriff

Die TariffPilot Cloud Platform bietet Benutzern zwei Authentifizierungsmodi. (1) Benutzer können sich mit einem Magic Link, der per E-Mail an die E-Mail-Adresse des Benutzers gesendet wird, beim TariffPilot Cloud Manager anmelden. (2) Benutzer können sich mit einem FIDO2-Hardware-Token (z. B. YubiKey) beim TariffPilot Cloud Manager anmelden. Der letztgenannte Ansatz wird dringend empfohlen und stellt nach dem aktuellen Stand der Technik den sichersten Ansatz zur Sicherung von Benutzerkonten dar.

Protokollierung, Überwachung, Alarmierung

Bei der TariffPilot Cloud Platform gibt es ein systemweites Protokollierungssystem, das von TariffPilot-Mitarbeitern mit Zugriff auf die Produktionsumgebung überwacht wird.

Mit dem systemweiten Protokollierungssystem werden TariffPilot-Mitarbeiter bei technischen Vorfällen automatisch per E-Mail benachrichtigt.

Incident Management

TariffPilot verwendet einen Incident-Management-Prozess, der auf Git-Tools basiert, um Probleme zu erfassen, zu melden und zu lösen.

Kennwortrichtlinie

Für die TariffPilot-Plattform verwenden wir keine Passwörter.