Array ( )

IT-Sicherheits­konzept der INH GmbH

Folgende Maßnahmen werden sowohl seitens INH GmbH (nachfolgend INH) als auch seitens des Rechenzentrumsbetreibers Hetzner, zum Schutz vertraulicher und persönlicher Daten des Auftraggebers und dessen Kunden getroffen und regelmäßig evaluiert:

1. Zugangskontrolle (Entrance / system access control)

Maßnahmen von Hetzner

INH setzt ausschließlich Server-Systeme von Rechenzentrumsbetreibern ein, die gültige Zertifizierungen besitzen und somit alle technischen und organisatorischen Maßnahmen gemäß DSGVO umsetzen. Hetzner setzt auf umfangreiche, nach verschiedenen Standards zertifizierte Maßnahmen zur Verwehrung des Zugangs zu Verarbeitungsanlagen für Unbefugte. Hierzu zählen unter anderem:

A) ZUTRITTSKONTROLLSYSTEM

Elektronische Zutrittskontrolle für den Zugang zum Rechenzentrum sowie zu einzelnen Sicherheitsbereichen. Hetzner verwendet dabei RFID-Technologie und biometrische Systeme, um sicherzustellen, dass nur autorisierte Personen Zutritt erhalten.

B) ABSICHERUNG DER ZUTRITTSKONTROLLSYSTEME

Die Zutrittskontrollsysteme sowie die Alarmanlagen sind über USV und dieselbetriebene Notstromaggregate gegen Stromausfall gesichert. Bei Funktionsstörungen kann der Zutritt manuell durch autorisierte Hetzner-Mitarbeiter erfolgen.

C) EINRICHTUNG VON SICHERHEITSZONEN

Der Zugang zu den INH-Systemen ist ausschließlich durch den von INH definierten Personenkreis (Geschäftsführung) und durch einen bei Hetzner eingeschränkten Personenkreis möglich.

D) SCHLÜSSELVERGABE

Die Schlüsselvergabe erfolgt an einen begrenzten Personenkreis. Zugangsberechtigungen werden nur an autorisierte Personen (Whitelist) vergeben, wobei eine Identitätsprüfung mit amtlichen Lichtbildausweisen durchgeführt wird. Die Schlüsselübergabe wird dokumentiert.

E) SCHLÜSSELKONZEPT

Der Zugang ist durch ein materielles (RFID-Chip) und ein biometrisches (Fingerabdruck) Identifikationsmerkmal gesichert. Die INH-Server-Schränke verfügen über eine digitale Schließung.

F) BESUCHERREGELUNG

Besucher dürfen sich nur in Begleitung autorisierten Personals oder Hetzner-Mitarbeiter im Rechenzentrum aufhalten.

G) ZUTRITTSERFASSUNG

Jede Nutzung eines ID-Tags (RFID-Chip) oder eines biometrischen Systems wird elektronisch erfasst und mit Zeitdaten protokolliert.

H) EINBRUCHMELDEANLAGE

Hetzner nutzt eine Einbruchmeldeanlage, deren Meldungen auf unabhängigen Wegen an die Bereitschaftsdienste weitergeleitet werden, die im Notfall entsprechende Maßnahmen einleiten.

I) VIDEOÜBERWACHUNG

Sowohl die Außenbereiche als auch die sicherheitsrelevanten Bereiche innerhalb des Rechenzentrums sind videoüberwacht.

J) CLOSED-SHOP-BETRIEB

Das Rechenzentrumsgelände dient ausschließlich der Datenverarbeitung und ist für Publikumsverkehr nicht zugänglich.

2. Zugriffs-, Übertragungs- und Transportkontrolle (Data access / transmission / transport control)

Maßnahmen von Hetzner und Ayedo Cloud Solutions GmbH

Hetzner gewährleistet, dass nur befugte Personen auf die zur Nutzung freigegebenen Daten zugreifen können. Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen sorgen dafür, dass personenbezogene Daten während der Verarbeitung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Die Ayedo Cloud Solutions GmbH unterstützt die INH GmbH bei der Betreuung und Verwaltung der IT-Infrastruktur, insbesondere durch den Betrieb und die Überwachung der containerbasierten Anwendungen (Kubernetes und Docker). Ayedo bietet maßgeschneiderte Cloud-Lösungen und gewährleistet die Sicherheit und Verfügbarkeit der Systeme durch folgende Maßnahmen:

  • Zugriffssteuerung: Ayedo stellt sicher, dass Zugriffsrechte nur an autorisierte Personen vergeben werden. Dies erfolgt durch die Implementierung und Verwaltung sicherer Zugriffsprotokolle, in Abstimmung mit der INH GmbH.
  • Sicherheitskonfiguration und Monitoring: Ayedo verwaltet Sicherheitsprotokolle, Firewalls und VPNs zur Absicherung der Datenübertragung. Sie bieten kontinuierliches Monitoring der Infrastruktur und proaktive Maßnahmen zur Problemerkennung und -behebung.
  • Hochverfügbarkeit und Skalierbarkeit: Ayedo sorgt für hochverfügbare und skalierbare Cloud-Dienste, einschließlich Load-Balancing, automatisierter Backups und Datenverschlüsselung. Diese Maßnahmen garantieren eine sichere und effiziente Datenverarbeitung und Übertragung.

Weitere Maßnahmen der INH GmbH sowie Ayedo Cloud Solutions GmbH am RZ Standort bei Hetzner:

  • Konfiguration der Applikations-Server mit Docker-Containern mit minimaler Dienste-Ausstattung und automatischen Releases in kurzen Abständen
  • Einsatz von Firewalls mit u.a. GEO-Locking-Konzept zum Whitelisting von IP Bereichen
  • Patch- und Sicherheitskonzept zum regelmäßigen Aktualisieren der Systeme und patchen bekanntwerdender Sicherheitslücken
  • Server-Administration nur für eingeschränkten Personenkreis per Public Key Authentifizierung
  • Login / Passwortschutz durch state-of-the-art Hash-Verfahren und verschlüsselter https- Übertragung
  • Speicherung von sensiblen Kundendaten mit starken kryptographischen Verfahren, bei denen die Schlüssel getrennt von Code und Datenbank verwahrt werden.

3. Zuverlässigkeit, Verfügbarkeit & Integrität der eingesetzten IT Systeme (Reliability, Integrity, Availability)

Maßnahmen von Hetzner
A) USV (UNTERBRECHUNGSFREIE STROMVERSORGUNG)

Hetzner nutzt eine unterbrechungsfreie Stromversorgung (USV) für den kontinuierlichen Betrieb im Falle eines Stromausfalls. Die USV-Systeme sind N+1-redundant ausgelegt.

B) NOTSTROMAGGREGATE

Notstromaggregate sichern längere Stromunterbrechungen ab. Eine Nachbetankung während des Betriebs ist im Bedarfsfall möglich. Die Aggregate werden nach Herstellervorgaben gewartet.

C) BRANDSCHUTZ

Das Rechenzentrum ist in mehrere Brandabschnitte unterteilt. Eine Gaslöschanlage und Handfeuerlöscher sind zur punktuellen Brandbekämpfung vorhanden.

D) BRANDMELDER

Hetzner setzt eine Brandmeldeanlage ein, die die Gaslöschanlage aktiviert und den Bereitschaftsdienst alarmiert.

E) KLIMATISIERUNG

Die Rechenzentren von Hetzner sind mit einer redundanten Raumklimatisierung ausgestattet.

F) OBJEKTSICHERUNG INSBESONDERE DER SERVERRÄUME

Kundenschränke und -flächen im Rechenzentrum sind physisch durch verschlossene Schränke oder abgesperrte Flächen gesichert. Zutrittssicherungen, Videoüberwachung und Wachdienste sind gemäß den beschriebenen Zutrittskontrollen vorhanden. Maßnahmen der INH GmbH:

  • Mehrfach redundante hardware- und softwareseitige Auslegung der Applikations- und Datenbankserver
  • Automatisiertes Monitoring der Serversysteme und Dienste mit Benachrichtigung und Eskalation im Problemfall.
  • Spiegelung der Daten auf mindestens drei getrennten Serversystemen
  • Regelmäßige Backup Rotation
  • Automatisierte Softwaretests zur Sicherstellung der Plattform Funktionalität

4. Auftragskontrolle (Data processor control)

Maßnahmen von Hetzner

Hetzner handelt ausschließlich im Rahmen und Umfang der Aufträge der INH GmbH und nach deren Weisungen.

A) KONTROLLMASSNAHMEN

Die Kontrollmaßnahmen werden zwischen INH und Hetzner abgestimmt und in die Betriebsabläufe von Hetzner integriert.

B) VERPFLICHTUNG AUF VERTRAULICHKEIT GEM. ART. 28 ABS. 3 LIT. B DSGVO UND § 88 TKG

Alle Hetzner-Mitarbeiter sind auf Datenschutz, Vertraulichkeit und das Fernmeldegeheimnis verpflichtet.

C) DATENSCHUTZANWEISUNGEN

Hetzner hat einen Datenschutzbeauftragten bestellt.

D) DATENSCHUTZUNTERWEISUNGEN

Hetzner-Mitarbeiter werden regelmäßig in Datenschutzthemen geschult.

  • Auftragsverarbeitungs-Management, Dokumentation des Auftrags und der Verarbeitung
  • Geeignete Auswahl und Vorabprüfung der Dienstleister
  • Fortlaufende Überwachung der Dienstleister

5. Organisationskontrolle

Maßnahmen der INH GmbH
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis (nach Art. 90 DSGVO, § 53 BDSG-neu)
  • Durchführung von Veranstaltungen und Fortbildungen zum Thema Datensicherheit
  • Erarbeitung und regelmäßige Revision der Sicherheitsleitlinien/Verhaltensregeln
  • Regelmäßige Evaluation und Kontrolle der festgelegten Prozesse und Maßnahmen

6. Externe Informationen