Connecta – Wie wir IT-Sicherheit, Datenschutz und Verfügbarkeit sicherstellen.

Stand: 16.03.2023

1 Intro

Der höchste Schutz der Daten unserer Kunden und insbesondere der Ratssuchenden, welche unserer Software ihr Vertrauen schenken, ist einer der Kern-Aspekte des Produktes Connecta.

Unsere Standards gehen dabei über die Einhaltung von Vorschriften hinaus. Für uns ist der Datenschutz nicht nur eine Checkliste, er ist einer unserer wichtigsten Grundsätze. Unser Bestreben, diesen Grundsatz zu wahren und zu schützen, umfasst jeden Aspekt unserer Software - von deren Konzeption bis zur Softwareentwicklung.

Aus dieser Überzeugung haben wir die Software von vornherein mit einem „Null-Daten Abfluss-Konzept" designt und aufgebaut. Dies bedeutet, dass im gegensatz zu den meisten anderen Internetangeboten wir strikt darauf achten, dass alle Daten in dem geschlossenen System und unter unserer vollständigen Kontrolle verbleiben.

Des Weiteren setzen in unserer technischen Umsetzung auf die Besten verfügbaren Methoden und Technologien wie z.B. einer vollständigen Ende-zu-Ende-Verschlüsselung aller Chat und Video/Audio-Kommunikation in den Beratungsvorgängen, was deutlich über branchenübliche Standards und der Definition „Stand der Technik" für browserbasierte Kommunikationslösungen liegt.

2 Wie wir die Inhalte unserer Kunden sichern

2.1 Hosting in zertifizierten Rechenzentren

Die Connecta-Dienste werden ausschließlich in ausgewählten Rechenzentren betrieben, welche höchste Datenschutz und Sicherheitsstandards erfüllen. Dies wird durch verschiedenste branchenübliche Zertifizierungen sichergestellt (wie 27001, ISO 27018, Trusted Cloud Service).

2.2 Änderungsmanagement (Change Management)

Connecta wendet einen systematischen Ansatz für das Änderungsmanagement an, so dass Aktualisierungen von Anwendungs-Funktionen, die sich auf unsere Kunden auswirken, gründlich geprüft, getestet, genehmigt und gut kommuniziert werden. Der Änderungsmanagementprozess von Connecta ist darauf ausgelegt, die Integrität unserer Dienstleistungen sicherzustellen.

2.3 Regelmäßige Penetrationstests

Wir führen regelmäßig manuelle und automatisierte Schwachstellen- und Penetrationstests durch, die sowohl von Virtual Identity Sicherheitsexperten als auch von führenden Drittanbietern durchgeführt werden.

2.4 Web-Anwendungs-Firewall (WAF)

Unsere Connecta Infrastruktur wird durch eine WAF (Web Application Firewall) geschützt. Diese WAF schützt Webanwendungen und APIs vor gängigen Bedrohungen, Web-Exploits und Bots, die die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden und übermäßige Ressourcen verbrauchen.

3 Wie wir die Zuverlässigkeit unserer Dienste sicherstellen

3.1 Garantierte Service-Levels

Wir bieten Service Level Agreements für alle unsere Kunden an. Die genauen SLAs entnehmen unsere Kunden ihrem jeweiligen Connecta-Vertrag. Wir stellen die zugesicherte Verfügbarkeit in enger Zusammenarbeit mit unserem Hosting-Partner durch eine hochverfügbare und redundant ausgelegte Infrastruktur sicher.

3.2 Planung für den Ernstfall

Wir unterhalten einen aktiven Notfallplan für unsere Produktionsumgebung, einschließlich eines Wiederherstellungsplans mit Warnmechanismen. Unsere Notfallpläne werden regelmäßig von leitenden Entwicklern getestet und überprüft.

3.3 Skalierung

Wir setzen eine automatische Skalierung in Zeiten hoher Nachfrage ein, die die Kapazität bei Leistungsspitzen nahtlos anpasst. Damit stellen wir die schnelle Erreichbarkeit unseres Angebots auch in Zeiten hoher Nachfrage sicher. Sollten sich die Reaktionszeiten unserer Anwendung doch einmal verschlechtern, wird unser Team durch unser proaktives Health-Monitoring sofort benachrichtigt.

3.4 Überwachung und Berichterstattung

Wir überwachen kontinuierlich die Leistung, um gleichbleibend schnelle Reaktionszeiten und die Verfügbarkeit der Dienste zu gewährleisten. Unsere Mindestverfügbarkeit garantieren wir unseren Kunden in ihren jeweiligen Service Level Agreements.

4 Wie wir die Daten unserer Kunden schützen

4.1 GDPR-/ DSGVO-Konformität

Die General Data Protection Regulation (GDPR) _der Europäischen Union, beziehungsweise ihr Deutscher Pendant die DSGVO,_ist das strengste Datenschutz- und Sicherheitsgesetz der Welt. Connecta ist vollständig GDPR/DSGVO-konform und befolgt die Datenschutzbestimmungen.

4.2 Datenverschlüsselung

Alle Daten werden sowohl bei der Übertragung als auch im Ruhezustand (Encryption at Rest) mit modernsten Schlüssellängen und Algorithmen verschlüsselt. Die kryptografischen Mindestanforderungen umfassen:

4.3 Ende-zu-Ende Verschlüsselung der gesamten Kommunikation

Die Kommunikation zwischen Ratssuchenden und Beratern ist der Kern von Connecta. Diese Kommunikation unterliegt dem höchsten Vertrauensverhältnis und sollte von niemandem außer diesen eingesehen werden können, weswegen wir jegliche Kommunikation zwischen Ratssuchendem und Berater (egal ob Chat, Video oder Audio) Ende-zu-Ende verschlüsseln. Auf dem Gerät des Nutzers wird dazu aus einem „Encryption Passwort" ein 256-bit AES-CBC verschlüsselter „Master Key" erzeugt, welcher niemals das Gerät des Nutzers verlässt.

4.4 Backups und Wiederherstellung

Auf der Grundlage unserer Dienstarchitektur müssen nur die Datenbanken gesichert werden, um die Kontinuität des Dienstes zu gewährleisten. Alle anderen Dienste können über Konfigurationsskripte neu bereitgestellt werden. Die Datenbank wird nach dem folgenden Zeitplan gesichert:

4.5 Management der Informationssicherheit

Bei Vorfällen im Bereich der Informationssicherheit wird ein strukturierter Prozess eingehalten, der die Verantwortlichkeiten und die damit verbundenen Aktivitäten, einschließlich der Informationspflichten, regelt. Ein Informationssicherheitsvorfall wird detailliert dokumentiert und je nach Kritikalität an den CEO des Unternehmens eskaliert. Ein Informationssicherheitsvorfall (IS-Vorfall) unterscheidet sich von einem normalen Vorfall dadurch, dass Unbefugte versuchen, auf Informationen zuzugreifen, sie zu verändern, zu zerstören oder weiterzugeben - unabhängig davon, ob dieser Versuch erfolgreich war, intern oder extern. Jeder IS-Vorfall wird dokumentiert und der Geschäftsleitung gemeldet. Die Auswirkungen des IS-Vorfalls müssen klassifiziert werden:

5 Wie wir unseren Software-Quellcode sicher machen

5.1 OWASP

Die Connecta-Entwicklung folgt den Standards des Open Web Application Security Project OWASP.

5.2 Code Reviews

Jede Code Änderung durchläuft ein 4-Augen Prinzip. Dies bedeutet, dass jede Änderung am Quellcode von Connecta zuerst von mindestens einem weiteren Entwickler überprüft werden muss, bevor dieser Code in den Hauptentwicklungszweig und von dort auf unsere Produktivsysteme übernommen wird.

5.3 Automatisierte Prüfung auf Schwachstellen

Unser Code wird automatisch auf Schwachstellen getestet, gescannt, auf Anomalien untersucht. Eingesetzte Bibliotheken von Dritten (Open-Source) werden dauerhaft auf Security relevante Schwachstellen überwacht und das Entwicklungsteam bei solchen automatisch benachrichtigt.

5.4 Qualitätssicherung (QA)

Die Qualitätssicherung von Connecta folgt den bewährten Praktiken der sicheren Softwareentwicklung, zu denen formale Entwurfsprüfungen durch das Connecta-Team, Bedrohungsmodellierung und die Durchführung von Risikobewertungen gehören. Die Qualitätssicherung findet dabei in mehreren unabhängigen Stufen statt. Neben der Fehlersuche simulieren die Tester reale Angriffsszenarien, die möglicherweise von einem böswilligen externen oder internen Benutzer der Anwendung ausgeführt werden können.

Die letzte Phase der Tests wird in einer Umgebung durchgeführt, die der Produktionsumgebung sehr ähnlich ist. Nachdem die Tester die Tests in der Qualitätssicherung durchgeführt haben, dokumentieren sie die Ergebnisse ihrer Tests und mögliche Sicherheitsprobleme. Die Entwickler von Connecta überprüfen die Dokumente und geben sie frei.