Richtlinien und Prozesse

Informationssicherheitsrichtlinien und -prozesse formen das Rückgrat unseres Informationssicherheitsprogramms. Galvanizes Sicherheitsrichtlinien formulieren die Grundsätze und die Richtung der Organisation, weisen Rollen und Verantwortlichkeiten für Informationssicherheit zu und delegieren diese, etablieren Kontrollziele und demonstrieren Einsatz und Rechenschaftspflicht aller Beteiligten, einschließlich Mitarbeiter, Geschäftspartner und Kunden.

Unsere Lösung wird durch zahlreiche Betriebs- und Sicherheitsrichtlinien, -standards und -verfahren in den folgenden Bereichen unterstützt:

  • Zugriffskontrolle
  • Einstellung und Entlassung von Mitarbeitern
  • Informationsklassifizierung
  • Protokollierung und Überwachung
  • Änderungskontrolle
  • Sichere Entwicklung
  • Steuerung von Sicherheitsrisiken
  • Kundenservice
  • Problemverwaltung
  • Reaktion bei Vorfällen
  • Management Dritter

Gemeinsames Verantwortungsmodell

Wir verwalten die allgemeine Anwendungsinfrastruktur und unsere Kunden verwalten die Endnutzersicherheit sowie die Zugriffskontrolle auf ihr eigenes System. Dies wird als gemeinsames Verantwortungsmodell bezeichnet und setzt sich zusammen aus:

  • Kundenverantwortung
  • Verantwortung von Galvanize
  • Verantwortung von Amazon Web Service (AWS)

Gemeinsames Verantwortungsmodell

Kundenverantwortung

Kunden sind nicht nur dafür verantwortlich, ihre Datensicherheit zu gewährleisten, sie müssen auch die geltenden ordnungspolitischen Vorgaben oder Datenschutzgesetze einhalten. Unsere Kunden verfügen über uneingeschränktes Eigentum ihrer Benutzerzugriffssteuerung und verwalten selbst ihren gesamten Datenzyklus, angefangen mit der Entscheidung, welche Daten in das System gelangen, wie lange diese Daten vorgehalten werden, welche Daten gelöscht werden und wer auf diese Daten zugreifen kann.

Verantwortung von Galvanize

Neben der von Amazon bereitgestellten physischen Sicherheit und Hardwaresicherheit verfügen wir auch über ein robustes Umfeld der Informationssicherheit, um sicherzustellen, dass die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten unseren hohen Standards und den hohen Ansprüchen unserer Kunden genügt.

Verantwortung von Amazon Web Service (AWS)

Amazon ist der größte Anbieter von Datenspeicher und Computing weltweit. Das Unternehmen ist für die physische Einrichtung und die physische Infrastruktur der Serverhardware, des Netzwerks und der zugehörigen Dienste von HighBond sowie für das Hosting der Kundendaten verantwortlich.

Physische und Umgebungssicherheit

Unsere Firmenzentrale befindet sich in einer Gemeinschaftseinrichtung. Außerhalb der Geschäftszeiten ist der Gebäudeeingang abgeschlossen und zusätzlich ist das Objekt durch einen Wachdienst geschützt. In Bereichen mit hohem Verkehrsaufkommen und an gefährdeten Stellen befinden sich deutlich sichtbare Sicherheitskameras.

An den Türen von Galvanize benötigt man für den Zutritt einen Sicherheitsausweis. Alle Mitarbeiter, Lieferanten und Besucher müssen stets einen deutlich erkennbaren Sicherheitsausweis tragen. Alle Türen verfügen über einen Alarm. Unser Sicherheitsdienst und die Polizei werden verständigt, falls eine Störung erkannt wird. Der physische Zugang wird in jedem Quartal geprüft, obwohl in unserem Gebäude keine Kundendaten gespeichert sind.

Logische Sicherheit

Wir verwenden für die interne Administration das Prinzip der geringsten Zugriffsrechte. Mitarbeiter, die einen administrativen Zugriff benötigen, müssen diesen über ein Ticketsystem beantragen. Bevor der Zugriff gewährt wird, muss der Antrag durch das leitende Management erteilt werden.

Der administrative Zugriff auf alle Anwendungen wird Mitarbeitern nur auf Grundlage ihrer Jobverantwortlichkeit gewährt. Der Zugriff auf das Produktionssystem und auf interne Anwendungen wird sofort entfernt, nachdem einem Mitarbeiter gekündigt wurde oder nachdem der Vertrag eines Subunternehmers ablief.

Vierteljährlich sind der Director of Information Technology, der Chief Technology Officer und unser Information Security Specialist für eine Überprüfung der Zugriffsrechte und eine Behandlung der notwendigen Änderungen und zugehörigen Genehmigungen verantwortlich.

Zugriff auf die Kundenumgebung

Unsere Kunden sollten über Kontrollen verfügen, die den Zugriff einzelner Personen auf das Konto nach Bedarf beschränken. Kontrollen sollten die Zugriffsgenehmigung von Einzelpersonen vor der Einrichtung von Benutzern innerhalb des Systems einschließen und auch die Entziehung der Anmeldeberechtigungen von Benutzern, falls diese einen Zugriff nicht mehr benötigen oder falls Anmeldeinformationen oder andere sensible Informationen kompromittiert wurden.

Unsere Plattform beinhaltet mehrere Funktionen, die Kunden in ihrer Verantwortung der Steuerung des Systemzugriffs von Endbenutzern unterstützen. Beispiele hierfür sind:

  • Durchsetzung sicherer Kennwörter
  • Konfiguration des Kennwortablaufs
  • Konfiguration des Ablaufs von Sitzungen
  • Konfiguration von SSO (einmaliges Anmelden)
  • Sperrung von Benutzerkonten nach mehreren gescheiterten Anmeldeversuchen
  • Einfaches Löschen oder Sperren von Benutzerkonten
  • Spezifisches Festlegen zulässiger IP-Adressen von Benutzern
  • Nutzung von Aktivitätsverfolgung, um den Zugriff und die Systemverwendung zu protokollieren

Benutzerzugriff für Systemschicht

Die Produktionsdatenbanken befinden sich auf Amazon RDS. RDS gestattet keinen Zugriff auf die Datenbankserver über die standardmäßige Schnittstelle des Datenbankprotokolls hinaus.

Die Erstellung und Konfiguration der RDS-Datenbank erfolgt durch unser DevOps-Team durch programmierte Infrastruktur und die AWS-Verwaltungsoberfläche.

Incident-Management

Wir verfügen über einen robusten Vorfallsreaktionsplan, um prompt und effektiv auf Vorfälle reagieren zu können, falls sich diese auf die Systemumgebung auswirken. Dieser Plan soll sowohl potenzielle Schäden minimieren, die sich aus einer Datenschutzverletzung ergeben, als auch sicherstellen, dass die durch eine Datenschutzverletzung betroffenen Parteien ordnungsgemäß informiert werden und erfahren, wie sie sich selbst schützen können.

Das Vorfallsreaktionsteam (Security Incident Response Team, SIRT) ist dafür verantwortlich, auf Vorfälle zu reagieren, diese zu steuern und Sicherheitsuntersuchungen durchzuführen. Dies beinhaltet alle Aspekte der Kommunikation, einschließlich der Entscheidung, wie, wann und wem Feststellungen mitzuteilen sind. Die Beilegung identifizierter Sicherheitsvorfälle bleibt die Verantwortung der Unternehmen oder Systemeigentümer der betroffenen Anlagen.

Benachrichtigungen bei Sicherheitsverstößen

Bei einem Vorfall werden Benachrichtigung zeitnah an die betroffenen Parteien gesendet.

Die Benachrichtigungen beinhalten:

  • eine kurze Beschreibung des Vorfalls, einschließlich der Art des Sicherheitsverstoßes und des Datums, an dem dieser aufgetreten ist
  • eine Beschreibung der allgemeinen Datentypen, die durch den Sicherheitsverstoß betroffen waren (keine spezifischen Informationen von Einzelpersonen)
  • Eine Erläuterung, was wir zur Untersuchung des Sicherheitsverstoßes, zur Verringerung der negativen Auswirkungen und zur Verhinderung zukünftiger Vorfälle unternehmen

Workflow zur Incident-Management

Ein Sicherheitsverstoß bei Galvanize durchläuft die vier Phasen des folgenden Diagramms. In jeder dieser Phasen werden spezifische Maßnahmen ergriffen, um Probleme zu adressieren und sicherzustellen, dass Kunden und Mitarbeiter angemessene Benachrichtigungen und Anweisungen erhalten.

Phasen zur Incident-Management

Vorbereitung

Galvanize hat zur Vorbereitung auf Vorfälle die folgenden wichtigen Schritte ergriffen:

  • Ausgearbeitete Sicherheitsrichtlinien und -verfahren – Wir haben basierend auf ISO 27001/2 ein Sicherheits-Framework implementiert, um Mindestanforderungen und -erwartungen in Bezug auf unternehmensweite Sicherheit zu definieren.
  • Etablierte Rollen und Verantwortlichkeiten für eine Reaktion auf Vorfälle – Das Vorfallsreaktionsteam ist dafür verantwortlich, das Auftreten eines Vorfalls zu überprüfen, notwendige Schritte zu unternehmen und den Sachverhalt bei Bedarf auf unser leitendes Führungsteam zu eskalieren.
  • Etabliertes Vorfallsreaktionsteam, das Fachexperten aller Teams beinhaltet – Das Vorfallsreaktionsteam beinhaltet primäre und alternative Mitglieder aus zahlreichen Betriebsgruppen, die zusammen ein virtuelles Vorfallsreaktionsteam bilden. Mitglieder des virtuellen Vorfallsreaktionsteams sind Fachexperten, die Ansprechpartner bei Sicherheitsvorfällen sind.
  • Evaluierte Sicherheit von Schlüsselsystemen – Wir führen für vorab definierte Anlagen routinemäßige Einschätzungen von Sicherheitsrisiken durch und setzen daraus entstehende Beilegungsbemühungen innerhalb der gesamten Organisation um.
  • Untersuchung geltender rechtlicher Anforderungen einer Reaktion auf einen Sicherheitsverstoß – Wir führen eine Liste externer Kontaktpersonen, wie Spezialisten im Gesetzesvollzug und in fachlichen Bereichen, die bei einer Untersuchung helfen können.
  • Durchführung regelmäßiger angemessener Schulungen – Mitglieder des Vorfallsreaktionsteams nehmen an routinemäßigen Simulationen und Übungen teil, besuchen Spezialschulungen und beobachten Branchenneuigkeiten sowie Trends, um ihre Reaktion und Bereitschaft zu verbessern.

Identifikation und Analyse

Wir überwachen und untersuchen alle Ereignisse und Berichte zu auffälligen oder unerwarteten Aktivitäten und verfolgen diese im Rahmen eines internen Ticketing-Systems.

Nach entsprechender Bestätigung eines Vorfalls, wird die Analyse eingeleitet, dem Vorfall ein Schweregrad zugewiesen und das ausgestellte Ticket wird entsprechend eskaliert.

In Abhängigkeit von dem Schweregrad und dem Vorfalltyp holt das Vorfallsreaktionsteam (SIRT) Informationen ein und analysiert diese, gegebenenfalls unter Einbezug forensischer Experten, um die Ursachen und Auswirkungen sowie die Art und sämtliche andere relevanten Informationen über den Vorfall zu ermitteln.

Prävention und Beilegung

Um die Auswirkung eines Vorfalls einzuschränken, weitere Schäden zu verhindern und die betroffenen System wiederherzustellen, kann das Vorfallsreaktionsteam (SIRT) während dieser Phase verschiedene Schritte ergreifen:

  • Kurzfristige Eindämmung – Um die weitere Eskalation eines Angriffs/Vorfalls zu stoppen.
  • Beweissicherung – Um Daten zu erfassen, die für die Untersuchung, anschließende Erkenntnisse und/oder die Strafverfolgung verwendet werden können.
  • Bedrohungsabwehr – Um eine Bedrohung abzuwehren und betroffene Systeme temporär wieder zur Verfügung stellen zu können.
  • Beilegung – Um sicherzustellen, dass die betroffenen Systeme sicher sind, bevor diese erneut in die Produktionsumgebung eingeführt werden.
  • Wiederherstellung – Um betroffene Systeme zu testen, zu validieren, wiedereinzuführen und streng zu überwachen, nachdem sie wieder eingeführt wurden.

Aktivität nach dem Vorfall

Nachdem eine Vorfall beigelegt wurde, führt das Vorfallsreaktionsteam (SIRT) die folgenden Aktivitäten durch, um eine ständige Optimierung zu gewährleisten:

  • Ständige Überwachung – Um die betroffenen Systeme zu überwachen und sicherzustellen, dass die Bedrohung beseitigt wurde und nicht wieder auftreten kann.
  • Ursachenanalyse – Um sicherzustellen, dass Korrekturmaßnahmen gezielt auf die tatsächliche Ursache des Problems abzielen.
  • Überprüfung gesammelter Erfahrungen – Um Bereiche der Optimierung im Rahmen des Vorfallreaktionsverfahrens zu identifizieren und zu dokumentieren.
  • Schließen des Vorfalls – Um sicherzustellen, dass die gesamte Dokumentation abgeschlossen, dem Fall zugeordnet ist und der Nachverfolgungsfall geschlossen wird.

Sicherer Softwareentwicklungszyklus (Secure Software Development Life Cycle, SSDLC)

In allen Phasen des Anwendungsentwicklungsprozesses ist die Sicherheit eine Toppriorität.

Bei Galvanize bauen wir Sicherheit in unsere Software ein. Empfohlene Vorgehensweisen zur sicheren Programmierung werden strikt befolgt. Übliche Sicherheitsrisiken der Anwendungsschicht, einschließlich die Top-10-Sicherheitsrisiken von OWASP, werden in allen Phasen des Softwareentwicklungszyklus adressiert. Hierbei werden branchenübliche Gegenmaßnahmen ergriffen, wie beispielsweise eine explizite Säuberung aller Benutzereingaben sowie die Verwendung von parametrisierten Abfragen und sicheren Bibliotheken.

Alle Programmänderungen werden kontrolliert und genehmigt. Sie müssen eine strikte Überprüfung durch Kollegen sowie Qualitätssicherungstests durchlaufen, bevor sie ins Produktionsumfeld gelangen.

Entwicklung und Tests

Wir verwenden branchenführende Entwicklungspraktiken wie Paarprogrammierung und Codeüberprüfung sowie Integrationstools für automatisierte Tests, was eine statische Codeanalyse zu Sicherheitszwecken beinhaltet.

Es wurden mehrere Stagingumgebungen zur Vereinfachung manueller und automatisierter Tests errichtet. Darüber hinaus wurde eine formalisierte und unabhängige Qualitätssicherungsfunktion etabliert, die strukturierte Tests durchführt, sobald eine Funktion, eine Fehlerkorrektur oder eine riskantere Änderung innerhalb unserer Umgebung eingeführt wird.

Als agiles Entwicklungsunternehmen verfügen wir über Prozesse und Tools, um Änderungen rückgängig zu machen, falls diese im Betrieb zu Problemen führen.

Programmmanagement und DevOps

Für das Programmmanagement ist das DevOps-Team in unserem kanadischen Firmensitz zuständig. Diese Gruppe pflegt die Server (Bereitstellung, Sicherungen, Betriebssystem-Updates und -Patches, Protokollierung und Überwachung) und beaufsichtigt die Entwicklung aller Änderungen unseres Forschungs- und Entwicklungsteams (F&E) bis in die Produktion. Sie stellt dabei sicher, dass unser Änderungsmanagementprozess befolgt wird.

DevOps und F&E arbeiten eng zusammen, um die hohe Qualität unserer Software sicherzustellen, sie weisen jedoch unterschiedliche Aufgaben auf.

Aufgabentrennung

Wir verfügen über Verfahren, Kontrollen und Überwachungsschritte, um sicherzustellen, dass eine Aufgabentrennung zwischen den Definitions-, Entwurfs-, Erstellungs-, Test- und Bereitstellungsphasen des Softwarelebenszyklus existiert.

Wir nutzen auch eine Überwachung durch Drittunternehmen für die Entwicklung, den Test und die Produktion, um Laufzeitfehler zu erkennen und die Performance zu überwachen. Zahlreiche Beteiligte sind also über die Entwicklung bzw. etwaige Fehler informiert.

Kontrollen der Workstation- und Laptop-Sicherheit

Um die Sicherheit und Integrität unserer Endpunkte und Daten zu gewährleisten, wurden die folgenden Schlüsselkontrollen für alle Laptops und Workstations innerhalb der Forschungs- und Entwicklungsumgebung etabliert:

  • Vollständige Festplattenverschlüsselung
  • Konten mit eingeschränkter Berechtigung
  • Kontinuierlich aktualisierte Viren- und Malware-Erkennung
  • Standardisierte Anforderungen der Kennwortauthentifizierung
  • VPN-Zugriff
  • Remote-Sicherungen

Repository für Anwendungscode

Wir unterhalten ausschließlich zur Verwaltung des Quellcodes ein Quellcode-Repository. Das Quellcode-Repository ist eine vollständige Kopie des Quellcodes (einschließlich des gesamten Versionsverlaufs).

Die Redundanz innerhalb unseres Quellcode-Repositorys verringert Risiken für die Systemverfügbarkeit aufgrund eines Verlusts von Quellcode beträchtlich. Dieses Repository wird regelmäßig gesichert.

Änderungsmanagement

Die Geschäftsleitung entwickelte Richtlinien und Verfahren zur Kontrolle und Verwaltung von Änderungen unserer Portionssysteme.

Wir nutzen getrennte Entwicklungs-, Test- und Produktionsumgebungen. Sämtliche Programmänderungen werden in einer Entwicklungsumgebung und einer Integrationsumgebung getestet, bevor sie formal in einer Stagingumgebung akzeptiert und danach innerhalb der Produktionsumgebung bereitgestellt werden.

Das Bereitstellungssystem ist in der Lage, bereitgestellte Änderungen rückgängig zu machen. Selbst wenn also ein Problem erst nach der Bereitstellung festgestellt werden sollte, kann die Produktionsanwendung schnell und effizient wieder in einen stabilen Zustand zurückgeführt werden.

Änderungsmanagement für Notfälle

Änderungen in Notfällen erfordern denselben Test- und Genehmigungsprozess wie herkömmliche Änderungsanträge. Um sicherzustellen, dass das Produktionsproblem so schnell wie möglich behoben wird, können diese Maßnahmen jedoch retroaktiv für die migrierte Änderung der Produktionsumgebung durchgeführt und dokumentiert werden.

Kundenprobleme

Kundenprobleme können dem Kundendienst von Galvanize über Supporttickets mitgeteilt werden.

Die Person, welche die Anfrage erhält, wird versuchen, das Problem sofort zu beheben oder an eine geeignete Person weiterzuleiten und den Lösungsablauf zu dokumentieren.

Probleme von Kunden können auch automatisch durch Fehlermeldungen auf Ebene der Anwendungsschicht identifiziert werden. Sobald ein Fehler in einer Anwendung auftritt, erstellt das Programm automatisch eine E-Mail-Benachrichtigung. Nach dem Erhalt der Benachrichtigung wird ein Ticket verwendet, um die Lösung des Fehlers nachzuverfolgen.

Penetrationtest

Zusätzlich zu internen Sicherheitstests nutzen wir auch Penetrationtests unabhängiger Dritter, um den HighBond-Dienst auf Sicherheitsrisiken zu testen.

Diese Tests werden von einer Organisation mit Spezialisierung auf Softwaresicherheit durchgeführt. Sie werden verwendet, um die HighBond-Umgebung auf Sicherheitsrisiken zu untersuchen, wie beispielsweise Cross-Site Scripting, Einschleusung von SQL-Befehlen, Sitzungs- und Cookie-Management.

Wir stellen sicher, dass ausnutzbare Sicherheitsrisiken zeitgerecht auf Basis ihrer Schwere und ihrer möglichen Auswirkungen behoben werden. Eine Kopie des aktuellsten Penetrationtests kann nach Unterzeichnung einer Geheimhaltungsvereinbarung angefordert werden.

Web-Scans und -Tests

Wir nutzen einen unabhängigen Drittanbieter, um Scans von Webanwendungen und automatische Sicherheitstests durchzuführen.

Vor einem Produktions-Release werden Scans aller Anwendungen auf Sicherheitsschwächen durchgeführt.

Alle Feststellungen werden unmittelbar eskaliert und zeitgerecht bereinigt. Falls ein hohes Sicherheitsrisiko identifiziert wird, werden alle sonstigen betrieblichen Tätigkeiten sofort eingestellt und die Bereinigung des Sicherheitsrisikos wird als Toppriorität des gesamten Unternehmens betrachtet.

Beschreibung von Sicherheitsbereichen, die auf Risiken getestet wurden

Sicherheitsbereich

Beschreibung

Porterkennung

Identifiziert und ordnet offene Ports über das Produktionsnetzwerk hinweg zu.

Scan der Netzwerkdienste auf Sicherheitsrisiken

Entdeckt, identifiziert und überwacht Netzwerkgeräte, findet nicht autorisierte Geräte oder identifiziert unberechtigte Dienste.

Netzwerkerkennung

Fragt jeden Dienst auf jedem verfügbaren Port ab, um exakt herauszufinden, welche Software läuft und wie sie konfiguriert ist. Dies wird mit der Datenbank bestehender Sicherheitsrisiken abgeglichen und es werden dienstspezifische Tests gestartet.

Scan der Webanwendungen auf Sicherheitsrisiken

Überprüft alle HTTP-Dienste und virtuellen Domains auf die Existenz potenziell gefährlicher Module, Konfigurationseinstellungen, CGIs und sonstiger Skripts sowie standardmäßig installierter Dateien.

Die Website wird dann durchlaufen, was Flash-Links und kennwortgeschützte Seiten beinhaltet, um Formulare und andere potenziell gefährliche interaktive Elemente zu finden.

Diese werden dann auf verschiedene Arten ausgeführt. Dadurch sollen Sicherheitsrisiken auf Anwendungsebene erkannt werden, wie Codeenthüllung, Cross-Site-Scripting und Einschleusung von SQL-Befehlen.

Abonnements kündigen

Falls Sie sich entschließen, Ihr Abonnement zu kündigen, werden wir den Zugriff auf das System um zusätzliche 30 Tage verlängern, damit Sie Daten kopieren oder extrahieren können, die Sie aufbewahren möchten. Sobald Sie Ihre Daten extrahiert haben, haben Sie die Möglichkeit und die Verantwortung, einen Teil oder sämtliche Ihrer verbleibenden Daten innerhalb des Systems zu löschen.

Auf schriftliche Anforderung wird Galvanize das Kundensystem und alle Dateninhalte nach der Extrahierung vernichten. Falls 90 Tage ohne eine schriftliche Aufforderung zur Vernichtung des Kundensystems verstrichen sind, behält sich Galvanize das Recht vor, das Kundensystem zur Freisetzung von Systemressourcen zu vernichten.