Störfallmanagement
Bei einem Störfall handelt es sich um eine nicht geplante Unterbrechung oder einen Vorfall, der zu einem Ausfall oder Verlust von Geschäftstätigkeit, Informationssicherheit, IT-Systemen, Mitarbeitern, Kunden oder anderen wichtigen Funktionen führen könnte. Aus der Informationssicherheitsperspektive betrachtet sind die Zielsetzungen für einen “normalen" Betrieb:
- Informationen sind wann immer nötig verfügbar und nutzbar und die diese Informationen zur Verfügung stellenden Systeme sind gegen Angriffe resistent und verfügbar (Verfügbarkeit)
- Informationen sind nur für diejenigen Personen einsehbar oder verfügbar, die das Recht dazu haben (Integrität)
- Die Geschäftstransaktionen und der Informationsaustausch mit Kunden oder Partnern sind vertrauenswürdig (Authentizität und Nichtabstreitbarkeit)
Unsere Störfallzyklusverfahren stellen sicher, dass im Falle eines im Produkt auftretenden Störfalls oder Problems auf die Systeme, Dienstleistungen und den Betrieb reagiert und der Normalbetrieb schnellstmöglich wieder aufgenommen wird. Dieser Vorgang wurde eingerichtet, um
- in erster Linie den Normalbetrieb schnellstmöglich wiederherzustellen.
- die Schwere des vorliegenden Störfalls zu bestimmen und dementsprechend zu handeln.
- je nach Bedarf die Kommunikation mit externen Kunden und Stakeholdern aufzunehmen.
- mittels Störfallaufzeichnungen und -berichten sicherzustellen, dass die Fälle ausreichendend dokumentiert und analysiert werden und die gewonnenen Erkenntnisse bekannt sind, um weitere zukünftige Vorfälle zu verhindern oder bei deren Klärung zu helfen.
All unsere Richtlinien und Verfahren zur Vorfallsreaktion werden regelmäßig getestet und weiterentwickelt und als Bestandteil unserer ISO-27001-Zertifizierung auditiert.
Geschäftskontinuität
Tresorit verfügt über ein Managementsystem für Geschäftskontinuität (Business Continuity Management System, BCMS), damit die Organisation darauf vorbereitet ist,
- falls Unterbrechungen von geschäftskritischen Prozessen auftreten.
- die Aufrechterhaltung eines bestimmten Levels geschäftskritischer Services in einer Krisensituation sicherzustellen.
- eine schnellstmögliche Rückkehr der geschäftskritischen Prozesse und Ressourcen zum Normalbetrieb zu gewährleisten.
- eine angemessene Kommunikation mit Kunden sicherzustellen.
Gemäß Tresorits Zielsetzungen ist es notwendig, dass
- ein reibungsloser Ablauf des Geschäftsbetriebs und dessen unterstützender Prozesse sichergestellt ist.
- Störfälle so schnell wie möglich nach ihrem Auftreten erkannt werden.
- auf Störfälle umgehend und auf effektive Weise reagiert und das Compliance-Level des Betriebsumfelds gesichert wird.
Unsere Business-Continuity-Richtlinie schreibt einen Rahmen für die auf Tresorits angebotene Prozesse und Services bezogenen Anforderungen an Geschäftskontinuität vor. Ziel der Anwendung, kontinuierlichen Ausweitung und Verbesserung des Systems ist, das Risiko der Unterbrechung von Geschäftskontinuität zu reduzieren, die Reaktionsfähigkeit zu erhöhen und die Effizienz zu fördern.
Wir führen eine regelmäßige Analyse der Geschäftsauswirkungen (Business Impact Assessment, BIA) aus. Im Falle einer bedeutsamen Änderung bezüglich der Identifikation von für Tresorit geschäftskritischen Prozessen beurteilen wir die potenzielle Auswirkung der Unterbrechungen und legen priorisierte Zeitrahmen für die Wiederherstellung fest. Zusätzlich führen wir mindestens einmal pro Jahr eine Risikobewertung durch. Diese hilft uns dabei, das Risiko von Störfällen systematisch zu identifizieren, zu analysieren und zu evaluieren.
Die Kombination aus Risikobewertung und BIA bietet uns eine Grundlage für unsere kontinuitätsbezogenen Prioritäten und Schadensminderungs- und Wiederherstellungsstrategien für Geschäftskontinuitätspläne (Business Continuity Plans, BCPs). Teams, deren Existenz für Tresorits Geschäftskontinuität als kritisch eingestuft wurde, nutzen diese Informationen, um BCPs für ihre wichtigen Prozesse zu entwickeln. Diese Pläne helfen den Teams zu erkennen, wer im Notfall für die Wiederaufnahme von Verfahren verantwortlich ist und welche alternativen Prozesse für HR, IT-Netzwerk und -Geräte, Bürogebäude und den Versorgungsbetrieb identifiziert worden sind. Somit können wir uns auf Störfälle vorbereiten, indem wir unsere Notfallpläne und andere wichtige Informationen – wie die Entscheidung, wann und wie der Plan eingesetzt werden sollte, Kontaktdaten, wichtige Anwendungen und Wiederherstellungsstrategien – in einer zentralen Informationsquelle zusammenstellen.
Risikomanagement – Schwachstellen-Management
Als SaaS-Produkt sind Software-Schwachstellen eines der größten Risiken für uns. Daher haben wir einen spezialisierten Prozess für das Risikomanagement von Software-Schwachstellen eingerichtet.
Wir verfügen über eine interne Dienstleistungs-Güte-Vereinbarung (Service Level Agreement, SLA) für jegliche Sicherheitsfragen, gemäß derer wir uns abhängig von der Schwere des Vorfalls zu einer gezielten Lösung und Bereitstellungsfristen verpflichten. Die Schwere wird auf Auswirkung, Wahrscheinlichkeit und Einfachheit der Ausnutzung basierend definiert.
Außerdem haben wir einen Prozess festgelegt, um die Handlungsreihenfolge bezüglich Schwachstellen zu bestimmen, die aus externen Berichten, unseren jährlichen externen Penetrationstests und kontinuierlichen internen Sicherheitprüfungen hervorgegangen sind oder von unseren automatisierten Tools für die Erkennung von Schwachstellen entdeckt wurden.
Notfallwiederherstellung
Notfallwiederherstellungsprozesse (Disaster Recovery Processes, DRP) koordinieren die Wiederherstellung von geschäftskritischen Funktionen und das Management und die Unterstützung der Geschäftswiederaufnahme. Die Notfallwiederherstellung umfasst sowohl kurz- als auch langfristige Notfälle sowie Natur- und von Menschen verursachte Katastrophen.
Unsere Prioritäten im Katastrophenfall lauten:
- Die Sicherheit aller Mitarbeiter und Besucher in den Bürogebäuden garantieren
- Die Verfügbarkeit der Nutzerdaten garantieren
- Bedrohungen mildern oder den Schaden, der durch Bedohungen entstehen kann, begrenzen
- Detaillierte Vorbereitungen treffen, um eine Weiterführung geschäftskritischer Funktionen sicherzustellen
- Über dokumentierte Pläne und Verfahren verfügen, um eine schnelle und effektive Umsetzung der Wiederherstellungsstrategien für geschäftskritische Funktionen zu gewährleisten
Eine nationale Katastrophe (oder eine internationale, wie z.B. ein Atomkrieg) geht über den aktuellen Umfang von Tresorits BCMS hinaus. Wir haben es uns zum Ziel gesetzt, unseren DRP auf ein Level auszuweiten, welches uns im Falle einer Katastrophe, die sich auf eines unserer Hauptdatenzentren auswirkt, die Bereitstellung von benutzerdefinierten Zusicherungen für Enterprise-Kunden gewährt – und dieses Angebot im Laufe der Zeit all unseren Kunden zur Verfügung zu stellen.
Für Kunden, die bereits jetzt Bedarf an einem solchen Angebot haben, bietet die Synchronisationsfunktion unserer Desktop-Anwendung eine Alternative, da sie unseren Kunden ermöglicht, Offline-Kopien ihrer Daten aufzubewahren.
Kunden, die Compliance- oder Redundanzanforderungen haben, die nicht von unserer aktuellen Architektur abgedeckt werden, bieten wir die Möglichkeit, einen primären Datenstandort unter 4 Kontinenten und diversen geografischen Regionen zu wählen – oder im Falle einer benutzerdefinierten Vereinbarung die Option, ihr eigenes Azure-Abonnement zum Speichern ihrer verschlüsselten Inhalte zu nutzen.
Produktionssysteme sind in Drittorganisationen untergebracht, die für die physischen, ökologischen und betrieblichen Sicherheitskontrollen der Tresorit-Infrastruktur verantwortlich sind. Unsere Verträge mit diesen Organisationen und die Zertifizierungen deren Datenzentren werden mindestens einmal im Jahr überprüft.
Wir sind bezüglich wichtiger Bestandteile unserer Dienstleistungen auf unseren Betreibermodellanbieter Microsoft Azure angewiesen. Dieser versorgt uns mit Funktionalitäten zur Datenverarbeitung und -speicherung sowie mit logischer und Netzwerksicherheit via seiner Infrastruktur. Alle Verbindungen durchlaufen Azure-Firewalls im “Standardmäßig blocken”-Modus, mit Ausnahme einer sehr geringen Zahl an IP-Adressen und Anmeldeinformationen, die einer kleinen Gruppe von Angestellten zugänglich sind.
Wir verfügen über Funktionen für Back-ups und Point-in-Time-Wiederherstellung für die wichtigsten Metadaten, die wir in SQL speichern, was im Falle von durch Fehler oder falsch modifizierte Daten verursachten Vorfällen und ähnlichen Szenarien nützlich ist. Alle verschlüsselten Inhalte werden redundant gespeichert und dreimal in der vom Kunden gewählten primären Region vervielfältigt. Dies garantiert übers Jahr hinweg eine Dateiverfügbarkeit von mindestens 99,999999999% (11 Neunen).
Wir nutzen Server mit Lastenausgleich, automatischer Skalierung und Serverregeln, um einen zuverlässigen und robusten Service für die von unseren Endbenutzern ausgehende variable Last bieten zu können.
Prüfung
All unsere Geschäftskontinuitäts- und Notfallpläne sind verifiziert und werden mindestens alle zwei Jahre getestet. Sie werden auf verschiedenen Ebenen gemäß einem anerkannten Testziel und -plan getestet, intern dokumentiert und während des Prozesses für unsere ISO- 27001-Zertifizierung überprüft. Unsere Teams aktualisieren und verbessern ihre Pläne gemäß den Prüfungsergebnissen und ihren in tatsächlichen Vorfällen gesammelten Erfahrungen, um etwaige Probleme zu lösen und ihre Reaktionsfähigkeit zu stärken.
Mindestens einmal pro Jahr wird unser gesamtes Managementsystem für Geschäftskontinuität von unseren Führungskräften überprüft.