Sicherheit, Compliance und Datenschutz bei Redbooth

Redbooth entwickelt professionelle Software für Tausende globaler Organisationen. Viele unserer Kunden sind im Justizsektor, im Finanzbereich, im Gesundheits- oder Verwaltungssektor tätig.

Über eine Million Anwender und Tausende Unternehmen weltweit setzen auf Redbooth, wenn es darum geht, sicher und in Echtzeit zu kommunizieren und zu kollaborieren. Der Schutz und die Geheimhaltung Ihrer Daten ist unser primäres Anliegen und quer durch unser Unternehmen ein Bereich, in den laufend und massiv investiert wird.

Redbooth kann sicher in der Cloud-Anwendung oder lokal als Private Cloud-Anwendung betrieben werden – hinter Ihrer eigenen Firewall, verwaltet von Ihrem Sicherheits- oder DevOps-Team und in Übereinstimmung mit Ihren Grundsätzen und Best Practice-Anwendungen.

Egal, ob Sie Redbooth in der Cloud oder als lokale Anwendung nutzen: Unser Produkt wurde von Grund auf für so gestaltet, dass Setup und die Anwendung rasch und einfach vor sich gehen. Das Produkt fühlt sich an wie eine Verbraucheranwendung, bietet aber die Sicherheit und Kontrolle einer Enterprise-Business-Anwendung.

Wir verwenden eine ausgeklügelte Sicherheitsinfrastruktur, um Administratoren den souveränen Einsatz von Redbooth zu ermöglichen. So können sie sich darauf konzentrieren, Mehrwert für ihr Geschäft zu schaffen und verschwenden keine Zeit mit der Verwaltung von Sicherheitsstrukturen.

Architektur

Unsere benutzerfreundlichen Schnittstellen basieren auf Infrastrukturen, die hinter den Kulissen für rasche, verlässliche Up- und Downloads, Sync- und Share-Funktionen sorgen. Um dies zu gewährleisten, arbeiten wir laufend an unserem Produkt und unserer Architektur, um Datenübertragung zu beschleunigen, Verlässlichkeit zu verbessern und uns an Veränderungen in unserem Umfeld anzupassen. In diesem Abschnitt erfahren Sie mehr darüber, wie wir Daten auf sichere Weise übertragen, speichern und verarbeiten.

Redbooth wurde mit mehreren Schutzebenen konzipiert, die Datenübertragung, Verschlüsselung, Netzwerkkonfiguration und Kontrolle auf App-Ebene abdecken und im Rahmen einer skalierbaren, sicheren Infrastruktur arbeiten.

Anwender von Redbooth können jederzeit vom Desktop, Web oder von mobilen Geräten aus bzw. über Apps von Dritten, die mit Redbooth verbunden wurden, auf Dateien und Ordner zugreifen. Alle diese Kunden greifen über sichere Server auf Dateien zu bzw. nutzen solche Dateien gemeinsam. Verbundene Geräte können bei Hinzufügen, Ändern oder Löschen von Dateien automatisch aktualisiert werden.

Data-at-Rest: Sicherheit beim Hosting

Die sichere Cloud-Collaboration-Plattform von Redbooth wird von Amazon Web Services in einem hochgradig sicheren, vollständig redundanten Rechenzentrum gehostet, das nach PCI DSS Level 1 und ISO 27001 zertifiziert wurde und erfolgreich mehrere SAS70 Type II-Audits durchlaufen hat. Data-at-Rest werden in einer Amazon S3 und AWS RDS mysql-Datenbank in Inneren einer Virtual Private Cloud gespeichert, mit äußerst strengen Zugangskontrollen, die von einem Gateway-Rechner verwaltet werden.

Die Server und Daten von Redbooth werden 24x7 auf Up-Time, Verfügbarkeit und Intrusion Detection überwacht. Der Provider von Redbooth steht mit einem 99,99% SLA bereit. Das AWS-Netzwerk bietet signifikanten Schutz vor herkömmlichen Netzwerkproblemen: Packet Sniffing durch andere Tenants, Denial-of- Service-Attacken (DDoS), Man-In-the Middle-Attacken (MITM) und Einsatz von Web-Application-Firewalls (WAF).

Passwörter

Passwörter werden mit SHA2 im Hashformat gespeichert und mehrmals gesalzen, um Dictionary-Attacken abzuwehren.

Physische Sicherheit

Der physische Zugang zu unseren Servern ist streng geregelt und unterliegt allen erdenklichen Beschränkungen, einschließlich Stromredundanz, Temperaturkontrolle und Brandmeldung.

Die Amazon-Rechenzentren werden von drei physischen Sicherheitsebenen umgeben. Die äußerste Ebene ist entweder ein crashsicherer Zaun, um das Eindringen von Fahrzeugen zu verhindern, oder wird durch innovative Jersey-Barrieren geschützt.

Der Zugang zur zweiten Ebene, in der sich Kühler, Schaltzentralen und Generatoren befinden, wird durch eine weitere Wand abgesperrt und ist nur mittels persönlichem Pin-Code und Magnetkartendurchzug möglich. Nur die für die Wartung zuständigen Techniker haben Zugang zu diesem Bereich.

Jede Tür wird videoüberwacht, wobei das Material sowohl lokal als auch auf Remote-Basis überwacht wird. Die Bereiche zwischen den Sicherheitsebenen sind mit internen Warnlichtern ausgestattet, die ebenfalls rund um die Uhr überwacht werden. Die innerste Ebene umschließt die Rechenzentren mit Servern und Netzwerkgeräten. Die Türen werden videoüberwacht und Zugang ist nur mit persönlichem Pin-Code und Magnetkartendurchzug möglich. Die Türen sind außerdem mit Metalldetektoren ausgestattet.

Data-in-Motion: Netzwerksicherheit

Bei Redbooth sind Daten immer über eine absolut sichere Verbindung unterwegs. Für die Übertragung werden Daten mittels SSL verschlüsselt und Zugang ist nur über https möglich (niemals über http).

Passwörter werden mit Einweg-Verschlüsselung auf unseren Servern gespeichert, was bedeutet, dass auch unser eigenes Team niemals auf ein Passwort zugreifen kann. Verbindungen werden mit SHA2-2048-bit (TLS 1.2) verschlüsselt, derselbe Hochsicherheitsstandard, der auch für Online-Bankingfunktionen zum Einsatz kommt.

Redbooth Anwendungssicherheit

operations

Redbooth ist von Grund auf so gestaltet, dass jedem Anwender ein privates, sicheres Umfeld geboten wird.

Jeder Anwender baut seinen privaten Arbeitsbereich auf, der nur von ausdrücklich eingeladenen Benutzern betreten werden darf. Redbooth trennt die Daten für jede Benutzergruppe auf das Strengste, sodass Nicht-Mitgliedern der Zugang auf jeden Fall verweigert wird.

Benutzer können auf zwei verschiedenen Ebenen eingeladen werden:

users

Organisationen und Arbeitsbereiche (das Entfernen ist jederzeit und ganz einfach möglich).

Typischerweise wird für ein Unternehmen die Organisationsebene gewählt. Wie im nachstehenden Beispiel angeführt, ist “Redbooth” die Organisation.

Arbeitsbereiche werden verwendet, um ein abgeschlossenes Areal für die Zusammenarbeit im Team zu bilden. Die Namen der Arbeitsbereiche werden von Mitgliedern der Organisation gesehen, aber nur Mitglieder des spezifischen Arbeitsbereichs können darauf zugreifen.

Das rollenbasierte Zugangssystem von Redbooth sieht 2 Zugangsebenen vor, die des Administrators, der die Möglichkeit hat, Benutzer hinzuzufügen bzw. zu entfernen, und die des Anwenders, der Zugang hat, aber keine Benutzer hinzufügen oder entfernen kann.

Content Security Policy (CSP)

Wir arbeiten hart, um Redbooth vor den häufigsten XSS-Schwachstellen zu schützen, indem wir die folgenden Richtlinien umsetzen:

  • base-uri
  • font-src
  • media-src
  • objectt-src
  • plugin-types
  • style-src
  • frame-ancestors
  • report-uri

Unsere Datenschutzprinzipien

Ihre Daten sind Privatsache und nur für Ihr Team gedacht

Informationen, die wir sammeln und speichern

Wir sammeln und speichern die Texte, Informationen, Aufgaben und Dateien, die Sie mit Redbooth hochladen oder auf die Sie zugreifen. Wenn Sie in Redbooth einsteigen, speichern wir unter Umständen automatisch Informationen über Ihr Gerät, seine Software und Ihre Aktivitäten während der Nutzung unseres Service. Dazu gehören Ihre IP-Adresse, die Art Ihres Browsers, die Webseite, die Sie zuletzt besucht haben, Ihr Standort, Ihre Präferenzen, Zeit- und Datumsstempel sowie andere Metadaten, die Ihre Interaktion mit dem Service betreffen.

Cookies

Wir benutzen Cookies, um Informationen zu sammeln und unsere Dienstleistungen zu verbessern. Ein Cookie ist eine kleine Datei, die wir auf Ihr Gerät übertragen. Wir verwenden unter Umständen permanente Cookies, um Ihre Anmeldedaten und ihr Passwort für zukünftige Anmeldungsversuche zu speichern. Sie können Ihre Browsereinstellungen ändern, sodass Cookies nicht akzeptiert werden bzw. Sie gefragt werden, ehe Sie ein Cookie von einer Webseite akzeptieren. Wenn Sie Cookies ablehnen, kann es allerdings vorkommen, dass Sie nicht alle Funktionen von Redbooth nutzen können und Ihre Benutzer- und Passwortinformationen manuell eingeben müssen.

Wie wir Ihre persönlichen Angaben verwenden

Im Rahmen Ihrer Nutzung unseres Service können wir unter Umständen persönliche Angaben sammeln, mittels derer Sie kontaktiert oder identifiziert werden könnten ("persönliche Informationen"). Solche Angaben werden möglicherweise verwendet, um: (i) unsere Serviceleistungen bereitzustellen und zu verbessern (ii), Ihre Nutzung unserer Serviceleistungen zu verwalten, (iii) Ihre Bedürfnisse und Interessen besser zu verstehen, (iv) Ihre Erfahrung persönlicher zu gestalten und zu verbessern sowie (v) Ihnen Software-Updates und Produktankündigungen zukommen zu lassen. Falls Sie nicht länger wünschen, von uns kontaktiert zu werden, folgen Sie bitte den Schritten für die Abbestellung solcher Informationen, die in jeder Verständigung enthalten sind.

Geolokalisierte Informationen

Manche Browser ermöglichen es Anwendungen, auf lokalisierte Informationen in Echtzeit zuzugreifen (zum Beispiel GPS). Zum Datum des Inkrafttreten dieser Bestimmungen sammeln unsere mobilen Apps solche Informationen nicht. Allerdings kann es sein, dass dies in Zukunft der Fall sein wird, um unsere Dienstleistungen zu verbessern. In diesem Fall wird dazu Ihr Einverständnis eingeholt.

Applikationen Dritter

Es ist möglich, dass wir Ihre Informationen mit Ihrem Einverständnis mit einer Applikation eines Drittanbieters teilen (Google Docs, Dropbox o. Ä:), zum Beispiel, wenn Sie auf unsere Dienst über einen solche Applikation zugreifen. Wir sind nicht dafür verantwortlich, wie diese Dritten Ihre Angaben verwenden. Stellen Sie also sicher, dass Sie der Applikation vertrauen und dass Sie mit den Datenschutzbestimmungen der Applikation einverstanden sind.

Verschlüsselung

Redbooth kann keine Dateien entschlüsseln, die vor der Speicherung in Redbooth verschlüsselt wurden.

Analytische Informationen

Wir setzen auch Logging und Cookies ein, um bestimmte Informationen (mittels Dienstleistungen Dritter) zu sammeln. Dieser Informationen werden für die obenstehenden Zwecke genutzt, sowie für die Überwachung und Analyse der Verwendung des Service und zur Steigerung unserer Benutzerfreundlichkeit und Funktionalität. Zum Zeitpunkt des Inkrafttretens dieser Bestimmungen verwenden wir Google Analytics und KISSMetrics.

Unternehmensübertragungen

Falls wir an einem Merger, einer Übernahme, einem Verkauf eines Teils oder all unserer Vermögenswerte beteiligt sind, können Ihre Angaben als Teil dieser Transaktion übertragen werden. Wir werden Sie von etwaigen Änderungen der Eigentumsstruktur oder Verwendung Ihrer persönlichen Angaben in Kenntnis setzen (zum Beispiel per E-Mail und/oder einer unübersehbaren Notiz auf unserer Webseite), sowie von etwaigen Veränderungen unserer Datenschutzbestimmungen. Des Weiteren informieren wir Sie über Möglichkeiten, die Ihnen hinsichtlich dieser Angaben offen stehen.

Angaben ändern oder löschen

Wenn Sie ein registrierter Benutzer sind, können Sie die in Ihrer Registrierung bzw. Ihrem Kontoprofil enthaltenen persönlichen Angaben überarbeiten, aktualisieren, korrigieren oder löschen, indem Sie Ihre Kontoeinstellungen ändern. Wenn sich die Angaben ändern, über die Sie persönlich identifiziert werden können, oder Sie unseren Service nicht länger nutzen möchten, können Sie diese Angaben aktualisieren oder löschen, indem Sie die entsprechende Änderung in Ihren Kontoeinstellungen vornehmen.

Aufbewahrung von Daten

Redbooth bewahrt Ihre Daten auf, so lange Ihr Konto aktiv ist oder so lange, wie dies für die Bereitstellung unserer Serviceleistungen erforderlich ist. Wenn Sie Ihr Konto löschen möchten oder nicht länger wünschen, dass wir Ihre Angaben für die Bereitstellung unserer Serviceleistungen nutzen, verständigen Sie uns bitte. Wir werden Ihre Angaben auf Wunsch so rasch wie möglich löschen. Beachten Sie bitte, dass es zu Verzögerungen beim Löschen von Angaben auf unseren Servern und Back-Up-Systemen kommen kann.

Veränderungen unserer Datenschutzbestimmungen

Es ist möglich, dass sich diese Datenschutzbestimmungen von Zeit zu Zeit ändern. Falls wir Änderungen an diesen Datenschutzbestimmungen vornehmen und der Ansicht sind, dass diese Ihre Rechte spürbar einschränken, werden wir Sie im Voraus von diesen Änderungen in Kenntnis setzen (zum Beispiel per E-Mail). Auch unter anderen Umständen ist es möglich, dass wir Sie im Voraus informieren. Indem Sie unsere Serviceleistung weiterhin nutzen, nachdem diese Änderungen in Kraft getreten sind, erklären Sie sich mit den überarbeiteten Datenschutzbestimmungen einverstanden.

Falls Sie Fragen oder Anliegen hinsichtlich der Datensicherheit oder Datenschutz auf unserer Webseite oder im Rahmen unserer Serviceleistung haben, lesen Sie diese Seite mit unseren Sicherheits- und Datenschutzbestimmungen noch einmal aufmerksam durch oder kontaktieren Sie uns auf info@redbooth.com.

Wir geben uns jede erdenkliche Mühe, unsere Redbooth-Produkte so sicher wie möglich zu gestalten. Wenn Sie dennoch eine Sicherheitsschwachstelle in Redbooth bemerken, wären wir Ihnen dankbar, wenn Sie uns diese auf verantwortungsvolle Art und Weise mitteilen.

Senden Sie in einem solchen Fall bitte eine E-Mail an support@redbooth.com, in der Sie erklären, um welches Problem es sich handelt und Schritt für Schritt darlegen, wie die Schwachstelle reproduziert werden kann.

Redbooth Datensicherung & Disaster Recovery

Die Datensicherungsfunktion von Redbooth bietet Ihnen die Möglichkeit, Ihre Daten jederzeit zu sichern. Mit nur wenigen Mausklicks können Sie einen komprimierten Ordner herunterladen, der alle Ihre Aufgaben, Aufgabenlisten und Projekte enthält.

Diese Funktion steht nur Businesskunden offen. Wenn Sie sich für dieses Schema interessieren, kontaktieren Sie unser Verkaufsteam.

Wenn Sie bereits ein Businesskunde sind, folgen Sie nachstehenden Schritten, um Ihre Daten zu sichern.

  1. Gehen Sie zur Landing-Page für Redbooth Data Backup. (Diese wird nicht von Ihrem Redbooth-Konto aus gehostet. Wenn Sie den Link benötigen, kontaktieren Sie bitte unser Support-Team).
  2. Klicken Sie auf "Get Started Now" und autorisieren Sie die Applikation.
  3. Klicken Sie auf "Collect Information", um eine Zusammenfassung Ihrer Daten aufzurufen.
  4. Klicken Sie auf "Generate the Archive", um fortzufahren.
  5. Sie können nun zu Redbooth zurückkehren und dort auf die E-Mail warten, die den Link enthält, von dem aus Sie die Datensicherungskopie herunterladen können.

Datenschutz: Cookies in Redbooth

Wie viele andere Webseiten verwendet auch die von Redbooth winzige Dateien, die Cookies genannt werden, um Ihre Benutzererfahrung zu optimieren.

Dieser Abschnitt enthält allgemeine Informationen über Cookies sowie spezielle Informationen über die von Redbooth eingesetzten Cookies und erklärt außerdem, wie Sie Cookies in Ihrem Browser deaktivieren können. Wenn die von Ihnen gewünschten Informationen hier nicht erwähnt werden oder Sie weitere Fragen zu der Verwendung von Cookies in Redbooth haben, kontaktieren Sie uns bitte unter info@redbooth.com.

Was sind Cookies?

Cookies sind winzige Textdateien, die von Ihrem Browser (zum Beispiel Google Chrome oder Safari) auf Ihrem Computer oder Mobiltelefon gespeichert werden. Sie machen es möglich, dass Webseiten bestimmte Dinge, zum Beispiel Ihre Präferenzen, speichern. Cookies fungieren als "Gedächtnisspeicher" für die Webseite, so dass diese Sie wiedererkennt, wenn Sie die Webseite erneut besuchen, und entsprechend reagieren kann.

Wie verwendet Redbooth Cookies?

Ein Besuch auf einer Redbooth-Seite kann folgende Arten von Cookies generieren:

  • Redbooth Benutzer-Cookies
  • Anonyme Analytics-Cookies
  • Cookies von Dritten

Einsatz von und Bestimmungen für Cookies auf Redbooth

Wenn Sie Redbooth benutzen, ist es möglich, dass wir ein oder mehrere Cookies an Ihren Computer senden, um Ihren Browser zu identifizieren und Ihnen dabei zu helfen, sich rascher einzuloggen und Ihnen verbesserte Navigationsmöglichkeiten zu bieten. Ein Cookie kann uns anonyme Informationen darüber liefern, wie Sie unsere Serviceleistungen nutzen. Ein permanentes Cookie verbleibt auf Ihrer Festplatte, nachdem Sie den Browser geschlossen haben, und kann daher von Ihrem Browser bei nochmaligen Besuchen auf unserer Seite erneut verwendet werden. Ein temporäres Cookie ("Session Cookie") verschwindet wieder, nachdem Sie Ihren Browser schließen.

Anonyme Analytische-Cookies

Jedes Mal, wenn jemand unsere Webseite besucht, generiert die von einer anderen Organisation bereitgestellte Software ein Anonymes Analytisches Cookie. Diese Cookies geben uns Aufschluss darüber, ob Sie diese Seite in der Vergangenheit bereits besucht haben. Ihr Browser teilt uns mit, ob Sie diese Cookies haben. Falls nicht, generieren wir neue. Dadurch können wir rückverfolgen, wie viele Einzelanwender wir haben und wie oft sie unsere Seite besuchen.

Außer, Sie sind in Redbooth angemeldet, können wir diese Cookies nicht dazu verwenden, Sie oder andere Personen zu identifizieren. Wir verwenden diese Cookies, um Statistiken anzufertigen, zum Beispiel darüber, wie viele Besucher unsere Webseite verzeichnet. Falls Sie eingeloggt sind, sind uns auch die Details bekannt, die Sie für den Anmeldevorgang benötigt haben, d.h. Ihr Benutzername und Ihre E-Mail-Adresse.

Cookies von Dritten

Auf manchen Seiten unserer Webseite können auch andere Organisationen Ihre eigenen anonymen Cookies setzen, um den Erfolg ihrer Applikation rückzuverfolgen oder die Applikation für Sie maßzuschneidern. Aufgrund der Art und Weise, wie Cookies funktionieren, können wir auf solche Cookies nicht zugreifen, ebensowenig wie die andere Organisation Zugriff auf die Daten in den Cookies hat, die wir auf unserer Webseite verwenden.

Wenn Sie zum Beispiel Redbooth ein "Like" auf Facebook geben und dazu die entsprechende Schaltfläche auf redbooth.com verwenden, wird dies vom sozialen Netzwerk, von dem die Schaltfläche stammt, auch aufgezeichnet.

Wie kann ich Cookies deaktivieren?

Normalerweise ist es möglich, einen Browser davon abzuhalten, Cookies im Allgemeinen bzw. Cookies von einer bestimmten Webseite zu akzeptieren. Allerdings kann es sein, dass eine Funktionen des Service nicht richtig funktionieren, wenn Sie Cookies ablehnen.

Alle modernen Browser bieten die Möglichkeit, die Einstellungen für Cookies zu verändern. Im Allgemeinen befinden sich diese Einstellungen im Menü "Optionen" oder "Präferenzen" in Ihrem Browser. Um mehr über diese Einstellungen zu erfahren, können Sie die Option "Hilfe" in Ihrem Browser verwenden.

Wie wir rund um die Uhr Ihre Sicherheit gewährleisten

Zusätzlich zu unseren eigenen Testverfahren konsultieren wir auch branchenweite Experten, um absolute Sicherheit auf Basis der folgenden Maßnahmen gewährleisten zu können:

  • Automatische Dauer-Penetrationstests
  • Manuelle Dauer-Penetrationstests und ethisches Hacken
  • Einhaltung der strengen AWS-Auflagen für Überwachung und Prüfung der Sicherheitsinfrastruktur sowie der Sicherheitsprinzipien

Tests von Dritten, Risikominimierung und Kontrolle

Automatische und manuelle Black-Box- und White-Box-Tests und ethisches Hacken:

  • Redbooth arbeitet mit WhiteHat Security, einem marktführenden und von Gartner empfohlenen Unternehmen, und seinem Produkt Sentinel, einer Software-As-A-Service-Plattform, die automatische Dauerscans für Schwachstellenmangement sowie Penetrationstests durchführt. Die Produkte und Techniker von WhiteHat gewährleisten, dass die Web-Anwendungen unserer Organisation absolut sicher sind, und zwar in jeder Phase des Entwicklungsprozesses.
  • WhiteHat verwendet dynamische AST (DAST)-Technologie für die Analyse unserer Anwendungen im dynamischen, laufenden Betrieb während der Test- oder operativen Phase. Dabei werden Angriffe auf eine Anwendung simuliert (typischerweise webfähige Anwendungen und Dienste) und die Reaktionen der Anwendung analysiert, um Schwachstellen ausfindig zu machen.

WhiteHat führt auch manuelle und mobile Tests auf laufender Basis durch.

  • Dabei werden eine Kombination herkömmlicher SAST- und DAST-Methoden sowie Verhaltensanalysen auf Basis statischer und dynamischer Technologien eingesetzt, um bösartige oder potentiell riskante Handlungen festzustellen, die die App durchführen kann, ohne dass der Benutzer dies weiß (zum Beispiel Aktivierung des Adressbuchs oder GPS des Anwenders).

Automatische Infrastruktur-Dauertests

Blueliv ist die Cyber Threat Intelligence-Technologie auf Cloud-Basis, die Organisationen vor zahlreichen Bedrohungen schützt, wie Kreditkartenbetrug, Diebstahl von persönlichen oder Zugangsdaten, Phishing, Botnets, bösartigen mobile Anwendungen, APTs sowie den aktuellsten Malware-Trends. Blueliv automatisiert die kontinuierliche Überwachung, Analyse und Validierung von Cyber-Bedrohungen außerhalb Ihres Netzwerks und bietet Datensicherheit in Echtzeit, bei gleichzeitiger Stiegerung der Aufmerksamkeit für Cyber-Bedrohungen in Organisationen. Falsche Positivmeldungen werden durch den Einsatz von leistungsstarkem Data-Mining und Machine-Learning, Anomalie-Erkennungsverfahren sowie Big Data-Technologien dramatisch reduziert. Organisationen erhalten genaue und zeitgerechte Ergebnisse über effiziente und intuitive Dashboards.

Blueliv verwendet Static AST (SAST)-Technologie für die Analyse der Quelle einer Anwendung und Bytecodes oder Binärcodes für die Feststellung von Sicherheitsschwachstellen, typischerweise in der Programmier- oder Testphase der Software.

Die Ergebnisse der Tests werden vom Redbooth-Sicherheitsteam analysiert und die einzelnen Punkte mit Prioritäten versehen. Sämtliche Elemente dieser Analysen und Empfehlungen werden der Unternehmensleitung mitgeteilt und nach Evaluierung der Berichte werden entsprechende Handlungen je nach Notwendigkeit gesetzt. Hohe Sicherheitsrisiken werden von den zuständigen Mitarbeitern dokumentiert, rückverfolgt und eliminiert.

Compliance

Es gibt eine riesige Anzahl an Normen und Regelungen für den Bereich Compliance, die auf unsere Organisation anwendbar wären. Unser Ansatz lautet, die am häufigsten umgesetzten Normen – wie ISO 27001 und SOC 2 – mit Compliance-Maßnahmen zu kombinieren, die den spezifischen Anforderungen unserer Kunden und deren Branchen am ehesten entsprechen. Unsere Rechenzentren und unser Managed-Service-Provider durchlaufen regelmäßige, von Dritten durchgeführte Audits.

ISO 27001 – Unser Rechenzentrum ist nach ISO 27001 zertifiziert (veröffentlichtes Zertifikat). ISO 27001 ist eine weit verbreitete, globale Sicherheitsnorm, welche präzise Anforderungen für die Sicherheit von Informationsmanagementsystemen enthält. Die Norm spezifiziert einen systematischen Ansatz für die Verwaltung von Unternehmens- und Kundeninformationen, der auf periodischen Risikobewertungen beruht. Um die Zertifizierung zu erhalten, muss ein Unternehmen belegen, dass es einen systematischen, kontinuierlichen Ansatz für die Bewältigung von Sicherheitsrisiken verfolgt, welche die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmens- und Kundeninformationen gefährden könnten.

Unser Rechenzentrum ist an einem formalen Programm zur Aufrechterhaltung der Zertifizierung beteiligt. Diese Zertifizierung ist Zeichen unseres Engagements für die Gewährleistung von Transparenz in unseren Sicherheitskontrollen und -Methoden.

Redbooth Private Cloud

Die Redbooth Private Cloud wurde für die Installation in einem virtuellen Umfeld auf Ihrem lokalen Netzwerk konzipiert. Sämtliche Daten werden auf von Ihnen gesteuerten Maschinen gespeichert und der Zugang wird in das Authentifizierungssystem Ihrer Organisation integriert (LDAP / Active Directory, oAuth).

Mit unserer Private Cloud-Anwendung können Sie:

  • Sämtliche internen und branchenweiten Vorgaben für Sicherheit und Compliance erfüllen
  • Sämtliche Regeln zu Datenschutz, Datenspeicherung und Datensicherung einhalten
  • Die Leistungsvereinbarungen Ihrer Organisation (Service Level Agreements, SLAs) erfüllen
  • Die Hardware auswählen, die Ihre Leistung am besten optimiert
  • Ihre eigene Firewall für Web-Anwendungen, SIEM oder Anmeldelösungen implementieren, um Ihre internen Vorgaben zu erfüllen
  • Der Zugang unterliegt strengen Kontrollen. Interner Zugang ist nicht gestattet. Als Kunde können Sie sich dafür entscheiden, in außergewöhnlichen Umständen Technikern von Redbooth Zugang zu gewähren.

Redbooth Private Cloud basiert auf standardmäßiger, virtueller Maschinentechnologie von VMware, ist aber auch mit den meisten anderen Anbietern kompatibel. Auf interner Ebene wird die gesamte Redbooth-Lösung in Single-Node-Struktur über die als Industriestandard anerkannten, sicheren und verlässlichen OS-Komponenten (Ubuntu 12.04 LTS) sowie bewährten Open-Source-Elementen bereitgestellt (unsere Hardening-Richtlinien werden in einem gesonderten Dokument erläutert, welches regelmäßig aktualisiert wird und auf Anfrage erhältlich ist.) Sie haben die Möglichkeit, Ihre Daten sicher in der VM oder in den DB-Systemen Ihres Unternehmens (auf mysql-Basis) zu speichern. Hypervisor HA-Technologie und inkrementelle Sicherungen gewährleisten die Sicherheit Ihrer Daten hinter Ihrer Firewall.

Sicherheit beim Hosting

Die Redbooth Private Cloud wurde für die Installation in einem virtuellen Umfeld auf Ihrem lokalen Netzwerk konzipiert.

Sämtliche Daten werden auf von Ihnen gesteuerten Maschinen gespeichert und der Zugang wird in das Authentifizierungssystem Ihrer Organisation integriert (LDAP / Active Directory, oAuth).

Mit unserer Private Cloud-Anwendung können Sie:

  • Sämtliche internen und branchenweiten Vorgaben für Sicherheit und Compliance erfüllen
  • Sämtliche Regeln zu Datenschutz, Datenspeicherung und Datensicherung einhalten
  • Die Leistungsvereinbarungen Ihrer Organisation (Service Level Agreements, SLAs) erfüllen
  • Die Hardware auswählen, die Ihre Leistung am besten optimiert
  • Der Zugang unterliegt strengen Kontrollen. Interner Zugang ist nicht gestattet. Als Kunde können Sie sich dafür entscheiden, in außergewöhnlichen Umständen Technikern von Redbooth Zugang zu gewähren.

Netzwerksicherheit

Redbooth Private Cloud kann so konfiguriert werden, dass Daten stets über eine sichere Verbindung transportiert werden. Bei Aktivierung dieser Funktion werden sämtliche Daten für die Übertragung mit SSL verschlüsselt und sind nur über https zugänglich.

Redbooth Anwendungssicherheit

Redbooth ist von Grund auf so gestaltet, dass jedem Anwender ein privates, sicheres Umfeld geboten wird.

Jeder Anwender baut ein privates soziales Netzwerk mit verschiedenen Anwendergruppen auf. Redbooth trennt die Daten für jede Benutzergruppe auf das Strengste, sodass Nicht-Mitgliedern der Zugang auf jeden Fall verweigert wird.

Benutzer können auf zwei verschiedenen Ebenen eingeladen werden: Organisationen und Arbeitsbereiche (die Entfernung ist jederzeit und ganz einfach möglich). Das rollenbasierte Zugangssystem von Redbooth sieht 4 Zugangsebenen vor.

Da die Anwendung hinter der Firewall des Kunden läuft, wird jeder Zugang vom Kunden kontrolliert.

Unsere Datenschutzprinzipien

Ihre Daten sind Privatsache und nur für Ihr lokales Netzwerk gedacht

Redbooth Private Cloud kann bei der regulären Nutzung komplett offline betrieben werden. Allerdings ist für Patch-Freigaben und Aktualisierungen kurzzeitig ein Internetzugang nach außen erforderlich, um OS-Aktualisierungen/Patches sowie Paketaktualisierungen durchzuführen.

Redbooth Private Cloud sendet Ihre Daten, Metriken oder anderen Information niemals in den ausgehenden Datenverkehr.

Häufig gestellte Fragen zur Sicherheit

Wie werden die Zugangskontrollen implementiert?

Der Webzugang von Redbooth unterstützt die einfache Authentifizierung mit Benutzernamen und Passwort sowie einige OAuth SSO-Dienste (Google, Twitter) und LDAP/ Active Directory-Authentifizierung. Webzugang wird dringend empfohlen, um auf HTTPS für maximale Sicherheit zugreifen zu können.

Auf die virtuelle Maschine, mit der Redbooth läuft, kann nur von Redbooth Private Cloud-Technikern mit Zustimmung des Kunden und mittels SSH-Protokoll zugegriffen werden, falls diese Supportleistung erforderlich ist.

Es gibt keine andere Möglichkeit, auf das Redbooth-Umfeld zuzugreifen.

Legt der Systemadministrator die Zugangsebenen fest?

Die Zugangsebenen für das Internet können von Anwendern mit Administratorkapazitäten festgelegt werden:

Organisationen und Projekte haben Administratoren, die Zugangsberechtigungen für die Organisation/das Projekt vergeben.

Wenn sich die Rolle eines Anwenders ändert, können neue Administratoren angelegt werden.

Kann Sicherheit auch dezentralisiert verwaltet werden?

Sicherheit innerhalb der Redbooh-Anwendung kann von überall aus mit einem Browser verwaltet werden, solange die Redbooth-Instanz erreichbar ist.

Wie werden neue Anwender erstellt?

Neue Anwender können nur erstellt werden, wenn ein Projektadministrator diese per E-Mail zum Projekt einlädt. Anwender können sich nicht selbst ohne Einladung registrieren.

Wie werden die Zugangsberechtigungen verwaltet?

Die Zugangsberechtigungen werden in Redbooth auf zwei Ebenen verwaltet:

Organisation: Hier gibt es drei Arten von Anwendern: Administratoren, Teilnehmer und Externe:

  • Administratoren können die Einstellungen auf Organisationsebene verwalten, beliebig in Projekte einsteigen und andere Anwender innerhalb der Organisation verwalten.
  • Teilnehmer können Projekte erstellen und haben nur Zugang zu den spezifischen Projekten, zu denen sie eingeladen wurden. Sie haben keinen Zugang zu den Einstellungen auf Organisationsebene, können aber die Liste der Anwender innerhalb der Organisation ansehen sowie Vorlagen für Aufgabenlisten bearbeiten. Außerdem können Sie sich an öffentlichen Projekten beteiligen.
  • Externe haben nur Zugang zu spezifischen Projekten und können keine neuen Projekte innerhalb der Organisation anlegen (bei diesen Projekten können sie entweder als Administrator oder Teilnehmer fungieren). Auf Organisationsebene sind für sie nur die Namen der Administratoren sichtbar-
Projekt: Zwei Arten von Rollen: Administratoren und Teilnehmer.

Administratoren können neue Anwender zu Projekten einladen, die Rollen der Anwender verwalten, das Projekt archivieren oder löschen sowie Kommentare zu Aufgaben löschen oder auf andere Projekte übertragen.

Teilnehmer können keine neuen Anwender einladen oder deren Rollen verwalten, haben aber Zugang zu allen anderen Projektfunktionen.

Die Rollen auf Organisationsebene werden über das Redbooth Admin-Panel verwaltet.

Bietet das System die Möglichkeit, Datensicherheit für die einzelnen Geschäftseinheiten der Organisation zu bewerten?

Redbooth Private Cloud speichert alle Daten in einer Maschine, auf die nur mit den richtigen Kenndaten zugegriffen werden kann. Es gibt keine eigenen Sicherheitsprinzipien für die einzelnen Geschäftseinheiten.

Bietet das System die Möglichkeit, Zugangsberechtigungen nach Benutzer/Benutzergruppen zu vergeben (Mitarbeiter, Partner...)?

Anwender haben nur dann Zugang, wenn Sie vom Administrator auf Organisations-/Projektebene eingeladen werden. Der Zugang besteht nur für die von den Administratoren angegebenen Projekte (außer, sie werden ebenfalls zu Administratoren ernannt. In diesem Fall haben sie Zugang zu allen Daten).

Üblicherweise werden Partner, Kunden und Provider als Externe eingestuft. Die genaue Rollenvergabe wird im Einladungsprozess definiert.

Bietet das System die Möglichkeit, eine Berechtigung für den Internetzugang einzurichten? Und mit welcher Verschlüsselungsstärke?

Der Internetzugang wird mit der standardmäßigen Eingabe von Benutzernamen/Passwort geregelt. Die Verschlüsselung erfolgt mittels AES_256_CBC, mit SHA1 für Nachrichtenauthentifizierung und ECDHE_RSA als Schlüssel-Austausch-Mechanismus.

Die Anwendung unterstützt auch das föderierte Login mit oAuth für Google sowie LDAP / Active Directory (siehe unten).

Bietet das System die Möglichkeit von Sicherheit auf Feldebene?

Der Schutz einzelner Felder ist nicht vorgesehen. Vollständige Aufgaben, Gespräche und Notizen können geschützt werden, die einzelnen Felder innerhalb dieser Funktionen allerdings nicht.

Hat die Anwendung Penetrationstests durchlaufen?

Die Anwendung wird regelmäßigen, internen Penetrationstests als Teil unseres Freigabeprozesses sowie externen Tests unterzogen, die von unserem Sicherheits-Provider Whitehat Security durchgeführt werden.

Kann das System an einen externen LDAP-Server für die Authentifizierung binden?

Redbooth Private Cloud unterstützt die externe LDAP-Authentifizierung. LDAP SOO wird gegenwärtig aber nicht unterstützt.

Wir haben damit begonnen, zusätzliche SAML-Provider in unserem Cloud-Produkt zu unterstützen und planen weitere SSO-Integrationen.

Wie lautet der Redbooth-Ansatz gegenüber Sicherheitspatches?

Bei jeder Freigabe wird jede einzelne Systemkomponente auf die aktuellsten Sicherheitspatches überprüft und diese dann entsprechend angewendet.

Welche Maßnahmen gewährleisten die Sicherung von Administrator-Konten?

Administrator-Konten, die Zugriff auf die VM ermöglichen, werden durch starke Passwörter geschützt. Root-Zugang ist nicht möglich.

Wie wird das System hochverfügbar gemacht und wie wird die Ausfallsicherung gewährleistet?

Redbooth Private Cloud ist so konzipiert, dass Hypervisor Snapshotting und HA-Kapazitäten voll genutzt werden. Produktionsfertige Hypervisoren können zwei synchronisierte VMs erhalten (Master/Slave), wobei jeder Node überwacht wird und der sekundäre Node auf einfache und rasche Weise zum neuen Master erhoben werden kann.

Ist das System fehlertolerant?

Ähnlich der HA-Funktion bietet auch der Hypervisor kontinuierliche Verfügbarkeit, indem eine Live-Schatteninstanz einer virtuellen Maschine erstellt wird, die dem Aktualisierungsstand der primären virtuellen Maschine immer entspricht.

Wie lauten die Backup-Richtlinien?

Zusätzlich zu den Optionen für Hochverfügbarkeit und Fehlertoleranz, die der Hypervisor bietet, wird Kunden dringend empfohlen, regelmäßige Snapshots der VM anzufertigen (insbesondere vor Systemaktualisierungen).

Des Weiteren enthält Redbooth Cloud ein einfaches API, dass die offline-Speicherung von Kundendaten ermöglicht. Diese Backups können auch für die Wiederherstellung von Daten verwendet werden.

Sendet das System Daten an andere Dienstleister?

Nein. Redbooth Private Cloud sendet keine Daten an Dritte. Allerdings gibt es eine konfigurierbare Funktion, die es Kunden ermöglicht, systemeigene mobile Push-Notifications zu aktivieren. In diesem Fall wird gewisser Datenverkehr (mit ids und kurzen Zusammenfassungen von Chat-Nachrichten) an die Push-Server von Apple und Google übertragen. Diese Funktion muss aber ausdrücklich aktiviert werden.


Sie haben noch Fragen oder wünschen zusätzliche Informationen? Dann kontaktieren Sie uns bitte auf security@redbooth.com.

SICHERHEIT DER WEBSEITE DURCH:

Bereit, intelligenter zu arbeiten? Starten Sie noch heute Ihren 30-Tage-Test und sehen Sie, warum Tausende Unternehmen Redbooth als ihr Instrument für erfolgreiches Projektmanagement einsetzen.