1 imc Express Sicherheitspolitik

Bei imc Express nehmen wir die Sicherheit sehr ernst und sorgen dafür, dass Ihre Daten stets geschützt sind. Wir verwenden die neuesten Verschlüsselungstechnologien, um sicherzustellen, dass alle Daten vertraulich und sicher behandelt werden.

Außerdem haben wir mehrere Richtlinien zum Schutz der Daten unserer Nutzer eingeführt. Lesen Sie weiter, um zu erfahren, was wir tun, um die Sicherheit Ihrer Daten stets zu gewährleisten.

1.1 Das imc Express Team

Unser imc Express Entwicklungsteam besteht nicht nur aus hochqualifizierten und erfahrenen Fachleuten, sondern ist auch ISO 27001 zertifiziert. Diese Zertifizierung spiegelt unser Engagement für die höchsten internationalen Standards im Informationssicherheitsmanagement wider. Sie unterstreicht unsere betrieblichen Sicherheitsmaßnahmen, die darauf ausgerichtet sind, eine unzulässige Konzentration des Zugriffs auf sensible Daten durch einzelne Mitarbeiter zu verhindern. Die ISO 27001-Zertifizierung unterstreicht unser Engagement für den Schutz kritischer und vertraulicher Informationen und gewährleistet, dass unser Team mit einem hohen Maß an Vertrauenswürdigkeit und Kompetenz arbeitet.

1.2 Datenfluss und Architektur

imc Express verarbeitet Daten mit verschiedenen Providern auf eine sichere Weise. Das folgende Diagramm veranschaulicht den möglichen Datenfluss, wobei der Datenaustausch mit Unterauftragnehmern rot markiert ist.

Alle diese Schnittstellen sind sicher und verschlüsselt, um zu gewährleisten, dass die Daten vertraulich und sicher gehalten werden.

Verarbeitung und Speicherung von Daten im Autorentool

• Speicherung der Daten:
  Alle Projektdaten werden in AWS in der von Ihnen gewählten Region gespeichert.

• Verarbeitung von Daten (ohne dauerhafte Speicherung) – abhängig vom genutzten Service:

  • DeepL – Übersetzung von Texten: Verarbeitung in Finnland

  • Azure – Übersetzung von Texten: Verarbeitung in den Niederlanden

  • Azure Cognitive Services (falls genutzt): Verarbeitung in Schweden

  • OpenAI (LLM) (optional, falls aktiviert): Verarbeitung in den USA

  • Claude via Amazon Bedrock (optional, falls aktiviert): Verarbeitung in AWS in der gewählten Region

Es findet bei diesen Verarbeitungsschritten keine dauerhafte Speicherung der Daten außerhalb von AWS statt.

1.3. Hosting

Die in imc Express genutzten Dienste werden auf AWS-Servern gehostet, die sich in der Region eu-central-1 in Frankfurt, Deutschland (EU), in der Region ap-southeast-2 in Sydney, Australien (AU), und in der Region us-east-1 in North Virginia, USA (US), befinden.

Jeder Kunde kann den Serverstandort wählen, der seinen Anforderungen am besten entspricht. Sobald ein Standort ausgewählt ist, sind die anderen Standorte für diesen Kunden nicht mehr relevant.

Details können dem Dokument "imc Express Processor Agreement" entnommen werden. 

Die Rechenzentren von AWS sind architektonisch und technisch auf dem neuesten Stand. Amazon verfügt über umfangreiche Erfahrungen im Betrieb großer Rechenzentren, die in die AWS-Plattform und -Infrastruktur eingeflossen sind.

 Alle AWS-Rechenzentren befinden sich in diskreten Einrichtungen, und der Zugang wird sowohl an den Außengrenzen als auch an den Gebäudeeingängen durch Sicherheitspersonal mit Hilfe von Videoüberwachung, Einbruchserkennungssystemen und anderen elektronischen Mitteln eingeschränkt. Mitarbeiter müssen mindestens zweimal eine Zwei-Faktor-Authentifizierung durchlaufen, um Zugang zu den Etagen des Rechenzentrums zu erhalten. Alle Besucher und Auftragnehmer müssen sich ausweisen und werden von autorisiertem Personal angemeldet und beaufsichtigt.

Mitarbeiter müssen mindestens zweimal die Zwei-Faktor-Authentifizierung durchlaufen, um Zugang zu den Etagen des Rechenzentrums zu erhalten. Alle Besucher und Auftragnehmer müssen sich ausweisen und werden von autorisiertem Personal angemeldet und beaufsichtigt.

AWS gewährt den Zugang zu Rechenzentren und Informationen nur Mitarbeitern und Auftragnehmern mit einem legitimen geschäftlichen Bedarf. Der Zugang wird sofort widerrufen, wenn er nicht mehr benötigt wird. Jeder Zugang zu den Rechenzentren wird protokolliert und geprüft. Alle Speichermedien, die das Ende ihrer Lebensdauer erreichen, werden außer Betrieb genommen, entmagnetisiert und gemäß den Industriestandards DoD 5220.22-M oder NIST 800-88 physisch zerstört.

Wenn Sie mehr über die Sicherheitspraktiken von AWS erfahren möchten, besuchen Sie bitte diese Links:

• ISO Zertifizierung
• AWS-Sicherheitsprozesse
• Kontrollen der Dienstorganisation

imc Express ist in einer Kubernetes-Cluster-Architektur implementiert. Dies bietet eine skalierbare und hochverfügbare Infrastruktur.

Der Kubernetes-Cluster verteilt die imc Express-Anwendung auf mehrere Server und Zonen innerhalb Frankfurts, um sicherzustellen, dass die Dienste kontinuierlich verfügbar sind und automatisch auf ausgefallene Server reagieren können.

Außerdem ermöglicht die Cluster-Architektur eine einfache Skalierung der imc Express-Anwendung, um die Leistung bei Bedarf zu erhöhen.

Um die Geschäftskontinuität im Falle einer Katastrophe aufrechtzuerhalten, führen wir automatische, routinemäßige und häufige Datensicherungen und -wiederherstellungen durch.

AWS CloudFront wird eingesetzt, um eine effiziente und globale Bereitstellung von Inhalten zu ermöglichen. CloudFront verfügt über mehrere Präsenzpunkte in verschiedenen Teilen der Welt, was einen schnelleren Zugriff auf die Inhalte von imc Express ermöglicht.

1.4 Technologie und Qualitätssicherung (QA)

Unser Softwareentwicklungsprozess ist äußerst effizient. Wir verwenden GitLab als Quellcode-Repository und nutzen die Vorteile lokaler Repositories, indem wir Pull Requests für unser Team verwenden, um Software zu entwickeln und Code-Reviews durchzuführen.

Dann veröffentlichen die Entwickler den Code in unserer Staging-Umgebung, die durch eine sichere Verzweigung geschützt ist, so dass QA und andere Beteiligte den Code effektiv testen können.

1.5 Benutzerauthentifizierung

Alle Authentifizierungsprozesse verwenden TLS-Verschlüsselung für eine sichere Kommunikation. In Express gibt es zwei mögliche Arten der Benutzerauthentifizierung:

1.5.1 imc Express Stand Alone

imc Express verwendet Keycloak, eine getestete und ausgereifte Open Source Software, um Single Sign On (SSO) zu unterstützen.

Das bedeutet, dass Benutzer mit einem Satz von Anmeldedaten auf mehrere Anwendungen zugreifen können, ohne sich mehrfach anmelden zu müssen.

Keycloak ist eine etablierte Software, die bereits seit einiger Zeit im Einsatz ist und der viele Unternehmen vertrauen.

1.5.2 imc Express in Verbindung mit der imc Learning Suite

imc Express nutzt ein IDM-System, das in die imc Learning Suite integriert ist. In diesem Szenario findet die Benutzerverwaltung ausschließlich im ILS statt.

1.6 Datensicherheit

1.6.1. Datenverschlüsselung

imc Express verwendet 256-Bit-TLS/SSL-Verschlüsselung und mindestens 2048-Bit-RSA-Verschlüsselung, um Daten im Transit zu schützen. Diese Technologie wird verwendet, um den Netzwerkverkehr zwischen allen genutzten Diensten zu verschlüsseln.

imc Express bietet auch data at rest Verschlüsselung für Ihre Daten.

Alle bei unserem Cloud-Anbieter gespeicherten Daten werden mit AES-256 verschlüsselt, einem sicheren Verschlüsselungsprotokoll, das ein hohes Maß an Sicherheit bietet. Um ein noch höheres Schutzniveau zu gewährleisten, werden die Verschlüsselungsschlüssel alle zwölf Monate ausgetauscht. Dies verhindert den unbefugten Zugriff auf die Daten und macht es böswilligen Akteuren praktisch unmöglich, sich Zugang zu verschaffen. Dieses Protokoll des regelmäßigen Austauschs von Verschlüsselungsschlüsseln ist eine zusätzliche Sicherheitsmaßnahme, die dazu beiträgt, dass die Daten sicher und geschützt sind.

Für weitere Informationen folgen Sie bitte diesen Links:

• S3-Verschlüsselung: https://docs.aws.amazon.com/AmazonS3/latest/userguide/defaultencryption-faq.html
• RDS-Verschlüsselung: https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html
• Keyrotation: https://docs.aws.amazon.com/kms/latest/developerguide/rotatekeys.html#rotate-aws-managed-keys

1.6.2 Katastrophenschutz und Notfallmanagement

Unser Team ist auf alle Notfälle und Zwischenfälle vorbereitet, die auftreten können. Wir haben ein straffes Verfahren eingerichtet, um sicherzustellen, dass wir mit allen Beteiligten kommunizieren und die notwendigen Schritte unternehmen können, um künftige Vorfälle zu verhindern.

Wenn es zu Unterbrechungen kommt, werden die Betroffenen informiert.

1.6.3 Löschung, Archivierung und Speicherung von Daten

imc Express geht mit Daten sehr verantwortungsvoll um. Im Rahmen unserer ISO27001-Zertifizierung und um den Anforderungen unseres Informationssicherheitsmanagementsystems zu entsprechen, haben wir ein detailliertes Lösch- und Archivierungskonzept implementiert. Dieses beinhaltet auch klare Richtlinien für die Datenaufbewahrung. Alle Daten werden so lange sicher aufbewahrt, wie dies gesetzlich vorgeschrieben oder für die Erbringung der Dienstleistung erforderlich ist. Darüber hinaus garantieren wir, dass personenbezogene Daten sicher gelöscht werden, sobald sie nicht mehr benötigt werden oder auf Wunsch der betroffenen Person. Dank dieser Strategien erfüllt imc Express nicht nur hohe Sicherheitsstandards, sondern trägt auch wesentlich zur Einhaltung der General Data Protection Regulation (GDPR) bei.

1.7. Netzwerksicherheit

IDS/IPS: Bei imc Express setzen wir auf eine fortschrittliche, containerisierte Architektur mit Kubernetes-Clustern, die herkömmliche Intrusion Detection and Prevention Systeme (IDS/IPS) überflüssig machen. Die Natur unserer kurzlebigen Container reduziert die Angriffsfläche und den Bedarf an IDS/IPS, da die Sicherheitsrisiken durch die kontinuierliche Erneuerung des Systems ständig minimiert werden. Stattdessen verlassen wir uns auf Kubernetes-eigene Sicherheitstools und Automatisierung, um eine dynamische und robuste Verteidigung gegen Bedrohungen zu gewährleisten und die Vorteile einer modernen Infrastruktur zu nutzen.

WAF: Bei imc Express setzen wir eine Web Application Firewall (WAF) ein, um unsere Webanwendungen vor einer Vielzahl von Cyber-Bedrohungen zu schützen, darunter SQL-Injection und Cross-Site Scripting. Durch die Filterung des Datenverkehrs fungiert unsere WAF als kritischer Schutzschild für unsere containerisierte Infrastruktur und gewährleistet die Sicherheit und Integrität unserer Daten.

DOS-Angriffe: imc Express ist durch den Einsatz von AWS Shield gegen Denial-of-Service (DOS)-Angriffe geschützt. AWS Shield ist ein von Amazon bereitgestellter Managed Service, der Webanwendungen vor DOS- und Distributed Denial-of-Service (DDoS)-Angriffen schützt.

Ein Denial-of-Service-Angriff ist ein Versuch, eine Website, eine Anwendung oder einen Dienst für seine Benutzer nicht verfügbar zu machen, indem die Bandbreite oder die Ressourcen des Servers überlastet werden. Verteilte Denial-of-Service-Angriffe nutzen mehrere verschiedene Quellen (oft gekaperte oder infizierte Computer), um einen koordinierten Angriff auf ihr Ziel zu starten.

AWS Shield schützt die Infrastruktur von imc Express, indem es den Datenverkehr analysiert und bösartige Anfragen identifiziert und blockiert. Durch den Einsatz von AWS Shield werden die Ressourcen von imc Express geschützt und die Verfügbarkeit des Autorentools für seine Nutzer sichergestellt.

Außerdem trägt AWS Shield auch zum Schutz der Privatsphäre und der Sicherheit der Nutzerdaten in imc Express bei, da es vor unerwünschtem oder schädlichem Datenverkehr schützt.

Klicken Sie, um mehr Informationen zu erhalten.

2 Maßnahmen zur Erhöhung der Sicherheit und der Softwarequalität

Bei der Entwicklung von imc Express werden alle Artikel, Methoden, Dokumentationen, Werkzeuge und Technologien, die vom Open Web Application Security Project (OWASP) veröffentlicht werden, besonders berücksichtigt.

2.1. Best Practices

Autorisierung und Authentifizierung werden mit umfangreich getesteten Komponenten implementiert, die auch in vielen anderen Projekten verwendet werden. Alle kryptographischen Funktionen basieren auf OpenSSL und werden regelmäßig und automatisch aktualisiert.

SQL-Injection-Angriffe werden durch den Einsatz eines ORM (Object-Relational Mapping, Konzept zur Abbildung von Objekten in relationalen Datenbanken) verhindert, das alle Einträge automatisch vor SQL-Injection schützt.

Der gesamte Datenverkehr ist durch TLS gesichert. Unsere TLS-Konfiguration wird regelmäßig überprüft und bei Bedarf angepasst. In modernen Browsern wird die Verbindung zu imc Express mit TLS 1.3 (einem starken Protokoll), ECDHE_RSA mit P-256 (einem starken Schlüsselaustausch) und AES_256_GCM (einer starken Verschlüsselung) verschlüsselt und authentifiziert. Darüber hinaus wird eine robuste "Forward Secrecy" (manchmal auch als "Perfect Forward Secrecy" bezeichnet) verwendet, die sichere Verbindungen ermöglicht, die nicht vom privaten Schlüssel des Servers abhängig sind.

Um die Qualität des Codes zu erhöhen, wird der gesamte Quellcode automatisch von mehreren Linters überprüft, um bekannte Probleme automatisch zu melden. Jeder Codebeitrag kann erst nach erfolgreicher Prüfung angenommen werden. Die automatische Prüfung wird nicht nur bei neuen Codebeiträgen durchgeführt, sondern auch bei jeder Aktualisierung von Abhängigkeiten. Alle Abhängigkeiten werden automatisch auf bekannte Schwachstellen und mögliche Updates geprüft.

2.2. Freigabeprozess

Alle verwendeten Bibliotheken werden bei jedem Release auf bekannte Sicherheitslücken geprüft. Die erstellten Container werden dann automatisch gescannt. Alle im Container enthaltenen Zusatzkomponenten werden ebenfalls geprüft.

Abhängig von der Art des Releases kommen unterschiedliche Release-Prozesse zum Einsatz.

2.2.1 Feature Release

Ein Feature Release ist eine neue, vollständige Version der imc Express Software, die oft brandneue Features und Funktionalitäten enthält. Im Gegensatz zum traditionellen Prozess der angekündigten Releases, verfolgt imc Express einen flexibleren Entwicklungsansatz. Das Ziel ist es, agil zu bleiben und kontinuierliche Verbesserungen zu ermöglichen. Daher werden neue Releases nicht explizit angekündigt, so dass sich das Entwicklungsteam auf die kontinuierliche Verbesserung und das regelmäßige Einbeziehen von Nutzerfeedback konzentrieren kann.

Feature Releases werden in unregelmäßigen Abständen von etwa 2-4 Monaten veröffentlicht.

2.2.2. Patches

Ein Patch bezieht sich auf kleinere Software-Updates, die auf die bestehende Version von imc Express angewendet werden, um Fehler zu beheben oder die Leistung zu verbessern. Diese Software-Updates werden regelmäßig durchgeführt und verbessern die Benutzerfreundlichkeit, indem sie gemeldete Probleme effektiv beheben, ohne die Gesamtfunktionalität zu verändern.
Der Prozess ist derselbe wie in der obigen Grafik.

Patches werden in unregelmäßigen Abständen bei Bedarf veröffentlicht.

2.2.3. Hotfix/Sicherheitsupdate

Der Prozess für Sicherheitsupdates unterscheidet sich vom Prozess für “Feature Releases”, um schnell auf sicherheitsrelevante oder andere kritische Probleme reagieren zu können, die die Funktionalität von imc Express auf jeder Ebene betreffen.

Diese Patches werden sofort bereitgestellt, um das Problem zu beheben und die Geschäftskontinuität aufrechtzuerhalten.

Als Basis dient immer die neueste “stabile Version” (Stand des Produktivsystems); die Verbesserungen werden erst zu einem späteren Zeitpunkt in den Entwicklungsstand eingearbeitet.

Hotfixes/Sicherheitsupdates werden bei Bedarf in unregelmäßigen Abständen veröffentlicht.

2.3. Ankündigung von Systemupdates

Aktualisierungen von imc Express werden durchgeführt, um das Produkt auf dem neuesten Stand der Technik und Sicherheit zu halten und um die Benutzerfreundlichkeit und Fehlerfreiheit zu gewährleisten.

Die meisten dieser Updates werden im Hintergrund durchgeführt und sind daher für den Benutzer von imc Express unauffällig. Sollte es jedoch vorkommen, dass ein Update einen längeren Zeitraum in Anspruch nimmt, wird dies vorab in imc Express angekündigt. Diese Ankündigungen enthalten in der Regel auch Informationen über die zu erwartende Ausfallzeit, d.h. den Zeitraum, in dem imc Express nicht verfügbar ist.

Aktualisierungen von imc Express werden ohne feste Zeiten durchgeführt, um eine schnelle und flexible Weiterentwicklung des Systems zu gewährleisten. Der internationale Einsatz von imc Express macht es zudem unmöglich, Updates ausschließlich außerhalb der Bürozeiten durchzuführen.

Feature Release Notes werden nach einem Produktupdate allen Nutzern in imc Express angezeigt und können auch jederzeit in den stets verfügbaren Release Notes eingesehen werden.

2.4. Erhöhung der Cybersicherheit

Bei imc Express legen wir großen Wert auf robuste Cybersicherheit, indem wir regelmäßig Penetrationstests durch Dritte durchführen. Externe Experten simulieren Cyberangriffe auf unsere Systeme, um Schwachstellen zu erkennen, die bei internen Überprüfungen übersehen werden könnten. Dieser strategische Ansatz verbessert unsere Verteidigungsmechanismen, gewährleistet die Widerstandsfähigkeit gegen sich entwickelnde Cyber-Bedrohungen und zeigt unser Engagement für den Datenschutz.