Verständnis des Sicherheitsmanagements
Eine brauchbare Analogie zum Verständnis des Sicherheitsmanagements besteht darin, es als einen mehrschichtigen Ansatz zu betrachten, der von der exponierten Außenhaut bis zum höchst geschützten inneren Kern reicht. Sicherheitsmanagement bedeutet, verschiedene potenzielle Bedrohungen zu identifizieren und geeignete übergreifende Schutz- und Erkennungsmaßnahmen zu definieren und umzusetzen.
Im ersten Teil unserer Serie über IT-Sicherheit bei Altoo werden wir einige der physischen und organisatorischen Aspekte unseres Sicherheitskonzepts erörtern. Im zweiten Teil werden wir uns mehr auf den Cyberspace konzentrieren.
Physische Aspekte des Sicherheitskonzepts von Altoo
Die physische Schicht ist der sichtbarste Aspekt der Sicherheit. Sie umfasst eine äußere und eine innere Schicht.
Vermögens-Aggregation: Einfach, dynamisch und sicher Unvergleichlich. Entdecken Sie die Altoo Wealth Platform!
Die äußere Schicht
Als wir Altoo lancierten, mussten wir zuerst entscheiden, in welchem Land die Daten gespeichert werden sollten. Da wir selbst Schweizer sind, schien die Schweiz eine natürliche Wahl für Altoo zu sein, aber es gab viel mehr als nur unsere eigene "Swissness".
Die Kombination aus Neutralität, einem stabilen politischen Umfeld, geringer Korruption und einer gut entwickelten IT-Infrastruktur macht die Schweiz zu einem erstklassigen Land für den Aufbau und Unterhalt von Datenspeichern für sensible Inhalte.
Der nächste Schritt war die Entscheidung, in welchem Rechenzentrum wir unsere Daten speichern wollten - da wir mit sehr sensiblen Daten arbeiten, wählten wir eine Datensicherheitsstufe, die mit der von Schweizer Banken vergleichbar ist. Der Fachausdruck dafür ist "Tier Level 4" von 4. Wer sich für die Klassifizierung der Sicherheitsstufen von Rechenzentren interessiert, findet hier hier klicken um weitere Informationen zu erhalten.
"Stufe 4" umfasst ein Bündel von Schutz- und Verfügbarkeitsmaßnahmen, wie z. B. eine Einzelpersonen-Zugangsschleuse mit starker Authentifizierung, die Biomessung, Klimatisierung, Feuerlöschsysteme in getrennten Brandabschnitten und eine redundante unterbrechungsfreie Stromversorgung beinhaltet. Mit all diesen Maßnahmen definiert Stufe 4 eine Fehlertoleranz von 99,995% Verfügbarkeit. Zugangskontrollen und -protokolle werden auch für einzelne Räume innerhalb des Rechenzentrums durchgesetzt.
Im Falle einer Katastrophe (z.B. Feuer) ist die beste Methode gegen Datenverlust eine physisch getrennte Redundanz. Unsere Hardware und die darauf gespeicherten Daten sind über getrennte Brandabschnitte innerhalb des Rechenzentrums verteilt.
Abgesehen von Sicherheitserwägungen ist auch die Energieeffizienz (PUE) des Rechenzentrums war für uns ebenfalls entscheidend.
Die innere Schicht
Nachdem wir uns die äußere, physische Hülle der Altoo-Sicherheit angesehen haben, gehen wir zu den inneren Zonen über, die wichtig werden, wenn ein Angreifer die äußeren Sicherheitsmaßnahmen durch Brute-Force oder Tricks überwindet und sich Zugang zu unserer Hardware verschafft.
Zunächst einmal sind die gespeicherten Daten verschlüsselt. Daher kann ein Angreifer bei einem einfachen Festplattendiebstahl keine sensiblen Daten aufdecken.
Verschlüsselte Daten sind jedoch nur so sicher, wie ihre Schlüssel sind. Wir speichern Datenereignisse, jede Änderung wird als Ereignis gespeichert (das angewandte technische Konzept heißt "Event Sourcing"), wobei der Inhalt der Geschäftsdaten individuell verschlüsselt wird.
Alle diese Schlüssel werden redundant in manipulationssicheren physischen Schlüsselspeichern, den so genannten Hardware Security Modules (HSM), gespeichert. "Manipulationssicher" bedeutet, dass jede physische Manipulation die enthaltenen Schlüssel löscht. Diese Schlüssel verlassen niemals dieses Gerät. Dies schützt den Schlüssel davor, zusammen mit den verschlüsselten Daten gestohlen zu werden.
Um die physischen Aspekte zusammenzufassen: Altoo verfügt über physisch getrennte und redundante Tresore für die entscheidenden Sicherheitsschlüssel - die HSMs - jeweils in einem geschlossenen Rack, verteilt auf verschiedene geschlossene Räume mit individueller Zugangskontrolle in einem hochgradig geschützten Gebäude (einem Rechenzentrum der Sicherheitsstufe 4) in einem stabilen Land mit niedriger Korruptions- und Kriminalitätsrate, um alle Kundendaten physisch zu sichern.
Auch unser Büro in Zug ist geschützt. Neben einem Alarmsystem sorgen Zugangskontrollen und stichprobenartige Wachpatrouillen für einen angemessenen Schutz unserer Büros.
Der physische Schutz unserer Daten ist die grundlegende Basis unseres Sicherheitskonzepts, aber er hat wenig Wert, wenn er nicht von organisatorischen Maßnahmen zur regelmäßigen Kontrolle, Überprüfung und Aktualisierung der getroffenen physischen Maßnahmen begleitet wird.
Organisatorische Aspekte des Sicherheitskonzepts von Altoo
Die kritischsten Ressourcen in unserem Sicherheitskonzept sind die Menschen, die an der Einrichtung und Pflege all der Teile unserer Sicherheitsinfrastruktur beteiligt sind.
Alle kritischen Vorgänge, einschließlich aller sicherheitsrelevanten Aufgaben auf unserer Infrastruktur und unserer Plattform, werden intern von unseren eigenen vertrauenswürdigen Mitarbeitern in der Schweiz ausgeführt. Folglich ist unser Einstellungsverfahren so konzipiert, dass nicht nur die technischen Fähigkeiten geprüft werden, sondern auch der Charakter und der Hintergrund eines jeden Kandidaten gründlich untersucht werden.
Wir sorgen dafür, dass jeder Kollege unser Vertrauen genießt und sich unsere Kultur des Sicherheitsbewusstseins zu eigen macht. So ist es für uns wichtig, in unserem Büro zusammenzuarbeiten, ohne auf die Zusammenarbeit aus der Ferne angewiesen zu sein, da wir uns so besser kennenlernen und das Vertrauen fördern können.
Ein weiterer zentraler Bestandteil unserer organisatorischen Sicherheit ist die strikte Anwendung des Need-to-know-Prinzips. Entwickler und auch der IT-Betrieb haben keinen allgemeinen und direkten Zugriff auf Kundendaten. Kundennamen werden in der Regel durch die Verwendung von Pseudonymen anonymisiert und nur bei Bedarf sichtbar gemacht (z. B. Front-Support).
Das Sprechen über Kunden in Pseudonymen ist nie beleidigend gemeint, sondern eine Schutzmaßnahme, da diese Angewohnheit das Risiko, versehentlich Kundennamen auszuplaudern, z. B. in der Mittagspause, drastisch reduziert.
Die Prozessgestaltung bei Altoo ist auf Sicherheit und Qualität ausgerichtet. Beispiele für IT-Entwicklungs- und Betriebsprozesse, die wir zur weiteren Verbesserung der Sicherheitsstandards implementiert haben, sind:
-
- Kunden-Onboarding: Wir wenden ein technisch erzwungenes 4-Augen-Prinzip an, um Fehler zu minimieren und sicherzustellen, dass die Zugriffsrechte korrekt gesetzt sind.
- Überwachung und Alarmierung: Unsere gesamte Infrastruktur wird ständig auf verdächtige Indikatoren überwacht, die dann gemeldet und analysiert werden. Wir überprüfen kontinuierlich den Zustand des Systems und sorgen gleichzeitig für Verfügbarkeit und Stabilität. Obwohl wir ein junges Unternehmen sind, sind wir bereits in der Lage, hervorragende Betriebszeiten mit nur wenigen angekündigten geplanten Ausfallzeiten zu bieten.
- IT-Entwicklung: Da wir Sicherheit in unserer DNA haben, wenden wir viele sicherheitsrelevante Konzepte während des Entwicklungsprozesses an:
- Ein mit dem Quellcode verknüpftes Feature- und Bug-Tracking-System ermöglicht die Nachverfolgung aller Code-Änderungen an der ursprünglichen Anforderung oder dem Fehler.
- Ein Quellcode-Repository zeigt die gesamte Änderungshistorie und verfolgt sie bis zum Urheber zurück.
- Für alle eingecheckten Codeänderungen gilt ein 4-Augen-Prinzip.
- Automatische Builds erzeugen reproduzierbare Artefakte, die im Quellcode-Repository automatisch gekennzeichnet werden, um die Ursprungskette transparent zu machen.
- Diese automatisierten Build-Prozesse führen auch unsere zahlreichen automatisierten Tests aus, um eine gleichbleibende und hohe Qualität zu gewährleisten. Zusätzliche manuelle Tests erhöhen die Qualität weiter und konzentrieren sich zusätzlich auf die visuellen Aspekte.
- Die von diesen automatisierten Build-Prozessen erzeugten Artefakte werden in Versionen in einem Repository gespeichert, um zu gewährleisten, dass dieselbe Version in den verschiedenen Testphasen und schließlich in der Produktion eingesetzt wird.
- “Patch-Day": Die IT-Abteilung prüft die von uns verwendeten Produkte regelmäßig auf Sicherheitslücken und führt Aktualisierungen durch, um den bestmöglichen Schutz zu gewährleisten.
Damit ist der erste Teil unseres Sicherheitsblogs abgeschlossen. Jetzt wissen Sie mehr über einige der physischen und organisatorischen Aspekte unseres Sicherheitskonzepts. Haben Sie Fragen? Unser CTO Stefan Thiel beantwortet gerne Fragen.
Im nächsten Teil werden wir etwas technischer werden. Bleiben Sie dran!