Infos zum Start & Grundlagen
EinleitungOrganisation, Kanäle und MixesPosts, Karten & Content TypenRollen für NutzendeCommunity FunktionenMobile Apps & Web AppFunktions-& LeistungsbeschreibungTech StackSupportDatenschutz
Grundlage Datenschutzkonzept(e)NutzungsauswertungVerwaltung Zugangsdaten der NutzendenPersonenbezogene Daten und DatenkategorienInhalte in App und WebAuftragsdatenverarbeiterTOMsInformationssicherheit
Informationssicherheit bei tchopSicherheitsrichtlinie ISO27001 ZertifikatSicherer ZugangSchwachstellenanalyseRisikoanalyseKommunikationsmatrixApp Customization & Deployment
Bereitstellung AppsMobile App Deployment & Vertrieb
App CustomizationApp UpdatesSSO via SAMLSSO via Open ID ConnectAnalytics & Reporting
Grundlagen KPIsAnalytics DashboardProjektsteuerung
Arbeitspakete & TimelineEnablementLaunch & OnboardingBetriebsratBeispiele & VorlagenSonstiges
Feature RoadmapLanguages
EnglishTechnische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer bestätigt Maßnahmen zur Einhaltung der Anforderungen an die Sicherheit der Datenverarbeitung ergriffen zu haben (§ 64 BDSG (neu)). Diese sind im folgenden Dokument ausführlich aufgeführt:
Inhaltsverzeichnis
- Sicherheit
- Pseudonymisierung
- Verschlüsselung
- Gewährleistung der Vertraulichkeit
- Gewährleistung der Integrität
- Trennungskontrolle
- Gewährleistung der Verfügbarkeit
- Löschung von Daten
- Gewährleistung der Belastbarkeit der Systeme
- Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
1. Sicherheit
tchop wird die in dieser Anlage beschriebenen Sicherheitsmaßnahmen aufrechterhalten und kann zusätzliche oder alternative Sicherheitsmaßnahmen durchführen, wobei sichergestellt wird, dass das Sicherheitsniveau der definierten Maßnahmen nicht verringert wird.
tchop arbeitet mit einem TÜV geprüften Managementsystem fpr Informationssicherheit, welches seit dem Januar 2023 eine ISO/IEC 27001:2017-Zertifizierung erhalten hat. Kunden können eine Kopie des aktuellsten ISO-Zertifikats von tchop auf Anfrage zugeschickt bekommen.
2. Pseudonymisierung
tchop verwendet Pseudonyme zur Speicherung nutzer*innenbezogener Interaktionen, wann immer dies möglich ist. Im tchop CMS wird jedem/r Nutzer*in automatisiert eine randomisierte “User-ID” vergeben. Dies ist eine zehnstellige Zahl, die an anderen Stellen des Systems der technischen Identifikation dient und die gleichzeitig sicherstellt, dass der bzw. die Nutzer*in im System (bspw. in technischen notwendigen Protokollierungen hinsichtlich Registrierung und Anmeldung) über diese “User-ID” repräsentiert wird. tchop erhebt grundsätzlich so wenige Personenbezogene Daten wie möglich. Details finden sich im Input Datenschutzkonzept(e) sowie unter Personenbezogene Daten und Datenkategorien.
3. Verschlüsselung
Die gesamte Kommunikation unserer Systeme über öffentliche Netze wird nach dem Stand der Technik verschlüsselt. tchop speichert die Benutzerkennwörter ab dem Moment der Vergabe verschlüsselt in der Datenbank des Auftraggebers. Verwendet wird dazu eine Verschlüsselung auf Basis des Standards „PBKDF2“ (Password-Based Key Derivation Funktion 2).
PBKDF2 ist eine genormte Funktion, um von einem Passwort einen Schlüssel abzuleiten, der in einem symmetrischen Verfahren eingesetzt werden kann. PBKDF2 ist Bestandteil der Public-Key Cryptography Standards der RSA-Laboratorien (PKCS #5),[1] wurde im September 2000 auch von der Internet Engineering Task Force im RFC 2898 veröffentlicht[2] und im Dezember 2010 offiziell vom National Institute of Standards and Technology (NIST) empfohlen.
Durch diese Verschlüsselung wird der Zugriff auf Passwörter durch unbefugte Dritte sehr stark erschwert und auch Mitarbeitern*innen des Auftragnehmers ist es zu keinem Zeitpunkt möglich Passwörter einzusehen. Den Nutzern*innen bleibt im Falle eines vergessenen Passworts nur die Nutzung der „Passwort vergessen“-Funktion. Diese generiert eine Email mit Link zur Erstellung eines neuen Passworts an die gespeicherte E-Mail-Adresse des Nutzenden.
Für die internetbasierte und systeminterne Kommunikation von Client- und Serverkomponenten (bspw. zwischen Servern und Apps) nutzt tchop ausschließlich den sicheren Standard HTTPS, der anhand eines sogenannte SSL Zertifikats von einem der größten und namhaftesten Anbieter von solchen Zertifikaten, von der Firma Comodo (https://ssl.comodo.com/) verifiziert wird.
Technisch werden die Daten des Auftraggebers in einer MySQL Datenbank des Cloud-Dienstleisters (Hetzner oder AWS) gespeichert. Die kryptografischen Funktionen von MySQL ermöglichen Verschlüsselung, Hashing und Kompression. Alle in der Cloud gespeicherten Daten sind durch moderne, serverseitige Verschlüsselung geschützt.
4. Gewährleistung der Vertraulichkeit
Zutrittskontrolle
Die Betriebsstätte des Auftragnehmers befindet sich in einem Mischgebiet in Berlin Kreuzberg. Das Gebäude selbst ist im Besitz der Metall- und Kunststoff-Innung Berlin. Das eingezäunte Grundstück ist nur durch eine Zufahrt über die Köpenicker Straße 148 erreichbar. Diese Zufahrt ist nach Büroschluss und am Wochenende verschlossen.
Der Geschäftsbereich befindet sich im zweiten Stock im zweiten Hof des Gebäudes. Über den Gebäudezugang durch den Hof über das Treppenhaus, kann auch der Geschäftsbereich erreicht werden. Es gibt einen weiteren Zugang, der über den Aufzug erfolgen kann. Dadurch ist allerdings ein Schlüssel erforderlich, den nur zwei Personen (Geschäftsführer und Büroleitung) besitzen.
Im Seitenflügel befindet sich ein Notausgang über eine Feuertreppe, durch den man zwar die Geschäftsräume im Brandfall verlassen, kann durch die diese aber nicht betreten werden können, da die Schutztüren nur von innen geöffnet werden können. Alle Zugangstüren zum Gebäude sind grundsätzlich zu den Geschäftszeiten geöffnet. Nach Feierabend und am Wochenende sind diese verschlossen. Außerdem ist die Zufahrt zum Gebäude durch ein Tor gesichert welches ab 20:00 verschlossen ist.
Besucher*innen nutzen die Klingel an der Tür zum Geschäftsbereich direkt im Treppenhaus. Die Türöffnung erfolgt manuell durch eine/n Mitarbeiter*in. Ein unbefugter oder unbemerkter Zugang zum Geschäftsbereich ist damit ausgeschlossen. Besucher*innen betreten die Büroräume nur in Begleitung eines Mitarbeiters*innen.
Die Tür ist mit einem elektronischen Schloss der Marke AirKey (https://www.evva.com/de-de/produkte/elektronische-schliesssysteme-zutrittskontrolle/airkey/, Firma: EVVA) gesichert. Entsprechende Zugänge werden über ein digitales Verwaltungssystem zugewiesen. Der Zugang ist möglich über einen Hardware Dongle oder eine Smartphone App. Über die App können Zugänge auch für einzelne Tage, generell zeitlich beschränkt oder auch mit bestimmten Einschränkungen vergeben werden. Das AirKey System sorgt zudem dafür, dass alle Zugänge zeitlich nachgehalten werden.
Die Reinigung der Büroräume erfolgt außerhalb Geschäftszeiten durch festangestellte Mitarbeiter*innen. Eine Vertretung ist intern organisiert, so dass keine betriebsfremden Reinigungskräfte die Büroräume betreten.
Alle Mitarbeiter*innen wurden im Rahmen einer Datenschutzunterweisung darauf hingewiesen, dass sie verpflichtet sind, personenbezogene und vertrauliche Daten vor unberechtigten Zugriff zu schützen und betriebsfremde Personen nicht unbeaufsichtigt zu lassen.
Alle Türen und Fenster sind einbruchssicher. Die Außentüren sind einbruchsicher und mit doppelten Schließzylindern ausgestattet, die Schließzylinder sind aufbohr- und ausziehsicher. Die Tür zum Geschäftsbereich ist aus Stahl und mit einem Zugangscode gesichert. Die Türe wird zusätzlich nach Büroschluss mit einem Schließzylinder verschlossen. Der Code wird monatlich gewechselt, so daß beispielsweise frühere Mitarbeiter keine Möglichkeit haben, in die Räume zu gelangen.
In den Geschäftsräumen selbst befinden sich keine Server oder andere Dokumentenspeicher, auf denen sich sensible Daten befinden könnten. Der Auftragnehmer speichert die Daten seiner Plattform auf der Cloud-Infrastruktur von wahlweise Hetzner oder Amazon Web Services.
AWS und Hetzner haben umfassende technische und organisatorische Maßnahmen umgesetzt, die ihre Einrichtungen vor unbefugtem physischem Zutritt schützen. Derzeit umfassen die Maßnahmen beider Anbieter unter anderem:
- Die Rechenzentren, Server, Netzwerkausstattung und Hostsoftwaresysteme (physische Bestandteile des Server Netzwerks) sind in unscheinbaren Gebäuden untergebracht.
- Die Gebäude sind durch physische Sicherheitsmaßnahmen geschützt, um den unberechtigten Zutritt sowohl weiträumig (z. B. Zaun, Wände) als auch in den Gebäuden selbst zu verhindern.
- Der Zutritt zu Serverstandorten wird elektronische Zugangskontrollen verwaltet und durch Alarmanlagen gesichert, die einen Alarm auslösen, sobald die Tür aufgebrochen oder aufgehalten wird.
- Die Zutrittsberechtigung wird von einer berechtigten Person genehmigt und innerhalb von 24 Stunden entzogen, nachdem ein Mitarbeiter*in- oder Lieferantendatensatz deaktiviert wurde.
- Alle Besucher müssen sich ausweisen und registrieren und werden stets von berechtigten Mitarbeitern*innen begleitet.
- Zutritt zu sensiblen Bereichen wird durch Videoüberwachung überwacht.
- Ausgebildete Sicherheitskräfte bewachen die Rechenzentren und die unmittelbare Umgebung davon 24 Stunden am Tag, 7 Tage die Woche.
Zugangskontrolle
tchop hat die folgenden technischen und organisatorischen Maßnahmen umgesetzt, um die Systeme und Daten vor unbefugtem Zugang schützen. Derzeit umfassen diese Maßnahmen unter anderem
- Der Zugang zum Datenverarbeitungssystem ist auf autorisierte Personen beschränkt und erfordert eine Identifizierung und erfolgreiche Authentifizierung durch Benutzername und Passwort unter Verwendung modernster Sicherheitsmaßnahmen.
- Authentifizierungsmedien sowie Zugangskennungen für den Zugang zu Datenverarbeitungssystemen sind auf 3rd und 2nd Level Ebene an ein persönliches Credential (Passwort und User ID) geknüpft. Zugänge für temporär beschäftigte Personen (externe Entwickler, Praktikanten, Auszubildende) werden individuell vergeben. Es werden keine wiederverwendbaren Kennungen (z.B. Team1) vergeben.
- Ein Prozess zur Beantragung, Genehmigung, Vergabe und Rücknahme von Authentifizierungsmedien und Zugangsberechtigungen ist eingerichtet und wird dokumentiert.
- Bei mehr als fünf Minuten Inaktivität der Arbeitsstation bzw. des Terminals wird ein kennwortgeschützter Bildschirmschoner mit Hilfe der betriebssystemeigenen Mechanismen automatisch aktiviert.
- Arbeitsstationen und Terminals werden bei vorübergehendem Verlassen des Arbeitsplatzes gegen unbefugte Nutzung geschützt (durch manuelle Aktivierung des kennwortgeschützten Bildschirmschoners oder durch Sperrung des Systems).
- Passwörter werden mittels Passwortmanager verwaltet und werden mit einer minimalen Komplexität von mindestens 32 Zeichen sowie einem Zeichenmix aus Zahlen, Sonderzeichen sowie Groß- und Kleinbuchstaben generiert.
- Der Zugang zu den Arbeitsstationen sowie zum Passwortmanager wird durch ein Passwort geschützt. Das Passwort muss aus mindestens 10 Zeichen bestehen sowie einem Zeichenmix aus Zahlen, Sonderzeichen sowie Groß- und Kleinbuchstaben.
- Die Test- und Staging-Systeme von tchop werden logisch von den Produktionssystemen getrennt. Für das Testen werden dedizierte Testdaten verwendet, die keinen Bezug zu Kundendatenhaben.
- Es gilt immer das Prinzip der Minimalberechtigung. Jede Nutzer*in erhält nur die Zugriffsrechte, die erforderlich sind, um seine vertraglichen Tätigkeiten durchzuführen. Benutzerkonten werden immer zunächst mit den wenigsten Zugriffsrechten ausgestattet. Für die Einräumung von Zugriffsrechten über die Minimalberechtigung hinaus, muss eine entsprechende Berechtigung vorliegen.
Zugriffskontrolle
tchop hat die folgenden technischen und organisatorischen Maßnahmen zur Einräumung und Regelung von Zugriffsrechten für Mitarbeiter*innen und freien Mitarbeiter*innen, die mit tchop zusammenarbeiten, umgesetzt. Derzeit umfassen diese Maßnahmen unter anderem:
- Ein rollenbasierten Zugriffsberechtigungsmodell legt fest welche Mitarbeiter*innen Zugriff auf alle relevanten Systeme und Dienste haben
- Für die tägliche Arbeit mit den Cloud Servern wurden sogenannte IAM-Benutzer*innen eingerichtet, die nur eingeschränkte Rechte haben und von den entsprechenden Software-Entwicklern für die tägliche Arbeit benutzt werden. IAM Nutzern sind mit eigenen Sicherheits-Anmeldedaten versehen. Unbeschränkten Zugang zu den Daten auf das jeweilige Cloud Server Konto („Root“-Zugriff) hat nur die Geschäftsführung sowie der technische Leiter. Diese Root-Zugangsinformationen werden nicht für die tägliche Entwicklungsarbeit genutzt.
- Zugriff auf Personenbezogene Daten des Kunden haben nur ausgewählte Mitarbeiter von tchop in folgenden Rollen:
- Systemadministrator*in: Personengebundener Zugriff auf alle Personenbezogenen Daten innerhalb der zugehörigen Kundeninstanz inkl. Datenbank.
- Supportadmininistration: Personengebundener Zugriff auf alle Personenbezogenen Daten innerhalb der zugehörigen Kundeninstanz, aber keinen Server/Datenbankzugriff.
- Der Zugang zu relevanten Systembestandteilen und -Services (u.a. Monitoring) sind durch sogenanntes IP-Whitelisting geschützt, d.h. die IP-Adressen von Mitarbeiter*innen werden hinterlegt. Nur Zugriffe mit freigeschalteten IP-Adressen werden erlaubt.
- Der Zugriff auf Nutzer*innendaten in der Datenbank sind nur über das Zugangs- und Kontrollsystem des Cloud Anbieters möglich, ein direkter Zugriff von außen ist nicht möglich.
- Die erteilten Zugriffsrechte auf alle relevanten Systeme werden mindestens vierteljährlich von der technischen Leitung überprüft.
- Alle Notebooks sind zum Schutz vertraulicher oder personenbezogener Daten vollständig verschlüsselt.
- Das Erstellen, Löschen und Ändern von Benutzer*innen-IDs, Anmeldeinformationen und anderen Identifizierungsmerkmalen wird zusammen mit einem Zeitstempel protokolliert.
- Das Kopieren von Daten ist nur im Rahmen der Datensicherung und für die besonders geregelten Fälle der Datenweitergabe erlaubt, z.B. notwendiger Datenaustausch mit Kunden.
- Zusammen mit seinen Dienstleistern hat der Auftragnehmer hat einen Vorfallreaktionsplan erstellt, der bei einem Vorfall Folgendes regelt: Rollen, Verantwortlichkeiten, Kommunikations- und Kontaktstrategien für den Gefährdungsfall; Konkrete Verfahren als festgelegte Reaktion auf bestimmte Vorfälle; Abdeckung und Ansprache sämtlicher wichtigen Bestandteile des Systems.
5. Gewährleistung der Integrität
tchop hat die folgenden technischen und organisatorischen Maßnahmen umgesetzt, um sicherzustellen, dass Personenbezogene Daten bei der elektronischen Übertragung bzw. während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Derzeit umfassen diese Maßnahmen unter anderem:
- Verhinderung von unbefugtem Kopieren: Hetzner und AWS haben umfassende Maßnahmen ergriffen, um Verhinderung von unbefugtem Kopieren der physischen Speicherinfrastruktur als solche (z. B. Kopieren der Daten des Kunden durch Übertragung auf ein externes Speichermedium wie eine Festplatte) sind in den Maßnahmen wie oben in Ziffern 1–3 beschrieben enthalten. Darüber hinaus dürfen AWS Mitarbeiter und freie Mitarbeiter keine privaten elektronischen Geräte und mobile Datenträger an AWS- Informationssysteme anschließen.
- Verschlüsselte Kommunikation: tchop verwendet für alle Datenschnittstellen und Websites ausschließlich verschlüsselte HTTPS-Kommunikation. HTTPS steht für „Hypertext Transfer Protocol Secure“ und ist im technischen Sinne kein eigenständiges Protokoll. HTTPS bezeichnet die Verwendung von HTTP über SSL oder TLS. tchop verwendet ein von einer Zertifizierungsstelle signiertes SSL-Zertifikat. Durch die Verwendung eines solchen Zertifikats kann sichergestellt werden, dass während der Übertragung keine Manipulation der Inhalte durch Dritte möglich ist und beispielsweise keine Falschinformationen über Ihr Unternehmen in Ihre Firmenwebsite injiziert werden.
- Lokales Speichern: Die nativen Apps speichern die jeweiligen Nutzer*innendaten in einem lokalen Speicher der App auf sichere, verschlüsselte Art und Weise. Nutzungsdaten werden nicht erfasst oder weitergeleitet. Es wird nur das für die grundsätzliche Funktionalität notwendigste gespeichert und verfügbar gemacht für die jeweilige Applikation.
- Nutzung eines sogenannten API-Tokens: die Abfrage von Inhalten durch die nativen Apps wird immer mit einem sogenannten Berechtigungsschlüssel verbunden. Dies stellt sicher, dass das System jederzeit einem/r Nutzer*in den Zugriff auf Inhalte verifizieren und im Zweifel verweigern kann, so dass die nativen Apps keinen Zugriff mehr auf Inhalte erhalten und der Nutzer aus dem Angebot ausgeloggt wird (wenn er bspw. gelöscht wurde und das Unternehmen verlassen hat).
- Außerbetriebnahme von Speichergeräten: Wenn die Lebensdauer eines Speichergeräts zu Ende geht, führt AWS einen speziellen Prozess zur Außerbetriebnahme durch, damit Kundeninhalte nicht an unbefugte Personen gelangen. Alle stillgelegten Magnetspeichergeräte werden entmagnetisiert und den branchenüblichen Vorgehensweisen und dem geltenden Datenschutzgesetz entsprechend physisch zerstört.
- Sichere Zugangspunkte: Hetzner und AWS verfügen über eine beschränkte Anzahl von Zugriffspunkten zur Cloud. Diese Kundenzugriffspunkte heißen API-Endpunkte und dienen dem sicheren HTTP-Zugriff (HTTPS). tchop kann hierdurch sicher mit den eigenen Speicher- oder Datenverarbeitungs-Instanzen auf der jeweiligen Plattform kommunizieren.
- Verbindungen mit dem jeweiligen Server-Netzwerk durch Mitarbeiter des Auftragnehmers: Mitarbeiter greifen SSH-verschlüsselt („Public key“) durch einen Bastion-Host auf die Server Netzwerk zu. Der Bastion-Host beschränkt den Zugriff auf Netzwerkgeräte und andere Cloud-Komponenten.
6. Trennungskontrolle
Der Auftragnehmer hat die folgenden technischen und organisatorischen Maßnahmen ergriffen, um sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- Trennung von System und Datenbank: die technische Architektur basiert auf einem modularen Ansatz, der unterschiedliche Services und Systemelemente durch sichere Datenschnittstellen flexibel und effizient verbindet. Das Gesamtsystem wird dadurch weniger komplex. Anpassungen und Verbesserungen an einem Teil des System wirken sich weniger kritisch auf andere Bereiche aus. Bei einer solchen „Microservices“-Architektur wird komplexe Anwendungssoftwareaus unabhängigen Prozessen komponiert, die untereinander mit sprachunabhängigen Programmierschnittstellen Die Dienste selbst sind weitgehend entkoppelt und erledigen eine kleine Aufgabe. Die Datenbank ist als isolierter, virtualisierter Service komplett getrennt und unabhängig von anderen Teilen des Systems, die die Anwendungslogik enthalten. Dies ermöglicht einen modularen Aufbau von Anwendungssoftware und stellt sicher, dass das Prinzip der Funktionstrennung umfassend und konsequent eingehalten wird. Zwischen den Komponenten werden jeweils nur die unbedingt notwendigen Daten ausgetauscht.
- Trennung der Datenbanken: um die nutzerbezogenen Daten in der Datenbank (Name und E-Mail-Adresse) besonders zu schützen, sind diese Daten separiert von der Datenbank, die alle Inhalte der Plattform enthält. Dies ermöglich gesonderte Schutzmaßnahmen wie eine spezielle Verschlüsselung der Datenbank mit den Nutzerdaten und erschwert den unbefugten Zugriff zusätzlich.
- Trennung von Test- und Produktivumgebung: tchop verfügt über verschiedene Server-Umgebungen, die auf der einen Seite die Entwicklung und den Test neuer Funktionen erlauben sowie eine strikt davon getrennte Produktivserver-Umgebung. Die Trennung von Test- und Produktivumgebung ermöglicht eine sichere und zuverlässige Entwicklungsarbeit. So kann ein Entwickler*in eine neue Version auf der Testumgebung entwickeln, Tester*in können auf dieser Umgebung testen, um die Software dann auf der Produktionsumgebung zu installieren (Releasemanagement). In Fehlerfällen kann ein Zustand der Produktionsumgebung auf eine Testumgebung gespiegelt werden, um dort Untersuchungen vornehmen zu können, ohne die Produktionsumgebung zu stören.
- Mandantenfähige Server- und Datenbankumgebung: Die von tchop genutzte AWS-Umgebung ist eine virtualisierte Mehrmandantenumgebung. AWS hat Prozesse zur Sicherheitsverwaltung sowie Sicherheitskontrollen eingerichtet, die die Trennung von Daten einzelner Kunden ermöglicht. Hetzner und AWS-Systeme sind so konzipiert, dass Kunden nicht auf physische Hosts oder Instanzen zugreifen können, die nicht zu ihrem jeweiligen Account gehören. Dies wird durch die Filterung im Rahmen einer Virtualisierungssoftware ermöglicht. Der Hypervisor wird regelmäßig von internen und externen Expertenteams auf neue und vorhandene Schwachstellen und Angriffsmöglichkeiten geprüft.
7. Gewährleistung der Verfügbarkeit
Für die IT-Systeme von tchop sind verschiedene Sicherungs- und Backup-Mechanismen implementiert, die eine hohe Verfügbarkeit und Kontrolle von System und Datenbank sicherstellen. Dies werden im Folgenden beschrieben:
Systemverfügbarkeit
Die Verfügbarkeit der gesamten tchop Platform wird durch ein umfangreiches Monitoring-System abgedeckt. Dies erlaubt es dem gesamten Entwicklungsteam frühzeitig Veränderungen, Überlastungen und Probleme zu erkennen und zu analysieren. Permanent gemessen werden verschiedene Werte von der CPU-Last bis zum Speicherstand, von verschiedenen Werten der Datenbank (Anfragen, Prozessor-Auslastung) bis zu diversen systeminternen Variablen in Bezug auf Datenschnittstellen und verbundene Services (bspw. die „Integrations“).
Zudem nutzt das Entwicklungsteam von tchop verschiedene Tools zur Fehleranalyse und zur schnellen, effizienten Fehlerbehebung (sog. Bug Fixing). Unter anderem wird das weit verbreitete System Sentry (https://sentry.io) verwendet, welches in Echtzeit Nachrichten und Analysen zu auftretender Fehlerquellen und Ursachen an das Technik-Team von tchop liefert. Fehler können so auf technischer Ebene unmittelbar erkannt und behoben werden. Das System hilft zudem direkt bei der Ursachenanalyse und erleichtert damit die Behebung von Problemen.
Bei einem Systemausfall des Applikationsteils tritt serverseitig automatisch das Notfallsystem “Rancher Security System” (https://rancher.com) in Kraft und macht das ausgefallene System normalerweise innerhalb von 5-10 Sekunden wieder verfügbar. Von einem Ausfall des Rancher-Systems umgedreht, wäre die tchop Plattform selbst nicht betroffen.
Der Zugang zu den Monitoring-Systemen ist sowohl über einen Berechtigungs- und Zugangskonzept als auch über ein sogenanntes IP-Whitelisting geschützt, d.h. es können nur authorisierte Mitarbeiter*innen zugreifen und entsprechende Informationen einsehen. Personenbezogene Daten werden in den beschriebenen Monitoring-Systemen nicht erfasst oder verarbeitet.
Außerdem verfolgt tchop insgesamt einen testgetriebenen Entwicklungsansatz auf Basis der sogenannten „Continuous Integration“. Bei diesem Modell erfolgen der Software-Build, die Integration, das Testen und das Reporting sämtlicher Änderungen unmittelbar nach deren Hinzufügen zur Codebasis. Dank Tests und Berichten zu potenziellen Mängeln und Konflikten in der Codebasis können diese einfacher identifiziert und direkt behoben werden.
Im Rahmen eines CI-Prozesses teilen Entwickler ihren Code und ihre Tests, indem sie die Änderungen nach dem Abschluss jeder kleinen Aufgabe zur Zusammenführung in ein geteiltes Repository für die Versionskontrolle einspeisen. Ein automatisiertes Build-System nimmt die aktuellste Version des Codes aus diesem geteilten Repository und kümmert sich um das Build, das Testen und die Validierung des vollständigen Master-Branches. tchop verwendet dazu ein modernes Versionsverwaltungssysteme namens Git (https://de.wikipedia.org/wiki/Git). tchop nutzt für den Software-Code des Anbieters Github (https://github.com) und für den serverseitigen Software-Code die Plattform Gitlab (https://gitlab.com)
Das Entwicklungsteam nutzt Build-Definitionen, um sicherzustellen, dass jedes Commit zum Master-Branch die automatischen Build- und Test-Prozesse auslöst. Da Fehler durch eine derartige Umsetzung von CI zu einem früheren Zeitpunkt im Entwicklungszyklus erkannt werden, fallen für ihre Behebung weniger Kosten an. Automatisierte Tests bei jedem Build sorgen für eine verbesserte Testabdeckung sowie eine konsistent hohe Build-Qualität. Zudem reduzieren Entwickler sowohl Risiken als auch sich wiederholende manuelle Prozesse auf ein Minimum und Teams profitieren von einer besseren Übersicht über das Projekt.
Damit kann tchop effizient und fortlaufend sicherstellen, dass das gesamte System innerhalb kürzester Zeit wieder verfügbar gemacht und die Fehleranfälligkeit gering gehalten werden kann.
Datenverfügbarkeit
Die technischen Verantwortlichkeiten für die Datensicherung sind durch Vereinbarungen mit den Cloud-Dienstleistern Hetzner bzw. AWS geregelt (siehe Details zu den “Subunternehmern”). tchop verfügt selbst über keine lokalen Server zur Datenspeicherung.
Sowohl Hetzner als auch AWS stellen eine hohe Verfügbarkeit von 99,9% aller Daten sicher. In jedem Fall zu einer getrennten Sicherungsinstanz wechseln, so dass die Daten entsprechend verfügbar und sicher bleiben. Im letzten Betriebsjahr lag die tatsächliche Verfügbarkeit beider Anbieter bei ca. 99,999%.
Es werden von Hetzner und AWS die erforderlichen Sicherungsmaßmahmen gemäß DGSVO durchgeführt. Einmal täglich erstellt tchop einen Snapshot der eigenen Datenbank, sodass die gesamte Instanz gesichert wird und nicht nur einzelne Teile oder Bestandteile.
Die Dienstelstier speicheren die automatisierten Sicherungen der Datenbank gemäß des Aufbewahrungszeitraums für Sicherungen. Während dieses Vorhaltezeitraums kann die Datenbank des Auftragnehmers bei Bedarf auf einen gesicherten Zeitpunkt wiederhergestellt werden. Des weiteren besteht die Möglichkeit die gesamte Datenbank auch manuell bei Bedarf zu sichern und wieder her zustellen.
Automatisierte Sicherungen werden täglich während eines standardisierten Zeitfensters durchgeführt. Wenn die Sicherung mehr Zeit als im Zeitfenster angegeben benötigt, wird sie nach dem Ende des Fensters weiter ausgeführt, bis sie abgeschlossen ist.
Der Aufbewahrungszeitraum für Backups kann auf einen Wert zwischen 1 und 35 Tagen festgelegt werden. Die Backups der gesamten tchop Datenbank werden jeweils sieben Tage aufbewahrt.
Alle Backups sind verschlüsselt. Der Ausfall zentraler Systemkomponenten führt zu einer automatischen Meldung per Mail. In einem Notfallszenario ist der genaue Ablauf der Rücksicherung bzw. die Wiederherstellung des Produktivsystems beschrieben.
8. Löschung von Daten
tchop bietet verschiedene Maßnahmen zum Abrufen, Korrigieren, Löschen oder Sperren von Daten. Authorisierte Nutzer*innen, d.h. Redakteure*innen und Administratoren*innen auf Seiten des Kunden können jederzeit selbst Inhalte oder Nutzer*innen aus der System entfernen. In diesem Moment werden die Personenbezogenen Daten des bzw. der Mitarbeiter*in (Name, E-Mail-Adresse und Zeitstempel der letzten Aktivität) auf den entsprechenden Cloud-Services bzw. der Datenbank in einen Papierkorb geschoben und nach 30 Tagen gelöscht, unleserlich oder unbrauchbar gemacht.
Mit der Löschung dieses Hauptdatensatzes werden auch etwaige Links zu den Daten und deren Kopien gelöscht. Ausgenommen sind verschlüsselte Daten-Backups. In diesen Backups kann der Datensatz für maximal weitere 14 Tage vorhanden sein bis er auch hieraus durch das nächste automatisierte Backup überschrieben und gelöscht wird.
Eine Weiterverarbeitung dieser Kundendaten nach Löschung ist dann nicht mehr möglich. Wird der bzw. die Nutzer*in mit gleicher E-Mail-Adresse nach der Löschung erneut hinzugefügt, wird er tchop wie ein neuer Nutzer behandelt.
Alternativ kann jeder Nutzende bzw. Kunde tchop bitten bestimmte Daten in seinem Auftrag zu löschen. Für diesen Fall verfährt tchop nach einer abgestimmten, allen Mitarbeitern*innen bekannten Löschroutine. Diese erfolgt in den folgenden drei Schritten und ist zwingend in schriftlicher Form mit dem Auftraggeber abzustimmen:
- Definition der zu löschenden Daten (dies können einzelne Inhalte oder auch ganze Kanäle bzw. Rubriken sein)
- Abstimmung des genauen Zeitraum der Löschung (sofort oder zu einem bestimmten Datum)
- Prüfung der Aufbewahrungspflicht der jeweiligen Daten
In jedem Falle gelöscht werden alle vom Kunden übermittelten, personenbezogenen Daten (Email-Adressen, Namen) sowie alle damit im Zusammenhang stehenden, erfassten Daten gelöscht nach Ende des Auftrages innerhalb eines Zeitraums von 30 Tagen.
Personenbezogene Daten werden bei tchop grundsätzlich nie ausgedruckt und liegen demnach in keinem Moment in Papierform vor.
Einschränkungen bei der Löschung von Nutzendenprofilen gibt es in Fällen der Verwendung eines SSO—Anbieters. Hierbei liefert das SSO-System die Nutzeridentitäten und Daten, dementsprechend können und müssen Nutzendenprofile in dem entsprechenden System gelöscht und bearbeitet werden.
Darüberhinaus verfügt tchop über Löschkonzepte im Rahmen des eigenen ISMS. Dazu gehört das Löschen von Hardware, Backups oder jeglichen, entsprechend klassifizierten Daten. Nicht mehr benötigte Laptops, Smartphones oder Tablet PCs von Mitarbeitenden von tchop werden vor der Entsorgung im Zusammenarbeit mit der Metall-Innung Berlin (dem Vermieter von tchop) mechanisch durch eine Bohrung im relevanten Speichermedium des Rechners zerstört.
9. Gewährleistung der Belastbarkeit der Systeme
Das gesamte IT-System von tchop ist so konzipiert und gestaltet, dass es auch hohen Belastbarkeiten Stand hält. tchop verarbeitet Daten von einer Vielzahl von Kunden und stellt dementsprechend sicher, dass das Gesamtsystem auch von größeren Aufträgen zu keinem Zeitpunkt beeinträchtigt wird. Die Plattform ist für eine hohe Anzahl an aktualisierten, neuen Inhalten sowie eine große Anzahl an Nutzern*innen ausgelegt. Die Belastung aus Sicht des Systems kann sich durch verschiedene Faktoren signifikant erhöhen und das System ist darauf folgendermaßen vor bereitet:
- Anzahl an Anfragen: eine erhöhte Anfrage an das System, sogenannte „Requests“ können gewollt oder ungewollt in ungewohntem Maße ansteigen. Das System wurde in Tests ausgelegt für bis zu Anfragen zu 2.000 Anfragen pro Sekunde. Die tatsächlichen Zugriffszahlen liegen selbst in Höchstzeiten bei zum heutigen Stand nur bei einem Bruchteil. Technisch besteht in der Zukunft die Möglichkeit diese Belastbarkeit weiter zu steigern, sollte hier ein Bedarf erkennbar sein.
- Erhöhte Zugriffszahlen durch Client-Applikationen: der Zugriff auf die Datenschnittstelle ist durch einen Token geschützt, so dass nur Clients mit diesem Token auf Daten bzw. Inhalte zugreifen können. Zusätzlich können nur angemeldete Nutzer*innen in den Apps Inhalte abrufen und auf das System zugreifen. Das System ist in dem Sinne vor unerwartet hohen Zugriffszahlen durch externe Apps prinzipiell geschützt. Zudem besteht jederzeit die Möglichkeit einzelne Token zu löschen und damit den Zugriff bestimmter Client-Applikationen wieder zu beschränken.
10. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Das gesamte IT-System von tchop wird fortlaufend weiterentwickelt, verbessert und auf aktuelle und zukünftige Produkt- und Sicherheitsanforderungen angepasst. Die Anforderungen an Datenschutz und Privatsphäre spielen dabei eine zentrale Rolle. tchop nimmt den Schutz Personenbezogener Daten sehr ernst und ist ständig auf der Suche nach optimalen, effizienten Wegen den Schutz weiter zu verbessern. Dabei wird versucht eine sinnvolle Kombination aus bewährten und innovativen Technologien angemessen umzusetzen.
Die Effizienz der in diesem Dokument beschriebenen Maßnahmen wird fortlaufend überprüft, um Schwachstellen frühzeitig aufzudecken und das Gesamtsysteme auf der Basis neuer Erkenntnisse, neuer Technologien und gestiegener Anforderungen zu optimieren. In diesem fortlaufenden Prozess sind unter anderem folgende Maßnahmen implementiert:
Die Analyse von Schwachstellen ist ein iterativer, sich wiederholender Prozess. Die interne Überprüfung der eigenen Sicherheitsarchitektur erfolgt in speziellen, vierteljährlichen Sprints (jeweils 2 x 2 Wochen, s.h. ein Kalendermonat) sowohl automatisiert als auch manuell. Der Prozess dieser Prüfungen verläuft in der Regel dreistufig, bei Bedarf wird er auch mehrfach wiederholt, um neu gewonnene Kenntnisse in den anderen Phasen berücksichtigen zu können:
- Informationen sammeln
- Sicherheitslücken identifizieren
- Sicherheitslücken auswerten
Ein Team von jeweils mindestens zwei Entwicklern unter Aufsicht und Steuerung der technischen Leitung arbeitet unter anderem an den folgenden Fragen:
- Welche technischen Schwachstellen hat das System, die Infrastruktur oder spezielle Anwendungen der Plattform?
- Wie wirksam sind existierende Sicherheitsmechanismen, um Angriffe zu unterbinden oder zu erkennen?
- Welchen Schaden kann ein Angreifer anrichten, der Schwachstellen ausnutzt und die Sicherheitsmechanismen umgeht?
- Welche neuen technischen Entwicklungen und Anforderungen gibt es sowohl technisch als auch regulatorisch?
Die Ergebnisse dieser vierteljährlichen Sprints werden zwischen Technikleitung und Geschäftsführung in gesonderten Workshops diskutiert und hinsichtlich Ihrer Ergebnisse qualitativ und quantitativ ausgewertet.
Version 1.4 vom 16.2.2024
...........................................................
Unterschrift Heiko Scherer Geschäftsführung tchop GmbH
- Technische und organisatorische Maßnahmen (TOMs)
- Inhaltsverzeichnis
- 1. Sicherheit
- 2. Pseudonymisierung
- 3. Verschlüsselung
- 4. Gewährleistung der Vertraulichkeit
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- 5. Gewährleistung der Integrität
- 6. Trennungskontrolle
- 7. Gewährleistung der Verfügbarkeit
- Systemverfügbarkeit
- Datenverfügbarkeit
- 8. Löschung von Daten
- 9. Gewährleistung der Belastbarkeit der Systeme
- 10. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen