spinoff pt2 57
Leitlinie zur Informationssicherheit

So schützen wir deine Daten

Die Verarbeitung von Informationen gehört zu unserem Tagesgeschäft. Um die Sicherheit dieser Informationen gewährleisten zu können, brauchen wir eine grundsätzliche Zielvorgabe, an die wir uns halten wollen. In dieser Leitlinie werden die Ziele, Organisation und Maßnahmen sowie zentrale Leitsätze rund um Informationssicherheit, zu denen wir uns bekennen wollen, erläutert.

Geltungsbereich des ISMS

Der Geltungsbereich ist vollumfänglich: alle Bereiche des Unternehmens Seibert Group GmbH inklusive sämtlicher Standorte in Wiesbaden und Mitarbeitende in mobilen oder häuslichen Arbeitssituationen sind Teil des ISMS.

Zu unserem Geschäft gehört die Herstellung von Software, der Handel mit eigener und fremder Software und die Erbringung von Dienstleistungen rund um diese Software-Produkte. Über 200 Mitarbeiter formen gemeinsam eigenverantwortliche, interdisziplinäre Teams in allen Bereichen der Organisation mit dem Fokus auf agiler Software-Entwicklung. Unsere Dienstleistungen umfassen die strategische Planung von Projekten, Beratung zum Kauf von Lizenzen, Anwenderschulungen, Trainings & Workshops, Unterstützung bei der Integration von Plugins & Drittsystemen, sowie Betrieb und Hosting von Atlassian Anwendungen.
Aktuell sind wir insbesondere im Atlassian- und im Google-Ökosystem aktiv und entwickeln darin eigene Produkte wie Linchpin und Agile Hive.

 

Stellenwert der Informationssicherheit

Informationsverarbeitung spielt eine Schlüsselrolle für die Erfüllung unserer Aufgaben. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden durch Informationstechnik (IT) maßgeblich unterstützt. Ein Ausfall von IT-Systemen muss insgesamt kurzfristig kompensiert werden können. Auch in Teilbereichen darf unser Geschäft nicht zusammenbrechen.

Insbesondere für uns als Unternehmen, das nicht nur Software herstellt, sondern auch Hosting und Cloudservice anbietet, genießt die Informationssicherheit einen sehr hohen Stellenwert.

 

Sicherheitsziele

Alle Aktivitäten zur Aufrechterhaltung und Verbesserung der Informationssicherheit haben zum Ziel, die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – insbesondere unserer Kundendaten – zu gewährleisten.

Vertraulichkeit

Vertrauliche Informationen müssen vor unbefugter Preisgabe geschützt werden.

 

Verfügbarkeit

Benutzer*innen stehen Dienstleistungen, Informationen oder Funktionen eines Systems zum geforderten Zeitpunkt zur Verfügung.

 

Integrität

Die Daten sind vollständig und unverändert. Der Verlust der Integrität von Informationen kann bedeuten, dass diese unerlaubt verändert wurden.

Die konkreten Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Schutzbedarf der verarbeiteten Daten stehen. Als Kernaktivität zur Aufrechterhaltung und Verbesserung der Informationssicherheit werden kontinuierlich Risiken für die Informationssicherheit identifiziert, bewertet und behandelt. An die Informationssicherheit werden verschiedene gesetzliche, behördliche und vertragliche Anforderungen gestellt, welche fortlaufend identifiziert und für die Informationssicherheit berücksichtigt werden.

Abgeleitet von den Unternehmenszielen und dem aktuellen Stand unseres Informationssicherheitsniveaus haben wir uns folgende Ziele gesetzt. Diese Ziele werden im Rahmen des Management-Reviews geprüft und bewertet:

Sensibilisierung zum Thema Informationssicherheit aller Beschäftigten intensivieren
Ziel ist es, das Aufklärungs- und Schulungsangebot im Bereich IT-Security weiter auszubauen und deren Wirksamkeit zu messen.

Sicherstellung der Erfüllung von individuellen, vertraglichen Kundenforderungen an die IT-Security
Vertragliche Kundenanforderungen an die IT-Security, die über den Standard aus unseren eigenen Vertragsvorlagen hinaus gehen, sollen einheitlich geprüft und freigegeben, zentral erfasst, transparent dokumentiert, intern kommuniziert und die Einhaltung regelmäßig kontrolliert werden.

Verbesserung der Sicherheit unserer Software-Produkte
Als Software-Entwicklungsunternehmen und Cloud-Anbieter ist uns die konstante Verbesserung der IT-Sicherheit unserer Produkte sehr wichtig.

Ziel ist es, das Wissen zu IT-Sicherheit in den Entwicklungsteams systematisch zu stärken und eine teamübergreifende Gruppe aus Expert*innen zu etablieren, die zur sicheren Implementierung neuer Funktionen intern berät und regelmäßig Sicherheitstests (Pentests) unserer Softwareprodukte durchführt oder durch Dritte durchführen lässt.

Kontinuierliche Verbesserung des ISMS
Mit dem Aufbau des ISMS gilt es, die Prozesse instand zu halten und die Wirksamkeit des Systems zu verbessern.

 

Sicherheitsorganisation

Zur Erreichung der Informationssicherheitsziele wurde ein ISMS-Team gegründet und ein Informationssicherheitsbeauftragter (CISO) von der Geschäftsführung benannt. Ein Informationssicherheitsmanagementsystem (ISMS) ist unternehmensweit eingeführt und wird regelmäßig auf seine Wirksamkeit überprüft.

Verantwortlich für die Sicherheitsorganisation ist die Geschäftsführung. Der Informationssicherheitsbeauftragte berät die Geschäftsführung bei der Planung und Umsetzung der Informationssicherheit im Unternehmen. Er berichtet in seiner Funktion anlassbezogen, mindestens jedoch einmal jährlich, unmittelbar an die Geschäftsführung.

Dem ISMS-Team werden von Unternehmensseite ausreichende finanzielle und zeitliche Ressourcen zur Verfügung gestellt, um sich regelmäßig weiterzubilden und zu informieren.

Die Mitarbeiter*innen des ISMS-Teams sind frühzeitig in IT-sicherheitsrelevanten Projekte (z. B. neue Produkte, Standorterschließung, größere IT-Infrastruktur-Anpassungen) einzubinden, um schon in der Planungsphase sicherheitsrelevante Aspekte zu berücksichtigen.

Es wurde ein Datenschutzbeauftragter bestellt. Der Datenschutzbeauftragte hat ein ausreichend bemessenes Zeitbudget für die Erfüllung seiner Pflichten zur Verfügung. Der Datenschutzbeauftragte ist angehalten, sich regelmäßig weiterzubilden.

 

Sicherheitsmaßnahmen

Für alle Verfahren, Informationen, IT-Anwendungen und IT-Systeme wird eine verantwortliche Person benannt, die den jeweiligen Schutzbedarf bestimmt.

Zugriffsberechtigungen werden bedarfsgerecht vergeben und zentral verwaltet.

Für alle verantwortlichen Funktionen sind Vertretungen einzurichten. Es muss durch Unterweisungen und ausreichende Dokumentationen sichergestellt werden, dass Vertreter*innen ihre Aufgaben erfüllen können.

Gebäude und Räumlichkeiten werden durch ausreichende Zutrittskontrollen geschützt. Der Zugang zu IT-Systemen wird durch angemessene Zugangskontrollen und der Zugriff auf die Daten durch ein restriktives Berechtigungskonzept geschützt.

Computer-Viren-Schutzprogramme werden überall dort, wo es sinnvoll ist, insbesondere auf Mail-Servern, Dokument-Speicherorten und Firmen-PCs mit Administrations-Zugriff auf Kundensystemen, eingesetzt. Alle Internetzugänge werden durch geeignete, technische Filter- und Schutzmechanismen gesichert. Fernwartungszugriffe auf alle internen Systeme und Kunden-Server sind durch VPN-Verbindungen geschützt. Durch ein umfangreiches Monitoring-System werden Beeinträchtigungen der Sicherheitsziele von IT-Infrastruktur und Anwendungen erkannt und durch eingewiesene Mitarbeiter*innen zügig behoben. Des Weiteren unterstützen die IT-Benutzer*innen durch eine sicherheitsbewusste Arbeitsweise diese Sicherheitsmaßnahmen und informieren bei Auffälligkeiten die entsprechend festgelegten Stellen.

Datenverluste können nie vollkommen ausgeschlossen werden. Durch eine umfassende Datensicherung wird daher gewährleistet, dass der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen oder offensichtlich fehlerhaft sind. Informationen werden einheitlich gekennzeichnet und so aufbewahrt, dass sie schnell auffindbar sind.

Um größere Schäden in Folge von Notfällen zu begrenzen bzw. diesen vorzubeugen, muss auf Sicherheitsvorfälle zügig und konsequent reagiert werden. Maßnahmen für den Notfall werden in einem separaten Notfallvorsorgekonzept zusammengestellt. Unser Ziel ist, auch bei einem Systemausfall kritische Geschäftsprozesse aufrecht zu erhalten und die Verfügbarkeit der ausgefallenen Systeme innerhalb einer tolerierbaren Zeitspanne wiederherzustellen.

Sofern IT-Dienstleistungen an externe Stellen ausgelagert werden, werden von uns konkrete Sicherheitsanforderungen in den entsprechenden Verträgen vorgegeben. Das Recht auf Kontrolle wird festgelegt. Für umfangreiche oder komplexe Outsourcing-Vorhaben erstellen wir ein detailliertes Sicherheitskonzept mit konkreten Maßnahmenvorgaben.

IT-Benutzer*innen nehmen regelmäßig an Schulungen zur korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen teil. Die Unternehmensleitung unterstützt dabei die bedarfsgerechte Weiterbildung.

 

Verbesserung der Sicherheit

Das Managementsystem der Informationssicherheit wird regelmäßig auf seine Aktualität und Wirksamkeit geprüft. Daneben werden auch die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen Mitarbeiter*innen bekannt sind, ob sie umsetzbar und in den Betriebsablauf integrierbar sind. Die Überwachung dieser Prüfung wird durch unseren CISO sichergestellt.

Die Leitung unterstützt die ständige Verbesserung des Sicherheitsniveaus. Mitarbeiter*innen sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben.

Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheits­technik zu halten.

 

Zentrale Leitsätze

Datenklassifizierung: Eigene Daten vs. Kundendaten

Wir unterscheiden zwischen Daten, die wir erheben und speichern, und Daten, welche Kunden auf den von uns für den Kunden betriebenen Systemen ablegen.

Wir unterscheiden zwischen Daten, die wir selbst im Rahmen unserer täglichen Arbeit erheben und speichern (eigene Daten), und den Daten, die im Rahmen einer Dienstleistungserbringung (Betrieb von Atlassian-Anwendungen) auf dedizierten Kunden-Systemen gehalten werden, mit denen wir aber ansonsten nicht arbeiten (Kundendaten). Alle eigenen Informationen, die über Kunden bei uns in CRM-, ERP-, Buchungs- und Abrechnungssystemen oder in E-Mails, Chats, Wikis oder Aufgabensoftware gespeichert werden, sind zwar im weiteren Sinne auch Daten, die Kundeninformationen enthalten. Trotzdem werden sie mit rein internen Daten gemeinsam verarbeitet und deshalb unter „eigene Daten“ eingeordnet.

Da wir Kundendaten mit einem höheren Schutzbedarf einstufen, ist auch das Sicherheitsniveau höher, wenn Kunden Informationen mit uns in den dedizierten Kunden-Systemen teilen als wenn sie in unseren Systemen (z. B. E-Mails, Extranet, Jira-Aufgabenverwaltung) verarbeitet werden. Wir machen dabei den Unterschied für Kunden so deutlich und transparent wie möglich und respektieren, wenn Kunden uns bitten, auf den Kunden-Systemen zu arbeiten, auch wenn das für uns Einschränkungen mit sich bringt. Je nach Situation, Team und Zusammensetzung kann es sein, dass bestimmte Informationen für einen reibungslosen Ablauf auf unseren Systemen gespeichert werden müssen. Diese Situationen kündigen wir vorab an und erklären die Hintergründe.

Usability vs. Sicherheit
Eine zentrale Leitlinie unseres Handelns ist der bewusste Ausgleich zwischen praktisch und einfach (Usability) und hoher Sicherheit. Wir versuchen, Technologie zu nutzen, um Sicherheit und Usability gleichzeitig zu steigern.

Wir verstehen, dass Usability (Einfachheit für Anwender*innen) und IT-Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Diensten) oft in einem Gegensatz zueinander stehen. Gerade bei der Arbeit in Kundenumgebungen stellen wir häufig fest, dass hohe Sicherheitsanforderungen dazu führen, dass wir mehr damit beschäftigt sind, den Zugriff auf Informationen zu bekommen, als daran, an der Wertschöpfung für den Kunden zu arbeiten. Deshalb streben wir an, stets auch die Usability zu betrachten und im Zweifel abzuwägen, was im Anwendungsfall (Um welche Daten handelt es sich? Wie ist deren Sicherheitseinstufung?) adäquate Lösungen sind. Eine sinnvolle Lösung finden wir im Team im Gespräch und Diskurs und mittels einer für alle Mitarbeitenden transparenten Dokumentation in unseren zentralen Systemen. Bei dem Umgang mit eigenen Daten tendieren wir dabei Richtung Usability. Diese Tendenz gründen wir auf unseren Unternehmenswerten und das Vertrauen in unsere Mitarbeiter*innen

Kundendaten genießen einen außerordentlichen Schutz
Die IT-Sicherheit der Daten unserer Kunden hat für uns höchste Priorität.

Die Sicherheit von Kundendaten ist die Grundlage unserer Integrität und des Vertrauens in der dauerhaften Zusammenarbeit. Wir schließen sämtliche Formen der Nutzung oder Verwertung, die nicht ausdrücklich mit unseren Kunden vereinbart wurde, aus und sorgen in anderen Fällen für eindeutige und dokumentierte Entscheidungen.

Im Zweifel werden Daten unserer Kunden immer sicherer und nicht einfacher gehalten. Dort geht Sicherheit vor Usability.

Digital vor analog
Dokumente sollten primär nicht ausgedruckt, sondern digitalisiert werden und bleiben.

Wir sind davon überzeugt, dass wir alle Daten digital speichern möchten, da wir nur dann sinnvoll in der Lage sind, die IT-Sicherheit dieser Informationen zu gewährleisten. Wenn wir die Möglichkeit haben, versuchen wir vornehmlich digitale Daten und Informationen im Unternehmen vorzuhalten. Wenn wir Papier nutzen, dann um unsere Arbeitsabläufe zu beschleunigen. Papier dient dann als vorübergehendes Werkzeug, um die Sichtbarkeit, Präsenz oder Interaktion zu erhöhen. Wir arbeiten aktiv daran, auf Papier erfasste Informationen zu digitalisieren, und heben Papier nach Möglichkeit nicht auf, es sei denn gesetzliche Anforderungen erfordern das. Papier wird entsprechend der Schutzklasse der Informationen auf diesem fachgerecht entsorgt.

 

Mitwirkungspflichten

Die Geschäftsführung bekennt sich zu ihrer Aufgabe, die in dieser Leitlinie beschriebenen Zielsetzungen zur Informationssicherheit zu unterstützen, und fordert alle Beschäftigten dazu auf, ebenfalls zur Aufrechterhaltung bzw. zur Verbesserung der Informationssicherheit beizutragen.

Diese Leitlinie gilt für alle Mitarbeitenden ohne Ausnahme. Es gibt keine Rechtfertigung für Abweichungen. Wir sorgen als Unternehmen dafür, dass Mitarbeitende diese Leitlinie lesen, verstehen und ihr Einverständnis dokumentieren. Wir kündigen Änderungen intern an und erklären sie.

Version: 1.1
Stand: 22. März 2024

Inhalt

Sicherer Betrieb für eure Atlassian-Applikationen

Wir stellen eine leistungsfähige, stabile und sichere Betriebsumgebung für eure Atlassian-Tools zur Verfügung.

Durch die Auswahl eures präferierten Hosting Providers und der Betriebsart erhaltet ihr ein auf eure Bedürfnisse zugeschnittenes Hosting-Angebot.

spinoff pt2 24
Wir freuen uns auf deine Nachricht!
Wissen & Updates direkt in dein Postfach
Das Atlassian Update von Seibert Solutions