IT-Sicherheit

[ Zertifizierung nach ISO 27001 | Leitlinie zur Informationssicherheit | ToM | Öffentliche Aufträge in der Cloud | E-Mail Sicherheit ]

Zertifizierung nach ISO 27001 und ISO 27017

Informationssicherheit ist ein immer aktuelles, komplexes und dynamisches Thema mit vielen Spezialbereichen, die alle IT-Komponenten betreffen. Sich laufend verändernde Rahmenbedingungen verlangen zusätzlich eine kontinuierliche Anpassung und Optimierung. Hinzu kommen juristische Fragestellungen und zu berücksichtigende Standards.

Gerade kleine und mittelständische Unternehmen fühlen sich aufgrund objektiv beschränkter Ressourcen in Sachen IT-Sicherheit oft überfordert. Die Nutzung der Datacenter-Ressourcen von managedhosting.de ist der richtige Weg, diese Lücke zu schliessen.

Nur ganzheitliche, präventive Sicherheitslösungen verbunden mit einer nach innen und aussen gerichteten, hochperformanten Netzwerkinfrastruktur führen zu optimaler IT-Funktionssicherheit und decken sowohl logische als auch physikalische Aspekte ab. So verfügen unsere Datacenter über eine Vielzahl technischer Vorkehrungen und fest etablierter Prozesse, um Ausfällen oder Einschränkungen auf Server-, System- und Netzwerkebenen wirksam vorzubeugen.

Aktuelle Umfragen zum Thema Cloud Computing ergaben, daß viele Kunden aufgrund verschiedener Bedenken zögern, auf Cloud-Infrastruktur umzusteigen. Diesen Bedenken begegnet managedhosting.de mit dem Einsatz spezieller für die Cloud entwickelten Sicherheits- und Compliance-Lösungen von VMware und einem zertifizierten IT-Sicherheitsmanagement.

Die managedhosting.de GmbH hat ihre gesamten Rechenzentrumsdienstleistungen gemäß ISO / IEC 27001 von der  INTERCERT GmbH – Group of MTIC – vollständig zertifizieren lassen. Somit ist die Konformität bezüglich der Norm von unabhängiger Seite fachlich festgestellt. Damit sind wir einer der ersten VMware Hybrid Cloud und IaaS zertfizierten Service Provider in Deutschland, der diese Zertifizierung für seine VMware basierte Cloud-Infrastruktur erhalten hat.

Unseren Kunden garantiert die Zertifizierung größtmögliche Sicherheitsvorkehrungen und höchste technische Standards. Gleichzeitig ermöglicht unsere Zertifizierung nach ISO/IEC 27001 unseren Kunden eine kostengünstigere Umsetzung der gesetzlich vorgeschriebenen Mindest-anforderungen an das Risikomanagement für den eigenen IT-Betrieb.

Mit vom Kunden bei der managedhosting.de GmbH durchgeführten Audits entsteht unweigerlich Aufwand. Die Vorhaltung entsprechender Verfahren, zusätzliche personelle Ressourcen für die Bearbeitung der Anfragen, ebenso wie die mit der Beantwortung der Fragebögen, Besichtigungen etc. einhergehenden Aufwände müssen berücksichtigt werden. Daher wird die auf Anfrage vom Kunden durchgeführte Bearbeitung von Audits bzw. Fragebögen zur ISO27001- Zertifizierung, ToM oder dem Abschluss einer Zusatzvereinbarung zur Auftragsverarbeitung nach effektivem Aufwand mit dem üblichen Tagessatz „Systemadministrator / Ingenieurpersonal“ gemäß aktueller Preisliste in Rechnung gestellt.

Bitte beachten Sie, dass eine uneingeschränkte Einsichtnahme von Unterlagen im Rahmen eines Kundenaudits nicht möglich ist, und überdies alle gewünschten Einsichtnahmen vorab zum Zweck der Prüfung schriftlich angezeigt werden müssen. Insbesondere streng vertrauliche Unterlagen, wie zum Beispiel die SOA-Richtlinie, unterliegen in Hinblick auf die Informationssicherheit einem erhöhten Schutzstatus und sind somit grundsätzlich von einem Kundenaudit ausgeschlossen.

Zertifizierung nach ISO/IEC 27001:2017

• Zertifizierung nach ISO/IEC 27001:2017
• Geltungsbereich: Managed Hosting und Cloud Services
• Zertifikat: Certificate ISO 27001 – 13-I-0000002-TIC
• Zertifiziert von: INTERCERT GmbH – Group of MTIC –
• Zertifizierung gültig seit: 18.11.2013
• Zertifizierung gültig bis: 12.11.2025
• https://www.mtic-group.org/certificates-databases

Zertifizierung nach ISO/IEC 27017:2015

• Zertifizierung nach ISO/IEC 27017:2015
• Geltungsbereich: Managed Hosting und Cloud Services
• Zertifikat: Attestation ISO 27017 – 13-I5-0000002-TIC
• Zertifiziert von: INTERCERT GmbH – Group of MTIC –
• Zertifizierung gültig seit: 08.11.2023
• Zertifizierung gültig bis: 12.11.2025
• https://www.mtic-group.org/certificates-databases

Dokumente

• AGB der managedhosting.de GmbH
• SLA der managedhosting.de GmbH
• Certificate ISO 27001 – 13-I-0000002-TIC
• Attestation ISO 27017 – 13-I5-0000002-TIC
• Besichtigung der Datacenter (Audit)
• Whitepaper zur IT-Sicherheit

Datenschutzbeauftragter

Ingenieurbüro für Datenschutz & Datensicherheit
Dipl.-Ing. Pierre-Gerard Große
Reichenbrander Str. 40
09117 Chemnitz

Telefon: +49 371 8579094
Telefax: +49 371 8579095
E-Mail: pierre.grosse@datenschutz-grosse.de

Informationssicherheitsbeauftragter

Gesa Lütje
Strategisten GmbH
Planckstr. 13
22765 Hamburg

E-Mail: isms@managedhosting.de

Leitlinie zur Informationssicherheit der managedhosting.de GmbH

Präambel

Gegenstand des Unternehmens ist Erbringung von Informations- und Kommunikationsdienstleistungen in Rechenzentren (Managed Hosting), die Datenbe- und -verarbeitung einschließlich Datenbanken und Herstellung von Datenverarbeitungsprogrammen, der Handel mit Hard- und Software und allen sonstigen Dienstleistungen, die den vorgenannten Tätigkeiten dienlich sind.

Bedingt durch den Geschäftsgegenstand des Unternehmens ist die managedhosting.de GmbH bei der Erbringung Ihrer Dienstleistungen für gewerbliche Kunden in entscheidendem Maße auf die korrekte Funktion und die Verfügbarkeit der von Ihr betriebenen Informations- und Kommunikationstechnik (IT) angewiesen.

Somit hat die ständige Gewährleistung der Informationssicherheit einen sehr hohen unternehmerischen Stellenwert.

Aus diesem Grund hat die Geschäftsführung der managedhosting.de GmbH, in Zusammenarbeit mit dem Informationssicherheitsbeauftragten der managedhosting.de GmbH einen Informationssicherheitsprozess für den Umgang mit den IT-Einrichtungen eingeführt.

Die Leitlinie zur Informationssicherheit soll deshalb für alle Mitarbeiter und Kunden Aufforderung und Verpflichtung zu verantwortungsbewusstem und gesetzeskonformen Umgang mit der IT- Infrastruktur der managedhosting.de GmbH sein.

Die managedhosting.de GmbH schützt durch die Sicherung ihrer Arbeitsfähigkeit der von ihr betriebenen IT-Infrastruktur ihr Ansehen und ihre unternehmerischen Interessen in der Öffentlichkeit sowie ihre Vertrauenswürdigkeit für Auftraggeber und Partner.

Die Gewährleistung der allgemeinen Informationssicherheitsanforderungen Verfügbarkeit, Vertraulichkeit, Integrität und als erweitertes Schutzziel der Authentizität von Informationen ist deshalb wichtiger Bestandteil der Unternehmensphilosophie der managedhosting.de GmbH.

Der Informationssicherheitsprozess ist Gegenstand eines eigenen Informationssicherheitskonzeptes. Dieser Informationssicherheitsprozess orientiert sich an dem Grundschutzstandard des Bundesamtes für Informationssicherheit (BSI).

Das Management und die Mitarbeiter verpflichten sich auf die Einhaltung und Umsetzung der Ziele und Maßnahmen.

Technisch-organisatorische Maßnahmen der managedhosting.de GmbH

Bei Abschluss eines Vertrags zur Auftragsverarbeitung sind auch die technischen und organisatorischen Maßnahmen mit denen der Auftragnehmer die Einhaltung der vertraglichen Verfplichtungen sicherstellt, schriftlich festzulegen. Dazu werden hiermit durch folgende technische und organisatorische Maßnahmen verbindlich festgelegt.

Öffentliche Aufträge in der Cloud

Der IT-Planungsrat des Bundes und das BSI haben Handlungsanweisungen und Mindeststandards für die Vergabe öffentlicher Aufträge an Cloud Service Provider (CSP) festgelegt:

• IT-Planungsrat: Entscheidung 2015/08 – Öffentliche Aufträge in der Cloud
• IT-Planungsrat: Cloud – Handlungsempfehlungen
• IT-Planungsrat: Cloud – Kriterientabelle
• BSI – Mindeststandard des BSI zur Nutzung externer Cloud-Dienste
• BSI – Anforderungskatalog Cloud Computing

Dementsprechend kann die managedhosting.de GmbH als Cloud Service Provider Dienstleistungen der Kategorie 1 (Private Cloud) sowie Dienstleistungen der Kategorie 3 (Managed Cloud kommerzieller deutscher Anbieter) für öffentliche Auftraggeber erbringen. Die Erfüllung der sich aus den Handlungsempfehlungen ableitenden Anforderungen an Betrieb und IT-Sicherheit wird im diesen Artikel anhängenden Dokument kriterien_cloud_anbieter.pdf erläutert.

E-Mail und E-Mail Sicherheit

Um die Gefahr einer Ausführung von Schadsoftware so gering wie möglich zu halten, ist kein Versand von E-Mails an Empfänger der E-Mail- Domain managedhosting.de möglich, die Anhänge folgenden Typs enthalten:

• MS-Word Dokument: *.doc, *.docm
• MS-Excel Dokument: *.xls, *.xlsm
• MS-Powerpoint: *.ppt, *.pptm
• Auführbare Dateien: *.exe, *.com, *.bat, *.vb*, *.dll
• Archive: *.rar

E-Mail mit erkannten Dateien werden in Quarantäne gespeichert und nach 90 Tagen automatisch gelöscht. Der Empfänger erhält eine entsprechende Systemnachricht und kann mit dem Absender alternative Möglichkeiten des Dateiaustauschs abstimmen.

Dokumente im Open Document Format (*.odt, *.odp, *.ods) sind davon nicht betroffen. Microsoft Office Dokumente die keine Makros enthalten können (*.docx, *.xlsx, *.pptx) sind ebenfalls nicht betroffen.  Microsoft Office ab Version 10 kann Dokumente auch im Open Document Format zum Austausch erzeugen. Archive im 7Zip – Format (*.7z) und ZIP – Format (*.zip) sind davon nicht betroffen.