Zum Hauptinhalt wechseln

Sicherheit bei Atera

Die stabile, integrierte Sicherheit von Atera steht im Mittelpunkt unseres Handelns – so können Sie sicher sein, dass Ihre Daten stets sicher und geschützt sind.

KONFORMITÄT

Atera hat die ISO/IEC 27001, 27017, 27018 und 27032 Konformität erreicht.

ISO/IEC 27001:2013

ISO 27001 ist eine Norm für die Informationssicherheit, die ursprünglich im Jahr 2005 von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht wurde. Im September 2013 wurde die Norm ISO 27001:2013 veröffentlicht, die die ursprüngliche Norm von 2005 ablöst. ISO 27001 ist ein weltweit anerkannter, auf Standards basierender Ansatz für Sicherheit, der die Anforderungen an das Informationssicherheitsmanagementsystem )ISMS einer Organisation festlegt. 

ISO/IEC 27017:2015

ISO 27017 ist ein Sicherheitsstandard, der für Anbieter und Nutzer von Cloud-Diensten entwickelt wurde, um eine sichere Cloud-basierte Umgebung zu schaffen und das Risiko von Sicherheitsproblemen zu verringern.

ISO/IEC 27018:2019

ISO 27018 ist die erste internationale Norm, die speziell für den Datenschutz beim Cloud Computing entwickelt wurde. Laut der Internationalen Organisation für Normung (ISO) besteht ihr Hauptziel darin, “allgemein anerkannte Kontrollziele, Kontrollen und Richtlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten (PII) festzulegen”.

ISO/IEC 27032:2012

ISO 27032 ist eine internationale Norm, die Leitlinien für die Verbesserung der Cybersicherheit enthält und die besonderen Aspekte dieser Tätigkeit und ihre Abhängigkeiten von anderen Sicherheitsbereichen herausstellt, insbesondere von der Informationssicherheit, der Netzsicherheit, der Internetsicherheit und dem Schutz kritischer Informationsinfrastrukturen (CIIP).

Klicken Sie hier, um die Bescheinigungen herunterzuladen.

SOC 2 Type 2

Atera ist mit SOC 2 Typ 2 akkreditiert. Diese Zertifizierung beinhaltet eine strenge Bewertung der operativen Effektivität unserer Kontrollen über einen längeren Zeitraum und stellt sicher, dass unser Engagement für die Datensicherheit nicht nur theoretisch ist, sondern konsequent aufrechterhalten wird. Diese Akkreditierung spiegelt den proaktiven Ansatz von Atera wider, anerkannte Industriestandards zu erfüllen und zu übertreffen, und gibt unseren Kunden die Gewissheit, dass ihre sensiblen Daten mit äußerster Sorgfalt und unter Einhaltung der Vorschriften behandelt werden.

HIPAA

Der Health Insurance Portability and Accountability Act setzt den Standard für den Schutz sensibler Patientendaten.

Atera hat das HIPAA Seal of Compliance erhalten. Dieser Nachweis bestätigt Ateras “gutgläubige Bemühungen”, die HIPAA-Gesetze und -Vorschriften einzuhalten, und ist ein Zeugnis für unser Engagement, die höchsten Standards für Sicherheit und Datenschutz aufrechtzuerhalten.

Klicken Sie hier, um das HIPAA-Konformitätszertifikat von Atera herunterzuladen.

Wenn Sie Kunde eines Enterprise- oder Superpower-Tarifs sind und ein unterzeichnetes BAA benötigen, senden Sie bitte eine Anfrage an [email protected] und unser BAA wird Ihnen zur Unterschrift zugesandt.

Um den Seal of Compliance Letter zu erhalten, senden Sie bitte eine Anfrage an [email protected].

PCI-DSS

Atera-Abonnementdienste fallen nicht in den Geltungsbereich von PCI-DSS, da wir keine Kartendaten im Namen unserer Kunden verarbeiten.

Produkt Sicherheit

Audit-Protokolle

Atera unterhält Verwaltungsprotokolle sowie Protokolle für die Einrichtung und Änderung von Konten, einschließlich des Hinzufügens oder Entfernens von Benutzern, Segmenten, Quellen und Zielen.

Atera-Kunden können Protokolle von internen Atera-Angelegenheiten erhalten, die sich auf interne Änderungen am Status ihrer jeweiligen Atera-Konten beziehen. Häufige Änderungen sind CRUD-Operationen (Erstellen, Aktualisieren, Löschen) von Konten, Admin-Benutzern usw.

Multi-Faktor-Authentifizierung

Atera macht es Ihnen leicht, eine Multi-Faktor-Authentifizierung zu Ihrem Atera-Konto-Login-Prozess hinzuzufügen, um die Sicherheit Ihres Kontos zu erhöhen.

Rollenbasierte Zugriffskontrolle (RBAC)

Administratoren von Kundenkonten können problemlos Benutzer hinzufügen und entfernen. Atera verfügt über verschiedene definierte Benutzerrollen mit entsprechenden Berechtigungen.

Sichere Übertragung und Sitzungen

Die Verbindung zur Atera-Umgebung erfolgt über kryptografische SSL/TLS-Protokolle unter Verwendung globaler Step-up-Zertifikate, die gewährleisten, dass unsere Nutzer eine sichere Verbindung von ihren Browsern zu unserem Dienst haben.

Einzelne Benutzersitzungen werden identifiziert und bei jeder Transaktion mit einem eindeutigen Code, der bei der Anmeldung erstellt wird, erneut verifiziert.

Login-IP-Beschränkungen in Atera

Zugriffslisten-IP-Bereiche schränken den unbefugten Zugriff ein, indem sie die Benutzer auffordern, sich von bestimmten IP-Adressen aus bei Atera anzumelden – typischerweise Ihr Firmennetzwerk, bestimmte Kundennetzwerke oder VPN. Durch die Verwendung von Login-IP-Bereichen können Administratoren einen Bereich von erlaubten IP-Adressen definieren, um den Zugang zu Atera zu kontrollieren. Diejenigen, die versuchen, sich von außerhalb der festgelegten IP-Adressen bei Atera anzumelden, erhalten keinen Zugang.

Agent Sicherheit

Sobald ein Agent eingesetzt wird, wird ihm ein eindeutiger Schlüssel zugewiesen.  Dieser Schlüssel wird für die Authentifizierung verwendet. Die gesamte Kommunikation zwischen den Agenten und der Atera-Cloud wird anhand dieses eindeutigen Schlüssels überprüft und über Secure Socket Layer/Transport Layer Security (SSL/TLS) abgewickelt.

Ferngesteuertes Tunneln

Bei der Verwendung des Atera Remote Control-Tools wird ein virtueller Tunnel zwischen dem Atera-Nutzer und dem Zielcomputer aufgebaut. Alle Daten, die zwischen dem Nutzer und dem Agent übertragen werden, sind verschlüsselt. Sowohl der Atera-Nutzer als auch der Agent verbinden sich nur über den TCP-Port 443.

 

DATENSICHERHEIT

Im Ruhezustand verschlüsselte Daten

Die Daten werden im Ruhezustand mit AES-256 verschlüsselt.

Daten bei der Übertragung verschlüsselt

Wir verschlüsseln die Daten während der Übertragung mit HTTPS/TLS. Die unterstützte TLS-Version ist derzeit TLS 1.2 oder aktueller.

Verschlüsselung der Passwörter

Die Kennwörter der Benutzerkonten werden verschlüsselt und mit einem SHA-256-Algorithmus verschlüsselt.

 

DATENSCHUTZ

Datenschutzrichtlinie

Die Atera-Datenschutzrichtlinie beschreibt, wie wir persönliche Informationen sammeln, nutzen und behandeln, wenn Sie unsere Plattform, Website(s), App(s), Datenanalyse-Software und andere Dienste nutzen.

Besuchen Sie unsere Datenschutzbestimmungen hier.

 

GDPR

Atera hat sich dem Schutz Ihrer Daten verpflichtet und hält sich, soweit anwendbar, an die allgemeinen Datenschutzbestimmungen der EU, bekannt als GDPR. Weitere Informationen über Atera und GDPR finden Sie in unserem GDPR-Hinweis unter https://www.atera.com/gdpr-awareness-notice/

Richtlinie zur Datenaufbewahrung

Nach Beendigung des Kundenkontos wird der Zugriff darauf entfernt, und die mit dem Konto verbundenen Kundendaten werden logisch gelöscht und anschließend überschrieben. Wenn die Medien, auf denen die Kundendaten gespeichert waren, nicht mehr brauchbar sind, werden sie in Übereinstimmung mit den NIST SP 800-88 Revision 1 Guidelines for Media Sanitation und den Sicherheitsrichtlinien des DoD vernichtet.

Zusatzvereinbarung zur Datenverarbeitung

Wir gehen in unseren Dienstleistungsvereinbarungen auf die Datenverarbeitung ein und bieten unseren Kunden ein Addendum zur Datenverarbeitung an.

Um ein DPA anzufordern, wenden Sie sich bitte an: [email protected]

Anträge auf Löschung von Daten

Kunden können die Löschung von Daten beantragen, indem sie sich an den Datenschutz-Support von Atera wenden. Jeder Antrag auf Löschung von Daten, der von einer betroffenen Person im Zusammenhang mit einem Kunden eingeht, wird an den betreffenden Kunden weitergeleitet.

Bei Bedenken, Anfragen oder zur Ausübung Ihrer Datenschutzrechte wenden Sie sich bitte an: [email protected]

 

Datenschutzbeauftragter (DSB)

Unser ernannter Datenschutzbeauftragter ist dafür verantwortlich, dass alle unsere Datenschutzmaßnahmen auf dem neuesten Stand sind und alle Verfahren eingehalten werden. Der DSB arbeitet mit erfahrenen Sicherheitsexperten zusammen (CISO, CISM, CRISC, CISSP, CISA, CIPM, CEH, CIPPE, CDPSE).

 

MANAGEMENT UND REAKTION AUF ZWISCHENFÄLLE

Benachrichtigung bei Datenverletzungen

Im Falle eines tatsächlichen oder vermuteten Verstoßes gegen die Informationssicherheit oder eines anderen Vorfalls, der die Sicherheit oder Integrität Ihrer Daten beeinträchtigt, wird Atera die im Atera Information Security Incident Response Plan definierten Richtlinien einhalten und Sie in Übereinstimmung mit dem geltenden Recht benachrichtigen.

Plan zur Reaktion auf Zwischenfälle (Incident Response Plan-IRP)

Atera verfügt über einen formellen Prozess für das Management von Sicherheitsvorfällen im Rahmen einer entsprechenden Richtlinie und eines Verfahrens. Es gibt Eskalationsverfahren, um die rechtzeitige Mitteilung von Sicherheitsvorfällen über die Verwaltung und an alle betroffenen Kunden ohne unangemessene Verzögerung sicherzustellen.

Verfügbarkeit und Zuverlässigkeit

Atera nutzt die Infrastruktur der Microsoft Azure-Plattform, da diese als eine der flexibelsten, zuverlässigsten und sichersten Cloud-Umgebungen konzipiert wurde, die heute verfügbar sind.

Unsere Infrastruktur ist auf mehrere, geografisch verteilte Einrichtungen in Rechenzentren verteilt, die für maximale Sicherheit und Verfügbarkeit ausgelegt sind. An allen Standorten kommen die besten Praktiken der Branche zum Einsatz, darunter Zugangssysteme mit Ausweisen und biometrischen Merkmalen, zusätzliche Stromquellen, zusätzliche Klimaanlagen und Feuerlöschsysteme. Sicherheitspersonal und Kameras überwachen diese Standorte 24 Stunden am Tag, 365 Tage im Jahr. Nur befugtes Personal darf diese Rechenzentren betreten, und alle Besuche werden protokolliert.

Wir haben unsere Datenerfassungsumgebung für Abonnementdienste auf eine hohe Verfügbarkeit von mindestens 99,75 % ausgelegt.

Automatische Skalierung

Wir ermöglichen eine automatische Skalierung in der Cloud.

Die Cloud-Infrastruktur von Atera kann skaliert werden, um Daten von Millionen von Geräten zu verarbeiten. Echte Cloud-Skalierung wird durch die automatische Skalierung der Cloud-Infrastruktur ohne Auswirkungen auf den Endbenutzer erreicht, der auf Daten zugreift oder sie schreibt.

Schutz vor Denial of Service (DoS)

Atera hat Cloudflare Security Services sowohl für die Web Application Firewall als auch für den Denial-of-Service-Schutz und das Content Delivery Network eingesetzt.

Redundante Infrastruktur

Die Atera-Dienste werden so eingesetzt, dass sie von der Überflüssigkeit der Infrastruktur der Microsoft Azure-Plattform profitieren.

Qualitätssicherungs-Tests

Atera folgt einem Prozess des Änderungsmanagements für Änderungen an der Produktionsumgebung. Wenn die Validierung fehlschlägt, wird die Anwendung auf ihre vorherige Version zurückgesetzt.

Service-Überwachung

Atera nutzt Azure Log Analytics und Application Insights zur Überwachung seiner Systeme, um servicebezogene Probleme zu erkennen. Das Atera-Team wird rund um die Uhr alarmiert, wenn die Schwellenwertkriterien überschritten werden.

Status Seite

 

ORGANISATORISCHE SICHERHEIT

Vertraulichkeitsvereinbarungen

Unsere Dienstleistungsvereinbarungen ermöglichen die vertrauliche Behandlung von vertraulichen Kundeninformationen, einschließlich Kundendaten. Um den absoluten Schutz vertraulicher Informationen zu gewährleisten, verlangen wir von allen unseren Mitarbeitern und Auftragnehmern sowie von Lieferanten die Unterzeichnung von Vertraulichkeitsvereinbarungen.

Sicherheitsschulung für Mitarbeiter

Wir schulen alle neuen Mitarbeiter im Rahmen ihrer Einführungsschulung über ihre Verpflichtungen in Bezug auf Vertraulichkeit, Datenschutz und Informationssicherheit. Eine obligatorische jährliche Sicherheits- und Datenschutzschulung sorgt dafür, dass die Mitarbeiter ihr Wissen und ihre Kenntnisse auffrischen. Ingenieurteams erhalten weitere Schulungen, die sich auf ihre Arbeitsaufgaben und ihren Zugang beziehen.

Workstations der Mitarbeiter werden automatisch gesperrt

Die Workstations unserer Mitarbeiter werden über das von uns implementierte MDM-System nach einer bestimmten Zeit der Nichtbenutzung automatisch gesperrt.

Verschlüsselung der Workstations der Mitarbeiter

Alle Workstations der Mitarbeiter werden verschlüsselt und zum Zeitpunkt der Außerbetriebnahme nach DoD-Standards gelöscht.

Begrenzter Mitarbeiterzugang (Prinzip des geringsten Privilegs)

Atera folgt bei der Regelung des Mitarbeiterzugriffs auf unsere Systeme dem Prinzip des “geringsten Privilegs”. Der Zugang zu den Daten unserer Kunden ist auf legitime geschäftliche Erfordernisse beschränkt, einschließlich Aktivitäten, die zur Unterstützung der Nutzung unserer Dienstleistungen durch unsere Kunden erforderlich sind.

Wir ordnen unsere Netzwerkkonten direkt unseren Mitarbeitern zu, indem wir eine eindeutige Kennung verwenden; allgemeine administrative Konten werden nicht verwendet. Wir überprüfen regelmäßig den Zugang der Mitarbeiter zu internen Systemen, um sicherzustellen, dass die Zugriffsrechte und -muster der Mitarbeiter mit ihrer aktuellen Position übereinstimmen.

Es gibt ein förmliches Verfahren zur Benachrichtigung von Mitarbeitern über ihre Kündigung, das von unserer Personalabteilung eingeleitet wird. Nach der Benachrichtigung durch die Personalabteilung werden alle physischen und Systemzugänge unverzüglich entzogen.

Physische Zugangskontrolle

Atera hat angemessene Kontrollen eingeführt, um den physischen Zugang zu seinen Büros zu beschränken.

Unsere Cloud-Dienstleister haben solide Sicherheitsmaßnahmen eingeführt, um den physischen Zugang zu den von uns genutzten Datenverarbeitungseinrichtungen zu kontrollieren.

Sicherer Fernzugriff auf das Netzwerk

Die Workstations der Mitarbeiter von Atera verwenden Zero Trust-Kontrollen, um eine End-to-End-Netzwerkverschlüsselung, mehrschichtige Sicherheit und Identitäts-Zugriffsmanagement mit MFA zu bieten, um eine private, sichere Verbindung sowohl zum Internet als auch zu den arbeitsbezogenen Netzwerkressourcen von Atera zu gewährleisten. 

Alle Remote-Verbindungen werden regelmäßig überwacht, und die Mitarbeiter werden benachrichtigt, wenn die Verbindung zum Netzwerk unterbrochen wird oder wenn andere Sicherheitsmeldungen ausgelöst werden.

Sichere Datenspeicherung und -übertragung

Um zu gewährleisten, dass Daten auf sichere Weise gespeichert, empfangen und zwischen Arbeitsplätzen übertragen werden, verwenden die Mitarbeiter von Atera Datentresore.

Passwort-Manager

Atera ist sich der Bedeutung der Verwaltung von Benutzerpasswörtern bewusst und hat ein sicheres, unternehmensweites Passwortmanagementsystem implementiert, um die Passwörter der Mitarbeiter und des Unternehmens zu schützen und zu verwalten.

 

GESCHÄFTSKONTINUITÄT

Plan zur Geschäftskontinuität

Atera hat eine integrierte Geschäftskontinuitäts- und Disaster-Recovery-Richtlinie eingeführt und unterhält im Rahmen dieser Richtlinie entsprechende Pläne.

Plan zur Wiederherstellung im Katastrophenfall

Atera unterhält durch den Einsatz mehrerer geografisch verteilter Rechenzentren, unsere Plattformarchitektur, die externe Datensicherung und die Möglichkeiten des Fernzugriffs wesentliche Fähigkeiten zur Vermeidung von Katastrophen, zur Bereitschaft und zur Wiederherstellungsplanung. Wir verfügen außerdem über eine Geschäftskontinuitäts- und Notfallwiederherstellungsrichtlinie und entsprechende Pläne, die wir regelmäßig testen.

Daten-Backups

Atera speichert alle Kundendaten auf Microsoft Azure-Speichersystemen und verwendet Hot-Backups, die in sicheren Azure-Einrichtungen außerhalb der Produktionsstätten gespeichert werden. Der Zugang zu den Sicherungsmedien ist stark eingeschränkt.

Schutz der Arbeitsumgebung

Atera hostet seine Daten und Anwendungen auf Microsoft Azure, für seine Produktionsinfrastrukturumgebung.

Azure nutzt die hier erwähnten Schutzmaßnahmen, die auch Folgendes umfassen:

Zugangskontrolle und physische Sicherheit

  • 24-Stunden-Sicherheitspersonal, einschließlich Fußpatrouillen und Perimeterinspektionen
  • Biometrisches Scannen für den Zugang
  • Speziell für Rechenzentren vorgesehene Räume mit Betonwänden
  • Computerausrüstung in zugangskontrollierten Stahlkäfigen
  • Videoüberwachung der gesamten Anlage und des Geländes
  • Das Gebäude ist für lokale Erdbeben-, Sturm- und Überschwemmungsrisiken ausgelegt
  • Nachverfolgung der Entfernung von Vermögenswerten

Umgebungskontrollen

  • Kontrolle von Luftfeuchtigkeit und Temperatur
  • Redundantes (N+1) Kühlsystem

Leistung

  • Unterirdische Netzeinspeisung
  • Redundante (N+1) CPS/UPS-Systeme
  • Redundante Stromverteilungseinheiten (PDUs)
  • Redundante (N+1) Dieselgeneratoren mit Vor-Ort-Diesellagerung

Netzwerk

  • Betongewölbe für die Glasfasereinführung
  • Redundante interne Netzwerke
  • Netzneutral; Anschluss an alle großen Carrier und Standort in der Nähe wichtiger Internetknotenpunkte
  • Hohe Bandbreitenkapazität

Branderkennung und -bekämpfung

  • VESDA (sehr frühes Rauchmeldegerät)
  • Zweifach-Alarmierung, Zweifach-Verriegelung, Mehrzonen-Feuerlöschanlage mit wasserbasierter Vorlöschanlage

 

 

INFRASTRUKTUR

Atera wird auf dem Goldstandard für Cloud-Sicherheit betrieben: Microsoft Azure.

Die Azure-Rechenzentren von Atera befinden sich in West-EU (Amsterdam) und US-Central (Iowa).

Azure-Rechenzentren halten robuste physische Sicherheitsstandards ein und sind ISO 27001, ISO 27017, ISO 27018, ISO 27032, HIPAA, FedRAMP, SOC-1 und SOC-2 konform.

Mehrmandanten-Architektur

Atera bietet seine Abonnementdienste in einer mandantenfähigen Architektur an, bei der die Daten in jedem Kundenkonto logisch von anderen Konten getrennt sind. Die Daten werden im Ruhezustand mit AES-256 verschlüsselt.

ISO 27001 – Rechenzentrum

Microsoft Azure-Rechenzentren – zertifiziert nach den folgenden ISO-Normen: ISO 27001:2013, ISO 27017:2015 und ISO 27018:2019, ISO 27701:2020.

SOC 2 Typ II – Rechenzentrum

Die Microsoft Azure-Rechenzentren sind nach den SOC 2 Typ 2-Prinzipien für Sicherheit, Vertraulichkeit, Verfügbarkeit und Datenschutz zertifiziert.

Physische Zugangskontrolle – Rechenzentrum

Weitere Informationen finden Sie unter folgendem Link, der die Sicherheitsmaßnahmen von Microsoft rund um die Azure-Infrastruktur näher beschreibt.

https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security

Zero-Trust-Architektur

Zero-Trust (ZT) ist der Begriff für eine sich entwickelnde Reihe von Cybersicherheit-Paradigmen, die die Verteidigung von statischen, netzwerkbasierten Parametern auf Benutzer, Anlagen und Ressourcen konzentrieren.

Atera wendet eine Zero-Trust-Architektur (ZTA) an und nutzt Zero-Trust-Prinzipien für die Planung und den Aufbau seiner Infrastruktur und Arbeitsabläufe, so dass kein implizites Vertrauen in Anlagen oder Benutzerkonten allein auf der Grundlage ihres physischen oder Netzwerk-Standorts gewährt wird.

 

GEFAHREN-MANAGEMENT

Penetration-Tests

Wir haben einen unabhängigen Sicherheitsanbieter, der vierteljährlich manuelle Penetrations-Tests unserer internen und externen Infrastruktur und Dienste durchführt. Diese manuellen Tests werden durch automatisierte Tests ergänzt, die monatlich mit einer Reihe von kommerziell erhältlichen Testtools durchgeführt werden.

Wenn Sie eine Kopie von Ateras letztem Bericht über Penetrationstests erhalten möchten, senden Sie bitte eine Anfrage an [email protected]. Da ein NDA erforderlich ist, geben Sie bitte den vollständigen Namen, die Adresse und den Sitz Ihres Unternehmens an.

Scannen auf Schwachstellen

Atera verwendet mehrere automatisierte Scanning-Tools, um sowohl die Infrastruktur als auch die Anwendungen regelmäßig auf Sicherheitslücken zu überprüfen. Die Scans werden bei jedem Code-Build und vor der Zusammenführung von Code durchgeführt.

Statische Anwendungen-Sicherheitstests (SAST)

Der Quellcode wird regelmäßig auf Schwachstellen gescannt, bevor er in die Produktion geht.

Anfordern von Atera-Kundendaten

Die Kundendaten und die Privatsphäre von Atera sind von größter Bedeutung und werden in Übereinstimmung mit unserer Datenschutzpolitik behandelt. Aus diesem Grund ist Atera nicht in der Lage, Informationen über seine Nutzer oder Konten ohne einen Gerichtsbeschluss, eine Vorladung oder eine andere Form eines gerichtlichen Verfahrens herauszugeben. Für weitere Informationen, siehe hier.

 

Atera Subprozessor-Liste

Hier finden Sie eine aktuelle Liste der Namen und Standorte der Unterauftragsverarbeiter, die die personenbezogenen Daten der Nutzer der Kunden von Atera verarbeiten. Weitere Informationen zu unseren Unterauftragsverarbeitern finden Sie in unserer Datenschutzrichtlinie.