IDS Online Backup - SICHERHEIT


GESETZLICHE RICHTLINIEN - Auflagen an Datensicherungssysteme
Fakt ist

Unternehmen setzen immer stärker auf die elektronische Datenverarbeitung. Je mehr Unternehmensprozesse IT-gestützt ablaufen und je enger die Supply Chains zwischen einem Unternehmen und seinen Geschäftspartnern geknüpft sind, desto mehr Daten fallen an. Weltweit reagieren Behörden nunmehr mit teils drastischen, einschlägigen Gesetzen und Verordnungen auf die wachsende Abhängigkeit der modernen Industriegesellschaften von der dauerhaften Verfügbarkeit digitaler Daten, insbesonders auf deren Revisionssicherheit und Aufbewahrung.

Deutsche und Österreichische Gesetzgebung

In Deutschland schreiben beispielsweise die seit dem 1. Januar 2002 gültigen "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) vor, geschäftsrelevante Daten von Unternehmen über lange Zeit hinweg revisionssicher aufzubewahren. Revisionssicher bedeutet dabei, dass die Daten so gespeichert sind, dass sie sich nachträglich nicht ändern lassen. Bei den GDPdU handelt es sich um eine Verwaltungsanweisung des Bundesfinanzministeriums, in der dieses bestimmte Rechtsnormen aus der Abgabenordnung und dem Umsatzsteuergesetz zur digitalen Aufbewahrung von Buchhaltungen, Buchungsbelegen und Rechnungen konkretisiert.

 In Österreich ist dies ähnlich durch das Finanzministerium geregelt. Finanzrelevante Daten dürfen das Land nicht verlassen! Was die Revisionssicherheit anlangt ist diese bis jetzt nur bei Aktiengesellschaften rechtlich gefordert, doch die Umsetzung dieser Anforderungen auch an unsere KMU’s wird nicht mehr lange auf sich warten lassen. Basel II etwa zwingt Unternehmen jetzt bereits, Vorkehrungen für den unterbrechungsfreien Betrieb zu treffen.

EU und Internationale Regulierungen

Gesetzliche Bestimmungen gibt es in zahlreichen Ländern. Die „schärfsten“ gesetzlichen Maßnahmen setzen die USA. So regelt hier zum Beispiel das Sarbanes Oxley Act von 2002 die Regeln der Bilanzierungs-, Prüfungs- und Haftungsvorschriften neu. Es verlangt von Unternehmen dabei auch den Nachweis, dass wichtige Daten in der Zeit zwischen erstem Speichern und späterer Überprüfung nicht verändert wurden. Zahlreiche international tätige Unternehmen müssen außerdem Bestimmungen des Health Insurance Portability and Accountability Act von 1996 und die Datenaufbewahrungsrichtlinien der Securities and Exchange Commission (SEC) erfüllen. Diese Anforderungen erfordern eine Anpassung unternehmensinterner Prozesse und eine Überarbeitung der IT-Systeme. Die Verantwortung liegt in der Regel neben den Eigentümern und Geschäftsführern, bei den IT- und Finanzchefs, da sie in den meisten Fällen die Projekte für die Erfüllung dieser Normen leiten.

IDS ONLINE BACKUP ist zu den nachfolgenden gesetzlichen Regulierungen geprüft und erfüllt alle Kriterien zum Backup hochsensiblen Daten:
Sarbanes Oxley Act von 2002 (SOX) - Kapitalmarkt-Transaktionen

Der „Sarbanes-Oxley Act of 2002“ ist ein US-Bundesgesetz, das sich auf die Verbesserung der Berichterstattung von Unternehmen am Kapitalmarkt konzentriert. Es gilt als Reaktion auf die Bilanzskandale von Enron und Worldcom. Durch diese Gesetzgebung soll das Vertrauen von Anlegern wiedergewonnen werden. Sämtliche Finanzdaten, die durch Unternehmen veröffentlicht werden, sollen durch den Sarbanes-Oxley Act of 2002 für den Anleger wieder sicher und verlässlich sein. Durch strenge Richtlinien wird dies gewährleistet. So ist beispielsweise festgelegt, dass die Ordnungsmäßigkeit der Abschlüsse durch CEO (Chief Executive Officer = Geschäftsführer oder Vorstand eines Unternehmens) oder CFO (Chief Financial Officer = kaufmännischer Geschäftsführer) bestätigt werden muss. Außerdem sind die Strafvorschriften wesentlich verschärft worden. Das Gesetz ist für alle in- und ausländischen Unternehmen gültig, deren Wertpapiere entweder in den USA in der Öffentlichkeit angeboten werden, am Handel an US-Börsen teilnehmen oder die Wertpapiere mit Eigenkapitalcharakter besitzen, die außerbörslich in den USA gehandelt werden.

Financial Industry Regulatory Authority – Compliance/Langzeitarchivierung finanzrelevanter Datensätze und elektronischer Kommunikation

Die Financial Industry Regulatory Authority ist als Genehmigungsbehörde in den USA hauptsächlich verantwortlich für die Beaufsichtigung von Personen, welche in der Wertpapierbranche involviert sind. Die Securities and Exchange Commission (kurz SEC) delegierte diese Verantwortlichkeit zur FINRA. Die FINRA ist eine sich selbst regulierende Organisation (Self Regulatory Organization, kurz SRO) und ist damit keine direkte Behörde der Regierung. Die FINRA ist ein Zusammenschluss der National Association of Securities Dealers (NASD), der Vollzugsbehörde der New York Stock Exchange (NYSE) und der NYSE Regulierungsbehörde. Der Zusammenschluss wurde am 26. Juli 2008 endgültig vollzogen. Alle Unternehmen, die mit Wertpapieren handeln, die nicht durch eine andere SRO reguliert werden, wie das Municipal Securities Rulemaking Board, kurz MSRB, müssen Mitgliedsunternehmen der FINRA sein. Auch Personen, die die Lizenz besitzen öffentlich mit Wertpapieren zu handeln, sind als registrierte Handelsvertreter bekannt. Als Basis zur Kontrolle der Datenflüsse wurde eine IT-Complience aufgelegt welche die Verhaltensmaßregeln kontrolliert.

Health Insurance Portability and Accountability Act (HIPAA) - Aufzeichnung und Lagerung von Patientendaten

Die USA haben den Health Insurance Portability and Accountability Act erlassen, um elektronische Transaktionen im Gesundheitswesen zu vereinfachen und personenbezogene Patientendaten zu schützen. HIPAA fordert von betroffenen Stellen, dass sie Richtlinien und Verfahren entwickeln, um die zur Vereinfachung der Verwaltung und zum Schutz personenbezogener Patientendaten vorgeschriebenen Standards wirksam umzusetzen. Davon betroffen sind: Krankenversicherungen, Gesundheitsdienstleister sowie Verrechnungsstellen. Zu den einschlägigen Bestimmungen des HIPAA gehören die Regelung bezüglich Transaktionen und Codes, Datenschutzregelung und die Sicherheitsregelung inklusive Datenablage und Datensicherung.

Gramm – Leach - Bliley Act (GLBA)- Schutzmaßnahmen für Verbraucherinformationen in Banken und Versicherungen

Der Gramm-Leach-Bliley Act dient vorallem der Geheimhaltung und dem Schutz von Kundendaten durch Finanzdienstleister und fordert Standards hinsichtlich der administrativen, technischen und physischen Sicherheitsmaßnahmen. Er modernisiert die ältere US-Gesetzgebung und verpflichtet Finanzinstitute, die am US-amerikanischen Markt tätig sind, zur Einhaltung bestimmter Sicherheitsstandards sowie zu technischen Maßnahmen für die Netzwerksicherheit. Das Gesetz fordert ausdrücklich die Entwicklung von unternehmensweiten Sicherheitsrichtlinien und dient dem Schutz und der Vertraulichkeit von Kundendaten vor bekannten Bedrohungen und vor unautorisierten Zugriffen. Der Gramm-Leach-Bliley Act bezieht sich auf den gesamten Finanzsektor, also nicht nur auf Banken, Wertpapierhändler, Hypothekenmakler sondern auch auf Kreditkarten- und Versicherungsunternehmen, Bausparkassen und Finanzplaner.


TECHNISCHE RICHTLINIEN - Auflagen an das IDS Online Backup Rechenzentrum
Das IDS Online Backup Rechenzentrum erfüllt alle gesetzlichen und technischen Kriterien zur Aufbewahrung und Langzeitarchivierung sensibler Geschäftsdaten.
Das IDS Online Backup RECHENZENTRUM,

ist der zentrale Knotenpunkt, hier sind alle Server untergebracht. IDS-Online-Backup benutzt die Infrastruktur eines der besten und modernsten Datenzentren Österreichs, das der UPC Telekabel Wien GmbH. Das IDS-Backup-Rechenzentrum ist auf Sicherheit, Zuverlässigkeit und Schnelligkeit ausgerichtet und befindet sich nebenbei an einem der wichtigsten Daten-Knotenpunkte Österreichs.

Das gesamte Datenzentrum wird 24 Stunden pro Tag technisch überwacht. Die Serverräume sind mit einer redundanten Stromversorgung (USV ) und zusätzlich mit einem Backup durch Dieselgeneratoren ausgestattet. Selbstverständlich sind Systeme für Klimakontrolle und Brandbekämpfung vorhanden. Die Systemtechniker des UPC-Network Operation Center (NOC) sichern und überwachen alle wichtige Komponenten des Netzwerks, haben jedoch keinen Zugriff auf die Daten der IDS Online  Backupserver. Das Datenzentrum ist videoüberwacht, verfügt über eine Zutrittskontrolle (biometrisches Zugangssystem mit Zugangsschleuse und Kartensystem) und wird durch eine Security Firma rund um die Uhr bewacht.

Alle IDS Online Backupserver verfügen über doppelte Netzteile, Hardware Raidcontroller und gespiegelte Festplatten (RAID50 u. 2 x Hot Spare oder Raid 6 u. 2 x Hot Spare). Jeder IDS Online Backupserver wird von einem zweiten Server in Echtzeit gesichert. Für Sie bedeutet das, dass Ihre Daten auf vier unterschiedlichen Festplatten und auf zwei unterschiedlichen Servern gelagert werden. Da sich die Sicherungsserver in einem 2. Rechenzentrum befinden, welches nicht mit dem Internet verbunden ist sondern über eine Standleitung mit dem IDS-Hauptrechenzentrum kommuniziert, können wir höchste Sicherheit für Ihre Daten, auch im Katastrophenfall, garantieren.

Das Um und Auf bei Datensicherungssystemen im „online“ Bereich ist die Betriebssicherheit des eingesetzten Rechenzentrums und der verwendeten Hardware-Infrastruktur. Die Überwachung der Server und ihrer Erreichbarkeit wurde mit Hilfe von Loadbalancern realisiert. Eine automatische Umschaltung bei Ausfall von Systemkomponenten und die Benachrichtigung der Administration stellen weiters einen kontinuierlichen Systembetrieb sicher. Die Stromversorgung des Rechenzentrums basiert auf dediziert parallel geschalteten Transformatoren sowie einer kapazitätsangepassten und generatorgestützten USV, die auch vor Totalausfällen schützt.

Die Klimatisierung erfolgt mit der Solltemperatur von 22°C und einen Sollwert für die Luftfeuchtigkeit von 45 %. Ein mehrstufiges Branderkennungs- und Schutzsystem in Koppelung mit der Klimatechnik ergänzt die moderne Infrastruktur und kann lokale Brände durch ein unabhängiges Hi-Fog-Brandlöschsystem löschen.

Mehrstufige, redundante Firewallsysteme schirmen Server vom Internet gezielt ab. Lösungen zur Detektion erfolgreicher Angriffe, gekoppelt mit intelligenten Lösungen für die unmittelbare Rückführung von Manipulationen stellen sicher, dass die Systeme nicht gestört werden.


IDS Online Backup - Datenleitungen

Das IDS Online Backup Rechenzentrum verfügt über Mehrfachanschlüsse mit dem Vienna Internet Exchange (VIX) und allen anderen wichtigen nationalen und internationalen Providern. Das IDS Online Backup Rechenzentrum verfügt über redundante Gigabit Glasfaser Internetleitungen. Bedeutende Systeme, wie Server, Router, Switches und Firewalls gibt es in mehrfacher Ausführung, sodass die Störanfälligkeit bei einem Ausfall geringer ist.

Zur sicheren Verbindung im Internet ist eine SSL-verschlüsselte Datenleitung erforderlich. SSL ist die Abkürzung für „Secure Socket Layer“, was so viel bedeutet wie "sichere Sockelschicht". Entwickelt von den Firmen Netscape und RSA Data Security soll das SSL-Protokoll gewährleisten, dass sensible Daten beim Surfen im Internet, beispielsweise Kreditkarten-Informationen beim Online Shopping, verschlüsselt übertragen werden. Somit soll verhindert werden, dass Dritt-Nutzer die Daten bei der Übertragung nicht auslesen oder manipulieren können. Zudem stellt dieses Verschlüsselungsverfahren die Identität einer Website sicher. Ausgelöst wird das SSL-Protokoll dann, wenn dem http ("Hypertext Transfer Protocol" oder auch "Hypertext-Übertragungsprotokoll") ein s für "secure", also sicher, beigefügt wird. Bei jedem Aufruf einer solchen https-Seite überprüft der Browser nun, ob der Webseitenbetreiber ein gültiges SSL-Zertifikat verwendet. Ist das nicht der Fall, gibt der Browser einen entsprechenden Warnhinweis und fragt den Nutzer, ob er fortfahren möchte. Gründe dafür können sein, dass das verwendete Zertifikat entweder unbekannt oder abgelaufen ist. 

Die Funktionsweise der SSL Verschlüsselung ist folgende: Tippt man bei der gewünschten Internet-Adresse "https" ein, so fordert der Internet-Browser vom angesprochenen Server ein Zertifikat an. Dabei muss der Server, um das Zertifikat zurück schicken zu können, sein Zertifikat von einer Zertifizierungsstelle erhalten. Anschließend schickt er es zurück an den Browser, damit er dieses überprüfen kann. Dafür erhält er vom Verzeichnisdienst der Zertifizierungsstelle Informationen über die Gültigkeit des angeforderten Zertifikats. Anhand dieser Daten ist der Browser nun in der Lage zu prüfen, ob er auch tatsächlich mit dem entsprechenden Server verbunden ist. Bei erfolgreicher Überprüfung signalisiert der Browser dem Nutzer eine sichere Verbindung. Die meisten Browser verwenden hierfür symbolhaft ein kleines geschlossenes Vorhängeschloss, welches am unteren rechten Rand im Browserfenster zu sehen ist.

Bei einem gültigen SSL-Zertifikat kommunizieren die Rechner nun über einen symmetrischen Schlüssel, der in der sicheren asymmetrischen Verschlüsselung passieren kann. Um diese Sicherheit noch zu verstärken, schickt der eigene Browser vor Beginn des eigentlichen Datentransfers einige Testnachrichten, welche vom Server nur dann beantwortet werden können, wenn er auch wirklich der Server ist, der er vorgibt zu sein.

IDS Online Backup - DATENVERSCHLÜSSELUNG

AES (Advanced Encryption Standard) ist ein symmetrisches Verschlüsselungs-system. Dieser Mechanismus wurde im Oktober 2000 als Nachfolger für DES/3DES vom NIST (National Institute of Standards and Technology) spezifiziert. Der entsprechende Algorithmus wurde von J. Daemen und V. Rijem entwickelt, wobei dieser auch als Rijndael-Algorithmus bekannt ist.

Der Rijndael-Algorithmus beinhaltet eine variable Blockgröße von 128, 192 oder 256 Bit und zudem eine variable Schlüssellänge von 128, 192 oder 256 Bit. Durch diese Erhöhung der Schlüssellänge bietet AES ein hohes Maß an Sicherheit. AES verwendet dabei eine Blockgröße von 128 Bit. Bei der Schlüssellänge wird die Variabilität von 128, 192 oder 256 Bit beibehalten.

Anhand dieser variablen Schlüssellänge wird zwischen 3 AES-Varianten unterschieden: AES-128, AES-192, AES-256 

In den USA, Deutschland, Österreich und vielen anderen Ländern mit hohen Sicherheitsstandards im Datenverkehrsbereich ist AES für staatliche Dokumente der höchsten Sicherheitsstufe zugelassen.