Informationsübertragung

Interne Kommunikation vertraulicher Informationen (Intranet)

Gemäß dem Dokument zur Klassifizierung von Informationen (Wiki) gibt es drei Arten von Informationen, die auch bei einem Transport innerhalb des Firmen-Netzwerks besonders geschützt werden müssen, da sie als vertraulich eingestuft wurden:

E-Mails
Genutzt wird ein Microsoft Exchange Server in Verbindung mit Microsoft Outlook als Mail-Client. Die Kommunikation zwischen Server und Client wird durch TLS verschlüsselt.

Informationen auf Netzlaufwerken
Als Authentisierungsmechanismus bei der Domänen-Anmeldung wird Kerberos bzw. NTLMv2 (bei älteren Clients) angewendet. Eine grundsätzliche Verschlüsselung (z.B. via IPSec) der Daten, die im Active Directory zwischen Client und Server ausgetauscht werden, findet nicht statt. Das Risiko, dass pontentielle Angreifer den Netzverkehr belauschen und dabei auf den Netzlaufwerken liegende, sicherheitskritische Informationen abfangen können, wird als äußerst gering eingeschätzt.

Source Code
Der Source Code wird mittels der Versionsverwaltung GIT verwaltet und kann nur über GIT-Befehle zwischen Server und Clients ausgetauscht werden. Hierbei ist als Verschlüsselungsverfahren SSH im Einsatz für den Upload von Änderungen. Ein Herunterladen von Repositories ist auch per https möglich.

Externe Kommunikationswege (Internet)

Nutzung der Web-Applikationen (opta, Bewerbernavigator, Webshop …)
Die Kommunikation sämtliche Web-Applikationen, bei deren Nutzung sensible Daten ausgetauscht werden, sind mit https und TLS abgesichert.
Gleiches gilt auch für die Datei-Export-Funktionen der Web-Applikationen (z.B. “PDF-Export” und “Excel-Export”).
Das entsprechende Zertifikat wurde bei GlobalSign erworben und wird regelmäßig erneuert. Für die Gültigkeits-Sicherstellung ist die IT-Leitung verantwortlich. Sie wird regelmäßig via E-Mail über den Zertifikats-Status informiert.

Kommunikation zwischen Zentrale und Rechenzentrum
Server der Zentrale tauschen regelmäßig Daten mit den Servern im Rechenzentrum aus. Auch greifen Mitarbeiter aus der Zentrale gelegentlich auf die Server des Rechenzentrums zu. Diese Kommunikation wird über eine VPN-Verbindung realisiert und dabei mittels IPsec abgesichert.

Externer E-Mail-Verkehr
Bei der Verschlüsselung von E-Mail-Verkehr ist der Exchange-Server so eingestellt, dass automatisch immer die höchste auch von der Gegenseite akzeptierte Verschlüsselungsstufe gewählt wird.

API-Aufrufe
Die SOAP-Web-Schnittstelle (API), die den Kunden zur direkten Kommunikation zwischen den uform Produkten und ihren eigenen Software-Lösungen dient, kann sowohl via https, als auch via http angesprochen bzw. implementiert werden. Die Verantwortung liegt hier auf Seiten des Kunden. Der Kunde wird jedoch ausdrücklich darauf hingewiesen, dass eine Verbindung via https zu bevorzugen ist.

Test-Durchführung
Bei Einstellungstests, die auf der uform Test-Plattform durchgeführt werden, erfolgt eine kontinuierliche Zwischenspreicherung des Test-Fortschritts auf dem Server, sodass keine Eingaben zum Beispiel durch einen Abbruch der Verbindung verloren gehen. Ein abgebrochener Test kann dann an der Stelle wieder ansetzen, bis zu der die Eingaben komplett übertragen wurden.

Verwendung externer Online-Tests (Hogrefe Verlag)
Teilweise werden bei uform externe Online-Tests des Hogrefe Verlages in die eigenen Produkte eingebaut. Die Kommunikation mit der Test-Plattform des Hogrefe Verlages wird mit https und TLS abgesichert.

Austausch größerer Datenpakete
Soweit es die Dateigröße zuläßt, ist die Übertragung via Mail zu realisieren. Sollte die Anlagengröße das zulässige Limit überschreiten, kann die Anlage alternativ durch die IT-Leitung mittels einer (ggf. passwortgeschützten) Freigabe auf dem Webserver zur Verfügung gestellt werden.

Schnittstellen generell Bei der Anbindung von Fremdsystemen wird darauf geachtet, dass Verbindungen nur via https aufgebaut werden. Die Verfahren Basic-Auth und Authentifizierung per Token kommen dabei zum Einsatz. Beim Einsatz von FTP-Schnittstelle wird auf SFTP bestanden.