EPLAN Cloud Sicherheitsmaßnahmen
Zur Absicherung Ihrer Daten innerhalb der EPLAN Cloud setzen wir auf umfangreiche Sicherheitsmaßnahmen. Hier stellen wir Ihnen einige exemplarische Maßnahmen vor.
Datenverschlüsselung
Durchgängige Verschlüsselung von Daten im Ruhezustand mit Advanced Encryption Standard (AES 256) und sicherer End-to-End-Verschlüsselung für Daten bei der Übertragung (TLS 1.2)
Alle Daten innerhalb der EPLAN Cloud sind durchgängig verschlüsselt und somit vor unautorisiertem Zugriff geschützt. Dabei werden Daten im Ruhezustand nach dem „Advanced Encryption Standard“ mit einer Schlüssellänge von 256 Bit verschlüsselt (AES 256). Bei der Übertragung von Daten, z. B. beim Up- oder Download, wird eine sichere End-to-End-Verschlüsselung nach dem Sicherheitsstandard TLS 1.2 realisiert (z. B. durch HTTPS-Verbindung). Somit sind Ihre Daten in allen Bereichen der EPLAN Cloud vor unautorisiertem Zugriff geschützt.
Zugriffssicherheit (Identity and Access Management)
Sicheres Identitäts- und Zugriffsmanagement mit starken Passwortvorgaben (nach BSI-Standard), verbunden mit einer Zwei-Faktor-Authentifizierung sowie einem durchdachten Zugriffs- und Rollenkonzept
EPLAN hat für Administratoren der EPLAN Cloud ein klares Rollen- und Zugriffskonzept für den Zugriff auf Daten eingerichtet (engl. Role Based Access Control). Nur im Bedarfsfall (z. B. bei Support-Anfragen oder notwendigen Wartungsarbeiten) wird ein zeitlich eingeschränkter Zugriff auf die Daten innerhalb der EPLAN Cloud gewährt. Dabei werden Zugriffsrechte nach einem Minimalrechteprinzip und beschränktem Zeitfenster vergeben. Durch regelmäßige Rechteüberprüfungsverfahren wird sichergestellt, dass Zugriffsrechte stets passend zur jeweiligen Rolle erteilt werden. Zugriffe auf Daten werden grundsätzlich protokolliert.
Cloud-Überwachung
Automatisierte 24/7-Anomalie-Überwachung in Echtzeit sowie organisiertes und schnelles Vorgehen bei auftretenden Störungsereignissen durch geschulte Experten des internen Security & Operations Teams
Die EPLAN Cloud wird 24/7 durch umfangreiche Protokollierungs- und Monitorfunktionen in Echtzeit fortlaufend überwacht. Dabei wird beispielsweise kontrolliert, ob die Front-End-Systeme der EPLAN Cloud sowie im Hintergrund laufende Back-End-Systeme grundsätzlich verfügbar sind und mit ausreichender Performance operieren. Ein dediziertes Team von Experten wird automatisch informiert, sollte es zu Abweichungen oder Störungen kommen. Umfassend erprobte Verfahren stellen darüber hinaus sicher, dass bei Abweichungen von Normalzuständen die betroffenen Systeme schnellstmöglich wieder in den gewünschten Soll-Zustand überführt werden können.
Backup- und Recovery-Verfahren
Umfassendes Backup- und Recovery-Konzept für Notfallsituationen inklusive rollierenden Backup-Verfahrens
EPLAN sichert die Daten der EPLAN Cloud in regelmäßigen Zyklen und bewahrt Backups nach festgelegten Zeiträumen auf. Die Durchführung des Backup-Verfahrens richtet sich nach den anerkannten Vorgaben der ISO 27001. Dabei werden Backups grundsätzlich vollständig verschlüsselt und vor unautorisiertem Zugriff geschützt. Der Schlüssel zum Entschlüsseln von Backups wird streng geschützt und sicher aufbewahrt. Er wird nur in Notsituationen und nach einem definierten Freigabeverfahren zur Verfügung gestellt. Die Integrität der Backups wird getestet und sichert somit bei Bedarf die Verfügbarkeit und Funktionalität.
Agile Softwareentwicklung nach dem DevSecOps-Prinzip
Agile Softwareentwicklung im Rahmen eines organisierten Software Development Lifecycles mit automatisierten Funktions- und Sicherheitstests sowie Code-Reviews
Die Qualität und die Verfahren für die internen Softwareentwicklungsprozesse bei EPLAN sind nach der ISO 9001 zertifiziert. Diese sichert eine durchgängig strukturierte und organisierte Verfahrensweise zur Softwareerstellung der EPLAN Cloud-Produkte: von der ersten Konzeptplanung bis hin zur Auslieferung von fertigen Softwareprodukten. EPLAN entwickelt Software unter Einsatz agiler Methoden und der Integration von Sicherheitsmaßnahmen nach dem DevSecOps-Prinzip. Dabei werden beispielsweise automatisierte Testverfahren, Code-Reviews und kontrollierte Abnahmeverfahren eingesetzt. Alle Phasen des Softwareentwicklungszyklus werden gesteuert und in Bezug auf die Implementierung bewährter Sicherheitstechniken überwacht. Für den Austausch von Daten kommen moderne REST-API mit integrierten starken Authentifizierungsverfahren zum Einsatz. Selbstverständlich wird das Trennungsgebot von Entwicklungs-, Test- und Produktivumgebungen strikt durchgesetzt und eingehalten.
Schwachstellenanalysen (Threat Intelligence)
Umfangreiche Analysen zur automatischen Erkennung von Bedrohungen und Schwachstellen inklusive Durchführung regelmäßiger Penetrationstests sowie Sicherheitsüberprüfungen durch unabhängige Dritte
EPLAN sammelt Informationen über neuartige Bedrohungen mithilfe von internen und externen Ressourcen. Automatisierte Tools und interne Sicherheitsexperten analysieren die erhaltenen Informationen. So werden sinnvolle Strategien und effektive Abwehrmaßnahmenpläne ermittelt und zeitnah umgesetzt. Zu den konkreten Maßnahmen gehören beispielsweise regelmäßig durchgeführte interne und externe Penetrationstests zur proaktiven Aufdeckung möglicher Schwachstellen oder ein automatisiertes Patch-Management zur zeitnahen Einspielung notwendiger Sicherheitsupdates. Die hochqualifizierten EPLAN Sicherheitsexperten nehmen regelmäßig an fachspezifischen Schulungsmaßnahmen teil. So stellt EPLAN sicher, dass das notwendige Know-how der internen Sicherheitsexperten immer auf dem aktuellen Stand ist.