# Rechenzentren

Wir betreiben zur Zeit alle Server bei der ITandTel in Wels.
Diese Rechenzentren sind ISO/IEC 27001 zertifiziert:

24x7x365 Erreichbarkeit und Zutritt
Redundante High-Speed Glasfaseranbindung
providerunabhängig
Hochverfügbare Stromanbindung (99,9%)
Redundante USV Anlage mit Batterie und Generator
Energieeffizientes, redundantes Klimakonzept
Brandfrühesterkennung und Brandlöschanlage
Überwachung durch Netzwerk-Management und Building-Management-System
Protokolliertes Zutritts-System
Zertifizierung nach ISO/IEC 27001
Green IT: umweltschonend und sparsam

 

# Büro Infrastruktur + Mitarbeiter/innen

Die Kommunikation zwischen unseren Büroinfrastrukturen und Rechenzentren erfolgt ausschließlich über VPN-Verbindungen.
Mitarbeiter/innen “on the road” nutzen ebenfalls ausschließlich VPN-Verbindungen, Laptops von Techniker/innen sind voll verschlüsselt.
Es gilt eine strenge Passwort-Policy wobei alle relevanten Systeme nicht mit Passwort-Schutz sondern ausschließlich über valide Keys/Zertifikate erreichbar sind. Die CA wird von uns selbst, im RZ gesichert, verwaltet.

Es werden generell keine unverschlüsselten Medien außerhalb der Rechenzentren verwendet. Unverschlüsselte Datenverbindungen sind nicht möglich (es kommt vor allem SSH im VPN zum Einsatz).

Es gibt Out-Of-House Backupserver die nicht im Rechenzentrum und geografisch getrennt betrieben werden. Diese Server haben ebenfalls verschlüsselte Dateisysteme (luks/crypt), die Datensicherung erfolgt via VPN/SSH. Das Selbe gilt für externe Monitoring-Server.

Alle Mitarbeiter/innen haben ein NDA unterzeichnet und sind zu Stillschweigen verpflichtet. Es finden regelmäßig Teambesprechungen zum Thema Security statt, aktuelle Sicherheitslücken, Social-Engineering und Vorfälle der Vergangenheit aber auch absehbare Bedrohungen der Zukunft sind dabei immer ein Thema. Fachliteratur zum Thema und Besuch von einschlägigen Veranstaltungen sind Pflicht.

 

# Technische Infrastruktur

Alle unsere Server werden mit GNU/Linux in aktueller, gewarteter Version betrieben.

Das Netzwerk ist stark segmentiert und in unterschiedliche Sicherheits-Zonen unterteilt. So werden diverse LAN-Segmente, Backup-,
Monitoring, Konfigurations-, Kunden-Server und Managed-Services unterschieden und entsprechend physisch getrennt geführt.

 

Wir verfügen über ein Patch-Management, Updates werden mindestens täglich eingespielt. Bei schweren Sicherheitslücken reagieren wir
prompt. Alle Server sind außerdem durch IPS, Integrity Checker und das Monitoring überwacht.

Das Monitoring meldet hierbei auch “verdächtige” Aktivitäten (zb geografisch verteilte Logins auf den selben Account innerhalb kurz Zeit,
öffnen von Netzwerkverbindungen die auf C&C hinweisen, usw usf..).

Server Daten werden statistisch erfasst und heuristisch ausgewertet um Trends oder Auffälligkeiten frühzeitig erkennen zu können.

Unsere Technik ist 24/7 erreichbar und greift bei Vorfällen prompt ein. Diese werden auch im Abuse-/und Incident Management erfasst und nach vorgefertigten Workflows abgehandelt.

Bei Incidents jeglicher Art (Spam, Einbruch in Systeme etc..)  werden Accounts oder Server sofort gesperrt und bei nicht angemessener Reaktion des Kunden auch gekündigt. Wir betreiben eine offene Informationspolitik, dh. Kunden werden immer von sicherheitsrelevanten Ereignissen informiert.