Sicherheit

Einleitung Sicherheit

In diesem Artikel finden Sie Informationen zur Sicherheit Ihrer Daten und welche Schutzmechanismen sqanit anwendet. Außerdem zeigen Praxisbeispiele, wie Sie den Schutz in verschiedenen Szenarien weiter erhöhen können.

Überblick Sicherheit - sqanit Private Cloud
Zertifizierter Speicherort: ISO/IEC 27001:2013	✓
Unterliegt strengsten europäischen Datenschutzbestimmungen	✓
Schutzmaßnahmen gegen Angriffe	✓
Stetige Scans auf Schwachstellen in Software und Hardware	✓
Stetige Scans zur Erkennung und Verhinderung von Datenverlust und Einbrüchen	✓
Stetige Scans auf Schwachstellen bei der Verschlüsselung	✓
Stetige Scans auf allgemeine Fehler und Fehlkonfigurationen	✓
Stetige Scans des API-Zugriffs auf Anomalien	✓
Regelmäßige Disaster-Recovery-Tests	✓
Zusätzliche Schutzmöglichkeiten optional konfigurierbar (z.B. PIN)	✓
Sichere Nutzung auch für unregistrierte Kunden (z.B. Code-Nutzer)	✓
Rollen- und Rechtemanagement	✓

Speicherort der Daten

Sqanit legt besonderen Wert darauf, dass Daten sicher gespeichert werden. Wir haben uns deshalb für unseren Partner Hetzner Online GmbH (externer Link) entschieden. Die von uns genutzten Hetzner-Server befinden sich ausschließlich in den Hochleistungs-Rechenzentren in Nürnberg und Falkenstein (Deutschland) sowie Helsinki (Finnland) und unterliegen somit strengsten europäischen Datenschutzbestimmungen. Weitere Informationen zum Thema Datenschutz und Datenverarbeitung finden Sie auf der Plattform im Teil "Rechtliches" (Link).

Schutzmaßnahmen gegen Angriffe

Schutzmaßnahmen die von sqanit im Hintergrund ergriffen werden, stellen sicher, dass Angreifern der Zugriff auf Daten verwehrt wird. Auffällige Verhaltensmuster bei Anfragen werden automatisch erkannt und blockiert (z.B. Brute-Force-Angriffe) und die maximale Anfragegeschwindigkeit beschränkt.

Zugriff auf die Plattform

Um Zugriff auf die digitalen Zwillinge und auf die Backoffice-Anwendung selbst zu bekommen, gibt es verschiedenen Wege:

Zugriff auf digitale Zwillinge als Code-Nutzer
Code-Nutzer sollen in der Regel Informationen und Unterlagen zu einzelnen Geräten abrufen können. Dafür erhalten sie eine URL der sie zu einem digitalen Zwilling führt.

• Link zum Anklicken z.B. in einer E-Mail - öffnet URL
• QR-Code zum Scannen - öffnet URL
• NFC-Tag zum Scannen - öffnet zur URL

Zugriff auf die Backoffice-Anwendung mit Kundenlogin
Mit einem Kundenlogin (Artikel) erhalten Kunden zusätzlich zu den digitalen Zwillingen, Zugang zu ihrer eigenen Backoffice-Anwendung, die ihnen weitere Funktionalität bietet, z.B. Mitarbeiter-, Geräte-, und Ticketübersicht sowie Dashboards mit Statistiken.

Zugriff auf die Backoffice-Anwendung als Mitarbeiter (Hauptplattform)
Eingeladene Mitarbeiter erhalten zusätzlich zu den digitalen Zwillingen, Zugang zur Backoffice-Anwendung, die ihnen weitere Funktionalität bietet, z.B. Mitarbeiter-, Geräte-, und Ticketübersicht sowie Dashboards mit Statistiken. Außerdem können Mitarbeiter der Hauptplattform, je nach Berechtigungslevel, auch Inhalte der Plattform verändern, Daten einpflegen, Tickets bearbeiten etc.

Login der Backoffice-Anwendung

Zur Backoffice-Anwendung gelangen die Nutzer (Kundenlogin oder Hauptplattform) über ein Login-Fenster:

• Nutzername = Account-E-Mail-Adresse
• Passwort = 32 Stellen bestehend aus Zahlen, Buchstaben in Groß- und Kleinschreibung sowie Sonderzeichen (Base64 Alphabet) (externer Link)

Das Passwort wird initial von sqanit per Zufallsgenerator erstellt, kann allerdings jederzeit vom Nutzer geändert werden.

Passworter ändern und zurücksetzen

Vergessen Nutzer ihr Login-Passwort, können sie jederzeit unter der Anmeldemaske über den Button "Passwort vergessen" ihr Passwort zurücksetzen lassen (Bild).

Nutzer können in ihren Profil-Einstellungen ihr Login-Passwort jederzeit ändern (Artikel).

Code-URL-Bestandteile

Wie sind Code-URLs (Links zur digitalen Zwillingen) bei sqanit geschützt?

Sqanit arbeitet aus Sicherheitsgründen mit sehr langen URLs. Diese bestehen aus mehreren Komponenten (Bild):

• Protokoll
• Domain
• Nutzername (Code-Nutzername=Code-ID) und Passwort

Nutzername und Passwort werden per Zufallsgenerator vom System erstellt und entsprechen dem aktuell höchsten Sicherheitsstandard. Verglichen mit einem vom Menschen erstelltem Passwort sind sie deutlich sicherer und quasi nicht zu „erraten,“ sowie nicht zu errechnen.

Bei sqanit hat der Passwort-Teil der URL allein 21 Stellen, bestehend aus Zahlen, Buchstaben in Groß- und Kleinschreibung sowie Sonderzeichen (Base64 Alphabet) (externer Link). Die 64 möglichen Zeichen und ergeben 64 hoch 21 (64^21= 85070591730234615865843651857942052864) mögliche Kombinationen.

Der Unterschied zwischen dem Login mit HTTP-GET und HTTP-POST-Methode

HTTP-POST-Methode
Die Anmeldedaten des Nutzers (Nutzername/Passwort) werden über ein Login-Fenster eingegeben.
Beispiel:
Ein Mitarbeiter nutzt das Login-Fenster um sich im Backoffice einzuloggen.

HTTP-GET-Methode
Die Anmeldedaten werden direkt über die URL - also in einem Link - geliefert.
Beispiel:
Ein Code-Nutzer scannt einen QR-Code und die hinterlegte URL wird geöffnet. Die URL beinhaltet die automatisch generierte Nutzername/Passwort-Kombination.

Hinweis:
Ob Anmeldedaten über ein Login-Fenster (Nutzername/Passwort mittels HTTP-POST-Methode) (externer Link) eingegeben oder direkt über die URL (mittels HTTP-GET-Methode) (externer Link) geliefert werden, spielt technisch keine Rolle. Gibt man Anmeldedaten über ein Login-Fenster ein, werden diese vom Browser im Hintergrund ebenfalls zu einer URL (HTTP-POST) zusammengefügt.

Häufige Falscheingabe der Nutzername/Passwort Kombination oder PIN

Eine innerhalb kurzer Zeit über die API zu häufig falsch angefragte Nutzername/Passwort Kombination führt dazu, dass das System den Zugang sperrt und die Administratoren der Plattform informiert.
Dies gilt sowohl für den Zugriff auf Codes, dem Login von Mitarbeitern, sowie dem Login von Nutzern des Kundenlogins.

PIN

PINs können als ergänzender Schutz des Codes eingesetzt werden (Artikel). Um Zugriff auf digitale Zwillinge zu erhalten müssen Code-Nutzer eine PIN eingeben.

Beispiel QR-Code ohne PIN-Schutz
Code-Nutzer scannen den Code und erhalten sofort Zugriff auf den digitalen Zwilling.


Beispiel QR-Code mit PIN-Schutz
Code-Nutzer scannen den Code und erhalten erst nach PIN Eingabe Zugriff auf den digitalen Zwilling.
Werden sie fünf Mal falsch eingegeben, wird der Code gesperrt und die Administratoren der Plattform informiert.


Die Reaktivierung des Codes nach einer Sperrung ist jederzeit möglich, durch:

• eingeloggte Mitarbeiter mit Zugriffsrechten auf das Gerät,
• eingeloggte Mitarbeiter des Kunden (Kunden-Login) mit Zugriffsrechten auf das Gerät.

Praxisbeispiele

Sqanit bietet Lösungen für verschiedenste Arten von Geschäftsmodellen, Anwendungsfällen und Kunden-Szenarien, welche flexibel an den betreffenden Fall angepasst werden können. Je nachdem wie die Plattform eingesetzt wird, gibt es entsprechend Möglichkeiten den Schutz der Daten weiter zu erhöhen und den Zugriff auf gewünschte Personengruppen zu limitieren.

Beispiel Szenario - Einfacher Zugriff

Ziel
Der Nutzer soll möglichst ohne Hürden, wie zum Beispiel dem Download einer App, dem Anlegen eines Accounts und ohne sich ein Passwort merken zu müssen, die Möglichkeit bekommen Informationen zum Gerät nachzuschlagen und mit zuständigen Personen Kontakt aufnehmen zu können.

Lösungsvorschlag
Für den Zugriff auf die digitalen Zwillinge erhält der Nutzer QR-Codes als Sticker (physisch) und/oder digital (QR-Codes in einer PDF oder URLs zum Anklicken).

Zugriff hat jeder, der Zugang zum QR-Code bzw. der URL hat. Der Download einer App ist dank Nutzung der PWA ("Progressive Web-App") nicht nötig und das Anlegen eines Accounts entfällt.

Beispiele, wie man den Schutz weiter erhöhen kann

• Schutz des QR-Codes durch PIN
• Verwenden Sie zwei Codes pro Gerät: einen PIN-geschützten für sensible Daten und einen ohne PIN für End-Nutzer in der Öffentlichkeit
• Physischer Schutz: Nutzung der bestehenden Zugangskontrolle der Einrichtung, z. B. könnte der QR-Code-Aufkleber hinter einer Servicetür des Geräts angebracht werden
• Erzeugen Sie den (QR-)Code nur digital, z. B. über einen Link, um ihn für Unbefugte weniger zugänglich zu machen.
• Verwendung von internen Tickets (Chat/Anhänge) - nur eingeloggte Mitarbeiter können diese sehen
• Machen Sie Links selbst passwortgeschützt (z.B. IFUs zu einer bereits geschützten Website, Dateihosting-Systeme wie Dropbox usw.)
• Verwendung von passwortgeschützten Dokumenten (z.B. passwortgeschützte PDFs)

Maximal möglicher Schaden
Selbst, wenn eine unbefugte Person sich Zugriff verschafft, hat diese Person nur Zugriff auf ein einzelnes Gerät und kann damit nicht auf andere Geräte schließen.

Beispiel Szenario - Zugriff mit Kundenlogin

Ziel
Ein Kunde möchte seinen Mitarbeitern Zugriff auf alle, auf seiner Plattform befindlichen Geräte, geben.

Lösungsvorschlag
Der Kunde erhält neben den QR-Codes (physisch und/oder PDF) für die einzelnen Geräte, auch einen „Kundenlogin“ (Artikel).

Neben den individuellen QR-Codes für einzelne Geräte erhält der Kunde Zugang zur Backoffice-Anwendung. Über diesen "Kundenlogin" kann der Kunde auf alle seine Geräte und die damit verbundenen Servicefälle zugreifen. Jeder zum Kundenlogin eingeladene Mitarbeiter bekommt Zugangsdaten per E-Mail zugesendet. Der Nutzername ist die Account-E-Mail-Adresse, das Passwort wird initial von sqanit gewählt, kann allerdings jederzeit vom Nutzer geändert werden.

Beispiele wie man den Schutz weiter erhöhen kann

• Schutz des QR-Codes durch PIN
• Physikalischer Schutz z.B. Anbringen des QR-Codes an geschütztem/uneinsichtigem Ort
• Keine Verwendung von QR-Code Stickern (physisch und/oder PDF) – Zugriff nur über Login
• Lange und sichere Nutzerpasswörter wählen und regelmäßig ändern

Ansprechpartner für Sicherheitsfragen

Falls Sie in Ihrer Projektplanung weitere Fragen zu diesem Thema haben, wenden Sie sich gerne an: sales@sqanit.com