Technische und organisatorische Sicherheitsmaßnahmen

Letzte Aktualisierung – 25. Mai 2018

In diesem Dokument beschreiben wir die technischen und organisatorischen Sicherheitsmaßnahmen und Kontrollverfahren, die Mimecast zum Schutz der Daten anwendet, welche Kunden uns im Rahmen des Mimecast Services bereitstellen.

Für dieses Dokument gelten die folgenden Definitionen: 

  • „Kunde“ ist jeder Abonnent des Mimecast Services. 
  • „Mimecast Service“ bezeichnet die Software-as-a-Service, die Mimecast seinen Kunden zur Verfügung stellt.
  • „Kundendaten“ bezeichnet alle Informationen, die von Kunden zur Verfügung gestellt oder eingesendet und durch den Mimecast Service verarbeitet werden.
  • „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • „Mitarbeiter“ bezeichnet Mitarbeiter von Mimecast sowie autorisierte einzelne Vertragspartner/Lieferanten. 
  • „Starke Verschlüsselung“ bezeichnet den Einsatz von branchenüblichen Verschlüsselungsmethoden.

Dieses Dokument ist eine allgemeine Übersicht der technischen und organisatorischen Sicherheitsmaßnahmen von Mimecast.

Mimecast kann diese Maßnahmen von Zeit zu Zeit anpassen, wenn Änderungen der Sicherheitslandschaft dies erforderlich machen und wird seine Kunden, wo erforderlich, über diese Änderungen informieren.

1. Organisation der Informationssicherheit 

Ziel: 

Wir möchten einen Überblick der Informationssicherheitsstruktur von Mimecast geben.

Maßnahmen: 

a)      Mimecast beschäftigt in Vollzeit angestellte ausgebildete/zertifizierte Sicherheitsmitarbeiter, deren ausschließliches Aufgabengebiet die Informationssicherheit ist. 

b)      Mitarbeiter mit Informationssicherheitsauftrag berichten direkt dem Führungsteam von Mimecast.

c)      Mimecast verfügt über umfassende Informationssicherheitsrichtlinien, welche von der Geschäftsleitung genehmigt und an alle Mitarbeiter weitergegeben wurden.

d)      Alle Mitarbeiter von Mimecast haben rechtlich geprüfte Vertraulichkeitsvereinbarungen unterzeichnet.

e)      Alle Mitarbeiter von Mimecast erhalten Schulungen im Bereich der Informationssicherheit.

 

2. Informationssicherheits-Management-System 

Ziel: 

Wir möchten darlegen, auf welche Weise sich Mimecast für die Beurteilung und Behandlung von Sicherheitsrisiken und die Verbesserung seiner Informationssicherheit einsetzt.

Maßnahmen: 

a)      Mimecast verwendet ein Managementsystem für Informationssicherheit ISMS (Information Security Management System), welches die Grundlage unserer Informationssicherheitspraktiken darstellt.

b)      Mimecast sowie das ISMS von Mimecast wurden und werden auch zukünftig durch einen unabhängigen, externen Prüfer bewertet und sind bescheinigt nach:

  1. ISO 27001
  2. ISO 27018
  3. SOC II Type 2

c)      Kunden können auf Wunsch einmal pro Jahr Kopien dieser Bewertungen über ihren Kundenbetreuer anfordern.

3. Physischer Zugriff

Ziel: 

Wir möchten die physischen Assets schützen, die Kundendaten enthalten. 

Maßnahmen: 

  1. Der Mimecast-Service arbeitet von mehreren industriezertifizierten Rechenzentren von Drittanbietern mit einem definierten und geschützten Gelände, starken Zugangs-Kontrollen einschließlich Zugangskontrollmechanismen, kontrollierten Liefer- und Verladebereichen, Überwachungs- und Sicherheitspersonal.
  2. Jedes Rechenzentrum wird auf die Einhaltung der Sicherheitskontrollen von Mimecast geprüft.
  3. Ausschließlich autorisierte Mitarbeiter haben Zugang zu den Rechenzentren, in denen Kundendaten gespeichert sind. Der Zugang wird nur nach dem erfolgreich abgeschlossenen Anmeldevorgang einschließlich einer Sicherheitsprüfung gewährt, bei der ein amtlicher Lichtbildausweis vorgelegt werden muss.
  4. Strom- und Telekommunikationsverkabelungen mit Kundendaten oder unterstützende Informationsdienste in den Produktionsrechenzentren sind vor Abhören, Störungen und Beschädigungen geschützt. 
  5. Die Produktionsrechenzentren und deren Ausstattung sind physisch gegen Naturkatastrophen, unbefugtes Betreten, böswillige Angriffe und Unfälle geschützt. 
  6. Die Ausstattung des Produktionsrechenzentrums ist vor Stromausfällen und anderen Störungen durch Ausfälle bei unterstützenden Versorgungsunternehmen geschützt, und wird angemessen gewartet.

4. Systemzugriff 

Ziel: 

Wir möchten sicherstellen, dass Systeme, in denen Kundendaten gespeichert sind, ausschließlich von autorisierten, authentifizierten Benutzern verwendet werden. 

Maßnahmen: 

a)      Der Zugriff auf Systeme von Mimecast ist nur Mitarbeitern von Mimecast und/oder Mitarbeitern der Subunternehmer von Mimecast gestattet. Der Zugriff ist streng auf den Personenkreis begrenzt, der Aufgaben im Rahmen seiner Funktion zu erfüllen hat. 

b)      Der Zugriff auf Systeme von Mimecast erfolgt über eine eindeutige Benutzererkennung (UID). 

c)      Mimecast hat eine Kennwortrichtlinie erstellt, die das Teilen von Passwörtern verbietet und einen regelmäßigen Passwortwechsel sowie die Änderung voreingestellter Passwörter vorschreibt. Alle Passwörter müssen genau definierte minimale Komplexitätsanforderungen erfüllen und werden in verschlüsselter Form gespeichert.

d)      Zugriff auf Systeme, in denen Kundendaten gespeichert sind, ist nur über einen sicheren VPN-Tunnel möglich und erfordert einen zweiten Authentifizierungsfaktor. 

e)      Mimecast hat einen umfassenden Prozess entwickelt, nach dem Benutzer und ihre Zugangsrechte deaktiviert werden, sobald die jeweiligen Mitarbeiter das Unternehmen oder eine Position verlassen.

f)      Jeder Zugriff und versuchte Zugriff auf die Systeme wird protokolliert und überwacht.  

5. Zugriff auf Daten 

Ziel: 

Wir möchten sicherstellen, dass zugriffsberechtigte Mitarbeiter ausschließlich auf die Kundendaten zugreifen können, zu deren Zugriff sie berechtigt wurden. 

Maßnahmen: 

a)      Generell haben Mitarbeiter von Mimecast keinen Zugriff auf Kundendaten und wann immer der Zugang für die Erbringung des Services oder die Lösung einer Kundenanfrage erforderlich ist, muss die Anfrage auf Zugriff formell gerechtfertigt/verfolgt und vom Kunden genehmigt werden.

b)      Mimecast schränkt den Zugriff durch Mitarbeiter auf Kundendaten nach dem Prinzip „Kenntnis notwendig“ ein.

c)      Jeder Zugriff durch Mitarbeiter und die nachfolgenden Operationen werden protokolliert und überwacht.

d)      Mitarbeiter werden bei entsprechenden Schulungen über Zugriffsrechte und die allgemeinen Richtlinien zur Definition und Verwendung von Kundendaten aufgeklärt. 

6. Datenübertragung/Speicherung/Vernichtung 

Ziel: 

Wir möchten sicherstellen, dass Kundendaten während der Übertragung/Speicherung nicht von unbefugten Dritten gelesen, kopiert, verändert oder gelöscht werden können. 

Maßnahmen: 

a)      Der Kundenzugang zu den Mimecast-Service-Portalen ist durch die aktuellste Version des TLS(Transport Layer Security)-Protokolls geschützt.  

b)      Mimecast nutzt Strong Encryption bei der Übertragung von Kundendaten innerhalb unserer Produktionsrechenzentren.

c)      Jedem Kunden wird ein einmaliger Strong-Encryption-Schlüssel zugeteilt und dieser Schlüssel wird verwendet, um:

  1. Kundendaten zu verschlüsseln und innerhalb des Mimecast Service im Ruhezustand in einem verschlüsselten Format zu speichern;
  2. Kundendaten zu entschlüsseln, wenn dies im Rahmen des Services angefordert wird.

d)      Auf Wunsch des Kunden werden Kundendaten umgehend gelöscht.

  1. Es wird darauf hingewiesen, dass mit jedem Löschantrag die Kundendaten in der ersten Speicherkopie konsequenterweise gelöscht und dann in den anderen Kopien vollständig gelöscht werden. Mit dieser Vorgehensweise sollen versehentliche Löschungen oder vorsätzliche Beschädigungen verhindert werden.

e)      Mimecast-Geräte oder -Datenträger mit Kundendaten werden nicht physisch aus den Produktionsrechenzentren entfernt, ausgenommen sie werden vor einem solchen Umzug sicher gelöscht oder zur Vernichtung an einem externen Standort sicher übertragen. 

7. Vertraulichkeit und Integrität 

Ziel: 

Wir möchten gewährleisten, dass Kundendaten während des gesamten Verarbeitungsvorgangs vertraulich behandelt werden, sie während der Verarbeitungstätigkeiten nicht beschädigt werden und ihre Vollständigkeit und Aktualität beibehalten wird. 

Maßnahmen: 

a)      Mimecast verfügt über einen formellen Zuverlässigkeitsüberprüfungsprozess und führt Hintergrundprüfungen für alle neuen Mitarbeiter durch.

b)      Mimecast schult seine Engineering-Mitarbeiter in der Anwendung von Verfahren zur Anwendungssicherheit und sicheren Programmierung. 

c)      Mimecast verfügt über ein zentrales, gesichertes Quellcode-Repository, welches nur für autorisierte Mitarbeiter zugänglich ist. 

d)      Mimecast verfügt über ein formelles Anwendungssicherheitsprogramm und implementiert einen robusten Secure Development Lifecycle (SDL).

e)      Unsere Sicherheitstests umfassen regelmäßige Code-Reviews, Penetrationstests und die Anwendung von Tools für die Analyse von statischen Codes zur Identifizierung von Schwachstellen. 

f)      Alle Änderungen an der Software des Mimecast Service erfolgen über einen kontrollierten und geprüften Release-Mechanismus im Rahmen eines formellen Änderungssteuerungsprogramms. 

g)       Alle Verschlüsselungen und andere kryptografische Funktionalitäten des Mimecast Services verwenden branchenübliche Verschlüsselungs- und kryptografische Maßnahmen in Übereinstimmung mit den durch FIPS 140-2 verbreiteten Standards.

8. Verfügbarkeit 

Ziel: 

Wir möchten sicherstellen, dass Kundendaten vor versehentlicher Zerstörung oder versehentlichem Verlust geschützt sind und einen rechtzeitigen Zugang, die Wiederherstellung oder die Verfügbarkeit auf bzw. von Kundendaten bei Service-Vorfällen gewährleisten. 

Maßnahmen: 

a)       Mimecast verwendet eine hohe Redundanz bei der Speicherung von Kundendaten. Kundendaten werden in dreifacher Ausführung in zwei geografisch getrennten Rechenzentren mit zwei separaten Querverbindungen gespeichert.

b)      Jedes Rechenzentrum kann Kundendaten durch Failover- und Failback-Funktionalität bei Überschwemmungen, Erdbeben, Feuer oder anderer physischer Vernichtung oder bei Stromausfällen gegen versehentliche Zerstörung und versehentlichen Verlust schützen.

c)      Jedes Produktionsrechenzentrum verfügt über mehrere Stromversorgungseinheiten und Generatoren vor Ort und ist mit Akku-Backups zur Gewährleistung der Stromversorgung im jeweiligen Rechenzentrum ausgestattet. 

d)      Jedes Produktionsrechenzentrum verfügt über mehrere Zugangspunkte zum Internet, um die Verbindung aufrechtzuerhalten. 

e)      Jedes Produktionsrechenzentrum wird 24x7x365 auf Strom-, Netzwerk-, Umgebungs- und technische Probleme überwacht. 

f)      Mimecast unterhält ein stabiles Programm für Business Continuity/Disaster Recovery, das Folgendes umfasst:

  1. gut definierte, aktualisierte Pläne;
  2. regelmäßige Tests und Retrospektiven.

g)      Mimecast unterzieht seine Praktiken zur Business Continuity jedes Jahr einer unabhängigen ISO 22301-Bewertung.

h)      Kunden können auf Wunsch einmal pro Jahr Kopien dieser Bewertung über ihren Kundenbetreuer anfordern.

9. Datentrennung 

Ziel: 

Wir möchten gewährleisten, dass die Daten jedes Kunden separat verarbeitet werden. 

Maßnahmen: 

a)      Mimecast nutzt eine logische Abgrenzung innerhalb seiner Multi-Tenant-Architektur, um eine Trennung der Daten seiner Kunden zu gewährleisten.

b)      In jedem Verarbeitungsschritt wird den Kundendaten, die von einzelnen Kunden übermittelt werden, eine eindeutige ID zugewiesen, sodass Daten immer physisch oder logisch getrennt sind. 

c)      Kunden haben nur Zugriff auf ihre eigenen Kundendaten durch den Einsatz eines wie in Maßnahme 6.3. beschriebenen Strong-Encryption-Schlüssels.

10. Incident Management 

Ziel: 

Im Falle einer Sicherheitsverletzung, bei der Kundendaten betroffen sind, werden die Auswirkungen der Verletzung minimiert und der Kunde unverzüglich informiert. 

Maßnahmen:

a)      Mimecast verfügt über einen aktuellen Vorfallreaktionsplan, der Informationen zu Zuständigkeiten, der Evaluierung und Klassifizierung von Informationssicherheitsvorfällen sowie Vorfälle- und Reaktionspläne als auch -verfahren beinhaltet. 

b)      Mimecast testet seinen Vorfallreaktionsplan regelmäßig anhand theoretischer Übungen und nutzt die Erkenntnisse aus diesen Tests und aus theoretisch möglichen Szenarien für die kontinuierliche Verbesserung des Plans. 

c)      Im Falle einer Sicherheitsverletzung wird Mimecast seine Kunden unverzüglich nach eigener Kenntnisnahme der Verletzung informieren. 

11. Prüfung 

Ziel: 

Wir möchten sicherstellen, dass wir die Wirksamkeit der oben genannten technischen und organisatorischen Maßnahmen regelmäßig überprüfen, bewerten und evaluieren. 

Maßnahmen umfassen: 

a)      Mimecast führt regelmäßige interne und externe Prüfungen seiner Sicherheitsverfahren durch.

b)      Mimecast sorgt dafür, dass Mitarbeiter die technischen und organisatorischen Sicherheitsmaßnahmen, die in diesem Dokument dargelegt sind, kennen und erfüllen. 

c)      Mimecast beauftragt externe Sicherheitsexperten mit der mindestens halbjährlichen Durchführung von Penetrationstests des Mimecast Service. 

d)      Kunden können auf Wunsch einmal pro Jahr Kopien dieser Testergebnisse über ihren Kundenbetreuer anfordern.


Um Benachrichtigungen an Änderungen dieser und anderer Informationen im Zusammenhang mit der DSGVO zu abonnieren, klicken Sie bitte hier und abonnieren Sie den Feed „DSGVO-Dokumente“.