Sicherheitsmaßnahmen

Informationssicherheitsprogramm

Acronis unterhält ein umfassendes Programm für Informationssicherheit und Compliance, das administrative, physische und technische Kontrollen basierend auf kontinuierlichen Risikobewertungen beinhaltet. Unsere Richtlinien und Prozesse für Informationssicherheit basieren auf allgemein anerkannten Sicherheitsstandards, zum Beispiel ISO 27001 und NIST (National Institute of Standards and Technology). Dabei werden die Vorgaben entsprechender lokaler gesetzlicher Vorschriften berücksichtigt, einschließlich der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und dem Health Insurance Portability and Accountability Act (HIPAA) der USA.

INFRASTRUKTURSICHERHEIT

Acronis hostet Daten- und Cloud-Produkte in vertrauenswürdigen, geografisch verteilten Datenzentren in den USA und der Schweiz sowie in Großbritannien, Frankreich, Deutschland, Japan, Singapur und an anderen Standorten. Die Kunden haben dabei das Recht, die Region bzw. Datenzentren zu wählen und zu kontrollieren, in denen ihre Daten gespeichert werden. Dadurch können sie problemlos die Einhaltung regionaler Gesetzesvorgaben (z. B. der DSGVO) zum Datenstandort gewährleisten.

Die Datenzentren halten höchste physische Sicherheitsstandards ein, um unberechtigte physische Zugriffe zu verhindern und die Sicherheit der Kundendaten zu gewährleisten. Nur autorisiertes Personal hat Zugang zu den Datenzentren. Dies wird mit strikten Zugangskontrollen, Kontrollprotokollen sowie Überwachungskameras gewährleistet.

Die Energieversorgungssysteme der Datenzentren sind darauf ausgelegt, für die gesamte Infrastruktur 24 Stunden am Tag und an sieben Tagen in der Woche ununterbrochene Stromversorgung zu ermöglichen. Die Datenzentren werden über mindestens zwei unabhängige Stromquellen mit Energie versorgt. Automatisierte unterbrechungsfreie Stromversorgungen schützen im Fall von Leistungsumschaltungen vor Spannungsspitzen und gewährleisten den unterbrechungsfreien Wechsel zu Dieselgeneratoren.

Die Infrastrukturen sind auf Hochverfügbarkeit und Redundanz sowie darauf ausgelegt, die damit zusammenhängenden Risiken zu minimieren und einzelne Problemstellen zu vermeiden.

Dank der redundanten Infrastruktur kann Acronis die meisten Präventiv- und Maintenance-Maßnahmen ohne Dienstunterbrechungen durchführen. Geplante Maintenance-Arbeiten und Veränderungen in der Infrastruktur werden entsprechend den Spezifikationen der Hersteller sowie internen dokumentierten Prozeduren durchgeführt.

Für alle kritischen Ressourcen verfügt Acronis über Geschäftskontinuitäts- und Disaster Recovery-Pläne, die regelmäßig getestet werden. Die RTOs (Recovery Time Objectives) und RPOs (Recovery Point Objectives) für Cloud-Dienste werden basierend auf der Relevanz der jeweiligen Architektur- und Dienstfunktionen definiert.

Acronis bietet Echtzeit-Verschlüsselung für alle zwischen Kunden und Datenzentren, zwischen Acronis Mitarbeitern und Datenzentren sowie zwischen Datenzentren übertragenen Daten. Diese Echtzeit-Verschlüsselung bietet den besten Schutz für Netzwerkinteraktionen und verhindert nicht autorisierte Zugriffe (Lesen, Ändern oder Löschen oder Kopieren) auf übertragene Daten.

Das Acronis Netzwerk ist mehrstufig und zonenbasiert aufgebaut. Die verwaltete Netzwerkausrüstung separiert sowie isoliert interne, externe und Kundenumgebungen und bietet Routing und Filterung für Netzwerkprotokolle und -pakete.

Um die Netzwerksicherheit zu gewährleisten und das Risiko externer Eindringungsversuche zu minimieren, verwendet Acronis eine Firewall für Webapplikationen (WAF), die Sofort-Schutz vor SQL-Injektionen, Cross-Site-Scripting, nicht autorisierten Ressourcenzugriffen, Einschleusung von Remote-Dateien sowie anderen OWASP-Bedrohungen (Open Web Application Security) umfasst.

Acronis verwendet die sicheren Datenübertragungsprotokolle HTTPS (TLS) mit starken Verschlüsselungsalgorithmen und bietet Sicherheit durch Kryptographie-Schlüsselaustausch (Diffie-Hellman), um die übertragenen Daten zu schützen und die Risiken kompromittierter Schlüsselinformationen zu minimieren.

ZUGANGSKONTROLLEN

Acronis hat eine unternehmensweite Zugangskontrollrichtlinie implementiert, die den Zugriff auf Informationsquellen und Daten entsprechend dem jeweiligen Aufgabenbereich beschränkt. Die Vergabe der Zugangsberechtigungen erfolgt auf dem Prinzip des Wissensbedarfs und minimaler Berechtigungen.

Die internen Zugangskontrollprozeduren erkennen und verhindern unberechtigte Zugriffe auf Acronis Systeme und Informationsquellen. Wenn der Zugang gewährt wird, verwendet Acronis zentrale Zugangskontrollsysteme mit sicheren Mechanismen und Authentifizierungsprotokollen (LDAP, Kerberos, SSH-Zertifikate), eindeutige Benutzer-IDs, starke Kennwörter, Zwei-Faktor-Authentifizierung sowie beschränkte Zugriffssteuerungslisten, um die Wahrscheinlichkeit unberechtigter Zugriffe zu minimieren.

Zusätzlich werden alle Zugriffe in System-Überwachungsprotokollen erfasst, die nicht geändert werden können. Die Überwachungsprotokolle werden regelmäßig überprüft.

DATENSPEICHERSICHERHEIT

Die Acronis Cloud-Umgebung ist mandantenfähig. Daher bietet die Architektur der Acronis Cloud-Dienste physische und logische Isolierung und Separation der Kundendaten, damit möglichst wenige Daten entsprechend den genannten Verarbeitungszwecken verarbeitet werden müssen.

Acronis speichert Kundendaten mit einer eigenen Lösung für Software-Defined Storage, Acronis Storage mit Acronis CloudRAID-Technologie. Acronis Storage ermöglicht die schnelle, universelle, sichere, kosteneffiziente und zuverlässige Speicherung von Block-, Datei- und Objekt-basierten Daten.

Die Laufwerke und Ausrüstung, auf denen die Datenspeicherung bzw. Datenverarbeitung erfolgt, können defekt sein und zur Reparatur oder Entsorgung ausgetauscht werden. In diesem Fall ergreift Acronis Maßnahmen, um die vollständige Löschung der Daten von den Laufwerken und die Entfernung verbleibender Daten aus dem internen Speicher der Ausrüstung zu gewährleisten. Dabei wird NIST SP 800-88rev1 eingehalten. Falls es nicht möglich ist, diese Informationen zu entfernen (löschen), wird die Ausrüstung physisch so zerstört, dass das Lesen (Wiederherstellen) dieser Daten unmöglich ist.

PERSONENBEZOGENE SICHERHEIT

Die wichtigste Ressource von Acronis ist das Personal. Die Mitarbeiter sind verpflichtet, die Acronis Richtlinien in Bezug auf Vertraulichkeit, Geschäftsethik und den Verhaltenskodex einzuhalten. Acronis geht bei der Wahl des Personals sorgfältig vor, indem basierend auf lokal anwendbaren Gesetzen, gesetzlichen Regeln und ethischen Normen angemessene Hintergrundkontrollen zu potenziellen neuen Mitarbeitern durchgeführt werden.

Alle Mitarbeiter erhalten entsprechend ihren Funktionen und Positionen Schulungen zur Steigerung der Aufmerksamkeit für Informationssicherheit, Datenschutz und Datenverarbeitung.

LIEFERANTENBEZIEHUNGEN

Bevor Acronis Verträge mit anderen Drittanbieter-Unterauftragsverarbeitern oder Service Providern eingeht, führt Acronis eine gründliche Due-Diligence-Prüfung durch, um zu gewährleisten, dass das jeweilige Drittunternehmen entsprechend seinen Datenzugriffen angemessene Sicherheit und Vertraulichkeit bieten kann. Verträge mit Drittanbietern decken die Anforderungen zu Informationssicherheit, Datenschutz und Vertraulichkeit ab. Während der Laufzeit eines jeden Vertrags überwacht und überprüft Acronis regelmäßig die Sicherheitskontrollen, die Dienstbereitstellung und die Compliance der Drittanbieter entsprechend den vertraglichen Anforderungen.

BEWERTUNG DER INFORMATIONSSICHERHEITSPROGRAMM-PERFORMANCE UND KONTINUIERLICHE VERBESSERUNG

Acronis überwacht sein Informationssicherheitsprogramm kontinuierlich, um neue Risiken für die Informationssicherheit zeitnah zu erkennen und schnell zu reagieren.