19. April 2018 |

10 brennende Fragen zum Thema Datensicherheit

1. Stelle dich und deine Aufgaben kurz vor.

Mein Name ist David Schneider und ich arbeite als Teamleader in der DevOps Abteilung von bexio. DevOps steht dabei für Verbesserungen in der Zusammenarbeit zwischen Development (Anm. d. Red.: Development entspricht der Produktentwicklung) und IT Operations. Wir sichern den ständigen Betrieb und die Erreichbarkeit der bexio Plattform für unsere Kunden und stellen darüber hinaus alles Notwendige für die Weiterentwicklung der bexio Plattform für Entwickler und Tester zur Verfügung. Auch sorgen wir dafür, dass neue Releases einwandfrei eingespielt werden können. Mit einem Release bezeichnen wir die Bereitstellung einer neuen Version unserer bexio Software.

2. Wie werden Kundendaten bei bexio gespeichert?

Die Daten unserer Kunden speichern wir in zertifizierten Schweizer Rechenzentren und führen täglich Backups durch. Dadurch muss sich der Kunde nicht um mühsame und zeitaufwendige Backups kümmern. Auch sorgen wir in regelmässigen Abständen für Updates (Anm. d. Red.: Aktualisierungen der Software) - damit unsere Kunden immer auf der aktuellen Version arbeiten und von Neuerungen wie Verbesserungen profitieren können. Unsere Kundendaten speichern wir auf verschiedenen Systemen und an verschiedenen Orten, um so gegen Ausfall bestmöglich abgesichert zu sein. Zudem existiert bei uns ein sogenannter «Disaster Recovery Plan», um maximale Sicherheit zu gewährleisten. Sollte es zu einem Ausfall unseres primären Rechenzentrums kommen, wird unter Anwendung des DRP das sekundäre Rechenzentrum alle Aufgaben vollwertig übernehmen. Dieser Plan wird einmal pro Jahr ausgeführt und somit auf seine Wirksamkeit und Funktionsfähigkeit geprüft. Für uns haben diese Tests einen hohen Mehrwert. Wir möchten garantieren, dass unsere Kunden jederzeit Zugriff auf ihre Daten haben und wir für den Ernstfall gerüstet sind. Nur wer Notfallpläne auch testet, kann deren Erfolg und Funktionalität garantieren.

3. Wo werden diese Daten gespeichert und wie sicher sind sie?

Unsere Server stehen bewusst in der Schweiz. Dabei nutzen wir auch mehrere Rechenzentren, um für Ausfälle gewappnet zu sein. Wir legen viel Wert darauf, dass die Rechenzentren zertifiziert sind; ISO 27001 zertifiziert. Dies ist die anerkannte Norm zur Informationssicherheit. Das Lagern der Daten im Inland ist für uns besonders wichtig, denn so garantieren wir Schweizer Recht, was Datensicherheit angeht. Der Datentransfer vom Server wird dabei per hohem Verschlüsselungsstandard (256 bit - SSL-Verschlüsselung) verschlüsselt.

«Datenspeicherung im Ausland ist oft nicht ausreichend transparent und sicher. Daher legen wir bei bexio viel Wert darauf, die Daten im Inland in zertifizierten Schweizer Rechenzentren zu speichern.»

4. Wer hat alles Zugriff auf die Daten?

Generell haben nur sicherheitszertifizierte Berechtigte innerhalb des Rechenzentrums Zugriff auf die Daten. Dies ist nötig, um z.B. Updates durchzuführen oder um Backups zu erstellen oder wiederherzustellen. Hierbei handelt es sich nur um eine Handvoll Verantwortlicher. Jeder Zugriff wird dabei auch aufgezeichnet und protokolliert. Zudem kann der Kunde bei Bedarf für einen beschränkten Zeitraum unserem Support Zugriff auf seine Datenbank gewähren. Dies muss der Kunde persönlich per Email bestätigen. Im Einzelfall bei spezifischen Fragen kann die Datenbankfreigabe bei der Lösung des Problems hilfreich sein.

5. Warum speichert bexio die Daten im Inland? Worin liegt der Unterschied zur Speicherung im Ausland?

Zum einen können wir damit Datensicherung nach Schweizer Recht garantieren. Zum anderen ist eine unverschlüsselte Datenspeicherung im Ausland oft nicht ausreichend transparent und sicher. Daher legen wir bei bexio viel Wert darauf, die Daten im Inland in zertifizierten Rechenzentren zu speichern. Gerade weil es bei den Daten unserer Kunden um sensible Geschäftsdaten handelt, ist dies für uns von hoher Bedeutung.

6. Was kann der Kunde zusätzlich tun, um seine Daten zu sichern?

Der Kunde sollte für seinen bexio-Zugang ein möglichst sicheres Passwort verwenden. Einfache Begriffe und Zahlenkombinationen können sekundenschnell geknackt werden. Für ein sicheres Passwort sollten sowohl Gross- und Kleinbuchstaben als auch Sonderzeichen und Ziffern verwendet werden. Dabei gilt: Je länger das Passwort, desto schwieriger ist es zu knacken. Zudem können Kunden für ihr bexio das AddOn Google Authenticator von Google nutzen. Mit der Zwei-Faktoren Authentifizierung wird damit zusätzlich für Sicherheit des Accounts gesorgt. Bei jedem Login wird nach der Eingabe der normalen Zugangsdaten ein zusätzlicher Code vom Google Authenticator verlangt.

Mehr zum Thema Sicherheit:

Weitere Tipps für ein sicheres Passwort finden Sie hier und wie Sie Google Authenticator in Ihr bexio einbinden hier.

7. Worauf sollte man bei der Wahl des Cloud-Anbieters achten?

In den Entscheid über einen Anbieter cloudbasierter Software sollten folgende Punkte miteinbezogen werden: Verfügbarkeit, Datenschutz und Preise. Auch der Serverstandort sollte ein Kriterium sein und ob die Daten zusätzlich an weiteren Standorten gespeichert werden, um so bei einem möglichen Ausfall abgesichert zu sein. Einen geeigneten Cloud-Anbieter erkennt man auch daran, ob er weitere Möglichkeiten zur Absicherung des Accounts anbietet, wie zum Beispiel die Zwei-Faktoren Authentifizierung von Google.

8. Was passiert mit den Daten, wenn man nicht mehr mit bexio arbeitet?

Wir stellen selbstverständlich unseren Kunden die Daten zur Verfügung. Kunden können diese exportieren und weiter nutzen. Die Daten verbleiben für 40 Tage im System. Nach Ablauf dieser 40 Tage wird ein Backup erstellt und die Daten im System werden gelöscht. Nach weiteren 180 Tagen wird schliesslich auch das Backup gelöscht. Bis zu diesem Zeitpunkt hat der Kunde jederzeit die Möglichkeit, zu bexio zurückzukehren und mit seinen Daten weiterzuarbeiten. Diese Flexibilität möchten wir unseren Kunden bieten. Jeder Kunde kann natürlich auch die sofortige Löschung seiner Daten beantragen, wenn er dies wünscht.

9. Wird es in nächster zeit Veränderungen bzgl. Datensicherheit geben?

Das Thema Datensicherheit ist und bleibt ein sensibles Thema, das ständig im Auge behalten werden muss. Entsprechend der technologischen und rechtlichen Entwicklung passen wir auch unsere Sicherheitsmassnahmen fortlaufend an. Denn sicher ist sicher. Da immer mehr unserer Kunden in Europa sitzen, arbeiten wir derzeit an den Anforderungen der EU-DSGVO (Datenschutz-Grundverordnung der Europäischen Union). Auch wird ein ähnliches Gesetz aktuell bei uns in der Schweiz vorbereitet, dass der EU-DSGVO ähnelt. Darauf wollen wir vorbereitet sein. 

10. Kurz und Knapp: Die Vorteile von Software in der Cloud?

Die Vorteile von Software in der Cloud liegen ganz klar in der Flexibilität und der Verfügbarkeit. Unsere Kunden können bexio nutzen, wann immer, wo immer und auf welchem Endgerät sie möchten. Auch nehmen wir dem Kunden mühsame und zeitaufwendige Backups und Updates ab. Das erledigen wir. Zudem können wir unseren Kunden im Jahresschnitt eine 99,5% Verfügbarkeit des Systems garantieren.

* David Schneider

* David Schneider

David Schneider ist gebürtiger Kölner und seit jungen Jahren IT-fasziniert. Seit Januar 2018 gehört er als Software Engineer zum bexio-Team und führt erfolgreich die DevOps-Abteilung. 

comments powered by Disqus

Testen Sie bexio 30 Tage kostenlos und unverbindlich

Noch Fragen? Rufen Sie uns an: +41 71 552 00 61
Schreiben Sie lieber? kunden@bexio.com