Uns ist natürlich bewusst, wie kritisch manchmal die Details eines Pentest-Berichts, oder die Auswertung von Awareness Ergebnissen für Ihr Unternehmen sein können.
Als Vertreter von IT-Sicherheit ist uns klar, dass auch wir Maßnahmen für eine geschützte Umgebung treffen müssen. Daher möchten wir hier ganz transparent kommunizieren, wo und wie wir Daten lagern, die im Zusammenhang mit Aufträgen stehen.
Unser Versprechen
Die DIBITS verpflichtet sich, keine ihr während ihrer Tätigkeit für den Auftraggeber bekannt gewordenen Geschäfts- und Betriebsgeheimnisse ohne vorherige Zustimmung des Auftraggebers zu verwerten oder dritten Personen mitzuteilen. Gleiches gilt für alle während der Vertragserfüllung bekannt gewordenen Kenntnisse und Informationen über den Auftraggeber, sowie die von ihm übergebenden Unterlagen. Die Geheimhaltungsverpflichtung gilt auch über die Beendigung des Vertragsverhältnisses hinaus.
E-Mails
Für unsere E-Mail-Postfächer setzen wir auf den doch recht bekannten Dienst Proton in der Schweiz. Proton ist bekannt für ihre standardmäßige Ende-zu-Ende Verschlüsselung und der verschlüsselten Lagerung. Das bedeutet, jegliche Mails, die Sie uns zukommen lassen, lagern so, dass nur wir auf diese zugreifen können. Weder Proton noch sonst jemand kann auf die Inhalte zugreifen.
Zudem bieten wir auch mit unseren PGP-Schlüsseln die Möglichkeit, direkt eine Ende-zu-Ende verschlüsselte E-Mail an uns zu versenden.
Kontaktformulare
Alle Kontaktformulare auf unserer Website senden standardmäßig verschlüsselte Nachrichten an uns, dabei werden alle Felder verschlüsselt. Bereits hier setzen wir auf vertrauliche Kommunikation.
Dies gilt auch für unseren SecureUpload, den Sie bei Interesse erhalten. Dort können Sie uns Unterlagen oder ähnliches ebenso direkt in Ihrem Browser zukommen lassen, ohne dass Sie irgendwelches technisches Know-How über Verschlüsselung benötigen.
Infrastruktur
Wir nutzen keine Public-Cloud Dateidienste wie Microsoft 356 oder ähnliche Dienste für die Lagerung Ihrer und unserer Daten.
Alle Daten lagern wir ausschließlich auf privaten Servern in deutschen, ISO27001 zertifizierten Rechenzentren der Hetzner Online GmbH. Wir nutzen dabei keine „managed“-Dienste, sondern verwalten unsere Server bzw. unsere Infrastruktur selbst. Jegliche Zugriffe erfolgen per VPN-Zugang in gesicherte Netze, Zugänge werden protokolliert und per Push-Notification an die jeweilige Person zur Information versendet. Mittels Single-Sign-On sowie erzwungener Multi-Faktor Authentifizierung wird intern jeder Login und Zugang geschützt und protokolliert.
Für unsere VPN-Zugänge setzen wir auf bekannte Protokolle und nutzen keine propertiäre Appliance mit Abhängigkeiten zu Anbietern. Die Zugänge selbst haben unterschiedliche Netz-Berechtigungen, so kommen bspw. unsere mobilen Endgeräte intern an weniger Ressourcen als Bürorechner. Beim Verbindungsaufbau der VPN-Zugänge setzen wir auf eine strenge Blacklisting Regelung, Brute-Forcing ist kryptografisch und technisch nicht möglich.
Berichte bzw. Kundendaten lagern auf Servern, die keinen Zugang zum Internet haben oder lediglich für Updates überwachte Kanäle nutzen können. Hier wird nicht nur der Web-Traffic, sondern auch DNS geblockt, um jegliche Extraktionen auch im Worst-Case zu verhindern.
Als Unternehmen, das rein auf Linux setzt, ist der Großteil unserer Infrastruktur komplett auditierbar, bis auf den Quelltext hinunter.
Unsere Infrastruktur wird regelmäßig nach festen Plänen aktualisiert und auf dem neuesten Stand gehalten. Gleichzeitig setzen wir ein vollständiges Backup-Konzept mit Push-Struktur um, sodass alle Ihre Daten gesichert sind und kein Server existiert, der Zugang zu allem hat.
Selbstverständlich agiert Hetzner an dieser Stelle als vertraglicher Auftragsverarbeiter mit geprüften technischen und organisatorischen Maßnahmen.
KI
Natürlich bleibt die Verwendung von KI auch bei uns nicht ganz außen vor. Wir achten allerdings sehr streng auf den Umgang mit Kundendaten im Zusammenhang mit KI.
Bei uns können Sie sich sicher sein, dass niemals Daten von Ihnen, Ihrer Infrastruktur oder Ihrer Mitarbeitenden in öffentlichen KI-Modellen landen, schon gar nicht in anderen Ländern.
Sobald es an Kundendaten geht, verwenden wir maximal eigene Infrastruktur und selbst betriebene KI-Modelle, aber auch hier werden Ihre Daten niemals für Trainingszwecke oder ähnliches eingesetzt.
Passwörter
Passwörter und Zugänge, die wir im Laufe von Pentests oder auch vorab von Ihnen erhalten, lagern wir getrennt von anderen Kunden in einer verschlüsselten Passwortdatenbank, die über zwei Stufen geschützt ist und Zugriffe protokolliert werden.
Die Passwortdatenbanken lagern auf unserer Infrastruktur, nicht bei Cloud-Anbietern.
Datenschutz
Selbstverständlich agieren unsere eingesetzten Dienstleister stets als unsere Auftragsverarbeiter nach Art. 28 DSGVO mit geschlossenen Verträgen mit von uns eingesehenen technischen und organisatorischen Maßnahmen.
Dabei achten wir streng auf die Auswahl unserer Zulieferer.