Hinweise zur Leistungsfähigkeit und Sicherheit von winplan
Die Server für winplan werden in dem nach DIN ISO/IEC 27001 zertifizierten Rechenzentrum des renommierten Internet-Dienstleisters Ecotel in Frankfurt/Main gehostet. Dort betreibt NetzWerkPlan zurzeit insgesamt über 240 eigene Server.
Das Rechenzentrum bietet folgenden Standard:
- Rechenzentrum zertifiziert nach DIN ISO/IEC 27001
- Redundante Breitband-Verkabelung mit direkter Anbindung an den deutschen Internetknoten DE-CIX
- Anbindung an das Internet 1 GBit/s, Internet-Backbone 10 GBit/s (siehe www.ecotel.de)
- Zugangskontrollsystem, Zutritt nur nach vorausgehender Anmeldung/Authentifizierung
- 24 Stunden Anwesenheit von Technikern
- Brandmelde- und Löschanlage
- Einbruchmeldeanlage
- Klimaanlage
- Notstromaggregat, Unterbrechungsfreie Stromversorgung
Die von NetzWerkPlan administrierten Server verfügen über folgende Sicherheitsmechanismen:
- Server der neuesten Generation mit hochwertigen redundanten Komponenten
- Betriebssysteme MS Windows 2022 Server und Linux
- Plattenspiegelung (RAID I) und RAID V
- redundante Server
- 24 Stunden-Überwachung mittels Überwachungssystem CheckMK, Überwachungsintervall 60 Sekunden, Fehlermeldungen werden sofort auf verschiedenen Wegen übertragen
- garantierte Verfügbarkeit 99,9 %
- leistungsfähige Firewall
- Viren- und Spam-Filter
- tägliche Prüfung von Updates des Betriebssystems und anderer sicherheitsrelevanter Software
- tägliche Datensicherung auf verteilten Festplatten
- redundante Server und Datensicherung in georedundantem Rechenzentrum
- optional tägliche Datensicherung (Laufzeitarchivierung) auf einem Server des AG
Das System winplan nutzt folgende Sicherheitsmechanismen:
- Zugang zum Programm mittels Benutzername und Passwort
- Passwortrichtlinien firmenbezogen einstellbar
- Optional 2-Faktor-Authentifizierung und Single-Sign On
- Detaillierte Rechteverwaltung innerhalb des Programms
- Verschlüsselung aller Pfadangaben von Dateien
- SSL/TLS -Verschlüsselung der Datenübertragung (https, Protokolle TLS1.2 TLS1.3)
- Die Anwendung wird regelmäßig von unterschiedlichen Analysewerkzeugen auf Sicherheitslücken getestet, wodurch folgende Probleme ausgeschlossen werden:
XSS-Lücken, unsichere Cookie-Behandlung (HTTP-Only, Secure-Attribut), X-Frame Header (wo möglich), Autocomplete für sensitive Eingabefelder, unsichere Codierung von Eingabezeichen. - Regelmäßige Durchführung von Penetrationstests durch externe Sicherheitsunternehmen