Hinweise zur Leistungsfähigkeit und Sicherheit von winplan

Die Server für winplan werden in dem nach DIN ISO/IEC 27001 zertifizierten Rechenzentrum des renommierten Internet-Dienstleisters Ecotel in Frankfurt/Main gehostet. Dort betreibt NetzWerkPlan zurzeit insgesamt über 240 eigene Server. 

Das Rechenzentrum bietet folgenden Standard:

  • Rechenzentrum zertifiziert nach DIN ISO/IEC 27001
  • Redundante Breitband-Verkabelung mit direkter Anbindung an den deutschen Internetknoten DE-CIX
  • Anbindung an das Internet 1 GBit/s, Internet-Backbone 10 GBit/s (siehe www.ecotel.de)
  • Zugangskontrollsystem, Zutritt nur nach vorausgehender Anmeldung/Authentifizierung
  • 24 Stunden Anwesenheit von Technikern
  • Brandmelde- und Löschanlage
  • Einbruchmeldeanlage
  • Klimaanlage
  • Notstromaggregat, Unterbrechungsfreie Stromversorgung

Die von NetzWerkPlan administrierten Server verfügen über folgende Sicherheitsmechanismen:

  • Server der neuesten Generation mit hochwertigen redundanten Komponenten
  • Betriebssysteme MS Windows 2022 Server und Linux
  • Plattenspiegelung (RAID I) und RAID V
  • redundante Server
  • 24 Stunden-Überwachung mittels Überwachungssystem CheckMK, Überwachungsintervall 60 Sekunden, Fehlermeldungen werden sofort auf verschiedenen Wegen übertragen
  • garantierte Verfügbarkeit 99,9 %
  • leistungsfähige Firewall
  • Viren- und Spam-Filter
  • tägliche Prüfung von Updates des Betriebssystems und anderer sicherheitsrelevanter Software
  • tägliche Datensicherung auf verteilten Festplatten
  • redundante Server und Datensicherung in georedundantem Rechenzentrum
  • optional tägliche Datensicherung (Laufzeitarchivierung) auf einem Server des AG

Das System winplan nutzt folgende Sicherheitsmechanismen:

  • Zugang zum Programm mittels Benutzername und Passwort
  • Passwortrichtlinien firmenbezogen einstellbar
  • Optional 2-Faktor-Authentifizierung und Single-Sign On
  • Detaillierte Rechteverwaltung innerhalb des Programms
  • Verschlüsselung aller Pfadangaben von Dateien
  • SSL/TLS -Verschlüsselung der Datenübertragung (https, Protokolle TLS1.2 TLS1.3)
  • Die Anwendung wird regelmäßig von unterschiedlichen Analysewerkzeugen auf Sicherheitslücken getestet, wodurch folgende Probleme ausgeschlossen werden:
    XSS-Lücken, unsichere Cookie-Behandlung (HTTP-Only, Secure-Attribut), X-Frame Header (wo möglich), Autocomplete für sensitive Eingabefelder, unsichere Codierung von Eingabezeichen.
  • Regelmäßige Durchführung von Penetrationstests durch externe Sicherheitsunternehmen
Auszug Sicherheitskonzept
Bauleiter zieht an einem Plan