Enreach

Sicherheit und Qualität

SICHERHEIT BEI ENREACH

Uns ist es wichtig, dass wir die gleichbleibende Qualität unserer Organisation, Produkte und Dienstleistungen sicherstellen.

Optimierte Arbeitsabläufe und Prozesse nach ISO-9001 und das Informationssicherheit-Managementsystem nach DIN EN ISO/IEC 27001 sind für uns daher selbstverständlich.

DATENSICHERHEIT

Immer mehr Unternehmen und Verbraucher verlassen sich auf digitale Kommunikationslösungen. Wir wollen, dass sie jederzeit und ohne Unterbrechung verfügbar sind. Man kann mit Sicherheit sagen, dass ein modernes Unternehmen kaum noch ohne auskommt. 

Leider sind diese unglaublichen Kommunikationslösungen, auf die wir uns so sehr verlassen, auch äußerst attraktiv für diejenigen, die Schaden anrichten wollen, vor allem um Geld zu verdienen. Zum Beispiel durch Mautbetrug. Mautbetrug ist zweifellos ein vertrauter Begriff für Telekommunikationsfachleute und bezeichnet die unbefugte Nutzung von Kommunikationsdiensten oder -geräten für Ferngespräche, was die Branche weltweit jährlich schätzungsweise 10 Milliarden Dollar kostet. Aber es gibt auch Angriffe, die die Verfügbarkeit beeinträchtigen können, wie (D)DOS-Angriffe oder die "beliebte" Ransomware. Natürlich zieht die hohe Vertraulichkeit der Daten auch die Aufmerksamkeit derjenigen auf sich, die daran interessiert sind, diese Daten zu stehlen, entweder für den eigenen Gebrauch oder um sie zu verkaufen und manchmal sogar als Druckmittel für Unternehmen oder Einzelpersonen.

Der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit sowohl der Dienste als auch ihrer Daten und die Gewährleistung der Privatsphäre unserer Nutzer gehören zu unseren wichtigsten Aufgaben. Zertifikat ISO 9001:2015 ansehen

CYBER SICHERHEIT

Bei der Entwicklung unserer Dienste gehen wir mit besonderer Sorgfalt vor und setzen moderne, bewährte Techniken ein, um Sicherheitsrisiken zu minimieren. 

Eine wichtige Säule unserer Cybersicherheit ist die Prüfung auf Schwachstellen. Die Kerndienste von Enreach werden mindestens einmal jährlich von der externen, unabhängigen, spezialisierten Firma Secured by Design getestet (sog. Penetrationstest). Im Anschluss an jeden Penetrationstest wird ein ausführlicher Bericht erstellt und allen beteiligten Entwicklern präsentiert. Dieser Bericht enthält in der Regel eine Reihe von Empfehlungen, die von Enreach je nach Auswirkung priorisiert werden. In einigen Fällen folgt ein erneuter Test, um festzustellen, ob die Empfehlungen ordnungsgemäß befolgt wurden.

Diese Tests finden natürlich zusätzlich zu den Tests statt, die Enreach durchführt, wie z. B.: Qualitätssicherung und Peer-Reviews in unserem Entwicklungsprozess und interne Audits. Enreach verfügt auch über ein internes Team von Ethical Hackers, die speziell geschult wurden, um unsere eigenen Dienste und internen Anwendungen wie ein externer Hacker zu behandeln. Der Ansatz von Enreach in Bezug auf Informationssicherheit und Qualität wird außerdem jährlich (unabhängig) im Rahmen des ISO27001-Audits bewertet. Zertifikat ISO/IEC 27001 ansehen

QUALITÄTSMANAGEMENT

Es ist von entscheidender Bedeutung, dass Enreach die gleichbleibende Qualität unserer Organisation, Produkte und Dienstleistungen sicherstellt. Das Qualitätsmanagement konzentriert sich nicht nur auf die Produkt- und Dienstleistungsqualität, sondern auch auf die Mittel, um diese zu erreichen. Das Qualitätsmanagement nutzt daher die Qualitätssicherung und die Kontrolle von Prozessen und Produkten, um eine gleichbleibende Qualität zu erreichen.

Für jeden Ingenieur wurden mehrere Qualitätsprozesse in die Arbeitsweise integriert.

Ein Prozess zur Kontrolle der Qualität ihrer Arbeit ist der Wartungsprozess. Dieser Prozess verlangt von den Ingenieuren, dass sie Änderungen mit potenziellen Auswirkungen aufzeichnen. Diese Aufzeichnungen werden dann von Mitgliedern des Änderungsbeirats und im Falle eines hohen Risikos und/oder großer Auswirkungen von Governance-Mitgliedern überprüft und in Frage gestellt.

Neben der Vorbeugung von Problemen nach Änderungen durch den Wartungsprozess beugen wir auch wiederkehrenden Vorfällen durch Problemmanagementpraktiken vor. Dies geschieht auf verschiedene Weise. Tägliche Incident-Tickets werden vom Technical Assistance Center auf potenzielle Vorbeugungsmöglichkeiten analysiert, indem Problem-Tickets erstellt werden. Außerdem werden regelmäßig Risikobewertungsgespräche mit den Plattformingenieuren geführt. Die Risiken werden mit anderen Risikodaten aus der Organisation gebündelt, klassifiziert und zur Priorisierung vorgelegt.

Vorbeugung ist der Schlüssel, aber um optimale Reaktions- und Wiederherstellungszeiten im Falle eines Ausfalls zu gewährleisten, wurde der Service Incident Process eingeführt. Durch diesen Prozess wird die Rolle des Service Incident Coordinators aktiviert. Diese Rolle hat die Aufgabe, die Störung zu koordinieren und zu kommunizieren, während der normale Support-Prozess die Bearbeitung der Tickets übernimmt. Die Aufzeichnung aller Ausfälle und Folgemaßnahmen ist ebenfalls mit diesem Prozess verbunden. Dadurch wird sichergestellt, dass Berichte analysiert werden können und das Risiko eines erneuten Auftretens minimiert wird.

RESPONSIBLE DISCLOSURE

Trotz all unserer Bemühungen kann es vorkommen, dass in einem unserer Produkte oder Dienste eine Sicherheitslücke besteht. Enreach begrüßt Berichte von Security Researchers und Experten über mögliche Schwachstellen. Wenn Sie eine Schwachstelle entdecken, würden wir gerne davon erfahren, damit wir so schnell wie möglich Maßnahmen ergreifen können, um sie zu beheben. Helfen Sie uns, unsere Benutzer besser zu schützen, indem Sie unserem Sicherheitsteam einen Bericht mit Informationen und detaillierten Anweisungen zur Reproduktion des Problems zukommen lassen. Bitte tun Sie Folgendes

  • Senden Sie Ihre Erkenntnisse per E-Mail an security@enreach.com
  • Nutzen Sie die von Ihnen entdeckte Schwachstelle oder das Problem nicht aus, indem Sie z. B. mehr Daten als nötig herunterladen, um die Schwachstelle zu demonstrieren, oder indem Sie die Daten anderer Personen löschen oder verändern, und schaden Sie mit Ihren Erkenntnissen nicht unserem Unternehmen oder unseren Benutzern.
  • Geben Sie das Problem nicht an andere weiter, bevor es nicht behoben ist.

Was wir versprechen:

  • Verwenden Sie keine Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen von Dritten, und
  • Stellen Sie ausreichende Informationen zur Verfügung, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, aber komplexe Schwachstellen können weitere Erklärungen erfordern.
  • Wir werden innerhalb von 10 Arbeitstagen auf Ihre Meldung reagieren und Ihnen unsere Bewertung der Meldung sowie ein voraussichtliches Lösungsdatum mitteilen,
  • Wenn Sie die oben genannten Anweisungen befolgt haben, werden wir im Zusammenhang mit der Meldung keine rechtlichen Schritte gegen Sie einleiten,
  • Wir werden Ihren Bericht streng vertraulich behandeln und Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben.
  • Wir werden Sie über die Fortschritte bei der Lösung des Problems auf dem Laufenden halten
  • In den öffentlichen Informationen über das gemeldete Problem werden wir Ihren Namen als Entdecker des Problems nennen (sofern Sie nichts anderes wünschen).

Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und wir möchten eine aktive Rolle bei der endgültigen Veröffentlichung des Problems spielen, nachdem es gelöst wurde.