IT-Security

Datensicherheit hat die höchste Priorität

Schutz vor Zugriff durch Dritte | Datensicherung | Verfügbarkeit

Schutz vor Zugriff durch Dritte

Eine Web Application Firewall (WAF) rund um die Labordatenbank Cloud gewährleistet, dass nur verschlüsselte Zugriffe auf die Labordatenbank möglich sind. Der Zugriff auf die Firewall wird von einem Load Balancer gesteuert, der die Last der Anfragen auf mehrere Anwendungsserver in unterschiedlichen Verfügbarkeitszonen verteilt und nur verschlüsselte Verbindungen über HTTPS mit einer RSA-Verschlüsselung und einer Schlüssellänge von 2.048 Bit zulässt.

Die Anmeldung zur Labordatenbank erfolgt über eine Benutzerauthentifizierung mit Login, Passwort und einem weiteren Sicherheitsfaktor (MFA - Multifaktor-Authentifizierung) mit Authenticator Apps wie Google Authenticator, Microsoft Authenticator, Authy, KeePassXC, etc. oder mit Security Keys wie YubiKeys, SoloKeys, Google Titan, etc. Die Verschlüsselung der Passwörter erfolgt mit Hilfe des Algorithmus Argon2ID, der nach aktuellem Stand der Technik ungebrochen ist.

neu Seit der Version 2023.45 unterstützt die Labordatenbank die Anmeldung mit Passkey. Passkey ist eine neue Möglichkeit zur Anmeldung ohne Passwort mit einer höheren Sicherheit als Passwort + MFA und erlaubt eine schnellere und komfortablere Anmeldung.

Weiters unterstützt die Labordatenbank Single-Sign-On (SSO). In diesem Fall erfolgt die Anmeldung durch einen Identitätsanbieter wie z.B. Microsoft Azure AD, Okta, usw. Damit können sich die Nutzer schneller und sicher mit Ihrem bestehenden Unternehmensaccount in der Labordatenbank anmelden.

Jeder Versuch einer Anmeldung wird mit IP-Adresse und Uhrzeit protokolliert. Versucht jemand mehrmals hintereinander sich mit einem falschen Passwort anzumelden, so wird die Anmeldung zur Labordatenbank für einen definierten Zeitraum gesperrt.

Die Daten werden in der Labordatenbank Cloud auf einer MySQL kompatiblen Datenbank (Aurora) verschlüsselt gespeichert. Dabei verwendet jede Labordatenbank eine eigene Datenbank mit separaten Datenbank-Accounts für jede Instanz, sodass ein Zugriff auf Daten von einem anderen Labordatenbank Kunden technisch ausgeschlossen ist.

Alle Datenbanken werden verschlüsselt gespeichert. Somit wird verhindert, dass eine unberechtigte Partei die Daten lesen oder unbemerkt verändern kann (die Veränderung einzelner Bytes würde die ganze Datenbank unlesbar machen).

Für die Verschlüsselung der Datenbanken wird AES-256-GCM verwendet, ein symmetrischer Algorithmus basierend auf Advanced Encryption Standard (AES-256) und Galois Counter Mode (GCM) mit 256-bit Schlüssel.


Datensicherung

  • Redundanter Datenbank Cluster auf zwei Verfügbarkeitszonen
  • Sekundenweise inkrementelle Backups für 3 Tage
  • Tägliche vollständige Backups auf S3 für 7 Tage
  • Wöchentliche Backups auf S3 für unbegrenzte Laufzeit
  • Zusätzliche Backups bei einem AWS unabhängigem Backupsystem in den Niederlanden mit Object Locking Compliance Mode für 90 Tage
  • Optional: automatisiertes tägliches Backup vor Ort beim Kunden

Eine vollständige Datensicherung der Labordatenbank erfolgt laufend auf Amazon S3. Um unseren Kunden absolute Sicherheit zu gewährleisten, wird bei der Labordatenbank jede Sekunde ein inkrementelles Backup erstellt. Darüber hinaus wird täglich ein vollständiges Backup erstellt.

Alle Tagesbackups werden für eine Woche aufgehoben. Nach einer Woche wird ein vollständiges Backup pro Woche bis auf Widerruf, für zumindest die nächsten 10 Jahre aufbewahrt.

Die Datensicherung ist auf eine Datenbeständigkeit von 99,999999999% über ein Jahr ausgelegt. Diese Zuverlässigkeitsstufe entspricht einem jährlich zu erwartenden Datenverlust von 0,000000001%. Diese Datenbeständigkeit wird erreicht, indem jedes Backup redundant auf drei voneinander unabhängigen Rechenzentren verteilt ist.

Alle Backups werden verschlüsselt gespeichert, wobei jedes Backup mit einem eigenen Schlüssel verschlüsselt wird (alle Schlüssel werden mit einem eigenen Masterschlüssel verschlüsselt, welcher laufend geändert wird). Für die Verschlüsselung der Backups wird ebenfalls der 256-bit Advanced Encryption Standard (AES-256) verwendet. Für dieses Verfahren ist kein praktisch durchführbarer Angriff bekannt.


Verfügbarkeit

Architektur
Die Labordatenbank Cloud ist auf zwei unabhängige Verfügbarkeitszonen verteilt und auf eine Verfügbarkeit von > 99,95% ausgelegt. Das entspricht einer Downtime von weniger als 5 Std. pro Jahr.

Verfügbarkeitszonen (Availability Zones) sind eigenständige Rechenzentren die viele Kilometer voneinander getrennt sind, mit redundanter Stromversorgung, Vernetzung und Konnektivität, die so entwickelt wurden, dass sie von Ausfällen in anderen Verfügbarkeitszonen isoliert sind.

Die Labordatenbank Cloud läuft im Rechenzentrum von Amazon AWS in Frankfurt und ist dort parallel auf die Verfügbarkeitszonen eu-central-1a und eu-central-1b verteilt. Die Labordatenbank Cloud ist so aufgebaut das sie den Ausfall einer Verfügbarkeitszone standhält und verfügbar bleibt.

Labordatenbank Cloud Verfügbarkeit der letzten 10 Jahre:

202399,99%
2022100%
202199,99%
2020100%
201999,99%
2018100%
201799,99%
2016100%
201599,99%
201499,99%
201399,99%

Anwender Call zum Thema Datensicherheit
Allgemeine Datensicherheitsrichtlinien (ADSR)