Staffbase Sicherheit

Die sichere Kommunikationsplattform für Mitarbeiter*innen

Die sichere Kommunikationsplattform für Mitarbeiter*innen

Knapp eine Million Mitarbeiter*innen weltweit verlassen sich jeden Tag auf die Staffbase-Plattform, um innerhalb ihres Unternehmens sicher zu kommunizieren. Die Anforderungen unserer Kunden an Sicherheit und Datenschutz sind sehr unterschiedlich, wobei viele aus den am stärksten regulierten und sicherheitsbewussten Industrien der Welt kommen. Um dem gerecht zu werden, steht Sicherheit an höchster Stelle für unsere Plattform und Vision.

Hier bei Staffbase gewährleistet unser starkes Fundament aus Produktfeatures und Prozessen als Dienstleister einen branchenweit führenden Schutz in allen Bereichen.

Unsere innovative Infrastruktur schützt Kundendaten über den gesamten Lebenszyklus innerhalb der Plattform. Zudem bietet eine leistungsstarke Palette von anpassbaren Einstellungen und Tools unseren Kunden die Möglichkeit, ihre eigenen Sicherheits- und Datenschutzanforderungen zu definieren.

Wir sind der festen Überzeugung, dass Sicherheit zu keinem Zeitpunkt angezweifelt werden sollte. Dank unseres Supports können all unsere Kunden voll und ganz auf eine sichere und zuverlässige Plattform vertrauen, die ihren Anforderungen und Interessen gerecht wird.

Stand: Januar 2022

Zertifizierungen

ISO 27001

Die ISO 27001 ist der de facto internationale Standard für Informationssicherheitsmanagement. Im Jahr 2018 schuf Staffbase ein Informationssicherheitsmanagementsystem (ISMS), welches noch im gleichen Jahr erfolgreich durch den TÜV Süd nach ISO 27001 zertifiziert wurde. Diese Zertifizierung wird jährlich durch einen fortlaufenden Auditierungsprozess bestätigt. Das aktuelle Zertifikat finden Sie hier hier.

Als Bestandteil der ISO 27001 Zertifizierung führen wir bei Staffbase regelmäßig Risikobewertungen durch. Daraufhin bereiten wir Behandlungspläne vor, welche alle identifizierten Risiken reduzieren, um unsere Sicherheitsstandards kontinuierlich zu erhöhen. Das Staffbase Sicherheitsteam verbessert fortlaufend die Eignung, Angemessenheit und Effektivität des ISMS.

SOC 2 Type 2

Darüber hinaus wurden das Staffbase “Mitarbeiter E-Mail” Produkt und die kanadischen Standorte bereits unabhängig hinsichtlich SOC 2 Typ 2 Konformität auditiert. Sie erhielten einen Bericht, der die Verpflichtungen in Bezug auf Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Datenschutz unterstreicht. Der Bericht ist auf Anfrage erhältlich.

Organisatorische Struktur und Steuerung

Sicherheits- und Datenschutzteams bei Staffbase

Staffbase beschäftigt einen dedizierten Chief Information Security Officer (CISO), der die Security-Abteilung leitet. Das Staffbase Sicherheitsteam überprüft und implementiert Sicherheitsmaßnahmen in allen Bereichen von Staffbase. Bezüglich der Prüfung und Implementierung von Security,- Privacy und Datenschutzprogrammen geschieht dies in enger Zusammenarbeit mit unserer Legal- und Compliance-Abteilung, welche durch einen Privacy Counsel komplettiert wird.
Alle Mitglieder des Sicherheitsteams haben ISO 27001 spezifische Schulungen absolviert und verfügen über entsprechende Zertifikate.

Sicherheitsschulungen

Sowohl durch jährliche Trainings als auch regelmäßige Beiträge in unserer eigenen internen Staffbase-App schulen wir unsere Mitarbeiter kontinuierlich zu Inhalten der Informationssicherheit und schärfen somit das Bewusstsein für damit verbundene Risiken, Angriffe und aktuelle Themen. Alle Entwickler bei Staffbase nehmen regelmäßig an Sicherheitsschulungen teil, um immer auf dem aktuellen Stand bezüglich typischer Risiken in der Entwicklung und dem Schutz von Kundendaten zu sein.

Außerdem verpflichten sich alle Arbeitnehmer und externen Dienstleister zur Einhaltung von vereinbarten Sicherheitsrichtlinien, welche u.a. Vertraulichkeit, Datenschutz und die Meldung von Sicherheitsvorfällen regeln.

Vertraulichkeit

Grundsätzlich gehören zu all unseren Kundenverträgen Klauseln zur Vertraulichkeit.

Darüber hinaus sind alle Arbeitnehmer und externe Dienstleister von Staffbase dazu verpflichtet Vertraulichkeitsvereinbarungen zu unterzeichnen, um Kundendaten schützen. Als Teil unseres Prüfungsprozesses für Lieferanten (siehe unten) besitzt Staffbase mit allen Dienstleistern, die personenbezogene Daten oder vertrauliche Informationen unserer Kunden verarbeiten, Vertraulichkeitsvereinbarungen.

Sicherheitsvorfälle - Meldung und Behandlung

Alle Arbeitnehmer, externe Dienstleister und Hauptlieferanten sind dazu verpflichtet, Sicherheitsvorfälle zu melden. Staffbase verfügt über ein Notfallkonzept, um unverzüglich und systematisch auf jegliche eventuell auftretenden Sicherheits- oder Verfügbarkeitsvorfälle zu reagieren. Dieses Konzept wird im Rahmen der ISO 27001 Zertifizierung regelmäßig geprüft und aktualisiert.

Prüfung von Lieferanten

Als Teil der Unternehmensführung und Konformitätsprüfung haben wir eine Richtlinie zur detaillierten Überprüfung aller Dienstleister eingeführt, die möglicherweise Einfluss auf die Sicherheit des Staffbase-Dienstes haben könnten. Diese Überprüfung besteht aus zwei Ebenen, welche die Rechts- und Sicherheitsabteilung einbeziehen. Dienstleister müssen einem gemeinsamen Verständnis in der Informationssicherheit, der Berichterstattung über Vorfälle sowie Kontrollen beim Umgang mit Daten zustimmen.

Notfallwiederherstellung und Redundanz

Staffbase hat ein System entwickelt, um Störungen des Dienstes, z. B. aufgrund von Hardwarefehlern, Naturkatastrophen und anderen unvorhergesehenen Ereignissen oder Katastrophen, zu minimieren.

Unser Ansatz zur Wiederherstellung im Katastrophenfall beinhaltet:

Nutzung von modernsten Dienstleistern zur Unterstützung unserer Plattform. Tausende andere Unternehmen vertrauen bei der Bereitstellung ihrer Daten und Dienste ebenfalls auf diese Dienstleister.
Backups. Wir führen täglich Backups aller relevanten Systeme durch, die bis zu einem Monat lang an geo-redundanten Standorten gespeichert werden. Diese stehen für die Wiederherstellung bei Vorfällen zur Verfügung.
Dual-Modus. Alle Produktivsysteme laufen im Dual-Modus, um eine schnell reagierende Ausfallsicherung sicherzustellen.
Internationales Team. Staffbase arbeitet verteilt über zwei Kontinente aus vier Ländern und kann im Falle eines regionalen Vorfalles von den anderen Standorten aus bei Wiederherstellungsmaßnahmen unterstützt werden.
Notfallwiederherstellungskonzept. Unser Notfallwiederherstellungskonzept konzentriert sich auf technische Vorfälle für den Betrieb der Staffbase-Plattform und beinhaltet sowohl verschiedene Szenarien als auch regelmäßiges Training für das Notfallteam. Das Team ist daher in der Lage, Daten im Notfall wiederherzustellen.

Der Betriebsstatus unserer Systeme kann jederzeit auf der Statusseite unter https://status.staffbase.com/ eingesehen werden.

Reduzierter Zugriff

Zugriff auf unsere Produktivsysteme ist auf einen möglichst kleinen Kreis an Personen, welche für Wartung und Betrieb zuständig sind, beschränkt. Staffbase auditiert Zugriffe auf produktive Systeme mindestens jährlich und folgt dem Least-Privilege-Prinzip.

Infrastruktur und Hosting

Wir sind uns bewusst, dass Hostingstandorte für unsere Kunden und ihre Compliance-Anforderungen besonders wichtig sind. Aus diesem Grund bieten wir unseren Kunden die Auswahl zwischen EU und US Hosting für unsere Staffbase-Dienste an.

EU Hosting (Deutschland)

Die EU Staffbase Server werden von Microsoft Azure in Deutschland gehostet. Die Rechenzentren sind ISO 27001 zertifiziert.

US Hosting (Virginia)

Die nordamerikanischen Staffbase Server werden von Microsoft Azure gehostet. Die Rechenzentren sind ISO 27001 und SSAE-16 zertifiziert. Standort der Rechenzentren ist der Bundesstaat Virginia, USA.

Netzwerksicherheit (Alle Rechenzentren)

Sicherheit: Unser Netzwerk wird von redundanten Layer-4 Firewalls geschützt. Jegliche Kommunikation über öffentliche Netze erfolgt mit sicherer HTTPS-Transportverschlüsselung. Der Zugang unserer Systemadministratoren zu unseren Produktiv- und Testsystemen findet ausschließlich via schlüsselbasierter Authentifizierung zu Wartungszwecken statt.
Architektur: Die Staffbase Netzwerkarchitektur ist so ausgelegt, dass das Risiko einer Sicherheitsverletzung minimiert wird, indem nur der Zugriff auf die minimal erforderlichen Systeme erlaubt wird, während andere Systeme, wie z. B. Datenbankserver, nur intern zugänglich sind. Jeglicher Datenverkehr zu unseren Applikationsservern wird durch unsere Proxies und Gateways geroutet. Alle anderen Systeme in unseren Rechenzentren haben nie direkten Zugang zum Internet, weder eingehend noch ausgehend.
Bereitstellung (CDN): Staffbase nutzt branchenführende Content-Delivery-Network (CDN) Dienste von Amazon Cloudfront, um multimediale Inhalte (z.B. Bilder, Videos) bereitzustellen.

Im Allgemeinen basieren alle URLs zu Multimedia-Inhalten, die auf unseren Medienservern gespeichert und zugänglich sind, auf einer zufälligen/nicht erratbaren Zeichenfolge von 192 Zeichen. Kunden, welche das Enterprise-Paket abonniert haben und das CDN nutzen, um multimediale Inhalte bereitzustellen, können eine zusätzliche Sicherheitsebene hinzufügen. Diese erfordert die Authentifizierung bevor auf Medieninhalte zugegriffen werden kann. Dadurch wird sichergestellt, dass Dateien nur an Autorisierte Nutzer innerhalb der Kundeninstanz ausgeliefert werden.
Kunden, die keine CDN-Nutzung wünschen, können dies auf Anfrage deaktivieren.

AWS Cloudfront ist ISO 27001, ISO 27017 und ISO 27018 zertifiziert. Ebenso hat AWS Cloudfront den CSA Consensus Assessments Initiative Fragebogen vervollständigt und stellt regelmäßig SOC (System and Organization Controls) Berichte der Stufen 1, 2 und 3 bereit. Der aktuelle SOC 3 Bericht (Sicherheit, Verfügbarkeit und Vertraulichkeit) ist öffentlich an dieser Stelle verfügbar.
Behandlung von Informationssicherheits-vorfällen: Staffbase nutzt ein System zum Sicherheitsinformations- und Ereignismanagement (SIEM) um alle verfügbaren Protokolle von unseren Systemen zu sammeln und auf korrelierte Ereignisse zu analysieren. Das System benachrichtigt unser Sicherheitsteam über das Ereignis und das Team reagiert entsprechend eines definierten Prozesses darauf.
Intrusion Detection und Prevention: Unsere Hosting Provider realisieren Maßnahmen zur Intrusion Detection und Prevention, um ein Höchstmaß an Sicherheit in beiden Hosting Standorten sicherzustellen.
DDoS Risikominderung: Als erfahrener Betreiber von Rechenzentren vermindert Microsoft Azure als Hosting Anbieter das Risiko von DDoS (Distributed Denial of Service) Angriffen.
Logischer Zugriff: Zugriff auf das Produktionsnetz von Staffbase ist auf den Kern des Teams für den technischen Betrieb beschränkt und beinhaltet die Überwachung und Kontrolle aller Zugriffe. Jeglicher Zugriff des Teams zu den Produktivsystemen ist durch schlüsselbasierte Authentifizierung gesichert.
Reaktion auf Informationssicherheits-vorfällen: Im Falle eines Systemalarms werden Sicherheitsvorfälle zum Staffbase Sicherheitsteam eskaliert. Unsere Mitarbeiter sind für die Reaktion auf Sicherheitsvorfälle geschult. Dies beinhaltet auch die Kommunikationskanäle und Eskalationspfade. Die Behandlung von Vorfällen erfolgt gemäß eines definierten Prozesses für Informationssicherheitsvorfälle.
Der Prozess entspricht der ISO 27001.

Verschlüsselung

Transport-verschlüsselung

Jegliche Kommunikation unserer Systeme über öffentliche Netzwerke erfolgt verschlüsselt unter Nutzung von HTTPS mit aktiviertem TLS (TLS 1.2) und Perfect Forward Secrecy (PFS). Wir haben SSLv3 auf allen Systemen deaktiviert, um Sicherheitsverstößen unterstützend vorzubeugen.

Verschlüsselung im Ruhezustand

Wir verschlüsseln Nutzerkennwörter durch die Verwendung von Industry-Best-Practice Einweg-Hashfunktionen um den Einfluss von Datenlecks zu minimieren. Zusätzlich werden Kerndatenbanken verschlüsselt unter Nutzung von Industry-Best-Practice symmetrischen Verschlüsselungsverfahren.

Produktsicherheit

System für Sicherheitsmaßnahmen: Unsere Produkte werden durch Best-Practices gegen geläufige Risiken wie CSRF (Cross Site Forgery Request), SQLi (SQL Injection) und XSS (Cross-Site-Scripting) geschützt und folgen den etablierten OWASP (Open Web Application Security Project) Top 10 Empfehlungen.
Qualitätssicherung: Um ein Höchstmaß an Qualität zu gewährleisten, folgen wir den branchenüblichen Entwicklungs- und Qualitätssicherungsprozessen und führen eine Reihe automatisierter Tests an unserer Codebasis durch. Außerdem überprüfen wir alle Codeänderungen, die von unseren Entwicklern am Code vorgenommen werden, durch Peer-Reviews (Vier-Augen-Prinzip).
Getrennte Umgebungen: Die Staffbase Test- und Entwicklungsumgebungen sind logisch von den Produktivsystemen getrennt. Zu Testzwecken werden von Staffbase dedizierte Testdaten verwendet.
Penetrationstests: Staffbase beauftragt externe Penetrationstester, mindestens jährlich unabhängige Penetrationstests durchzuführen. Staffbase nutzt den etablierten CVSS-Standard (Common Vulnerability Scoring System), um erkannte Schwachstellen zu bewerten. Das Sicherheitsteam von Staffbase arbeitet eng mit dem Produktteam zusammen, um die Behandlung identifizierter Schwachstellen entsprechend ihrer Gewichtung zu priorisieren.

Eine Zusammenfassung des aktuellen Penetrationstests ist auf Anfrage, im Rahmen einer gültigen Geheimhaltungsvereinbarung, einsehbar.

Staffbase hat zudem ein privates Bug Bounty Programm mit HackerOne gestartet, um kontinuierliche Sicherheitstests durch eine globale Gemeinschaft von ethischen Hackern (sog. “ethical hacker” oder auch “White Hat Hacker”) durchzuführen. Externe Hacker sind ebenfalls willkommen, ihre Funde mit CVSS-Ratings >= 9.0 über unsere öffentliche Seite hier [eingebetteter Seitenlink wird eingefügt] einzureichen und automatisch zu unserem privaten Bug Bounty-Programm auf hackerone.com eingeladen zu werden.

Unsere Security Engineers testen fortlaufend neue und bestehende Features auf Schwachstellen, um das Sicherheitsniveau unseres Produktes noch weiter zu verbessern. Automatisierte Abhängigkeitsprüfungen und Abhilfemaßnahmen werden ebenfalls genutzt, um die Sicherheit der verwendeten Bibliotheken und Frameworks zu erhöhen.

Wir erlauben zudem unseren Kunden auf Anfrage eigene Black-Box Penetrationstests durchzuführen.

Sicherheitsfeatures der Staffbase Plattform

Um ein hohes Sicherheitsniveau innerhalb der Staffbase-Dienste zu gewährleisten, können Kunden Einstellungen, Zugriffsrechte und Rollen entsprechend ihrer individuellen Anforderungen anpassen. Manche der unten aufgeführten Features sind vom konkret ausgewählten Plan abhängig.

Registrierung

Das Onboarding von Mitarbeitern ohne PC-Arbeitsplatz, von denen manche noch nie eine Firmen-E-Mail-Adresse oder einen anderen IT-Zugang besessen haben, erzeugt ein einzigartiges Problem für die IT- und Sicherheitsabteilungen unserer Kunden - Staffbase bietet einzigartige Lösungen für dieses Problem.

Wir bieten mehrere Wege an, um Nutzer in die Staffbase-App einzuladen und Ihren Anwendungsfall zu unterstützen:Wir bieten mehrere Wege an, um Nutzer in die Staffbase-App einzuladen und Ihren Anwendungsfall zu unterstützen:

Nutzen Sie E-Mail & Passwort, wenn Sie die E-Mail Adressen Ihrer Nutzer kennen. Üblicherweise nutzen Sie dafür die Firmenadresse, aber die private E-Mail Adresse funktioniert ebenfalls.
Verwenden Sie Nutzername & Passwort, falls E-Mail keine Option ist.
Selbst-Anmeldung unter Nutzung der Firmen-E-Mail-Adresse ist ein effizienter und leichter Weg, um eine große Zahl an Nutzer mit Firmen-E-Mail einzuladen.
Verwenden Sie Single-Sign-On, wenn Sie bereits ein zentrales System zum Identitätsmanagement verwenden. Die Staffbase Mitarbeiter Plattform unterstützt Industriestandards wie SAML 2.0, OpenID Connect und OAuth (Mitarbeiter Email Produkt).

Sicherheit von Nutzersitzungen

Kunden können das Sitzungsmanagement konfigurieren, um es den existierenden Firmenrichtlinien für Ihre IT-Systeme anzupassen. Staffbase bietet die Möglichkeit, eine individuelle Sitzungsdauer für jedes Gerät zu definieren. Während Nutzer verschiedene Geräte wie Smartphone, Tablet und Desktop-Rechner für den Zugang zu Staffbase verwenden können, können Sie einstellen, wie viele parallele Sitzungen pro Anwender erlaubt sind.

Konfigurierbare Passwortrichtlinie

Sie können außerdem Anforderungen an Passwörter in Bezug auf Mindestlänge (zwischen 5 und 160 Zeichen) und Komplexität (verschiedene Zeichensätze wie Groß/Kleinbuchstaben, Zahlen und Sonderzeichen) konfigurieren, um sie Ihren Bedürfnissen und Richtlinien anzupassen.

E-Mail Signatur

Wir verwenden DKIM ((Domain Keys Identified Mail) zur Signatur von ausgehenden E-Mails von Staffbase.

Sichere Speicherung von Anmeldedaten

Passwörter in Staffbase können nicht extrahiert werden, da sie in einer Datenbank gespeichert werden, die Scrypt verwendet - eine Einweg-Hashfunktion die kollisionsfreie Hash-Werte erzeugt.

API Sicherheit und Authentifizierung

Unsere für Kunden verfügbare API wird durch HTTPS und einen API Token gesichert, welcher die HTTP Basisauthentifizierung nutzt. Die API-Dokumentation ist für Integrationen verfügbar auf unserem Entwickler Portal.

Zugriffsrechte und Rollen

Abhängig von den individuellen Anforderungen können Sie die Zugriffsrechte und Rollen in Staffbase detailliert anpassen. Die entsprechende Dokumentation über die Nutzerrollen in Staffbase finden sie in unserem Support Portal.

App-Sperre für mobile Geräte

Mit unserer App-Sperrfunktion für mobile Geräte können Sie die Sicherheit von Unternehmensdaten weiter gewährleisten und vertrauliche Informationen noch besser schützen. Nachdem Sie diese Funktion für alle Ihre Mitarbeiter aktiviert haben, kann die App nur dann verwendet werden, wenn das mobile Gerät gesichert ist, z. B. mit einem Entsperrcode, einem Fingerabdruck oder Gesichtserkennung.

Privatsphäre und Datenschutz

Mit seinen Ursprüngen in Deutschland und der EU haben wir bei Staffbase Privatsphäre und Datenschutz sehr tief in der Art und Weise, wie wir unsere Produkte, Dienste und interne Führung gestalten, verankert. Deutschland besitzt eines der strengsten Datenschutzgesetze der Welt und wir bringen diese Erfahrungen aus Deutschland darin zum Ausdruck, wie wir Mitarbeiterkommunikation aufbauen und entwickeln.

Auftragsverarbeitungsvereinbarung (AVV) - DSGVO

Staffbase bietet DSGVO-konforme Auftragsverarbeitungsvereinbarungen (AVV). Zusätzlich, durch den bereits erwähnten Prüfungsprozess für Lieferanten, verfügt Staffbase über AVVs mit jeglichen Subdienstleistern, die personenbezogene Daten verarbeiten. Für mehr Informationen über die DSGVO besuchen Sie bitte die gesonderte DSGVO-Seite.

Weitere Informationen

Datenschutzgrundverordnung (DSGVO)

Staffbase erfüllt die Anforderungen der EU-Datenschutz-Grundverordnung und bietet eine sichere Kommunikationsplattform, die Mitarbeiter- und Kundendaten gleichermaßen schützt. Das Recht unserer Kunden, ihrer Mitarbeiter und der Sicherheit ihrer personenbezogenen Daten haben für uns oberste Priorität. Daher haben wir, unter Führung unserer Legal- und Complianceabteilung, unseres Datenschutzbeauftragten und unseres Sicherheitsteams ein DSGVO Compliance-Programm. Für weitere Informationen sehen Sie bitte hier.

Weitere Informationen