Staffbase Sicherheit

Die sichere Kommunikationsplattform für Mitarbeiter*innen

Die sichere Kommunikationsplattform für Mitarbeiter*innen

Mehr als 2000 Unternehmen und über eine Million Mitarbeiter weltweit verlassen sich jeden Tag auf die Staffbase Plattform, um innerhalb ihres Unternehmens sicher zu kommunizieren. Die Anforderungen unserer Kunden an Sicherheit und Datenschutz sind sehr unterschiedlich, wobei viele aus den am stärksten regulierten und sicherheitsbewussten Industrien der Welt kommen. Um dem gerecht zu werden, steht Sicherheit an höchster Stelle für unsere Plattform und Vision.

Hier bei Staffbase gewährleistet unser starkes Fundament aus Produktfeatures und Prozessen als Dienstleister einen branchenweit führenden Schutz in allen Bereichen.

Unsere innovative Infrastruktur schützt Kundendaten über den gesamten Lebenszyklus innerhalb der Plattform. Zudem bietet eine leistungsstarke Palette von anpassbaren Einstellungen und Tools unseren Kunden die Möglichkeit, ihre eigenen Sicherheits- und Datenschutzanforderungen zu definieren.

Wir sind der festen Überzeugung, dass Sicherheit zu keinem Zeitpunkt angezweifelt werden sollte. Dank unseres Supports können all unsere Kunden voll und ganz auf eine sichere und zuverlässige Plattform vertrauen, die ihren Anforderungen und Interessen gerecht wird.

Stand: März 2023

Zertifizierungen

ISO 27001

Die ISO 27001 ist der de facto internationale Standard für Informationssicherheitsmanagement. Im Jahr 2018 schuf Staffbase ein Informationssicherheitsmanagementsystem (ISMS), welches noch im gleichen Jahr erfolgreich durch den TÜV Süd nach ISO 27001 zertifiziert wurde. Diese Zertifizierung wird jährlich durch einen fortlaufenden Auditierungsprozess bestätigt. Das aktuelle Zertifikat finden Sie hier hier, welches unser ISMS näher beschreibt.

Als Bestandteil der ISO 27001 Zertifizierung führen wir bei Staffbase regelmäßig Risikobewertungen durch. Daraufhin bereiten wir Pläne vor, die identifizierte Risiken zu behandeln und damit unsere Sicherheitsstandards kontinuierlich zu erhöhen. Das Staffbase Sicherheitsteam verbessert fortlaufend die Eignung, Angemessenheit und Effektivität des ISMS.

SOC 2 Type 2

Darüber hinaus wurden das Staffbase “Mitarbeiter E-Mail” Produkt und die kanadischen Standorte bereits unabhängig hinsichtlich SOC 2 Typ 2 Konformität auditiert. Sie erhielten einen Bericht, der die Verpflichtungen in Bezug auf Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Datenschutz unterstreicht. Das Sicherheitsteam arbeitet daran die gesamte Staffbase Gruppe durch den SOC 2 Bericht abzudecken.
Der Bericht ist auf Anfrage im Rahmen einer Vertraulichkeitsvereinbarung erhältlich.

Organisatorische Struktur und Steuerung

Sicherheits- und Datenschutzteams bei Staffbase

Staffbase beschäftigt einen dedizierten Chief Information Officer (CIO) der, zusammen mit unserem Global Head of Information Security, die Security-Abteilung leitet. Das Staffbase Sicherheitsteam überprüft und implementiert Sicherheitsmaßnahmen in allen Bereichen von Staffbase. Das Team arbeitet dabei eng mit unserem Legal & Compliance-Team zusammen, einschließlich speziellen Datenschutzberater*innen, um die Sicherheits-, Datenschutz- und Datensicherheitsprogramme bei Staffbase zu überprüfen und zu implementieren.

Staffbase ist ein Unternehmensmitglied der International Association of Privacy Professionals (IAPP). Unser Legal & Compliance-Team verfügt über IAPP-Mitglieder und CIPP/E, CIPP/US, CIPP/C und CIPM zertifizierte Fachleute, sowie über ein breites Spektrum an Erfahrungen in den Bereichen Datenschutz und Privatsphäre, unter anderem in Deutschland, den Niederlanden, Großbritannien und Nordamerika.

Sicherheitsschulungen

Durch jährliche Trainings als auch regelmäßige Beiträge in unserem eigenen Staffbase-Intranet schulen wir unsere Mitarbeiter kontinuierlich zu Inhalten der Informationssicherheit und schärfen somit das Bewusstsein für damit verbundene Risiken, Angriffe und aktuelle Themen. Alle Entwickler bei Staffbase nehmen regelmäßig an Sicherheitsschulungen teil, um immer auf dem aktuellen Stand bezüglich typischer Risiken in der Entwicklung und dem Schutz von Kundendaten zu sein.

Außerdem verpflichten sich alle Mitarbeiter*innen und externen Dienstleister zur Einhaltung von vereinbarten Sicherheitsrichtlinien, welche u.a. Vertraulichkeit, Datenschutz und die Meldung von Sicherheitsvorfällen regeln.

Vertraulichkeit

Grundsätzlich gehören zu all unseren Kundenverträgen Klauseln zur Vertraulichkeit.

Darüber hinaus sind alle Mitarbeiter*innen und externe Dienstleister von Staffbase dazu verpflichtet Vertraulichkeitsvereinbarungen zu unterzeichnen, um Kundendaten schützen. Als Teil unseres Prüfungsprozesses für Lieferanten (siehe unten) besitzt Staffbase mit allen Dienstleistern, die personenbezogene Daten oder vertrauliche Informationen unserer Kunden verarbeiten, Vertraulichkeitsvereinbarungen.

Sicherheitsvorfälle - Meldung und Behandlung

Alle Mitarbeiter*innen, externe Dienstleister und Hauptlieferanten sind dazu verpflichtet, Sicherheitsvorfälle zu melden.

Staffbase verfügt über ein Notfallkonzept, um unverzüglich und systematisch auf jegliche eventuell auftretende Sicherheits- oder Verfügbarkeitsvorfälle zu reagieren. Der Reaktionsplan basiert dabei auf NIST 800-61v2 und ist unterteilt in vier Phasen, welche dazu dienen Sicherheitsvorfälle zu verhindern, zu erkennen, zu beheben und abzustellen. Verfahren zur Reaktion auf mögliche Datenschutzverletzungen sind ebenfalls inkludiert, und erfordern die Konsultation des Datenschutzteams. Betroffene Kunden werden ohne Verzögerung und gemäß der anwendbaren Gesetze und Gesetzgebungen informiert.

Unser Vorfallreaktionsplan beinhaltet zudem einen Problemmanagementprozess, der die Ursache von unbekannten Vorfällen identifiziert und adressiert. Das gesamte Sicherheitsteam ist im Umgang mit Sicherheitsvorfällen und den dazugehörigen Prozessen geschult.

Diese Pläne und Konzepte werden im Rahmen der ISO 27001 Zertifizierung regelmäßig geprüft und aktualisiert.

Prüfung von Lieferanten

Als Teil der Unternehmensführung und Konformitätsprüfung haben wir eine Richtlinie zur detaillierten Überprüfung aller Dienstleister eingeführt, die möglicherweise Einfluss auf die Sicherheit des Staffbase-Dienstes haben könnten.

Diese Überprüfung besteht aus vier Stufen, welche die Staffbase Finanz-, IT-, Sicherheits-, Rechtsabteilung einbeziehen. Dienstleister müssen einem gemeinsamen Verständnis in der Informationssicherheit, der Berichterstattung über Vorfälle sowie Kontrollen beim Umgang mit Daten zustimmen.

Notfallwiederherstellung und Redundanz

Staffbase hat ein System entwickelt, um Störungen des Dienstes, z. B. aufgrund von Hardwarefehlern, Naturkatastrophen und anderen unvorhergesehenen Ereignissen oder Katastrophen, zu minimieren.

Unser Ansatz zur Wiederherstellung im Katastrophenfall beinhaltet:

Nutzung von modernsten Dienstleistern zur Unterstützung unserer Plattform. Tausende andere Unternehmen vertrauen bei der Bereitstellung ihrer Daten und Dienste ebenfalls auf diese Dienstleister.
Backups. Wir führen täglich Backups aller relevanten Systeme durch, die an geo-redundanten Standorten gespeichert werden. Diese stehen für die Wiederherstellung bei Vorfällen zur Verfügung.
Dual-Modus. Alle Produktivsysteme laufen im Dual-Modus, um eine schnell reagierende Ausfallsicherung sicherzustellen.
Internationales Team. Staffbase arbeitet verteilt in sechs Ländern und kann im Falle eines regionalen Vorfalles von den anderen Standorten aus bei Wiederherstellungsmaßnahmen unterstützt werden.
Notfallwiederherstellungskonzept. Unser Notfallwiederherstellungskonzept konzentriert sich auf technische Vorfälle für den Betrieb der Staffbase-Plattform und beinhaltet sowohl verschiedene Szenarien als auch regelmäßiges Training für das Notfallteam. Das Team ist daher in der Lage, Daten im Notfall wiederherzustellen.

Der Betriebsstatus unserer Systeme kann jederzeit auf der Statusseite unter https://status.staffbase.com/ eingesehen werden.

Reduzierter Zugriff

Zugriff auf unsere Produktivsysteme ist auf einen möglichst kleinen Kreis an Personen, welche für Wartung und Betrieb zuständig sind, beschränkt. Staffbase auditiert Zugriffe auf produktive Systeme mindestens jährlich und folgt dem Least-Privilege-Prinzip.

Infrastruktur und Hosting

Wir sind uns bewusst, dass Hostingstandorte für unsere Kunden und ihre Compliance-Anforderungen besonders wichtig sind. Aus diesem Grund bieten wir unseren Kunden die Auswahl zwischen EU und US Hosting für unsere Staffbase-Dienste an. Weitere Informationen zu unseren Auftragsverarbeitern finden Sie hier

EU Hosting (Deutschland)

Die EU Staffbase Server werden von Microsoft Azure (Mitarbeiter Plattform) und Amazon Web Services (Mitarbeiter Email) in Deutschland gehostet. Alle Anbieter sind ISO 27001 zertifiziert.

US Hosting (Virginia)

Die nordamerikanischen Staffbase Server werden von Microsoft Azure and Amazon Web Services gehostet. Die Rechenzentren sind mindestens ISO 27001zertifiziert. Standort der Rechenzentren ist der Bundesstaat Virginia, USA (Mitarbeiter Plattform) und Oregon (Mitarbeiter E-Mail).

Netzwerksicherheit (Alle Rechenzentren)

Sicherheit

Unser Netzwerk wird von redundanten Layer-4 Firewalls geschützt. Jegliche Kommunikation über öffentliche Netze erfolgt mit sicherer HTTPS-Transportverschlüsselung. Der Zugang unserer Systemadministratoren zu unseren Produktiv- und Testsystemen findet ausschließlich via schlüsselbasierter Authentifizierung zu Wartungszwecken statt.

Architektur

Die Staffbase Netzwerkarchitektur ist so ausgelegt, dass das Risiko einer Sicherheitsverletzung minimiert wird, indem nur der Zugriff auf die minimal erforderlichen Systeme erlaubt wird, während andere Systeme, wie z. B. Datenbankserver, nur intern zugänglich sind. Jeglicher Datenverkehr zu unseren Applikationsservern wird durch unsere Proxies und Gateways geroutet. Alle anderen Systeme in unseren Rechenzentren haben nie direkten Zugang zum Internet, weder eingehend noch ausgehend.

Web Application Firewall (WAF)

Staffbase setzt WAFs ein, um Infrastruktur und Kundendaten zu schützen. Web Application Firewalls ermöglichen es den Datenverkehr auf Applikationsebene zu untersuchen, sowie eine Bandbreite an Angriffsszenarien (z.B. OWASP Top 10) zu verhindern bzw. abzuschwächen.

Bereitstellung (CDN)

Die Staffbase-Produkte "Employee App" und "Frontdoor Intranet" nutzen die branchenführenden Content Delivery Network (CDN)-Dienste von "Amazon CloudFront" und "Cloudflare", um Multimedia-Inhalte bereitzustellen. Im Allgemeinen basieren alle URLs zu Multimedia-Inhalten, die auf unseren Medienservern gespeichert und zugänglich sind, auf einer zufälligen/nicht ermittelbaren Zeichenfolge von 192 Zeichen.

Für Kunden, die es vorziehen, auf ein CDN zu verzichten, kann die Nutzung eines CDN für Multimedia-Inhalte bei Bedarf deaktiviert werden.

AWS Cloudfront ist ISO 27001, ISO 27017 und ISO 27018 zertifiziert. AWS hat zudem den CSA Consensus Assessments Initiative Fragebogen ausgefüllt und stellt regelmäßig SOC 2 Typ 1, 2 und 3 Berichte zur Verfügung. Der aktuellste SOC 3 Bericht (Sicherheit, Verfügbarkeit, Vertraulichkeit) ist hier öffentlich verfügbar.
Cloudflare ist ISO 27001 und ISO 27701 (Datenschutz, inklusive Datenschutzmanagementsystem) zertifiziert. Zusätzlich sind SOC 2 Typ 2 und 3 Berichte hier in den entsprechenden Abschnitten verfügbar.
Kunden, welche das Enterprise Paket gebucht haben und CDN für Multimediainhalte nutzen, können eine zusätzliche Sicherheitsebene hinzufügen. Diese erfordert für den Zugriff eine zusätzliche Authentifizierung und stellt somit sicher, dass Dateien lediglich an authentifizierten Nutzer*innen innerhalb der dedizierten Kundeninstanz ausgespielt werden.

Behandlung von Informationssicherheits-vorfällen

Staffbase verwendet ein SIEM-System (Security Incident Event Management), um alle verfügbaren Protokolle von unseren Systemen zu sammeln und diese auf korrelierte Ereignisse zu analysieren. Das SIEM-System benachrichtigt das Staffbase-Sicherheitsteam über das Ereignis, und das Staffbase-Sicherheitsteam reagiert auf dieses Ereignis gemäß einem speziellen Prozess.

Intrusion Detection und Prevention

Unsere Hosting Provider realisieren Maßnahmen zur Intrusion Detection und Prevention, um ein Höchstmaß an Sicherheit in den Hosting Standorten sicherzustellen.

DDoS Risikominderung

Das Risiko von DDoS (Distributed Denial of Service) wird durch unsere Hosting Provider Microsoft Azure und Amazon Web Services behandelt.

Logischer Zugriff

Zugriff auf das Produktionsnetz von Staffbase ist auf den Kern des Teams für den technischen Betrieb beschränkt und beinhaltet die Überwachung und Kontrolle aller Zugriffe. Jeglicher Zugriff des Teams zu den Produktivsystemen ist durch schlüsselbasierte Authentifizierung gesichert.

Reaktion auf Informationssicherheits-vorfällen

Im Falle eines Systemalarms werden Sicherheitsvorfälle zum Staffbase Sicherheitsteam eskaliert. Unsere Mitarbeiter sind für die Reaktion auf Sicherheitsvorfälle geschult. Dies beinhaltet auch die Kommunikationskanäle und Eskalationspfade. Die Behandlung von Vorfällen erfolgt gemäß eines definierten Prozesses für Informationssicherheitsvorfälle.

Der Prozess entspricht der ISO 27001.

Verschlüsselung

Transport-verschlüsselung

Jegliche Kommunikation unserer Systeme über öffentliche Netzwerke erfolgt verschlüsselt unter Nutzung von HTTPS mit aktiviertem TLS (TLS 1.2) und Perfect Forward Secrecy (PFS). Wir haben SSLv3 auf allen Systemen deaktiviert, um Sicherheitsverstößen unterstützend vorzubeugen.

Verschlüsselung im Ruhezustand

Wir verschlüsseln Nutzerkennwörter durch die Verwendung von Industry-Best-Practice Einweg-Hashfunktionen um den Einfluss von Datenlecks zu minimieren. Nahezu alle unsere Dienste verwenden branchenweit bewährte symmetrische Verschlüsselungssysteme.

Produktsicherheit

Unser Secure Development Lifecycle (SDLC) beschreibt die Prozesse und Tools, die in der Softwareentwicklung und im Betrieb zur Verbesserung der Sicherheit eingesetzt werden. Die Prozesse und Tools orientieren sich an Best Practices der Branche und verwandten Frameworks.

System für Sicherheitsmaßnahmen

Unsere Produkte werden durch Best-Practices gegen geläufige Risiken wie CSRF (Cross Site Forgery Request), SQLi (SQL Injection) und XSS (Cross-Site-Scripting) geschützt und folgen den etablierten OWASP (Open Web Application Security Project) Empfehlungen.

Qualitätssicherung

Um ein Höchstmaß an Qualität zu gewährleisten, folgen wir den branchenüblichen Entwicklungs- und Qualitätssicherungsprozessen und führen eine Reihe automatisierter Tests am Sourcecode durch. Außerdem überprüfen wir alle Codeänderungen, die von unseren Entwicklern am Code vorgenommen werden, durch Peer-Reviews (Vier-Augen-Prinzip).

Getrennte Umgebungen

Die Staffbase Test- und Entwicklungsumgebungen sind logisch von den Produktivsystemen getrennt. Zu Testzwecken werden von Staffbase dedizierte Testdaten verwendet.

Penetrationstests

Staffbase beauftragt einen externen Penetrationstester mit der Durchführung unabhängiger Penetrationstests, die mindestens einmal jährlich durchgeführt werden. Staffbase verwendet den etablierten CVSS-Score, um den Schweregrad der identifizierten Schwachstellen zu bewerten. Das Sicherheitsteam von Staffbase arbeitet eng mit dem Produktteam zusammen, um die Behebung identifizierter Schwachstellen je nach Schweregrad zu priorisieren.

Unsere Sicherheitsingenieure testen kontinuierlich neue und bestehende Funktionen auf Schwachstellen, um das Sicherheitsniveau unserer Anwendung zu erhöhen. Außerdem werden automatisierte Abhängigkeitsüberprüfungen und Maßnahmen zur Behebung von Schwachstellen eingeführt, um die Sicherheit der verwendeten Bibliotheken und Frameworks zu erhöhen.
Eine Zusammenfassung des letzten Penetrationstests ist auf Anfrage im Rahmen einer Vertraulichkeitsvereinbarung erhältlich.
Wir ermöglichen unseren Kunden auf Anfrage auch die Durchführung eigener Blackbox-Penetrationstests. Diese Tests sind derzeit nur für unsere App/Intranet- und Comms Control-Produkte verfügbar.
Wir haben außerdem ein privates Bug-Bounty-Programm mit HackerOne ins Leben gerufen, das kontinuierliche Sicherheitstests durch eine globale Gemeinschaft von ethischen Hackern ermöglicht. Das Bug Bounty Programm hat dazu beigetragen, unsere Sicherheitskontrollen für das App/Intranet Produkt mit großem Erfolg zu verbessern. Wir planen, es auch auf unsere anderen Produkte auszuweiten.

Externe Hacker sind ebenfalls herzlich eingeladen, ihre Funde mit CVSS-Ratings >= 9.0 über unsere öffentliche Seite hier einzureichen und werden automatisch zu unserem privaten Bug Bounty Programm auf hackerone.com eingeladen.

Privatsphäre und Datenschutz

Mit seinen Ursprüngen in Deutschland und der EU haben wir bei Staffbase Privatsphäre und Datenschutz sehr tief in der Art und Weise, wie wir unsere Produkte, Dienste und interne Führung gestalten, verankert. Deutschland besitzt eines der strengsten Datenschutzgesetze der Welt und wir bringen diese Erfahrungen aus Deutschland darin zum Ausdruck, wie wir Mitarbeiterkommunikation aufbauen und entwickeln.

Auftragsverarbeitungsvereinbarung (AVV) - DSGVO

Staffbase bietet DSGVO-konforme Auftragsverarbeitungsvereinbarungen (AVV). Zusätzlich, durch den bereits erwähnten Prüfungsprozess für Lieferanten, verfügt Staffbase über AVVs mit jeglichen Subdienstleistern, die personenbezogene Daten verarbeiten. Für mehr Informationen über die DSGVO besuchen Sie bitte die gesonderte DSGVO-Seite.

Weitere Informationen

Datenschutzgrundverordnung (DSGVO)

Staffbase erfüllt die Anforderungen der EU-Datenschutz-Grundverordnung und bietet eine sichere Kommunikationsplattform, die Mitarbeiter- und Kundendaten gleichermaßen schützt. Das Recht unserer Kunden, ihrer Mitarbeiter und der Sicherheit ihrer personenbezogenen Daten haben für uns oberste Priorität. Daher haben wir, unter Führung unserer Legal- und Complianceabteilung, unseres Datenschutzbeauftragten und unseres Sicherheitsteams ein DSGVO Compliance-Programm. Für weitere Informationen sehen Sie bitte hier.

Weitere Informationen