Die Sicherheit von Vertec im Internet

Wenn Sie via Internet auf Ihr Vertec zugreifen können, können das grundsätzlich auch alle anderen. Deshalb ist es besonders wichtig, das Augenmerk sowohl auf die Datensicherheit als auch auf den Schutz vor unberechtigten Zugriffen zu richten. 

Vertec im Cloud Abo

Beim Betrieb von Vertec im Cloud Abo wird Vertec direkt aus der Cloud ohne lokale Serverinstallation genutzt. Dabei betreibt Vertec die Software in der Cloud und ist für einen Grossteil der Sicherheitsmassnahmen verantwortlich.

Das unternimmt Vertec für die Sicherheit beim Cloud Abo

ISO 27001 Zertifizierung

Vertec ist seit über 10 Jahren ISO 27001 zertifiziert, dem Standard für Informationssicherheits-Managementsysteme (ISMS). Die Einhaltung der strengen Sicherheitsvorgaben werden jährlich durch externe Auditoren überwacht bzw. rezertifiziert. Regelmässige Penetrationstests mit externen Spezialisten decken proaktiv Schwachstellen auf. Dies ist eine wesentliche Massnahme, um Risiken frühzeitig zu erkennen und zu beheben.

Getrennte Netze

Weiterhin wird durch eine Trennung der Netze zwischen dem Cloud Abo und den eigenen IT-Applikationen gewährleistet, dass keine Sicherheitsverletzungen zwischen beiden Netzen übertragen werden können.

Updates einspielen

Auch das regelmässige Einspielen von Updates auf Betriebssystem und Applikationsebene minimiert die Angriffsfläche potentieller Gefahren.

Betrieb der Infrastruktur

Die für den Betrieb notwendige Infrastruktur betreibt Vertec bei zwei ISO 27001 zertifizierten Hostern, Exoscale und Hosttech in den Ländern Schweiz, Deutschland und Österreich.

Vertec erstellt täglich lokale Sicherungen und speichert die Daten der vergangenen sieben Tage. So wird sichergestellt, dass bei Datenverlust oder einer Störung eine schnelle Wiederherstellung möglich ist. Zudem speichert Vertec Kundendaten bei zwei externen Backupanbietern. Auch diese Anbieter, Infomaniak in der Schweiz und IONOS in Deutschland, sind ISO 27001-zertifiziert.

Die Übertragung der Daten als auch deren Speicherung findet immer in verschlüsselter Form statt. So kann kein unberechtigter Zugriff durch Dritte erfolgen.

Durch die Verteilung auf zwei Länder wird eine geografische Redundanz erreicht. Diese ermöglicht eine flexiblere Reaktion auf länderspezifischen Krisensituationen, wie beispielsweise eine Strommangellage.

Um die Kontinuität des Geschäftsbetriebes sicherzustellen, wird die Cloud Abo Infrastruktur rund um die Uhr überwacht und bei einer Störung die verantwortlichen Mitarbeiter über ein Alerting-System umgehend benachrichtigt. Die aktuelle Verfügbarkeit kann jederzeit auf unserer Statusseite eingesehen werden.

Zusätzliche Schutzmechanismen

• Nach zehn fehlgeschlagenen Login-Versuchen wird der entsprechende Account für die folgenden zehn Minuten gesperrt.
• Das Restrict Scripting schränkt das Scripting ein. 
• Der Zugriff auf das Server Filesystem zum Speichern von Dateien ist nicht möglich. 
• Der Vertec Session Prozess läuft als Low Integrity Prozess und darf keine weiteren Subprozesse starten. 

Dafür sind Sie als Cloud Abo Kunde verantwortlich

Neben allen Sicherheitsvorkehrungen, für die Vertec sorgt, sollten Cloud Abo Kunden selbst zwingend diese Dinge beachten:

1. Es sind sichere Passwörter für die Logins zu verwenden. Vertec erlaubt, im Rahmen der Password Policy, die Password-Anforderungen so einzustellen, dass nur starke Passwörter zulässig sind. Um sicherzustellen, dass alle Benutzer einer Vertec Installation tatsächlich ein sicheres Passwort verwenden, lässt sich beim nächsten Login ein Passwortwechsel erzwingen.

   Was macht ein sicheres Passwort aus?

   Für ein sicheres Passwort ist in erster Linie dessen Länge entscheidend: Es ist mindestens zehnstellig, setzt sich aus Gross- und Kleinschreibung, Zahlen und Sonderzeichen zusammen. Idealerweise steht es nicht als «echtes» Wort im Wörterbuch und stellt keinen Bezug zum Benutzer her. Pro Dienst sollte ein unterschiedliches Passwort verwendet und zur Erstellung auf Passwort-Generatoren zurückgegriffen werden. Passwörter sollten zudem nie notiert oder im Klartext auf Datenträgern abgelegt werden. Zur Verwaltung sollten stattdessen Passwort-Manager verwendet werden.

2. Die internen Richtlinien von Vertec fordern zusätzlich den Einsatz der 2 Faktor Authentisierung. Dies erhöht die Sicherheit wesentlich, da Zugriffe erst nach Eingabe eines zweiten unabhängigen Faktors möglich sind. 
3. Regelmässige Informationssicherheits-Schulungen und die Sensibilisierung der eigenen Mitarbeitenden.

Vertec On-Premises mit Internetzugriff

Kunden einer Vertec On-Premises Installation haben zwei Möglichkeiten, ihr Vertec ins Internet zu stellen. Entweder sie nutzen den Webaccess Service von Spektra Netcom AG, oder sie stellen ihren Vertec Cloud Server selbst ins Internet.

In beiden Fällen empfiehlt Vertec dringend, sich mit der Passwortsicherheit und der 2 Faktor Authentisierung auseinander zu setzen. Zudem sollten die nachfolgend beschriebenen zusätzlichen Schutzmechanismen aktiviert und immer die neuste Vertec Version eingesetzt werden.

Zusätzliche Schutzmechanismen

Wir empfehlen, diese weiteren Schutzmassnahmen zu aktivieren, bzw. nicht abzuschalten:

• Nachdem standardmässig zehn Login-Versuche fehlschlagen, so wird der entsprechende Account für die folgenden zehn Minuten gesperrt. Die Anzahl möglicher Versuche sowie die Zeitspanne können in der [CloudServer] Session im Vertec.ini-File konfiguriert werden. Ist nichts angegeben, wird der Standard verwendet. Diese Schutzeinrichtigung kann deaktiviert werden, wovon jedoch dringend abgeraten wird.
• Das Restrict Scripting schränkt das Scripting beim Zugriff via Cloud Clients ein. Dadurch laufen keine VB Scripts mehr und für Python wird eine Sandbox eingeführt.
• Restrict Filesystem Access schränkt den Zugriff auf das Server Filesystem beim Speichern von Dokumenten ein.
• Die Einstellung Restrict Session Process startet die Session Prozesse mit eingeschränkten Möglichkeiten:
  • Der Vertec Session Prozess läuft als Low Integrity Prozess.
  • Der Vertec Session Prozess darf keine weiteren Subprozesse starten.

Immer die neueste Vertec-Version einsetzen

Wir raten dringend, stets die aktuellste Vertec-Version einzusetzen, mindestens aber jeden Major Release einzuspielen.

Die Technik entwickelt sich schnell weiter, und auch die Zahl derer, die daran arbeiten, bestehende Sicherheitshürden zu knacken. Was vor 2 Jahren noch gut und sicher war, ist unterdessen angreifbar. Wie die im Internet üblichen Verschlüsselungsstandards bei der Übertragung von Daten entwickelt sich auch Vertec kontinuierlich mit. Mit der neusten Vertec Version ist auch Ihre Installation immer auf dem neusten Stand. 

Vertec On-Premises Installation über die eigene Infrastruktur

Kunden, die ihr Vertec eigenständig ins Internet stellen, müssen neben der oben erwähnten Massnahmen zudem sicherstellen:

• Dass der Cloud Server im verschlüsselten Modus mit einem echten Zertifikat betrieben wird.
• Dass die verwendeten cypher suites und TLS Versionen aktuell sind.

Vertec On-Premises Installation ohne Internetzugriff

Eine lokal betriebene (On-Premises) Installation, die nicht mit dem Internet verbunden ist, ist am wenigsten verbreitet. Nur in diesem Fall sind auch ältere Vertec-Versionen akzeptabel und Passwörter von geringerer Bedeutung.