Informationssicherheit

Sichere Softwareentwicklung und IT-Dienstleistungen

Eine sichere Softwareentwicklung und sicheres Hosting bilden den Kern unserer webbasierten Projektmanagementlösung. Daher legen wir Wert auf ein ganzheitliches Informationssicherheitsmanagement. Hier erfahren Sie, welche Maßnahmen wir umgesetzt haben, um Ihnen sichere Hosting-Dienstleistungen und mit Projektron BCS ein sicheres Produkt zur Verfügung zu stellen.


TÜV-zertifizierte Qualität – Sicheres Produkt Projektron BCS

Die Projektron GmbH legt großen Wert auf die Informationssicherheit und hat deshalb ein umfassendes Informationssicherheitsmanagementsystem (ISMS) implementiert. Mit der Einführung dieses Systems haben wir die Informationssicherheit organisatorisch im Unternehmen verankert und zentrale Prozesse wie das Risikomanagement etabliert. Unsere übergreifenden Ziele sind dabei stets folgende:

  •  Vertraulichkeit
 
  •  Integrität
 
  • Verfügbarkeit

Ein zentrales Element unseres Informationssicherheits- und Qualitätsmanagements ist die ISO 27001-Zertifizierung durch den TÜV Rheinland. Diese Zertifizierung bestätigt, dass unsere Prozesse, Systeme und Kontrollen die strengen Anforderungen der ISO 27001-Norm erfüllen. Unsere ISO/IEC 27001:2013 A1-Zertifizierung deckt neben dem Betrieb von Entwicklung und IT-Dienstleistungen auch unseren Support und unsere IT-Administration ab. Unser ISMS wird regelmäßig überprüft und angepasst, um auf neue Bedrohungen und Herausforderungen zu reagieren. Dies garantiert, dass unsere Sicherheitsmaßnahmen stets auf dem neuesten Stand sind und Ihre Daten kontinuierlich geschützt werden.

Regelmäßige Sicherheitsupdates und Bug-Fixes

Die regelmäßige Installation von Updates ist eine der wichtigsten Sicherheitsmaßnahmen, auf die Benutzer von Projektron BCS achten sollten. Wir arbeiten laufend daran, mögliche Sicherheitslücken zu identifizieren und umgehend zu beheben. Aktualisierungen unserer Software umfassen daher auch immer Bugfixes und behobene Sicherheitsrisiken. Updaten Sie daher regelmäßig Ihre BCS-Installation, um vor potenziellen Risiken bestmöglich geschützt zu sein.
 

Neueste sicherheitsrelevante Änderungen ansehen

Produktentwicklung

Sichere Softwareentwicklung – sichere Software: Informationssicherheit im Entwicklungsprozess ist grundlegend, um mit Projektron BCS ein Softwareprodukt anzubieten, das eine sichere Basis für Ihre geschäftlichen Anforderungen darstellt und die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Informationen gewährleistet.

Unsere Maßnahmen für sichere Softwareentwicklung

Zugriffskontrolle und Authentifizierung

  •  

Rollen- und Rechtekonzept

Ein kundenspezifisch anpassbares Rollen- und Rechtekonzept bietet die Voraussetzung für die Beschränkung des Daten- oder Informationszugriffs auf die berechtigte Person.
 

 
  •  

Single-Sign-On

BCS unterstützt eine Authentifizierung über SAML, Active Directory (LDAP/KERBEROS) oder OAuth 2.0 mit OpenID Connect.

  •  

Richtlinien für Passwörter

Projektron BCS unterstützt Richtlinien für Passwörter bezüglich Passwortkomplexität und Änderungshäufigkeit.

 
  •  

2-Faktor-Authentifizierung

Die Anmeldung kann durch einen nach dem TOTP-Verfahren generierten zweiten Faktor zusätzlich abgesichert werden.

  •  

Passkeys

BCS unterstützt Passkeys, eine passwortlose Authentifizierungsmethode, die Passwörter durch ein asymmetrisches Verfahren ersetzen und somit die Benutzerfreundlichkeit erhöhen und Schwachstellen wie Phishing, Passwortdiebstahl und schwache Passwörter beheben.

   
 

Datensicherheit und Schutzmechanismen

  •  

Verschlüsselte Verbindungen

Zur sicheren Datenübertragung zwischen Projektron BCS und Benutzern oder Fremdsystemen ist eine verschlüsselte Kommunikation möglich (https, imaps, smtps).

 
  •  

Passworttresor

Für Drittsysteme benötigte Passwörter können kryptografisch sicher in einem Passworttresor hinterlegt werden.

  •  

Sichere Passwörter

Passwörter werden in Projektron BCS mit dem PBKDF2-Algorithmus sowie Salt und Pepper gesichert.

 
  •  

Brute-Force-Attacken

Benutzerkonten sind durch Wartezeiten oder eine Benutzerkontensperrung bei mehreren fehlgeschlagenen Login-Versuchen geschützt. Zugriff auf einzelne Konten kann auf bestimmte IP-Adressen und IP-Bereiche beschränkt werden.

 

Testen und Überprüfung

  •  

Vulnerability Scanning

Die Software wird regelmäßig auf bekannte Sicherheitslücken gescannt.

 
  •  

Pentests

In Zusammenarbeit mit unseren Kunden werden regelmäßig Pentests durchgeführt. Die Ergebnisse dieser Tests fließen kontinuierlich in die Entwicklung und den Schutz von Projektron BCS ein.

  •  

Automatisiertes Testen

Projektron BCS wird sowohl auf Funktionalität als auch auf Benutzerfreundlichkeit getestet. Gängige Angriffsmuster können automatisiert überprüft werden. Automatisierte Tests werden in die Continuous Integration (CI) Pipeline integriert, um sicherzustellen, dass jede Änderung am Code sofort getestet wird.

 
  •  

Integrationstests

Wir führen Integrationstests durch, um sicherzustellen, dass verschiedene Komponenten der Software sicher zusammenarbeiten und keine neuen Sicherheitslücken entstehen.

  •  

Unit-Tests

Für jede User Story entwickeln wir Unit-Tests, um die korrekte Funktionalität und Sicherheit auf der Code-Ebene zu überprüfen.

 
  •  

Testabdeckungsberichte

Wir erstellen Testabdeckungsberichte, die die Abdeckung der User Storys durch die Tests anzeigen und sicherstellen, dass keine sicherheitskritischen Bereiche ungetestet bleiben.

  •  

End-to-End-Tests

Wir erstellen End-to-End-Tests, die die gesamte User Story abdecken und sicherstellen, dass die Anwendung wie erwartet funktioniert und sicher ist.

   
 

Interne Sicherheitsmaßnahmen

  •  

Definition von Sicherheitsanforderungen

Sicherheitsziele und -anforderungen werden zu Beginn des Projekts klar festgelegt.

 
  •  

Sicherheitsplanung

Wir befolgen einen detaillierten Sicherheitsplan, der die Sicherheitsmaßnahmen und -prozeduren beschreibt.

  •  

Expertenteam in der Produktentwicklung 

Ein spezialisiertes Team setzt sich kontinuierlich mit aktuellen Themen der IT-Sicherheit auseinander und implementiert die neuesten Sicherheitsmaßnahmen in Projektron BCS. Dies sorgt dafür, dass unsere Software stets den höchsten Sicherheitsstandards entspricht.

 
  •  

Interne Richtlinie „Sichere Softwareentwicklung“

Die interne Richtlinie zielt darauf ab, Sicherheitsdefizite und Schwachstellen in der Entwicklung von Projektron BCS zu minimieren und angemessen darauf zu reagieren. Dies erfolgt durch die Berücksichtigung der SANS Top 25, die die 25 gefährlichsten und relevantesten Schwachstellen in Software auflistet, sowie der OWASP Top 10, die die zehn am weitesten verbreiteten und wichtigsten Schwachstellen für Webanwendungen beschreibt.

  •  

Mitarbeiterschulungen

Unsere Entwickler werden regelmäßig für Sicherheitsaspekte und Best Practices geschult und sensibilisiert.

 
  •  

Awareness-Programme

Wir führen Programme zur Förderung des Sicherheitsbewusstseins im gesamten Entwicklungsteam durch.

  •  

Sicherheitsdokumentation

Alle Sicherheitsanforderungen, -maßnahmen und -tests werden detailliert dokumentiert.

 
  •  

Berichterstattung

Es erfolgt eine regelmäßige Berichterstattung über den Sicherheitsstatus und aufgetretene Vorfälle an relevante Stakeholder.

 

Sichere Programmierung und Entwicklungsrichtlinien

  •  

Codierstandards und -richtlinien

Wir halten bewährte Codierstandards und -richtlinien ein, um Sicherheitslücken zu vermeiden.

 
  •  

Code Reviews und Peer Reviews

Der Code wird regelmäßig durch Kollegen überprüft, um potenzielle Sicherheitsprobleme frühzeitig zu identifizieren.

  •  

Static Code Analysis

Zur statischen Codeanalyse kommen Tools zum Einsatz, um Schwachstellen im Quellcode zu finden.

 
  •  

Risikobewertung

Während des gesamten Entwicklungsprozesses erfolgt eine Identifikation und Bewertung potenzieller Sicherheitsrisiken.

  •  

Schwachstellenmanagement

Zur Erkennung, Bewertung und Behebung von Sicherheitslücken wurde ein entsprechender Prozess implementiert.

   
 

Versionskontrolle und Konfigurationsmanagement

  •  

Versionskontrolle

Wir verwenden Versionskontrollsysteme (z.B. Git), um Änderungen im Code nachzuverfolgen und die Rückverfolgbarkeit zu gewährleisten.

 
  •  

Konfigurationsmanagement

Wir stellen sicher, dass alle Konfigurationen sicher verwaltet und dokumentiert werden.

 

Incident Response und Notfallplanung

  •  

Notfallpläne

Notfallpläne wurden erstellt und werden kontinuierlich gepflegt, um im Falle eines Sicherheitsvorfalls schnell und effektiv reagieren zu können.

 
  •  

Incident Response

Zur Reaktion auf Sicherheitsvorfälle haben wir einen Prozess etabliert, einschließlich der Analyse und Behebung der Ursachen.

   

Hosting / SAAS

Wir wissen, dass Ihnen ein sicheres System wichtig ist, gerade wenn Sie Projektron BCS bei uns oder unserem Dienstleister hosten.

Unsere Maßnahmen für sicheres Hosting

Standort und Verfügbarkeit

  •  

Rechenzentrum in Deutschland

Das Rechenzentrum steht in Deutschland und unterliegt hohen Sicherheitsstufen. Es gehört zur Tier IV Klasse mit redundanten ISP POP.

 
  •  

Backup und Wiederherstellung

Das Hosting bietet Backups und bei Bedarf eine schnelle Wiederherstellung.

  •  

Zertifiziert

Unser Rechenzentrum und die sicherheitsrelevanten Bereiche von Projektron sind nach ISO 27001 zertifiziert. Das Rechenzentrum besitzt außerdem weitere Zertifikate: VdS ISO 9001 NSL und IS, DIN 14675 für BMA und DIN EN 50518.

 
  •  

Verfügbarkeit

Wir garantieren die vereinbarte Verfügbarkeit, die permanent überwacht wird.

 

Physische Sicherheit und Zugangskontrolle

  •  

Zugangskontrolle

Das Rechenzentrum darf nur von den autorisierten mit der Aufgabenerfüllung betrauten Personen mit vorheriger Anmeldung betreten werden.

 

 
  •  

Wachschutz

Das Rechenzentrum wird 24/7 und an 365 Tagen pro Jahr von einem Wachschutz vor Ort betreut. 

 

Sicherheitstests und Updates

  •  

Automatisierte Updates

Die virtuellen Maschinen sowie Projektron BCS werden automatisiert aktualisiert, damit Sie immer auf dem neuesten und sichersten Stand sind.

 
  •  

Wartungsfenster

Es gibt regelmäßige geplante Wartungsfenster zum Einspielen von Updates und Patches. Bei einer akuten Sicherheitslücke werden außerplanmäßige Updates durchgeführt, die zwei Stunden vorher angekündigt werden.

  •  

Pentest

Unser Hosting wird jährlich einem Pentest unterzogen.

   
 

Daten- und Zugriffssicherheit

  •  

Getrennte Datenbankserver

Die Kundendaten liegen auf getrennten Datenbankservern. Das ermöglicht eine bessere Performance und die Einrichtung individueller Schnittstellen.

 
  •  

SSL

Beim Hosting greifen Sie auf Projektron BCS über einen verschlüsselten Zugang mit SSL-Zertifikat zu.

  •  

VPN-Tunnel

Die virtuellen Maschinen sind nicht über das Internet erreichbar. Projektron greift auf diese nur über VPN-Tunnel zu.

 
  •  

Firewall

Eine zentralisierte Firewall mit strikten Filterregeln individuell pro Kunde schützt Sie vor Angriffen von außen. Eine Firewall für Webapplikationen kann auf Anfrage zur Verfügung gestellt werden.

  •  

Sichere Verbindungen via HTTPS/SFTP/SSH & SCP

Auf Ihre virtuelle Maschine greifen Sie generell nur über sichere Verbindungen zu (via HTTPS/SFTP/SSH) und erstellen so beispielsweise Backups oder Datenkopien (via SCP).

   
 

Zusatzdienste und Weiterbildungen

  •  

KVD

Unsere Kunden sind automatisch an den Konfigurationsversionierungsdienst (KVD) angeschlossen. Das bedeutet, dass ihre Konfigurationen innerhalb eines SVN Repositorys verwaltet werden.

 
  •  

Weiterbildungen

Mitarbeiter erhalten bedarfsgerechte Weiterbildungen zur Sicherheit von Hosting-Diensten.

   

Supportportal & Web App

Folgende Maßnahmen bieten einen Überblick über die wichtigsten Sicherheits- und Konfigurationseinstellungen, die das Supportportal und die Web App von Projektron BCS noch sicherer und effizienter machen. Erfahren Sie, wie Sie Ihre Daten optimal schützen und die Plattform ganz nach Ihren Bedürfnissen anpassen können.

Unsere Sicherheitsmaßnahmen für Supportportal und WebApp

Supportportal

  •  

Transportsicherheit

Die Transportsicherheit im Supportportal wird durch die optionale, jedoch empfohlene Nutzung von HTTPS gewährleistet.

 
  •  

Nachrichtenaustausch und Authentifizierung

Der Nachrichtenaustausch erfolgt über SOAP, wobei die Authentifizierung über Username und Passwort im SOAP-Header sichergestellt wird. Der Synchronisation-User sollte mit einem starken Passwort geschützt sein, da er über umfangreiche Rechte verfügt. Dieses Passwort sollte im Passworttresor hinterlegt werden.

  •  

Konfiguration der zu synchronisierenden Attribute

Die zu synchronisierenden Attribute können konfiguriert werden, wobei sensible Attribute von der Synchronisation ausgeschlossen werden können.

 
  •  

Port-Restriktionen

Es können Port-Restriktionen angewendet werden, um den HTTP-Austausch zwischen den beteiligten Systemen gezielt einzuschränken.

 

Web App

  •  

Transportsicherheit

Die Transportsicherheit der Web App wird gewährleistet, da sie ausschließlich in Verbindung mit HTTPS genutzt werden kann.

 
  •  

Authentifizierung und Cookie-Verwaltung

Die Authentifizierung erfolgt über Benutzername und Passwort, gefolgt von der Verwendung eines langlebigen Cookies, das sicher im Speicher gehalten und bei expliziter Abmeldung aus der App entfernt wird.

  •  

Rechteanwendung bei Synchronisation

Bei der Synchronisation von der Web App nach Projektron BCS werden die in BCS gesetzten Rechte angewendet.

   

   

Schnittstellen

Hier erhalten Sie einen Überblick über die zentralen Sicherheitsaspekte bei der Nutzung von Schnittstellen in Projektron BCS. Egal ob Sie Microsoft Exchange, Microsoft 365 (Exchange Online) oder Jira integrieren, hier erfahren Sie, wie Sie die Transportsicherheit gewährleisten und welche Authentifizierungs- und Autorisierungsmethoden zum Einsatz kommen.

Unsere Schnittstellen aus Sicherheitsperspektive

Microsoft Exchange On-Premises

  •  

Transportsicherheit

Die Transportsicherheit für Microsoft Exchange On-Premises wird durch die optionale, aber empfohlene Nutzung von HTTPS gewährleistet.

 
  •  

Authentifizierung

Projektron BCS unterstützt die Authentifizierungsarten BASIC, DIGEST und NTLM, die jedoch anfällig für bestimmte Angriffsmuster sind. BCS unterstützt noch nicht die moderne Authentifizierungsart AD FS, die auf OAuth 2.0 basiert und von Exchange 2019 genutzt wird.

 

Microsoft Exchange Online

  •  

Transportsicherheit

Die Transportsicherheit bei der Nutzung von Microsoft Exchange Online wird durch die ausschließliche Verwendung von HTTPS gewährleistet.

 
  •  

Authentifizierung

Die sichere, tokenbasierte Authentifizierung sorgt für zusätzlichen Schutz bei der Nutzung von Exchange Online.

 

Jira On-Premises

  •  

Transportsicherheit

Die Transportsicherheit für Jira On-Premises wird durch die optionale, aber empfohlene Nutzung von HTTPS gewährleistet.

 
  •  

Nachrichtenaustausch

Der Nachrichtenaustausch erfolgt über SOAP, wobei das Passwort des Sync-Users sicher geschützt sein muss.

  •  

Impersonation und Sicherheit

Nach der Anmeldung über den Sync-User wird die Impersonation genutzt, um Aktionen im Kontext des angemeldeten Benutzers zu speichern.

   
 

Jira Cloud

  •  

Authentifizierung

In Jira Cloud erfolgt die Authentifizierung über einen API-Key am Benutzer über die REST-Schnittstelle in BCS, wobei der API-Key sicher erstellt und gespeichert wird.

 
  •  

Sicherheitsempfehlung

Es wird empfohlen, die Installation von Jira Cloud und Projektron BCS auf demselben System vorzunehmen, um Ports durch eine Firewall blockieren zu können.

  •  

Benutzerverwaltung

Die Verwaltung der Benutzer-Zuordnungs-Mappings in BCS ist ausschließlich durch den Administrator möglich.

   

  

Tanja Maier

Controlling, SSC-Services GmbH

"[Das] Risikomanagement von [Projektron] hilft uns unter anderem, die Anforderungen der TISAX- und ISO-Labels zu erfüllen. Wir hinterlegen Vereinbarungen wie Service-Level-Agreements und Geheimhaltungsvereinbarungen an den entsprechenden Projekten, halten fest, ob im Projekt relevante Informationswerte verarbeitet werden und vertraglich eine Terminierung vereinbart wurde. Risiken und ggf. Chancen werden am Projekt vom Projektleiter hinterlegt."

Michael Schäfer

Geschäftsführer, Schutzwerk GmbH

"Wir wollten eine All-in-One-Lösung, die unsere hohen Sicherheitsanforderungen abdeckt und uns bei der Abwicklung unserer Prüfungsprojekte im Bereich Cybersicherheit unterstützt. Neben der Nutzung grundlegender Projektmanagementfunktionen, insbesondere für viele kleinere Projekte, sind für uns das projektübergreifende Ressourcenmanagement und die Automatisierung von der Leistungserfassung bis zur Abrechnung essenziell. Projektron BCS unterstützt uns auch bei der effizienten Durchführung unserer internen Projekte, wie z.B. Zertifizierungen."

Carsten Münch

First Business Partner & Team Coordinator Application Management, TÜV Rheinland Service GmbH

"Wir haben Single Sign-On implementiert, so dass unsere Mitarbeitenden kein Passwort eingeben müssen und ein sicheres und modernes Anmeldeverfahren nutzen können."

Thomas Hackenbuchner

Head of Finance & Administration, MicroNova AG

"Bei der Informationssicherheit unterstützt BCS durch die Möglichkeit, Projekte mit zusätzlichen Attributen zu versehen. So können wir zum Beispiel Projekte hinsichtlich ihres Schutzbedarfs klassifizieren oder markieren, ob es sich um ein Projekt mit Prototypenschutz handelt. Anhand dieser Markierungen können wir weitere Prozessschritte ableiten und initiieren."

Kevin Botsch

Fachliches Produktmanagement BCS, Finanz Informatik Solutions Plus GmbH

"Als Beratungs-, Entwicklungs- und Integrationsdienstleister für Geschäftsanwendungen in der Finanzwirtschaft sind uns die Sicherheit einer Software und transparente Abläufe wichtig. Durch unser bisheriges Wachstum und die stetig wachsende Anwenderzahl sind auch Anwenderfreundlichkeit und eine intuitive Bedienung zu einem wichtigen Faktor geworden. Mit Projektron BCS haben wir ein System gefunden, das genau diesen Anforderungen entspricht. Darüber hinaus lässt sich BCS auch flexibel auf unsere Bedürfnisse anpassen und ermöglicht uns zahlreiche Prozessverbesserungen."

Qualitäts- und Informationssicherheitsmanagement bei der Projektron GmbH

Neben sicherer Softwareentwicklung und sicherem Hosting stellen leistungsfähige Geschäftsprozesse den Kern für unsere Projektmanagementsoftware und unser Unternehmen dar. Daher haben wir ein ganzehitliches Qualitäts- und Informationssicherheitsmanagement implementiert.

 

Qualitäts- und Informationssicherheitsmanagement bei der Projektron GmbH

Ihr Kontakt

Unsere Kundenbetreuung

ist Ihr Ansprechpartner
rund um Projektron BCS.

+49 30 3 47 47 64-200
kundenbetreuung(at)projektron.de

Kostenlose
Online-Präsentation

Lassen Sie sich die Projektmanagement-Software Projektron BCS via Web-Konferenz zeigen.

Anmelden

Alle Referenzen Seitenanfang