Sicherheitspraktiken, Richtlinien und Infrastruktur von Zoho

Aktualisiert am: 30. Mai 2018

Fast 30 Millionen Benutzer weltweit greifen auf die Zoho Services zu. Einzelpersonen, kleine, mittelgroße und große Unternehmen vertrauen auf die Sicherheit und den Datenschutz von Zoho, um ihre Anforderungen zu erfüllen. Für uns ist Sicherheit oberstes Gebot und wir haben umfangreiche Vorgehensweisen, Technologien und Richtlinien, mit denen wir Ihre Daten schützen.

Wenn Sie derzeit Ihre Daten auf PCs oder Ihren eigenen Servern aufbewahren, können wir Ihnen mit großer Wahrscheinlichkeit mehr Sicherheit bieten, als Sie derzeit nutzen.

Dieses Dokument führt einige der Mechanismen und Prozesse auf, die wir implementiert haben, um den Schutz Ihrer Daten zu gewährleisten. Unsere Sicherheitspraktiken konzentrieren sich auf vier Bereiche: physische Sicherheit, Netzwerksicherheit, Personenprozesse sowie Redundanz und Business Continuity.

Physische Sicherheit

Unsere Rechenzentren werden in einigen der nach modernen Standards sichersten Anlagen an Standorten gehostet, die vor physischen und logischen Angriffen sowie vor Naturkatastrophen wie Erdbeben, Bränden, Überflutungen usw. geschützt sind.

  • Sicherheit rund um die Uhr. Die Rechenzentren, in denen Ihre Daten gehostet werden, werden das ganze Jahr über an sieben Tagen die Woche rund um die Uhr von privaten Sicherheitsleuten bewacht.
  • Videoüberwachung. Jedes Rechenzentrum wird rund um die Uhr mit Nachtsichtkameras überwacht.
  • Zugangskontrolle. Der Zugang zu den Rechenzentren von Zoho ist auf eine kleine Gruppe von autorisierten Personen begrenzt.
  • Biometrische und Zwei-Faktor-Authentifizierung. Um Zugang zu einem Rechenzentrum von Zoho zu erlangen, müssen sich Personen über zwei Authentifizierungsmethoden authentifizieren, darunter eine biometrische.
  • Geheime Standorte. Die Server von Zoho befinden sich an unauffälligen, geheimen Standorten, um die Wahrscheinlichkeit für einen Angriff zu verringern.
  • Kugelsichere Wände. Die Server von Zoho sind durch kugelsichere Wände geschützt.

Netzwerksicherheit

Unser Netzwerksicherheitsteam sowie unsere Infrastruktur schützen Ihre Daten selbst vor den ausgefeiltesten elektronischen Angriffen. Nachfolgend finden Sie einen Teil unserer Praktiken zur Netzwerksicherheit. Die Beschreibungen sind bewusst allgemein formuliert, damit Hacker nicht in Erfahrung bringen können, welche Taktiken wir genau anwenden. Falls Ihr Unternehmen weitere Informationen zum Thema Netzwerksicherheit benötigt, wenden Sie sich bitte an uns.

  • Sichere Kommunikation. Alle Datenübertragungen an Zoho Services sind mit TLS 1.2-Protokollen verschlüsselt, und wir verwenden von einer SHA 256-basierten Zertifizierungsstelle ausgestellte Zertifikate, um eine sichere Verbindung zwischen dem Browser des Benutzers und unserem Service zu gewährleisten. Wir nutzen aktuelle und starke Chiffrierschlüssel, wie AES_CBC/AES_GCM-Schlüssel mit 256 Bit/128 Bit für die Verschlüsselung, SHA2 für die Nachrichtenauthentifizierung und ECDHE_RSA als Mechanismus für den Schlüsselaustausch.
  • IDS/IPS. Unser Netzwerk wird durch leistungsstarke, zertifizierte Systeme zur Erkennung und Abwehr von Eindringlingen geschützt und überprüft.
  • Kontrolle und Überprüfung. Jeglicher Zugriff wird kontrolliert und überprüft.
  • Gesichertes/reduziertes Betriebssystem. Zoho Anwendungen werden innerhalb eines gesicherten, reduzierten Betriebssystems ausgeführt, das speziell auf Sicherheit ausgelegt ist und Schwachstellen minimiert.
  • Virenscan. Auf den Zoho Servern eingehender Datenverkehr wird automatisch auf schädliche Viren gescannt. Dabei kommen moderne Virenscanprotokolle zum Einsatz, die regelmäßig aktualisiert werden.

Personenprozesse

Der Aufbau und Betrieb einer Rechenzentrumsinfrastruktur erfordern nicht nur die richtigen Technologien, sondern auch einen disziplinierten Ansatz für die Prozesse. Dies umfasst Richtlinien für die Eskalation, Verwaltung, Weitergabe von Wissen, Risiken sowie den täglichen Betrieb. Das Sicherheitsteam von Zoho verfügt über langjährige Erfahrung im Aufbau und Betrieb von Rechenzentren und gewährleistet eine kontinuierliche Verbesserung unserer Prozesse. Zoho hat einen der führenden Ansätze für die Verwaltung von Sicherheits- und Datenschutzrisiken entwickelt.

  • Ausgewählte Mitarbeiter. Nur Mitarbeiter mit der höchsten Berechtigungsstufe haben Zugriff auf die Daten unseres Rechenzentrums. Jeglicher Zugriff durch Mitarbeiter wird protokolliert, und wir wenden strenge Richtlinien für unsere Passwörter an. Zudem ist der Zugriff auf Kundendaten auf wenige ausgewählte Mitarbeiter beschränkt, die Support und Fehlerbehebung im Auftrag unserer Kunden durchführen.
  • Audits. Wir führen regelmäßige Audits durch, und der gesamte Prozess wird durch das Management geprüft.
  • BedarfsorientierterZugriff. Der Zugriff auf Rechenzentrums- und Kundendaten wird nur Mitarbeitern gewährt, die diese auch wirklich benötigen, und auch nur nach einer Genehmigung durch den Kunden (z. B. im Rahmen eines Supportereignisses). Abgesehen davon hat nur das leitende Sicherheitsmanagement Zugriff auf die Daten, um Support oder Wartungsvorgänge für unsere Kunden durchzuführen.

Redundanz und Business Continuity

Beim Cloud-Computing wird grundsätzlich davon ausgegangen, dass Computerressourcen früher oder später ausfallen. Diesen Grundsatz haben wir bei unseren Systemen und unserer Infrastruktur berücksichtigt.

  • Verteilte Netzwerkarchitektur. Zoho Services werden in einer verteilten Architektur ausgeführt. Das bedeutet, dass ein beliebiger Server ausfallen kann, ohne das System oder unsere Services wesentlich zu beeinträchtigen. Tatsächlich fallen jede Woche mehrere Server aus, was unsere Kunden jedoch überhaupt nicht bemerken. Das System wurde in dem Wissen ausgelegt, dass ein Server früher oder später einmal ausfällt. Daher haben wir unsere Infrastruktur entsprechend ausgelegt.
  • Redundantes Stromsystem. Das Stromsystem der Zoho Server verfügt über einen redundanten Aufbau – von der Stromversorgung bis zur Stromabgabe.
  • Redundantes Internet. Zoho ist über mehrere Tier-1-ISPs mit der Welt und Ihnen verbunden. Falls eine Verbindung abbricht oder verzögert ist, können Sie dennoch darauf vertrauen, dass Ihre Anwendungen und Daten zuverlässig abrufbar sind.
  • Redundante Netzwerkgeräte. Zoho führt seine Services auf redundanten Netzwerkgeräten (Switches, Router, Sicherheits-Gateways) aus, um einzelne Fehlerstellen auf jeder beliebigen Ebene des internen Netzwerks zu vermeiden.
  • Redundante Kühlung und Temperatursteuerung. Intensive Rechenvorgänge verursachen Wärme. Die Hardware muss daher gekühlt werden, um einen reibungslosen Betrieb zu gewährleisten. Zoho Server verfügen über N+2-redundante Kühl- und Abluftsysteme sowie Systeme zur Temperatursteuerung.
  • Geografische Spiegelung. Kundendaten werden an einem separaten geografischen Standort gespiegelt, um die Notfallwiederherstellung und Business Continuity zu ermöglichen.
  • Brandschutz. Die Rechenzentren von Zoho werden durch branchenübliche Brandschutz- und Kontrollsysteme geschützt.
  • Datenschutz und Backups. Benutzerdaten werden regelmäßig auf mehreren Servern gesichert, um einen Verlust auch bei einem Ausfall der Hardware oder im Notfall zu vermeiden.

Sicherheitszertifikate

ISO/IEC 27001 ist ein unabhängiger internationaler Sicherheitsstandard, der nahezu überall anerkannt wird. Dieses Zertifikat wird an Unternehmen vergeben, die die strengen globalen ISO-Standard erfüllen. Zoho verfügt über eine ISO/IEC 27001:2013-Zertifizierung für Anwendungen, Systeme, Personen, Technologien und Prozesse.

SOC 2 – Zoho ist nach SOC 2 Typ II zertifiziert. SOC 2 bewertet den Aufbau und die operative Effektivität der Steuerungsmechanismen anhand der Trust Services Principles des AICPA.

Weitere Informationen zu Zoho Compliance finden Sie in dieser Präsentation.

Weitere Informationen zu unserer Sicherheitsrichtlinie und unseren Zertifizierungen erhalten Sie unter security@zohocorp.com.
Wenn Sie eine Kopie unseres Compliance-Berichts anfordern möchten, wenden Sie sich bitte an sales@zohocorp.com.

Berichte zu Schwachstellen

Zoho weiß den Beitrag von Sicherheitsexperten zur Verbesserung der Sicherheit unseres Serviceangebots zu schätzen. Wir verpflichten uns, mit der Community zusammenzuarbeiten, um gemeldete Schwachstellen zu prüfen, zu reproduzieren und darauf zu reagieren. Wenn Sie Sicherheitsprobleme erkannt haben, melden Sie diese bitte an https://bugbounty.zoho.com/.

  • bsi-assurance
  • bsi-assurance
  • TRUSTe