Jump To: Privacy Policy | Cookie Policy | Security Statement | Terms Of Use | Economic Sanctions
Übersicht
Wir von KnowBe4 möchten einige Dinge in Bezug auf unsere Sicherheitsmassnahmen klarstellen. Erstens: Wir respektieren Ihre Privatsphäre und unternehmen gezielte Massnahmen, um Ihre Daten zu schützen. Zweitens: Wir würden mit Ihren Daten nie etwas tun, was wir für die Verarbeitung unserer eigenen Daten auch nicht zuliessen. Drittens: Wir sind ein Unternehmen, welches auf qualifizierten, sicherheitsbewussten Personen aufbaut.
Die Sicherheit der Daten unserer Kunden ist uns das Wichtigste. Wir unternehmen gezielte Massnahmen, um sicherzustellen, dass alle Daten, die KnowBe4 zur Verfügung gestellt werden, sicher aufbewahrt und verarbeitet werden - die Sicherheit der KnowBe4-Systeme und Ihrer Daten ist von selbstverständlicher Natur für unser Geschäft. Bevor Sie unsere Produkte und die Plattform nutzen, empfehlen wir Ihnen unsere Nutzungsbedingungen und Datenschutzerklärung zu lesen.
Compliance
Das KnowBe4 KMSAT-Produkt verfügt seit dem 25.10.2019 über eine FedRAMP Li-SaaS ATO (Authorization To Operate). Die KnowBe4-Plattform (KMSAT + PhishER) wird derzeit vom FedRAMP PMO (Program Management Office) auf der Stufe "Moderate Impact" geprüft.
|
LI-SaaS ATO Kevin Mitnick Sicherheitstraining - KMSAT Moderat (in Bearbeitung) |
Alle KnowBe4-Produkte sind ferner nach SSAE18 SOC2 Typ 2 (SOC 2-Typ 2) zertifiziert. Miteingeschlossen sind KMSAT, PhishER und SecurityCoach.
Die KnowBe4 SOC2-Typ 2-Bewertungen umfassen alle Kriterien für Sicherheitsdienste:
Sicherheit |
Verfügbarkeit |
Integrität der Verarbeitung |
Vertraulichkeit |
Datenschutz |
Wenn Sie eine Kopie des vollständigen SOC2-Berichts benötigen, fragen Sie bitte Ihren zuständigen Vertriebs- oder CSM Mitarbeiter.
Eine Kopie unseres kürzlich ausgefüllten Consensus Assessment Initiative Questionnaire (CAIQ) finden Sie hier auf unserer STAR-Registrierungsseite der Cloud Security Alliance (CSA): https://cloudsecurityalliance.org/star/registry/knowbe4-inc/
KnowBe4-Produkte sind Cyber Essentials zertifiziert. Sie können unsere Zertifizierung hier einsehen.
International Organization for Standardization 27001 (ISO 27001) ist eine Norm für die Informationssicherheit, die gewährleistet, dass Bürostandorte, Entwicklungszentren, Supportzentren und Rechenzentren sicher verwaltet werden. KnowBe4 wird von seinem unabhängigen, vom ANSI-ASQ National Accreditation Board (ANAB) akkreditierten Zertifizierer anhand einer Reihe von Standards der International Organization for Standardization 27001 (ISO 27001) geprüft. Zu diesen Standards, nach denen KnowBe4 erfolgreich geprüft wurde, gehören:
Die Links zu unseren oben genannten Zertifizierungen finden Sie hier and hier.
Team für Informationssicherheit und Datenschutz:
KnowBe4 verfügt über ein spezielles Team für Informationssicherheit und Datenschutz mit Personen, die über entsprechende Branchenzertifizierungen verfügen:
|
|
|
Zugangs- und Authentifizierungskontrollen:
KnowBe4 schränkt den Zugang zu Kunden- und vertraulichen Daten auf der Basis des rein notwendigen Bedarfs ein. Der Zugriff wird auf Grundlage einer Rolle innerhalb der Organisation gewährt. KnowBe4 betreibt eine obligatorische Multi-Faktor-Authentifizierung für jeden Zugriff auf vertrauliche Daten. Der Zugriff auf Systeme wird gegebenenfalls durch die IP-Adresse eingeschränkt.
Datenverarbeitung und Datenschutz:
Weitere Informationen über die Art der Daten und den Zweck finden Sie auf der Produktregistration unserer Datenschutzrichtlinie.
Datenverschlüsselung:
KnowBe4 nutzt AWS (Amazon Web Services) für die Datenverschlüsselung im Transit (TLS) und im Ruhezustand (AES-GCM 256).
Standorte der Rechenzentren:
KnowBe4 arbeitet innerhalb der Amazon Web Services (AWS). AWS folgt dem Modell der geteilten Verantwortung. AWS ist für die Sicherheit der ‚Cloud‘ an sich verantwortlich, und KnowBe4 ist für die Sicherheit 'in' der Cloud verantwortlich. Informationen zur Compliance der AWS-Rechenzentren finden Sie auf der AWS-Compliance-Website hier.
Wenn Sie den SOC-Bericht des Rechenzentrums überprüfen wollen, können Sie den neuesten AWS SOC3-Bericht hier einsehen: AWS SOC3-Bericht.
KnowBe4 verwendet die folgenden AWS-Regionen:
Sie können den Ort der Datenspeicherung je nach Ihren Anforderungen an die Datenlokalisierung auswählen. Derzeit betreiben wir Rechenzentren in den Vereinigten Staaten, Europa, Großbritannien und Kanada.
Product |
Production Database |
Disaster Recovery Database |
KMSAT & PhishER (Option 1) *Für Kunden, die ihre Daten in den Vereinigten Staaten aufbewahren möchten |
Amazon AWS-Datenzentrum in den Vereinigten Staaten, Nord-Virginia (us-east-1) |
Amazon AWS-Datenzentrum in den Vereinigten Staaten, Oregon (us-west-2) |
KMSAT & PhishER (Option 2) *Für Kunden, die eine langfristige Datenspeicherung in Irland (EU) wünschen |
Amazon AWS-Rechenzentrum in Europa mit Sitz in Dublin, Irland (eu-west-1) |
Amazon AWS-Rechenzentrum Frankfurt, Deutschland (eu-central-1) |
KMSAT & PhishER (Option 3) *Für Kunden, die eine langfristige Datenspeicherung in Kanada wünschen |
Amazon AWS-Datenzentrum in Montreal, Kanada (zentral) |
Amazon AWS-Rechenzentrum in Europa mit Sitz in Dublin, Irland (eu-west-1) |
KMSAT & PhishER (Option 4) *Für Kunden, die eine langfristige Datenspeicherung im Vereinigten Königreich wünschen |
Amazon AWS-Rechenzentrum in London, England (eu-west-2) |
Amazon AWS-Rechenzentrum in Europa mit Sitz in Dublin, Irland (eu-west-1) |
KMSAT & PhishER (Option 5) *Für Kunden, die eine langfristige Datenspeicherung in Deutschland (EU) wünschen |
Amazon AWS-Rechenzentrum Frankfurt, Deutschland (eu-central-1) |
Amazon AWS-Rechenzentrum in Europa mit Sitz in Dublin, Irland (eu-west-1) |
KCM GRC (Option 1) *Für Kunden, die ihre Daten in den Vereinigten Staaten aufbewahren möchten |
Amazon AWS-Datenzentrum in den Vereinigten Staaten, Nord-Virginia (us-east-1) |
Amazon AWS-Datenzentrum (us-west-1) |
KCM GRC (Option 2) *Für Kunden, die ihre Daten im EWR und/oder im Vereinigten Königreich aufbewahren möchten |
Amazon AWS-Rechenzentren in Europa mit Sitz in London (eu-west-2) |
Amazon AWS-Datenzentrum Dublin, Irland (eu-west-1) |
Die Daten werden nicht zwischen den Rechenzentren ausgetauscht. Sie können in jeder Region ein Konto beantragen, aber diese sind unabhängig voneinander, und die Daten werden nicht zwischen den Konten synchronisiert.
Datensicherung und -aufbewahrung:
KnowBe4 bewahrt Datenbank-Backups für 1 Jahr auf und Audit- und Applikationssprotokolle für 3 Jahre. Diese Daten werden gemäß dem oben aufgeführten Abschnitt Datenverschlüsselung verschlüsselt gespeichert.
Einen Antrag auf Datenlöschung richten Sie bitte an Ihren Vertriebs- oder CSM Mitarbeiter.
Datenschutzbewusstsein und Schulung:
Alle Mitarbeiter von KnowBe4 absolvieren bei ihrer Einstellung und mindestens einmal jährlich eine obligatorische Schulung zum Thema Datenschutzbewusstsein. Wir führen laufend, und mindestens einmal im Monat, simulierte Phishing- und Social Engineering-Tests im eigenen Betrieb durch.
Alle Mitarbeiter und Auftragnehmer von KnowBe4 unterzeichnen eine Vertraulichkeits- und Geheimhaltungsvereinbarung bevor der Zugang zu Unternehmens- oder Kundendaten gewährt wird.
Geschäftskontinuität / Wiederherstellung der Daten:
Die KnowBe4-Ingenieure haben eine hoch skalierbare und widerstandsfähige Produktarchitektur innerhalb der AWS entworfen.
Die Leistung der Systeme innerhalb unserer eigenen Produktarchitektur wird anhand von Schlüsselkennzahlen überwacht, um sicherzustellen, dass die Belastung eines Systems in einem akzeptablen Bereich liegt. Sollte eine Komponente überlastet werden oder einen Fehler aufweisen, sorgen automatisierte Prozesse dafür, dass zusätzliche temporäre Systeme eingeschaltet werden und bestehende fehlerhafte Systeme ausgeschaltet.
Diese Automatisierung ist in die KnowBe4-Architektur so integriert, dass die Systemüberwachung, Aktualisierung der Systeme und Korrektur nach Bedarf und ohne Ausfallzeiten durchgeführt werden kann.
Für die Überwachung von Status und Betriebszeit der Systeme besuchen Sie bitte https://status.knowbe4.com
Das Risikomanagementprogramm von KnowBe4 wird im Rahmen der jährlichen Audits durch Dritte (FedRAMP, ISO 27001 und SOC2) überprüft. Eine vollständige Übersicht über das Risikomanagementprogramm von KnowBe4 finden Sie hier.
Code-Sicherheit und Code-Aktualisierungen:
Die KnowBe4-F&E-Abteilung nutzt eine Continuous Integration / Continuous Delivery (CI/CD)-Pipeline zur Verwaltung von Code-Implementierungen. Code-Änderungen werden einem Peer-Review unterzogen, von separaten QA-Mitarbeitern genehmigt, und in einer Staging-Umgebung getestet, bevor sie in die Produktion überführt werden. Die Staging- und die Produktionsumgebung sind logisch voneinander getrennt, und es werden keine Daten zwischen den zwei Umgebungen ausgetauscht.
Protokollierung und Überwachung:
KnowBe4 sammelt Audit- und Applikationsprotokolle aus allen Systemen. Diese Protokolle werden verschlüsselt in einem zentralen Protokollierungssystem und getrennt vom protokollerzeugenden System gespeichert. Die Protokolleinträge entsprechen den branchenüblichen Standards für Audit-Trails. KnowBe4 bewahrt diese Protokolle für einen Zeitraum von 3 Jahren auf, damit alte Systemaktivitäten ebenfalls untersucht werden können.
Schwachstellen-Management:
Das KnowBe4-Team für Informationssicherheit führt monatlich Schwachstellen-Scans von Webanwendungen durch. Diese Scans sind so konfiguriert, dass sie als authentifizierte Scans ausgeführt werden. Alle bei diesen Scans oder anderen Aktivitäten zur Erkennung von Schwachstellen gefundenen Schwachstellen werden einem System zur Verfolgung von Schwachstellen hinzugefügt. Dort werden die Schwachstellen verifiziert, kategorisiert und auf das tatsächliche Risiko hin bewertet. Die Schwachstellen werden gemäß dem unten aufgeführten Zeitplan behoben:
Die folgende SLA gilt für Schwachstellen, die auf einem CVSS-Score mit einem Snyk Priority Score von weniger als 800 basieren. Der Priority Score von Snyk ist ein umfassendes Bewertungssystem, das mehrere Faktoren berücksichtigt, darunter den CVSS-Score, die Verfügbarkeit eines Fixes, bekannte Exploits, wie neu die Schwachstelle ist und ob sie erreichbar ist oder nicht.
Schweregrad |
Kritisch/Hoch |
Mittel |
Niedrig |
Information |
Zeitleiste für die Sanierung |
< 30 Tage |
< 90 Tage |
< 180 Tage |
Ermessensspielraum |
Die folgenden SLA werden befolgt für:
Schweregrad |
Kritisch/Hoch |
Mittel |
Niedrig |
Information |
Zeitleiste für die Sanierung |
< 14 Tage |
< 30 Tage |
< 180 Tage |
Ermessensspielraum |
Penetrationstests / Bug Bounty / Sicherheitslücken melden:
KnowBe4 nimmt an einem geoutsourctem Bug-Bounty-Programm teil, bei dem unabhängige Anbieter fortlaufende Penetrationstests unserer Produkte durchführt.
Wenn Sie das Gefühl haben, dass Sie selber eine Sicherheitslücke in unserem System entdeckt haben, können Sie sich für das Programm anmelden. Sie können jede Schwachstelle über das Bug-Bounty-Programm und durch direkte Kontaktaufnahme mit dem KnowBe4-Sicherheitsteam melden. Wir sind froh, wenn Sie als Kunde mit uns zusammen Testen, und wir ermutigen Sie, uns Ihre Befunde mitzuteilen.
Sicherheitstests außerhalb dieses Programms sind nicht erlaubt. Wir erlauben auch keine automatisierten Scans als Teil dieses Programms. Der Anbieter ist darauf angewiesen, dass alle Tests manuell durchgeführt werden, damit die Test nicht durch Störfaktoren beeinflusst werden.
[Letzte Seitenaktualisierung: 19.07.2023]
© KnowBe4, Inc. All rights reserved. - KnowBe4 Germany GmbH - Rheinstraße 45/46 - 12161 Berlin