Sichere Entwicklung

Alle neuen IT-Softwareentwickler von EcoStruxure nehmen an einer obligatorischen Sicherheitsschulung teil, die bei der Einstellung und danach jedes Jahr stattfindet. Daneben können sie sich für eine Ausbildung zum so genannten White Hat Hacker anmelden, um die Zulassung als Ethical Hacker zu erhalten.

Jede Änderung an der Plattform EcoStruxure IT wird zwingend begutachtet, wobei Änderungen an Code und Infrastruktur von mindestens einem anderen Ingenieur überprüft werden, damit Qualität, Sicherheit und Leistungsfähigkeit gesichert bleiben.

Alle Änderungen werden mit einem Versionskontrollsystem (GIT) nachverfolgt, so dass Verlauf, Rückverfolgbarkeit und Gutachtenprüfung gegeben sind.

Testumgebungen in EcoStruxure IT sind physisch von der Produktionsumgebung getrennt.

Schwachstellen in Anwendungen

Schneider Electric verwendet mehrere Sicherheitstools von Drittanbietern zur fortlaufenden dynamischen Kontrolle der Plattform EcoStruxure IT auf Schwachstellen. Schneider Electric unterhält eine engagierte Sicherheitsabteilung, die die Ergebnisse auswertet und gemeinsam mit den technischen Abteilungen Probleme behebt.

Alle Änderungen am Quellcode werden mit statischen Analysewerkzeugen fortlaufend auf Fehler, Sicherheits- und Lizenzprobleme überprüft. Jede Quellcodeänderung, die nicht den Normen der EcoStruxure IT entspricht, wird zur Verbesserung an die Entwickler zurückgegeben.

Schneider Electric beschäftigt ständig eine wechselnde Anzahl zugelassener externer Hacker, die genaue Eindringtests an allen Komponenten von EcoStruxure IT (Gateway, Mobilgeräte und Web-App) erproben. Wenn neue Funktionen freigegeben werden, werden die Aufträge an Sicherheitsexperten weitergegeben, die deren Sicherheit kontrollieren. Erfahren Sie mehr über unsere Richtlinie zur Weitergabe von Sicherheitstestmeldungen.

Das Schneider Electric Corporate Product Cyber Emergency Response Team (CPCERT) hat Verfahren zur Schwachstellenverwaltung festgelegt, damit Probleme zügig behandelt werden.

Zur Meldung eines Problems wenden Sie sich an Ihre zuständige Kundenbetreuungsstelle.

Wenn Sie ein Ermittler sind, melden Sie bitte eine Schwachstelle hier.

Alle gemeldeten Schwachstellen werden auf dem Cybersecurity Support Portal von Schneider Electric gemeldet.

Nach branchenüblicher Praxis wenden wir strenge Verfahren zur Bereinigung aller Benutzereingaben an. Dies wird zum Teil durch statische Code-Analyse und auch durch die Verwendung bekannter, bewährter und getesteter Frameworks von Drittanbietern erzielt.

AUTHENTIFIZIERUNGSSICHERHEIT

Die Kennwortrichtlinie bei EcoStruxure IT verlangt:

• Mindestens 8 Zeichen
• Mindestens 3 der folgenden vier Zeichenarten:
• Kleinbuchstaben (a-z),
• Großbuchstaben (A-Z),
• Ziffern (0–9),
• Sonderzeichen (z. B. !@#$%^&*)
• Nicht mehr als 2 identische Zeichen in einer Reihe (z. B. „aaa“ nicht erlaubt )

EcoStruxure IT akzeptiert Ihr Kennwort, sofern es nicht zu den 10 000 häufigsten Kennwörtern gehört und nicht der erste Teil Ihrer E-Mail-Adresse ist.

Bitte beachten Sie, dass Ihr Kennwort gemäß den vom britischen NIST & National Cyber Security Centre empfohlenen Kennwortrichtlinien nicht abläuft.

Die Multifaktor-Authentifizierung enthält eine weitere Sicherheitsebene für Ihr EcoStruxure-IT-Konto und erschwert es einer anderen Person, sich unter Ihrem Namen anzumelden. Die Multifaktor-Authentifizierung gilt bei allen Anmeldungen bei EcoStruxure IT, unabhängig davon, ob Sie Kunde, Partner oder Mitarbeiter von Schneider Electric sind. Schneider Electric empfiehlt die Verwendung der EcoStruxure-IT-App für die Zweifaktor-Authentifizierung oder eine Authentifizierungs-App eines Drittanbieters. Kurzlebige, einmalige SMS-Tokens sind zwar zulässig, werden aber nicht empfohlen.

Schneider Electric beachten gängige Verfahren zur Sicheren Anmeldedatenablage und speichert EcoStruxure IT-Kennwörter niemals im Klartext und nur stark verschlüsselt. Die Kennwörter werden von der internen Plattform entkoppelt und mit Auth0 gespeichert, wie es von Experten für Authentifizierungsverwaltung empfohlen wird.

Schneider Electric setzt bei EcoStruxure IT einen Brute-Force-Schutz ein. Ihre Kontoanmeldung wird gesperrt, wenn Sie mehr als 10 Mal ein falsches Kennwort von derselben IP-Adresse aus eingegeben haben. Sie erhalten dann von EcoStruxure IT per E-Mail Anweisungen, wie Sie die IP-Adresse entsperren können.

Schneider Electric beschränkt auch Anmeldefrequenzen. Wenn Sie versuchen, sich 20 Mal pro Minute als derselbe Benutzer vom selben Ort aus anzumelden, selbst mit den richtigen Anmeldedaten, gilt die Frequenzbeschränkung. Sie können dann nur 10 Versuche pro Minute unternehmen.

GATEWAY-SICHERHEIT

Schneider Electric hält Ihre Daten sicher und privat, noch bevor sie auf die Reise gehen. Alle Verbindungen vom EcoStruxure-IT-Gateway zu unserer Cloud werden mit einem 2048-Bit-RSA-Zertifikat nach Industrienorm validiert und die übertragenen Daten mit 256 Bit AES verschlüsselt. Zur Sicherheit Ihrer Website verwendet das EcoStruxure-IT-Gateway eine ausgehende Verbindung über Port 443 und kommuniziert nur mit der EcoStruxure-IT-Cloud über 40.84.62.190, 23.99.90.28, 52.230.227.202, 52.177.161.233 und 52.154.163.222.

Erfahren Sie hier mehr darüber, wie EcoStruxure IT über eine reine Ausgangsverbindung (Einwegkommunikation) Ihre Infrastruktur aktualisiert.

Alle Anfragen aus dem Gateway werden mit einem eindeutigen privaten Schlüssel signiert, der bei der Installation erzeugt und im Gateway gespeichert wird, so dass er fälschungssicher bleibt.

Das EcoStruxure-IT-Gateway verfügt über eine automatische Aktualisierungsfunktion, damit Sicherheitspatches automatisch durchgeführt werden und es immer auf dem neuesten Stand ist. Beim Aktualisieren übermittelt es weiterhin Sensordaten und Alarme an die Cloud und hält so die Ausfallzeiten gering.

Mehr zur Datensicherheit bei Schneider Electric.

Die Datenschutzgrundverordnung DSGVO regelt die Verarbeitung personenbezogener Daten und deren Umlauf. Sie soll Sicherheit und Schutz personenbezogener Daten in der EU stärken und das EU-Datenschutzrecht harmonisieren. Diese Verordnung legt eine Reihe von Datenschutzgrundsätzen und -anforderungen fest, die bei der Verarbeitung personenbezogener Daten eingehalten werden müssen.

Schneider Electric beachtet alle Verpflichtungen im Rahmen der DSGVO. Schneider Electric gibt personenbezogene Daten an dritte Datenverarbeiter auf der Grundlage der Notwendigkeit der Kenntnisnahme weiter.

Erfahren Sie mehr darüber, welche personenbezogenen Daten an Unterauftragsverarbeiter und Subunternehmer weitergegeben werden.

Schneider Electric erfasst Sensordaten und Alarme von Geräten der kritischen Infrastruktur, die Sie uns zur Verfügung stellen. Schneider Electric erfasst nur Leistungs- und Metadaten wie Standort und Alter.

Vor der Datenspeicherung werden sie als Ihnen gehörig gekennzeichnet. Ihre Daten werden von den Daten anderer Kunden durch eine eindeutige Kennung getrennt, mit der das System einen korrekten Abgleich gewährleistet. Außerdem speichert die Cloud-Engine einen vollständigen Prüfpfad der empfangenen Daten und der Datenverarbeitung, so dass wir jederzeit nachvollziehen können, wo Ihre Daten waren und wofür sie verwendet wurden.

EcoStruxure IT greift nicht auf Daten zu, die auf Ihren Servern oder Speichern gespeichert sind, und überwacht auch nicht den Datenverkehr durch Ihr Netzwerk. Die Daten werden auf Microsoft Azure in den USA gespeichert.

Zum einen verarbeitet und speichert Schneider Electric die Daten für Sie, so dass sie Ihnen über die EcoStruxure-IT-App überall zur Verfügung stehen. Aber noch wichtiger ist, dass die Weitergabe Ihrer Daten an Schneider Electric es uns ermöglicht, die angebotenen Dienstleistungen und Produkte zu verbessern, Sie bei der Verbesserung Ihres Rechenzentrums zu unterstützen und Ihnen die Möglichkeit zu geben, sich mit internationalen Mitbewerbern zu vergleichen.

Wenn Sie Ihr EcoStruxure IT-Konto stilllegen, löscht unser System automatisch Ihre personenbezogenen Daten.

Technische Sicherheit

Die IT-Server von EcoStruxure werden in den USA in der Microsoft Azure Cloud gehostet, die nach ISO 27001, HIPAA, FedRAMP, SOC 1 und SOC 2 zertifiziert ist. Erfahren Sie mehr über die Einrichtungen, Räumlichkeiten und technische Sicherheit von Microsoft Azure

Netzsicherheit

Der Zugriff auf das Produktionsnetzwerk EcoStruxure IT ist durch eine explizite Unabdingbarkeitsvorschrift eingeschränkt, nutzt die geringsten Rechte, wird überwacht und von unserer Betriebsabteilung kontrolliert. Wer auf das Produktionsnetzwerk EcoStruxure IT zugreift, muss mehrere Authentifizierungsfaktoren verwenden.

Da EcoStruxure IT auf Microsoft Azure läuft, nutzt Schneider Electric die permanente Überwachung des Datenverkehrs und die Echtzeit-Abwehr gängiger Angriffe auf Netzwerkebene und bietet damit die gleichen Schutzmaßnahmen wie die Online-Dienste von Microsoft.

Schneider Electric beschäftigt ständig eine wechselnde Anzahl zugelassener externer Hacker, die genaue Eindringtests der gesamten Plattform EcoStruxure IT. Erfahren Sie mehr über unsere Richtlinie zur Weitergabe von Sicherheitstestmeldungen.

EcoStruxure IT wird von einem DevOps-Kernteam mit extrem hohen Standards bei Cybersicherheit und Datenschutz gewartet und betrieben. Alle Teile des EcoStruxure-IT-Systems werden fortlaufend überwacht und auf potenzielle Sicherheitslücken oder Datenschutzprobleme abgesucht. Das DevOps-Team hat rund um die Uhr Bereitschaftsdienst und kann umgehend auf neu entdeckte Gefahren oder Probleme reagieren.

Verschlüsselung

Alle Verbindungen zur EcoStruxure-IT-Cloud werden mit einem 2048-Bit-RSA-Zertifikat nach Industrienorm abgeglichen und übertragene Daten mit 256 Bit AES verschlüsselt. Bei Android-Versionen vor 7.0 kann Schneider Electric aufgrund von Einschränkungen der Android-Plattform nur eine 128-Bit-AES-Verschlüsselung garantieren.

Daten von EcoStruxure IT werden mit 256 Bit AES verschlüsselt.

Verfügbarkeit & Kontinuität

EcoStruxure IT unterhält eine öffentlich zugängliche Systemstatus-Webseite mit Angaben zur Erreichbarkeit des Systems, zur geplanten Wartung, zum Verlauf der Problembehandlung und zu relevanten Sicherheitsereignissen enthält.

Alle Komponenten der Plattform EcoStruxure IT sind hochverfügbarkeit, damit einzelne Ausfallpunkte ausgeschaltet werden. Alle Daten sind in einem separaten Speicher abgelegt, damit es nicht zu Datenverlust kommt.