Sicherheit

Anwendungssicherheit

Schneider Electric verpflichtet sich zur achtsamen Entwicklung und Prüfung von Risiken, um die Sicherheit von Kundendaten zu gewährleisten. Darüber hinaus beschäftigt Schneider Electric stets eine rotierende Anzahl von Hackern, die von Drittanbietern zertifiziert wurden, um detaillierte Penetrationstests für die gesamte EcoStruxure IT-Plattform durchzuführen.

Produktsicherheit

Die EcoStruxure IT-Plattform wird mittels obligatorischer Zwei-Faktor-Authentifizierung und hoher Verschlüsselungsstandards geschützt. Ihre Daten werden mithilfe des EcoStruxure IT-Gateways über eine ausgehende Verbindung sicher zur EcoStruxure IT-Plattform transferiert, sodass niemand Ihre Umgebung beeinträchtigen kann.

Datenschutz

Schneider Electric sorgt stets für den Schutz und die Integrität Ihrer Daten. Wir verpflichten uns zur Einhaltung der Regelungen der DSGVO. EcoStruxure IT verwendet Maschinendaten nur zum Optimieren Ihrer Erfahrungen mit der Plattform und garantiert dabei die Vertraulichkeit Ihrer personenbezogenen Daten.

Anwendungssicherheit

Sichere Entwicklung

Sicherheitstraining

Alle neuen Entwickler der EcoStruxure IT-Software nehmen bei Einstellung und anschließend jährlich an einem obligatorischen Sicherheitstraining teil. Zusätzlich dazu können sie optional an einem White-Hat-Hacker-Training teilnehmen, um das Ethical Hacker-Zertifikat zu erhalten.

Peer Review

Jede Änderung der EcoStruxure IT-Plattform unterliegt einem obligatorischen Peer Review, bei dem Code- und Infrastrukturänderungen von mindestens einem anderen Entwickler geprüft werden, um die Qualität, Sicherheit und Leistung des Codes zu validieren.

Alle Änderungen werden von einem Versionskontrollsystem (GIT) festgehalten, damit Verlauf, Verfolgbarkeit und Audit-Tracking gewährleistet werden.

Separate Umgebung

Die Testumgebungen von EcoStruxure IT sind physisch von der Produktionsumgebung isoliert.

Sicherheitslücken in der Anwendung

Dynamisches Scannen von Sicherheitslücken

Schneider Electric verwendet mehrere Sicherheitstools von Drittanbietern, um kontinuierlich und dynamisch die EcoStruxure IT-Plattform nach Sicherheitslücken zu scannen. Schneider Electric unterhält ein engagiertes Sicherheitsteam, das Ergebnisse bearbeitet und mit den Technikteams zur Behebung von Problemen zusammenarbeitet.

Statische Codeanalyse

Alle Änderungen des Quellcodes werden kontinuierlich mittels statischer Analysetools nach Fehlern, Sicherheits- und Lizenzproblemen gescannt. Jede Änderung des Quellcodes, die nicht den Standards von EcoStruxure IT entspricht, wird zur Verbesserung an das Entwicklerteam zurückgegeben.

Sicherheitspenetrationstests von Drittanbietern

Schneider Electric beschäftigt ständig eine rotierende Anzahl von Hackern, die von Drittanbietern zertifiziert wurden, um die komplexen Penetrationstests für alle Komponenten der EcoStruxure IT (Gateway, Mobile und Web-App) durchzuführen. Wenn neue Funktionen veröffentlicht werden, werden die Mission Statements an Sicherheitsexperten übergeben. Erfahren Sie mehr über unsere Richtlinien zur Freigabe von Sicherheitstestberichten.

Reaktion auf Vorfälle

Das Cyber Emergency Response Team (CPCERT) von Schneider Electric für Unternehmensprodukte hat Schwachstellenmanagementprozesse definiert, um eine effiziente Reaktion auf Vorfälle zu gewährleisten.

Um einen Vorfall zu melden, senden Sie bitte eine E-Mail an cybersecurity@schneider-electric.com.

Alle Schwachstellen werden im Schneider Electric Cybersecurity Support Portal gemeldet.

XSS-Schutz (Eingabevalidierung)

Gemäß branchenüblicher Best Practices verwenden wir strenge Verfahren zur Ausgabebereinigung der gesamten Nutzereingabe. Dies wird teilweise durch statische Code-Analysen durchgesetzt sowie durch Verwendung bekannter, bewährter und getesteter Drittanbieter-Frameworks.

Produktsicherheitsfunktionen

AUTHENTIFIZIERUNGS SICHERHEIT

Passwortrichtlinie

Die Passwortrichtlinien von EcoStruxure IT erfordern Folgendes:

  • Mindestlänge von 8 Zeichen,
  • mindestens 3 der folgenden 4 Zeichenarten:
    • Kleinbuchstaben (a–z),
    • Großbuchstaben (A–Z),
    • Ziffern (z. B. 0–9),
    • Sonderzeichen (z. B. !@#$%^&*).

EcoStruxure IT validiert anschließend Ihr Passwort, wenn es nicht eines der 10.000 häufigsten Passwörter und nicht der Anfang Ihrer E-Mail-Adresse ist.

Bitte beachten Sie, dass Ihr Passwort gemäß empfohlener Passwortrichtlinien von NIST und des britischen National Cyber Security Centre nicht abläuft.

Multifaktor-Authentifizierung

Multifaktor-Authentifizierung bietet eine weitere Sicherheitsschicht für Ihr EcoStruxure IT-Konto, die es anderen erschwert, sich unter Ihrem Namen anzumelden. Die Multifaktor-Authentifizierung ist für alle Anmeldevorgänge bei EcoStruxure IT eingeschaltet, egal, ob Sie ein Kunde, Partner oder Mitarbeiter von Schneider Electric sind. Schneider Electric empfiehlt, die EcoStruxure IT-App oder eine Drittanbieter-App für die Zwei-Faktor-Authentifizierung zu verwenden. Auch wenn es möglich ist, als letzte Option einmalige SMS-Token zu verwenden, empfehlen wir dies nicht.

Sichere Speicherung von Anmeldeinformationen

Schneider Electric folgt Best Practices zum sicheren Speichern von Anmeldeinformationen und speichert daher niemals Passwörter für EcoStruxure IT im Klartextformat, sondern nur nach einem bcrypt-gesicherten Salt-Hash. Passwörter werden von der internen Plattform entkoppelt und mithilfe von Auth0 gespeichert, einer Lösung, die von Authentifizierungs-Management-Experten empfohlen wird.

Fehlgeschlagene Anmeldeversuche

Schneider Electric setzt einen Brute-Force-Schutz für EcoStruxure IT durch. Wenn Sie mehr als 10 Mal ein falsches Passwort von derselben IP-Adresse eingeben, können Sie sich nicht mehr bei Ihrem Konto anmelden. Anschließend erhalten Sie per E-Mail eine Anleitung zum Entsperren der IP-Adresse von EcoStruxure IT.

Schneider Electric setzt zudem Ratenlimits durch. Wenn Sie versuchen, sich 20 Mal pro Minute als derselbe Nutzer von demselben Standort aus anzumelden, unabhängig davon, ob Sie über die korrekten Anmeldeinformationen verfügen, wird das Ratenlimit angewendet. Sie können dann nur 10 Versuche pro Minute ausführen.

GATEWAY-SICHERHEIT

Ausgehende Verbindung

Schneider Electric verpflichtet sich, Ihre Daten sicher und vertraulich zu behandeln, noch bevor sie Ihre Website verlassen. Alle Verbindungen vom EcoStruxure-IT-Gateway zu unserer Cloud werden mithilfe eines branchenüblichen 2048-Bit-RSA-Zertifikats validiert und die Daten werden während der Übertragung mithilfe einer 256-Bit-AES-Verschlüsselung verschlüsselt. Um die Sicherheit Ihres Standorts nicht zu gefährden, verwendet das EcoStruxure IT-Gateway eine ausgehende Verbindung über Port 443 und kommuniziert nur mit der EcoStruxure IT-Cloud unter Verwendung von 40.84.62.190 und 23.99.90.28.

Erfahren Sie mehr darüber, wie EcoStruxure IT Aktualisierungen für Ihre Infrastruktur über eine ausgehende Verbindung anwendet (One-Way-Kommunikation).

Authentifizierung

Alle Anfragen vom Gateway werden mit einem einzigartigen privaten Schlüssel unterzeichnet, der bei Installation erstellt und im Gateway gespeichert wird, sodass es unmöglich ist, diesen nachzuahmen.

Automatische Aktualisierungen

Das EcoStruxure IT-Gateway verfügt über eine Funktion zum automatischen Aktualisieren, sodass das Sicherheitspatching der Software automatisch erfolgt und das Gateway stets auf dem neuesten Stand ist. Während der Aktualisierung kommuniziert das Gateway weiterhin Sensordaten und -Alarme zur Cloud, wodurch die Ausfallzeit minimiert wird.

Datenschutz

DSGVO

Die Allgemeine Datenschutzverordnung regelt die Verarbeitung personenbezogener Daten und den freien Datenverkehr. Ziel ist es, die Sicherheit und den Schutz personenbezogener Daten in der EU zu stärken und das EU-Datenschutzrecht zu harmonisieren. Diese Verordnung enthält eine Reihe von Datenschutzgrundsätzen und -anforderungen, die bei der Verarbeitung personenbezogener Daten beachtet werden müssen.

Schneider Electric verpflichtet sich, seinen Verpflichtungen aus der DSGVO nachzukommen. Schneider Electric gibt personenbezogene Daten an Datenverarbeiter von Drittanbietern weiter. Erfahren Sie mehr darüber, welche persönlichen Daten an Subprozessoren und Subunternehmer weitergegeben werden.

Verarbeitung und Speicherung personenbezogener Daten

Schneider Electric sammelt Sensordaten und -alarme von kritischen Infrastrukturgeräten, die Sie mit uns teilen. Schneider Electric sammelt nur Daten über die Leistung Ihrer Geräte und Metadaten, wie z. B. Standort und Alter.

Vor dem Speichern werden Ihre Daten als zu Ihnen gehörig markiert. Ihre Daten werden über eine eindeutige Kennung getrennt von den Daten anderer Kunden aufbewahrt, wodurch das System den korrekten Abgleich der Daten sicherstellt. Zusätzlich dazu führt die Cloud-Engine einen vollständigen Prüfpfad der empfangenen Daten und der Datenverarbeitung durch, sodass wir jederzeit nachvollziehen können, wo Ihre Daten waren und wofür sie verwendet wurden.

EcoStruxure IT greift weder auf Daten zu, die auf Servern oder im Speicher gespeichert sind, noch überwacht es den Datenverkehr, der über Ihr Netzwerk übertragen wird. Die Daten werden bei Microsoft Azure in den USA gespeichert, das vom EU-US Privacy Shield selbstzertifiziert wird.

Verwendung personenbezogener

Daten

Schneider Electric verarbeitet und speichert Daten für Sie, damit diese über die EcoStruxure IT-App weltweit für Sie verfügbar sind. Das Teilen Ihrer Daten mit Schneider Electric ermöglicht uns dazu, die von uns angebotenen Dienste und Produkte zu optimieren, damit wir Ihr Rechenzentrum optimieren und Sie mit weltweiten Standards mithalten können.

Automatisches Löschen personenbezogener Daten

Wenn Sie Ihr EcoStruxure IT-Konto deaktivieren, löscht unser System automatisch Ihre personenbezogenen Daten.

Rechenzentrum und Netzwerksicherheit

Physische Sicherheit

Einrichtungen

Die EcoStruxure-IT-Server werden in den USA in der Microsoft Azure Cloud gehostet, die nach ISO 27001, HIPAA, FedRAMP, SOC 1 und SOC 2 zertifiziert ist. Erfahren Sie mehr über Microsoft Azure-Einrichtungen, Räumlichkeiten und die physische Sicherheit.

Netzwerksicherheit

Logischer Zugriff

Der Zugriff auf das EcoStruxure IT-Produktionsnetzwerk beschränkt sich auf ausdrückliche Notwendigkeit, geringste Rechte, Überwachung und Kontrolle durch unser Betriebsteam. Mitarbeiter, die auf das EcoStruxure IT-Produktionsnetzwerk zugreifen, müssen mehrere Authentifizierungsfaktoren verwenden.

DDoS

Da EcoStruxure IT über Microsoft Azure läuft, verwendet Schneider Electric deren kontinuierliche Überwachung des Datenverkehrs und Echtzeit-Abwehr gängiger Angriffe auf Netzwerkebene – mit denselben Schutzmechanismen, die von den Microsoft Online-Diensten verwendet werden.

Sicherheitspenetrationstests von Drittanbietern

Schneider Electric beschäftigt ständig eine rotierende Anzahl von Hackern, die von Drittanbietern zertifiziert wurden, um detaillierte Penetrationstests der gesamten EcoStruxure-IT-Plattform durchzuführen. Erfahren Sie mehr über unsere Richtlinien zur Freigabe von Sicherheitstestberichten.

Überwachung

EcoStruxure IT wird von einem DevOps-Team mit extrem hohen Standards für Cybersicherheit und Datenschutz betrieben. Alle Teile des EcoStruxure IT-Systems werden kontinuierlich überwacht und nach potenziellen Sicherheitslücken oder Datenschutzproblemen gescannt. Das DevOps-Team ist durchgängig auf Abruf und kann prompt auf neu entdeckte Risiken bzw. Probleme reagieren.

Verschlüsselung

Verschlüsselung bei Übertragung

Alle Verbindungen zur EcoStruxure IT-Cloud werden mit einem branchenüblichen 2048-Bit-RSA-Zertifikat validiert und die Daten werden bei Übertragung per 256-Bit-AES-Verschlüsselung gesichert. Bei Android-Versionen vor 7.0 kann Schneider Electric aufgrund von Begrenzungen der Android-Plattform nur 128-Bit-AES-Verschlüsselung garantieren.

Verschlüsselung im Ruhezustand

Daten von EcoStruxure IT werden per 256-Bit-AES-Verschlüsselung verschlüsselt.

Verfügbarkeit und Kontinuität

Betriebszeit

EcoStruxure IT betreibt eine öffentlich verfügbare Webseite zum Systemstatus, einschließlich Details zur Systemverfügbarkeit, geplanten Wartungen, Verlauf von Service-Vorfällen und relevanten Sicherheits-Events.

Redundanz

Alle Komponenten der EcoStruxure IT-Plattform werden in einer Hochverfügbarkeitskonfiguration bereitgestellt, um eine einzelne Fehlerquelle zu vermeiden. Alle Daten werden in einem separaten Speicher gesichert, um Datenverlust zu vermeiden.

Unterauftragsverarbeiter und Subunternehmer