home-slider

Jump To: Privacy Policy | Security Statement | Terms Of Use | Economic Sanctions


Sicherheitserklärung

Übersicht

Wir von KnowBe4 möchten einige Dinge in Bezug auf unsere Sicherheitsmassnahmen klarstellen. Erstens: Wir respektieren Ihre Privatsphäre und unternehmen gezielte Massnahmen, um Ihre Daten zu schützen. Zweitens: Wir würden mit Ihren Daten nie etwas tun, was wir für die Verarbeitung unserer eigenen Daten auch nicht zuliessen. Drittens: Wir sind ein Unternehmen, welches auf qualifizierten, sicherheitsbewussten Personen aufbaut.

Die Sicherheit der Daten unserer Kunden ist uns das Wichtigste. Wir unternehmen gezielte Massnahmen, um sicherzustellen, dass alle Daten, die KnowBe4 zur Verfügung gestellt werden, sicher aufbewahrt und verarbeitet werden - die Sicherheit der KnowBe4-Systeme und Ihrer Daten ist von selbstverständlicher Natur für unser Geschäft. Bevor Sie unsere Produkte und die Plattform nutzen, empfehlen wir Ihnen unsere Nutzungsbedingungen und Datenschutzerklärung zu lesen.

Compliance

Das KnowBe4 KMSAT-Produkt ist von FedRAMP Li-SaaS autorisiert.

FedRAMP

 

LI-SaaS autorisiert am 25.10.2019

Kevin Mitnick Sicherheitstraining - KMSAT

 

Alle KnowBe4-Produkte sind ferner nach SSAE18 SOC2 Typ 2 (SOC 2-Typ 2) zertifiziert. Miteingeschlossen sind KMSAT, PhishER und KCM GRC. Im sog. SOC3-Bericht steht für jedes Produkt eine Zusammenfassung der SOC2-Typ-2-Bewertung (siehe nachstehende Links).

Die KnowBe4 SOC2-Typ 2-Bewertungen umfassen alle Kriterien für Sicherheitsdienste: 

Sicherheit

Verfügbarkeit

Integrität der Verarbeitung

Vertraulichkeit

Datenschutz

Wenn Sie eine Kopie des vollständigen SOC3-Berichts benötigen, fragen Sie bitte Ihren zuständigen Vertriebs- oder CSM Mitarbeiter.

SOC3

 

Prüfungszeitraum: Juni 2018 - März 2019

KMSAT & PhishER

KCM GRC

 

Der SOC2-Audit für den Zyklus 2019-2020 wird im März 2020 abgeschlossen sein, und die aktualisierten Berichte werden ca. im Mai 2020 verfügbar sein. Sollten Sie einen Bestätigungsbrief für den Zeitraum März 2019-Märy 2020 benötigen, fragen Sie bitte den zuständigen Vertriebs- oder CSM Mitarbeiter.

Wir sind zudem im STAR-Register der Cloud Security Alliance (CSA) aufgeführt. https://cloudsecurityalliance.org/star/registry/knowbe4-inc/

Team für Informationssicherheit und Datenschutz:

KnowBe4 verfügt über ein spezielles Team für Informationssicherheit und Datenschutz mit Personen, die über entsprechende Branchenzertifizierungen verfügen:

01 02 03.,png 04 05
06 07 08 09 10-640

 

11

 

12

 

 

 

Zugangs- und Authentifizierungskontrollen:

KnowBe4 schränkt den Zugang zu Kunden- und vertraulichen Daten auf der Basis des rein notwendigen Bedarfs ein. Der Zugriff wird auf Grundlage einer Rolle innerhalb der Organisation gewährt. KnowBe4 betreibt eine obligatorische Multi-Faktor-Authentifizierung für jeden Zugriff auf vertrauliche Daten. Der Zugriff auf Systeme wird gegebenenfalls durch die IP-Adresse eingeschränkt.

Datenverarbeitung und Datenschutz:

  • KnowBe4 hält alle Normen der Datenschutzgrundverordnung 2016/679 (DSGVO/ in Englisch: GDPR) ein.
  • KnowBe4 ist US-EU / US-Schweiz Privacy Shield zertifiziert. Wir arbeiten ferner mit Ihrer Rechtsabteilung und ggf. dem/der Datenschutzbeauftragten zusammen, um passende Datenschutzvereinbarungen zu erstellen.
  • Wir verfügen über interne Richtlinien und Prozesse zur Einhaltung der geltenden Datenschutzgesetze.

Weitere Informationen über die Art der Daten und den Zweck finden Sie auf der Produktregistration unserer Datenschutzrichtlinie.

Datenverschlüsselung:

KnowBe4 nutzt AWS (Amazon Web Services) für die Datenverschlüsselung im Transit (TLS) und im Ruhezustand (AES-GCM 256).

  • KnowBe4 verwendet derzeit die Sicherheitsrichtlinie TLSv1_2016 auf AWS Application Load Balancers und innerhalb von AWS CloudFront. Details dazu finden Sie hier.
  • KnowBe4 verwendet den AWS Key Management Service (KMS), um die Verschlüsselung von Daten im Ruhezustand über unsere Produkte hinweg zu ermöglichen. Wir verwenden diesen für die Verschlüsselung von Daten innerhalb von Datenbanken (RDS) und von Daten, die innerhalb von S3 gespeichert sind. AWS KMS verwendet den AES-Algorithmus (Advanced Encryption Standard) im Galois/Counter-Modus (GCM) mit 256-Bit-Geheimschlüsseln.

Standorte der Rechenzentren:

KnowBe4 arbeitet innerhalb der Amazon Web Services (AWS). AWS folgt dem Modell der geteilten Verantwortung. AWS ist für die Sicherheit der ‚Cloud‘ an sich verantwortlich, und KnowBe4 ist für die Sicherheit 'in' der Cloud verantwortlich. Informationen zur Compliance der AWS-Rechenzentren finden Sie auf der AWS-Compliance-Website hier.

Wenn Sie den SOC-Bericht des Rechenzentrums überprüfen wollen, können Sie den neuesten AWS SOC3-Bericht hier einsehen: AWS SOC3-Bericht.

KnowBe4 verwendet die folgenden AWS-Regionen:

  • KMSAT & PhishER & KCM GRC
    • US-Ost-1 (Nordvirginia)

Für alle Kunden, die ihre Daten innerhalb der EU aufbewahren möchten, bieten wir folgende Alternative an:

  • KMSAT und Phisher
    • EU-West-1 (Irland)

Hinweis: Die Daten werden sowieso nicht zwischen den Datenzentren der USA und der EU ausgetauscht. Sie können in jeder Region ein Account anfordern. Diese operieren unabhängig voneinander und die Daten werden nicht zwischen den Datenzentren synchronisiert.

Datensicherung und -aufbewahrung:

KnowBe4 bewahrt Datenbank-Backups für 1 Jahr auf und Audit- und Applikationssprotokolle für 3 Jahre. Diese Daten werden gemäß dem oben aufgeführten Abschnitt Datenverschlüsselung verschlüsselt gespeichert.

Einen Antrag auf Datenlöschung richten Sie bitte an Ihren Vertriebs- oder CSM Mitarbeiter.

Datenschutzbewusstsein und Schulung:

Alle Mitarbeiter von KnowBe4 absolvieren bei ihrer Einstellung und mindestens einmal jährlich eine obligatorische Schulung zum Thema Datenschutzbewusstsein. Wir führen laufend, und mindestens einmal im Monat, simulierte Phishing- und Social Engineering-Tests im eigenen Betrieb durch.

Alle Mitarbeiter und Auftragnehmer von KnowBe4 unterzeichnen eine Vertraulichkeits- und Geheimhaltungsvereinbarung bevor der Zugang zu Unternehmens- oder Kundendaten gewährt wird.

Geschäftskontinuität / Wiederherstellung der Daten:

Die KnowBe4-Ingenieure haben eine hoch skalierbare und widerstandsfähige Produktarchitektur innerhalb der AWS entworfen.

Die Leistung der Systeme innerhalb unserer eigenen Produktarchitektur wird anhand von Schlüsselkennzahlen überwacht, um sicherzustellen, dass die Belastung eines Systems in einem akzeptablen Bereich liegt. Sollte eine Komponente überlastet werden oder einen Fehler aufweisen, sorgen automatisierte Prozesse dafür, dass zusätzliche temporäre Systeme eingeschaltet werden und bestehende fehlerhafte Systeme ausgeschaltet.

Diese Automatisierung ist in die KnowBe4-Architektur so integriert, dass die Systemüberwachung, Aktualisierung der Systeme und Korrektur nach Bedarf und ohne Ausfallzeiten durchgeführt werden kann.

Für die Überwachung von Status und Betriebszeit der Systeme besuchen Sie bitte https://status.knowbe4.com

Code-Sicherheit und Code-Aktualisierungen:

Die KnowBe4-F&E-Abteilung nutzt eine Continuous Integration / Continuous Delivery (CI/CD)-Pipeline zur Verwaltung von Code-Implementierungen. Code-Änderungen werden einem Peer-Review unterzogen, von separaten QA-Mitarbeitern genehmigt, und in einer Staging-Umgebung getestet, bevor sie in die Produktion überführt werden. Die Staging- und die Produktionsumgebung sind logisch voneinander getrennt, und es werden keine Daten zwischen den zwei Umgebungen ausgetauscht.

Protokollierung und Überwachung:

KnowBe4 sammelt Audit- und Applikationsprotokolle aus allen Systemen. Diese Protokolle werden verschlüsselt in einem zentralen Protokollierungssystem und getrennt vom protokollerzeugenden System gespeichert. Die Protokolleinträge entsprechen den branchenüblichen Standards für Audit-Trails. KnowBe4 bewahrt diese Protokolle für einen Zeitraum von 3 Jahren auf, damit alte Systemaktivitäten ebenfalls untersucht werden können.

Schwachstellen-Management:

Das KnowBe4-Team für Informationssicherheit führt monatlich Schwachstellen-Scans von Webanwendungen durch. Diese Scans sind so konfiguriert, dass sie als authentifizierte Scans ausgeführt werden. Alle bei diesen Scans oder anderen Aktivitäten zur Erkennung von Schwachstellen gefundenen Schwachstellen werden einem System zur Verfolgung von Schwachstellen hinzugefügt. Dort werden die Schwachstellen verifiziert, kategorisiert und auf das tatsächliche Risiko hin bewertet. Die Schwachstellen werden gemäß dem unten aufgeführten Zeitplan behoben:

CVSS-Punktzahl

7.0 - 10.0

4.0 - 6.9

1.0 - 3.9

0 - 0.9

Zeitleiste für die Sanierung

< 2 Wochen

< 4 Wochen

< 6 Monate

Diskretionäry

  

Penetrationstests / Bug Bounty / Sicherheitslücken melden:

KnowBe4 nimmt an einem geoutsourctem Bug-Bounty-Programm teil, bei dem unabhängige Anbieter fortlaufende Penetrationstests unserer Produkte durchführt.

Wenn Sie das Gefühl haben, dass Sie selber eine Sicherheitslücke in unserem System entdeckt haben, können Sie sich für das Programm anmelden. Sie können jede Schwachstelle über das Bug-Bounty-Programm und durch direkte Kontaktaufnahme mit dem KnowBe4-Sicherheitsteam melden. Wir sind froh, wenn Sie als Kunde mit uns zusammen Testen, und wir ermutigen Sie, uns Ihre Befunde mitzuteilen.

Sicherheitstests außerhalb dieses Programms sind nicht erlaubt. Wir erlauben auch keine automatisierten Scans als Teil dieses Programms. Der Anbieter ist darauf angewiesen, dass alle Tests manuell durchgeführt werden, damit die Test nicht durch Störfaktoren beeinflusst werden.

[Letzte Seitenaktualisierung: 18.12.2019]