home-slider

Jump To: Privacy Policy | Cookie Policy | Security Statement | Terms Of Use | Economic Sanctions


Sicherheitserklärung

Übersicht

Wir von KnowBe4 möchten einige Dinge in Bezug auf unsere Sicherheitsmassnahmen klarstellen. Erstens: Wir respektieren Ihre Privatsphäre und unternehmen gezielte Massnahmen, um Ihre Daten zu schützen. Zweitens: Wir würden mit Ihren Daten nie etwas tun, was wir für die Verarbeitung unserer eigenen Daten auch nicht zuliessen. Drittens: Wir sind ein Unternehmen, welches auf qualifizierten, sicherheitsbewussten Personen aufbaut.

Die Sicherheit der Daten unserer Kunden ist uns das Wichtigste. Wir unternehmen gezielte Massnahmen, um sicherzustellen, dass alle Daten, die KnowBe4 zur Verfügung gestellt werden, sicher aufbewahrt und verarbeitet werden - die Sicherheit der KnowBe4-Systeme und Ihrer Daten ist von selbstverständlicher Natur für unser Geschäft. Bevor Sie unsere Produkte und die Plattform nutzen, empfehlen wir Ihnen unsere Nutzungsbedingungen und Datenschutzerklärung zu lesen.

Compliance

Das KnowBe4 KMSAT-Produkt verfügt seit dem 25.10.2019 über eine FedRAMP Li-SaaS ATO (Authorization To Operate). Die KnowBe4-Plattform (KMSAT + PhishER) wird derzeit vom FedRAMP PMO (Program Management Office) auf der Stufe "Moderate Impact" geprüft.

FedRAMP

 

LI-SaaS ATO 

Kevin Mitnick Sicherheitstraining - KMSAT

Moderat (in Bearbeitung) 

KnowBe4-Plattform (KMSAT + PhishER)

Alle KnowBe4-Produkte sind ferner nach SSAE18 SOC2 Typ 2 (SOC 2-Typ 2) zertifiziert. Miteingeschlossen sind KMSAT, PhishER und SecurityCoach. 

Die KnowBe4 SOC2-Typ 2-Bewertungen umfassen alle Kriterien für Sicherheitsdienste: 

Sicherheit

Verfügbarkeit

Integrität der Verarbeitung

Vertraulichkeit

Datenschutz

Wenn Sie eine Kopie des vollständigen SOC2-Berichts benötigen, fragen Sie bitte Ihren zuständigen Vertriebs- oder CSM Mitarbeiter.

Eine Kopie unseres kürzlich ausgefüllten Consensus Assessment Initiative Questionnaire (CAIQ) finden Sie hier auf unserer STAR-Registrierungsseite der Cloud Security Alliance (CSA): https://cloudsecurityalliance.org/star/registry/knowbe4-inc/

Cyber Essentials certificate mark
KnowBe4-Produkte sind Cyber Essentials zertifiziert. Sie können unsere Zertifizierung hier einsehen.

International Organization for Standardization 27001 (ISO 27001) ist eine Norm für die Informationssicherheit, die gewährleistet, dass Bürostandorte, Entwicklungszentren, Supportzentren und Rechenzentren sicher verwaltet werden. KnowBe4 wird von seinem unabhängigen, vom ANSI-ASQ National Accreditation Board (ANAB) akkreditierten Zertifizierer anhand einer Reihe von Standards der International Organization for Standardization 27001 (ISO 27001) geprüft. Zu diesen Standards, nach denen KnowBe4 erfolgreich geprüft wurde, gehören:

  • The International Organization for Standardization 27001:2013 Standard für die Kontrolle der Informationssicherheit
  • The International Organization for Standardization 27701:2019 Standard für das Informationsmanagement zum Schutz der Privatsphäre
  • The International Organization for Standardization 27017:2015 Standard für Informationssicherheitskontrollen für Cloud Computing
  • The International Organization for Standardization 27018:2019 Standard zum Schutz von personenbezogenen Daten in der öffentlichen Cloud für Datenverarbeiter

Die Links zu unseren oben genannten Zertifizierungen finden Sie hier and hier.

ISOQAR Quality Assured, ANNAB Accredited

Team für Informationssicherheit und Datenschutz:

KnowBe4 verfügt über ein spezielles Team für Informationssicherheit und Datenschutz mit Personen, die über entsprechende Branchenzertifizierungen verfügen:

01 02 03.,png 04 05
06 07 08 09 10-640

 

11

 

12

 

 

 

Zugangs- und Authentifizierungskontrollen:

KnowBe4 schränkt den Zugang zu Kunden- und vertraulichen Daten auf der Basis des rein notwendigen Bedarfs ein. Der Zugriff wird auf Grundlage einer Rolle innerhalb der Organisation gewährt. KnowBe4 betreibt eine obligatorische Multi-Faktor-Authentifizierung für jeden Zugriff auf vertrauliche Daten. Der Zugriff auf Systeme wird gegebenenfalls durch die IP-Adresse eingeschränkt.

Datenverarbeitung und Datenschutz:

  • KnowBe4 hält alle Normen der Datenschutzgrundverordnung 2016/679 (DSGVO/ in Englisch: GDPR) ein.
  • Wir verfügen über interne Richtlinien und Prozesse zur Einhaltung der geltenden Datenschutzgesetze.

Weitere Informationen über die Art der Daten und den Zweck finden Sie auf der Produktregistration unserer Datenschutzrichtlinie.

Datenverschlüsselung:

KnowBe4 nutzt AWS (Amazon Web Services) für die Datenverschlüsselung im Transit (TLS) und im Ruhezustand (AES-GCM 256).

  • KnowBe4 verwendet derzeit die Sicherheitsrichtlinie TLSv1_2016 auf AWS Application Load Balancers und innerhalb von AWS CloudFront. Details dazu finden Sie hier.
  • KnowBe4 verwendet den AWS Key Management Service (KMS), um die Verschlüsselung von Daten im Ruhezustand über unsere Produkte hinweg zu ermöglichen. Wir verwenden diesen für die Verschlüsselung von Daten innerhalb von Datenbanken (RDS) und von Daten, die innerhalb von S3 gespeichert sind. AWS KMS verwendet den AES-Algorithmus (Advanced Encryption Standard) im Galois/Counter-Modus (GCM) mit 256-Bit-Geheimschlüsseln.

Standorte der Rechenzentren:

KnowBe4 arbeitet innerhalb der Amazon Web Services (AWS). AWS folgt dem Modell der geteilten Verantwortung. AWS ist für die Sicherheit der ‚Cloud‘ an sich verantwortlich, und KnowBe4 ist für die Sicherheit 'in' der Cloud verantwortlich. Informationen zur Compliance der AWS-Rechenzentren finden Sie auf der AWS-Compliance-Website hier.

Wenn Sie den SOC-Bericht des Rechenzentrums überprüfen wollen, können Sie den neuesten AWS SOC3-Bericht hier einsehen: AWS SOC3-Bericht.

KnowBe4 verwendet die folgenden AWS-Regionen:

Sie können den Ort der Datenspeicherung je nach Ihren Anforderungen an die Datenlokalisierung auswählen. Derzeit betreiben wir Rechenzentren in den Vereinigten Staaten, Europa, Großbritannien und Kanada.

Product

Production Database

Disaster Recovery Database

KMSAT & PhishER (Option 1)

*Für Kunden, die ihre Daten in den Vereinigten Staaten aufbewahren möchten

Amazon AWS-Datenzentrum in den Vereinigten Staaten, Nord-Virginia (us-east-1)

Amazon AWS-Datenzentrum in den Vereinigten Staaten, Oregon (us-west-2)

KMSAT & PhishER (Option 2)

*Für Kunden, die eine langfristige Datenspeicherung in Irland (EU) wünschen

Amazon AWS-Rechenzentrum in Europa mit Sitz in Dublin, Irland (eu-west-1)

Amazon AWS-Rechenzentrum Frankfurt, Deutschland (eu-central-1)

KMSAT & PhishER (Option 3)

*Für Kunden, die eine langfristige Datenspeicherung in Kanada wünschen

Amazon AWS-Datenzentrum in Montreal, Kanada (zentral)

Amazon AWS-Rechenzentrum in Europa mit Sitz in Dublin, Irland (eu-west-1)

KMSAT & PhishER (Option 4)

*Für Kunden, die eine langfristige Datenspeicherung im Vereinigten Königreich wünschen

Amazon AWS-Rechenzentrum in London, England (eu-west-2)

Amazon AWS-Rechenzentrum in Europa mit Sitz in Dublin, Irland (eu-west-1)

KMSAT & PhishER (Option 5)

*Für Kunden, die eine langfristige Datenspeicherung in Deutschland (EU) wünschen

Amazon AWS-Rechenzentrum Frankfurt, Deutschland (eu-central-1)

Amazon AWS-Rechenzentrum in Europa mit Sitz in Dublin, Irland (eu-west-1)

KCM GRC (Option 1)

*Für Kunden, die ihre Daten in den Vereinigten Staaten aufbewahren möchten

Amazon AWS-Datenzentrum in den Vereinigten Staaten, Nord-Virginia (us-east-1)

Amazon AWS-Datenzentrum (us-west-1)

KCM GRC (Option 2)

*Für Kunden, die ihre Daten im EWR und/oder im Vereinigten Königreich aufbewahren möchten

Amazon AWS-Rechenzentren in Europa mit Sitz in London (eu-west-2)

Amazon AWS-Datenzentrum Dublin, Irland (eu-west-1)

Die Daten werden nicht zwischen den Rechenzentren ausgetauscht. Sie können in jeder Region ein Konto beantragen, aber diese sind unabhängig voneinander, und die Daten werden nicht zwischen den Konten synchronisiert.

Datensicherung und -aufbewahrung:

KnowBe4 bewahrt Datenbank-Backups für 1 Jahr auf und Audit- und Applikationssprotokolle für 3 Jahre. Diese Daten werden gemäß dem oben aufgeführten Abschnitt Datenverschlüsselung verschlüsselt gespeichert.

Einen Antrag auf Datenlöschung richten Sie bitte an Ihren Vertriebs- oder CSM Mitarbeiter.

Datenschutzbewusstsein und Schulung:

Alle Mitarbeiter von KnowBe4 absolvieren bei ihrer Einstellung und mindestens einmal jährlich eine obligatorische Schulung zum Thema Datenschutzbewusstsein. Wir führen laufend, und mindestens einmal im Monat, simulierte Phishing- und Social Engineering-Tests im eigenen Betrieb durch.

Alle Mitarbeiter und Auftragnehmer von KnowBe4 unterzeichnen eine Vertraulichkeits- und Geheimhaltungsvereinbarung bevor der Zugang zu Unternehmens- oder Kundendaten gewährt wird.

Geschäftskontinuität / Wiederherstellung der Daten:

Die KnowBe4-Ingenieure haben eine hoch skalierbare und widerstandsfähige Produktarchitektur innerhalb der AWS entworfen.

Die Leistung der Systeme innerhalb unserer eigenen Produktarchitektur wird anhand von Schlüsselkennzahlen überwacht, um sicherzustellen, dass die Belastung eines Systems in einem akzeptablen Bereich liegt. Sollte eine Komponente überlastet werden oder einen Fehler aufweisen, sorgen automatisierte Prozesse dafür, dass zusätzliche temporäre Systeme eingeschaltet werden und bestehende fehlerhafte Systeme ausgeschaltet.

Diese Automatisierung ist in die KnowBe4-Architektur so integriert, dass die Systemüberwachung, Aktualisierung der Systeme und Korrektur nach Bedarf und ohne Ausfallzeiten durchgeführt werden kann.

Für die Überwachung von Status und Betriebszeit der Systeme besuchen Sie bitte https://status.knowbe4.com

Das Risikomanagementprogramm von KnowBe4 wird im Rahmen der jährlichen Audits durch Dritte (FedRAMP, ISO 27001 und SOC2) überprüft. Eine vollständige Übersicht über das Risikomanagementprogramm von KnowBe4 finden Sie hier.

Code-Sicherheit und Code-Aktualisierungen:

Die KnowBe4-F&E-Abteilung nutzt eine Continuous Integration / Continuous Delivery (CI/CD)-Pipeline zur Verwaltung von Code-Implementierungen. Code-Änderungen werden einem Peer-Review unterzogen, von separaten QA-Mitarbeitern genehmigt, und in einer Staging-Umgebung getestet, bevor sie in die Produktion überführt werden. Die Staging- und die Produktionsumgebung sind logisch voneinander getrennt, und es werden keine Daten zwischen den zwei Umgebungen ausgetauscht.

Protokollierung und Überwachung:

KnowBe4 sammelt Audit- und Applikationsprotokolle aus allen Systemen. Diese Protokolle werden verschlüsselt in einem zentralen Protokollierungssystem und getrennt vom protokollerzeugenden System gespeichert. Die Protokolleinträge entsprechen den branchenüblichen Standards für Audit-Trails. KnowBe4 bewahrt diese Protokolle für einen Zeitraum von 3 Jahren auf, damit alte Systemaktivitäten ebenfalls untersucht werden können.

Schwachstellen-Management:

Das KnowBe4-Team für Informationssicherheit führt monatlich Schwachstellen-Scans von Webanwendungen durch. Diese Scans sind so konfiguriert, dass sie als authentifizierte Scans ausgeführt werden. Alle bei diesen Scans oder anderen Aktivitäten zur Erkennung von Schwachstellen gefundenen Schwachstellen werden einem System zur Verfolgung von Schwachstellen hinzugefügt. Dort werden die Schwachstellen verifiziert, kategorisiert und auf das tatsächliche Risiko hin bewertet. Die Schwachstellen werden gemäß dem unten aufgeführten Zeitplan behoben:

Die folgende SLA gilt für Schwachstellen, die auf einem CVSS-Score mit einem Snyk Priority Score von weniger als 800 basieren. Der Priority Score von Snyk ist ein umfassendes Bewertungssystem, das mehrere Faktoren berücksichtigt, darunter den CVSS-Score, die Verfügbarkeit eines Fixes, bekannte Exploits, wie neu die Schwachstelle ist und ob sie erreichbar ist oder nicht.

Schweregrad

Kritisch/Hoch

Mittel

Niedrig

Information

Zeitleiste für die Sanierung

< 30 Tage

< 90 Tage

< 180 Tage

Ermessensspielraum

Die folgenden SLA werden befolgt für:

  • Schwachstellenfeststellungen auf der Grundlage von CVSS mit einem Snyk Priority Score von 800 oder höher
  • Schwachstellen ohne CVSS-Bewertung mit einer Risikobewertung, die anhand der OWASP-Risikobewertungsmethodik ermittelt wird (Risiko = Wahrscheinlichkeit * Auswirkung)

 

Schweregrad

Kritisch/Hoch

Mittel

Niedrig

Information

Zeitleiste für die Sanierung

< 14 Tage

< 30 Tage

< 180 Tage

Ermessensspielraum

  

Penetrationstests / Bug Bounty / Sicherheitslücken melden:

KnowBe4 nimmt an einem geoutsourctem Bug-Bounty-Programm teil, bei dem unabhängige Anbieter fortlaufende Penetrationstests unserer Produkte durchführt.

Wenn Sie das Gefühl haben, dass Sie selber eine Sicherheitslücke in unserem System entdeckt haben, können Sie sich für das Programm anmelden. Sie können jede Schwachstelle über das Bug-Bounty-Programm und durch direkte Kontaktaufnahme mit dem KnowBe4-Sicherheitsteam melden. Wir sind froh, wenn Sie als Kunde mit uns zusammen Testen, und wir ermutigen Sie, uns Ihre Befunde mitzuteilen.

Sicherheitstests außerhalb dieses Programms sind nicht erlaubt. Wir erlauben auch keine automatisierten Scans als Teil dieses Programms. Der Anbieter ist darauf angewiesen, dass alle Tests manuell durchgeführt werden, damit die Test nicht durch Störfaktoren beeinflusst werden.

[Letzte Seitenaktualisierung: 19.07.2023]