[go: up one dir, main page]

Domain & Webhosting

Das Sicherheits-Netz von IONOS

Maximale Sicherheit und EU-Rechtskonformität für unsere 8 Millionen Kunden und sämtliche Daten. Vertrauen auch Sie auf Europas führenden Anbieter von Cloud-Infrastruktur, Cloud-Services und Hosting-Dienstleistungen.

Der sichere Heimathafen für Ihre Daten: Die IONOS Rechenzentren gewährleisten maximale Verfügbarkeit und zeichnen sich durch höchste Leistungsfähigkeit bei größtmöglicher Sicherheit aus:

IONOS betreibt zehn Hochleistungs-Rechenzentren in fünf Ländern und hat insgesamt etwa 100.000 Server in Betrieb. Alle Rechenzentren sind in Europa ISO/IEC 27001:2013 zertifiziert. Um mehr über diese etablierten Zertifizierung zu erfahren, besuchen Sie bitte die offizielle ISO-Website (International Organization for Standardization).

Unsere Experten haben detaillierte Schutzpläne für kleine und große Katastrophen ausgearbeitet, die selbst im Fall der Fälle eine Verfügbarkeit von nahezu 100% sicherstellen.

Im Rechenzentrum gibt es für die unterschiedlichsten Szenarien wie beispielsweise Stromausfall, Kurzschluss oder Feuer Maßnahmen, um die Daten und die Verfügbarkeit der Dienste nicht zu gefährden. Wir arbeiten hier mit einer sogenannten n+1 Redundanz (Betriebsredundanz): Dabei werden die Server, die Stromversorgung, die Netzanbindung etc., die in Betrieb sind, durch eine Einheit im Standby-Modus ergänzt. Sollte eine andere Einheit ausfallen, können diese bei Bedarf hinzugeschalten werden und den Ausfall überbrücken. Disaster Recovery Pläne gibt es in jeder Abteilung, individuell auf die dort möglichen Gefahren zugeschnitten.

Regelmäßige Backups sind unerlässlich. Bei IONOS sorgen wir durch automatische Datensicherungen dafür, dass Ihre Daten immer gespeichert und gespiegelt sind.

Jedes unserer Produkte bietet täglich bis zu 20 Datensicherungen. Alle Backups werden standardmäßig automatisch mit einem RPO (Recovery Point Objective) von 24 Stunden durchgeführt - das heißt, der maximale Zeitraum zwischen zwei verschiedenen Sicherungspunkten beträgt einen Tag. Die RTO (Recovery Time Objective) beträgt sogar weniger als 24 Stunden – wir stellen Ihre Daten in weniger als einem Tag wieder her.

Bei IONOS sind Ihre Daten geo-redundant gespeichert, das heißt sie werden in einem zweiten Rechenzentrum gespiegelt. So stellen wir sicher, dass Ihre Daten jederzeit und auch bei Ausfall im Rechenzentrum verfügbar sind.

Redundante Server-Komponenten verwendet inzwischen fast jedes Hosting-Unternehmen auf dem Markt – IONOS hält ein ganzes zusätzliches Rechenzentrum bereit. Und das nicht "nur für den Fall der Fälle", sondern auch, um wartungsbedingte Ausfallzeiten zu minimieren und die Gesamtleistung zu optimieren.

Wir setzen beim Thema Geo-Redundanz auf benutzerdefinierten Kernel-Code. Dieser führt die asynchrone Blockschicht-Replikation unserer Speichergeräte auf entfernte Server in einem anderen Rechenzentrum durch. Replizierte Daten sind jederzeit konsistent – zu jedem Zeitpunkt hat die Replik genau die gleichen Daten wie die Primärdaten. Bei der einer synchronen Replikation hingegeben wird die Leistung auf die Gesamtgeschwindigkeit der Replikation begrenzt. Das macht sie anfällig bei netzwerkbedingten Problemen wie Traffic-Spitzen, Ausfällen oder Latenzen.

MARS (Multiversion Asynchronous Replicated Storage) minimiert das eigentliche Delta so weit wie möglich – das bedeutet, dass wir in Bruchteilen einer Sekunde versetzt, aber in der Lage sind, Traffic-Spitzen und Netzwerkausfälle zu bewältigen. Ein weiterer Vorteil der Verwendung von MARS ist, dass wenn die Replikation unterbrochen wird (z.B. durch einen Netzwerkausfall), ist die Replik nicht inkonsistent oder unbrauchbar.

Firewalls kontrollieren den Zugriff interner und externer Parteien auf IT-Systeme. Die IONOS-Firewall ist in die Vielzahl der mit uns vernetzten Geräte integriert, um den Datenverkehr zu filtern. Zudem wird das Risiko verringert, dass bösartige Datenpakete die Sicherheit unseres Netzwerks und Ihrer Daten beeinträchtigen können. Um die Bedrohungen bestmöglich zu minimieren, verwenden wir nicht nur eine, sondern mehrere Firewalls.

Wir setzen auf einen intelligenten Ansatz, um die überwiegende Mehrheit der eingehenden DDoS-Angriffe mit hoher Bandbreite zu stoppen. Denn unsere Webhosting-Server bieten keine UDP (User Datagram Protocol) Dienste an, da UDP-Dienste anfällig für DDoS-Angriffe sind. Unser WAN Edge (Wide Area Network) löscht jeden eingehenden UDP-Verkehr, der auf unsere Shared Hosting-Netzwerke abzielt, bevor dieser Verkehr von WAN Edge zu unseren Rechenzentren geleitet wird.

Darüber hinaus filtert unsere Firewall auf Netzwerk-Segment-Ebene den spezifischen Datenverkehr und konzentriert sich nicht auf Protokolle. Die letzte und detaillierteste Egress Firewall ist lokal und befindet sich direkt auf unseren Servern, um den eingehenden Datenverkehr auf das absolute Minimum zu beschränken. Die Regeln berücksichtigen sogar, welcher Linux-Benutzer versucht, ein Paket zu versenden.

Zum Schutz vor Malware bieten wir neben dem SiteLock Malware Protection Portfolio ein automatisches System an, das darauf trainiert ist, unsichere Software zu erkennen, hochgeladenen Malware zu deaktivieren und Sie schnellstmöglich darüber zu informieren.

Immer wenn eine Datei auf unsere Hosting-Server kopiert wird, starten wir asynchron eine Open-Source-Antivirensoftware – die mit unserer eigenen benutzerdefinierten Signatur ausgestattet ist – um häufige Ausfälle von Webanwendungen, Backdoors und ähnliche hochgeladene oder eingeschleuste Malware zu erkennen. Wenn ein solcher Schadcode erkannt wird, wird die betroffene Datei direkt unzugänglich gemacht und von unseren Abuse-Experten auf weitere Schwachstellen überprüft. Zudem werden die betroffenen Kunden automatisch benachrichtigt. Unsere nachweislich sehr genauen und effizienten Signaturen werden durch unser internes Sicherheitsteam gepflegt.

Für die Bereitstellung von System-Updates auf unseren Webhosting-Servern verwenden wir einen benutzerdefinierten Mechanismus. Dieser Ansatz sorgt nicht nur für schnelle und zuverlässige Updates für bestimmte Software, sondern auch dafür, dass alle Server exakt gleich aufgebaut sind.

Für unsere Webhosting-Server setzen wir auf ein sehr strenges Sicherheitsmodell. Die Management-Software gibt im Wesentlichen an, welche Software wie zu installieren und zu konfigurieren ist oder welche spezifische Software deinstalliert werden soll.

IONOS verwendet Ansible zum Aufbau und zur Pflege von golden master images, deren Inhalt ganze Dateisysteme unserer Server ersetzt (mit Ausnahme von sehr spezifischen Dateisystemstandorten wie Konfigurationsdateien, Log-Datei-Verzeichnissen und Dateisystemen mit Kundendaten). Wir sind jederzeit in der Lage, ein komplettes System von Grund auf schnell und effizient einzusetzen. Aber wir sind auch darüber informiert, welche Software auf unseren Servern vorhanden sein soll und welche nicht. Diese Mechanismen werden von uns seit etwa 20 Jahren produziert.

Der Security Development Lifecycle (deutsch: Entwicklungszyklus für vertrauenswürdigen Computereinsatz) ist ein eine standardisierte Vorgabe für sicherheits-sensible Anwendungen, die bösartigen Attacken standhalten müssen. Unser SDL und unsere Software werden als Open-Source bereitgestellt. So haben wir Best Practices von bekannten SDLs auf dem Markt integriert.

Durch die SDL wird zudem sichergestellt, dass die Sicherheitsmaßnahmen ein integraler Bestandteil der Entwicklungsarbeit sind. Wir achten darauf, dass jeder neue Software-Asset mit Hilfe unseres SDL entwickelt wird, und wir erweitern unseren Prozess um Datenschutz und betriebliche Aspekte.

Wir betreiben ein ISMS (engl. für "Managementsystem für Informationssicherheit"), um sicherzustellen, dass unsere Sicherheitsrichtlinien und unsere Sicherheitsorganisation die gesetzlichen Standards und branchenspezifischen Best Practices erfüllen – heute und in der Zukunft. Zur Unterstützung unseres Geschäfts führen wir Risikomanagementprozesse durch, bereiten uns auf Notfälle vor (Disaster Recovery Plan) und kümmern uns um betriebliches Kontinuitätsmanagement.

Als globales Technologieunternehmen verfügen wir über SLA (Service Level Agreement) sowie OLA (Operational Level Agreement), um die erforderliche Verfügbarkeit unserer Produkte zu gewährleisten.

Bei der Zusammenarbeit von IONOS mit Partnerunternehmen, zum Beispiel um das Produktportfolio zu erweitern, kümmern wir uns um die Kontrolle und die Bewertung der Produktsicherheit unserer Partner. Wir haben SLAs sowohl für die Verfügbarkeit als auch für die Handhabung von Vorfällen (Vertraulichkeit und Integrität).

Unsere Experten analysieren und testen den Quellcode, um die Anwendung bevor sie unseren Kunden angeboten werden von Fehlern und Bugs zu befreien.

Diese Kontrolle trägt dazu bei, eine hohe Qualität für alle unsere Produkte zu gewährleisten. Wir verwenden Open-Source-Quellcode-Analysetools, um Sicherheitslücken zu ausfindig zu machen. Darüber hinaus nutzen wir auch Tools für das Abhängigkeitsmanagement, um Schwachstellen in Bibliotheken und Frameworks aufzudecken.

Jeder unserer IONOS-Sicherheitsprozesse trägt dazu bei, die Qualität unserer Produkte zu verbessern. Aber um die erfolgreiche Integration höchster Sicherheitsstandards zu messen, führen unsere Experten autorisierte simulierte Angriffe zur Bewertung unseres Sicherheitssystems durch, sogenannte Penetrationstests.

Bei diesen Tests verwenden wir automatische Scans auf Infrastruktur- und Anwendungsebene, sowohl innerhalb als auch außerhalb unserer Netzwerke. Zusätzlich setzen wir auf unsere neuen Produkte internen Penetrationstest-Spezialisten an. Bei kritischen Produkten arbeiten wir auch mit mehreren externen Sicherheitsunternehmen zusammen, um erst ein detailliertes Bild zu erhalten, bevor wir die Produkte live schalten und unseren Kunden zur Verfügung stellen.

Ihre Daten können sowohl während des Transfers als auch im Ruhezustand Gefahren und Risiken ausgesetzt sein. Deshalb stellen wir sicher, dass Sie und Ihre Daten jederzeit geschützt sind. Eine der wichtigsten Möglichkeiten um Daten während der Übertragung zu verschlüsseln, ist der Einsatz von SSL-Zertifikaten.

Daten im Ruhezustand (Data at Rest) bezeichnet Daten, die nicht aktiv verschoben werden, beispielsweise auf unserer Infrastruktur gespeicherte Daten. Mit der Verschlüsselung von ruhenden Daten stellen wir sicher, dass auch inaktive Daten weiterhin unserer Datensicherheit unterliegen.

Für die Verschlüsselung von Daten im Ruhezustand sollten nur starke Methoden wie AES (Advanced Encryption Standard) or RSA in Frage kommen. Auch wenn Zugriffskontrollen wie Benutzernamen und Passwort fehlschlagen, sollen verschlüsselte Daten verschlüsselt bleiben. Dabei wird empfohlen, die Verschlüsselung auf mehreren Ebenen zu erhöhen und die Kryptographie auf der Datenbank, in der sich die Daten befinden, sowie auf dem physischen Speicher, in dem die Datenbanken gespeichert sind, implementieren.

Reverse Proxy heißt unsere eigene Anti-DDoS-Lösung. Sie überprüft eingehende Anfragen, um DDoS-Angriffe zu verhindern oder deren Auswirkungen zu minimieren.

Der Webtraffic des Shared Webhosting und zu hunderten Unternehmenswebsites wird von einem Reverse-Proxy gesteuert. Dieser sammelt für jede Anfrage > 23 Kriterienpunkte, wendet statistische und dynamische Kriterien an, um mehrere Bewertungen zu berechnen, die dann zu einer einzigen Bewertung zusammengefasst werden. Abschließend wird die ursprüngliche Anfrage ohne Verzögerung an den eigentlichen Server oder mit dynamischer Verzögerung weitergeleitet, oder abgelehnt und nicht weitergeleitet.

Um potenziellen DDoS-Verkehr besser analysieren zu können, ist eine Entschlüsselung des verschlüsselten Datenverkehrs erforderlich. Wir stellen sicher, dass dies nur so kurz wie möglich geschieht und im Netzwerk verschlüsselt bleibt.

Da für diese DDoS-Analyse der SSL/TLS-Traffic entschlüsselt werden muss, bedient der DDoS-Proxy auch https-Seiten. Um sowohl die Vertraulichkeit der übertragenen Daten als auch die ordnungsgemäße Handhabung des eingehenden Datenverkehrs zu gewährleisten, wird jeder SSL/TLS-Verkehr auf unserem DDoS-Proxy auch unter Verwendung der TLS-Verschlüsselung an unsere internen Server weitergeleitet.

Wir haben standardisiert Spoofing & Egress Filter in unseren Systemen implementiert. Ein Teil dieser Funktion macht es Angreifern unmöglich bestimmte Firewall-Regeln zu umgehen. Der andere Teil der Funktion stellt sicher, dass wir nicht an der Übertragung von gefälschtem Netzwerkverkehr ins Internet teilnehmen – ein häufiges Problem für DDoS-Angriffe.

Die IONOS-Experten haben einen einfachen automatischen Filter im Router entwickelt, der sicherstellt, dass keine IP-Pakete von der Netzwerkverbindung zum Internet akzeptiert werden, die vorgeben, aus unserem eigenen Rechenzentrum zu stammen. Ebenso stellt ein Basis-Filter sicher, dass IP-Pakete aus unserem eigenen Server-Netzwerk oder Rechenzentrum nur Absenderadressen verwenden können, die aus unserem eigenen Netzwerk stammen, nicht aus dem restlichen Internet.

Bogon Filter haben die Funktion alle IPv6-Pakete zu löschen, die behaupten, aus nicht registrierten IPv6-Adressräumen zu stammen. Dies reduziert die Auswirkungen bestimmter DDoS-Angriffe.

Es gibt bestimmte IP-Bereiche, die nicht im Internet geroutet werden und es gibt welche, die keinem IP-Bereich für die IPv6-Übertragung zugeordnet wurden. Solange diese Adressen nicht im Internet zu finden sind, können Sie IP-Pakete herausfiltern, die vorgeben, von diesen Adressen zu stammen. Es kann sich dabei nur um gefälschte Pakete handeln, die als Bogon-Pakete bekannt sind. Diese Filterliste wird manuell gepflegt.

Um unseren Kunden die Anmeldung zum IONOS Control Center so sicher wie möglich zu gestalten, verwenden wir das 2-Faktor-Authentifizierungs-System TOTP ( Time-based One-Time-Password)

Ein Algorithmus erzeugt einen geteilten geheimen Schlüssel, der von einer Authenticator App (mit QR-Scanner) auf jedem Smartphone oder Tablet gescannt werden kann. Die App kombiniert den geheimen Schlüssel mit dem aktuellen Zeitstempel und verwendet dabei eine kryptographische Hash-Funktion, um einen einmaligen Wert zu erzeugen. Diese Funktion wird mit der vom Server erzeugten Hash-Funktion abgeglichen. Das TOTP-System ist eine von der IETF (Internet Engineering Task Force) veröffentlichte Standardmethode.

Um Benutzerkonten bestmöglich vor Brute-Force-Angriffen zu schützen, baut IONOS auf ein intelligentes Anti-Brute-Force-System. Unser Schutz verwendet Informationen wie die IP-Adresse oder den Geo-IP-Standort, um unsere Kunden zu überprüfen. Dadurch können potenzielle Angriffe erkannt und automatisch Gegenmaßnahmen eingeleitet werden wie zum Beispiel CAPTCHA-Einfügungen, temporäre oder permanente Kontoschließung oder IP-Blockierung.