Sicherheit bei AEB

Verfügbarkeit, Vertraulichkeit und Integrität ­- das sind die massgeblichen Sicherheitsziele bei AEB. Diese beinhalten nicht nur technische Aspekte unserer IT-Lösungen. Genauso zählen dazu auch die organisatorische Verfügbarkeit von Ansprechpartnern, der vertrauliche Umgang mit Daten unserer Geschäftspartner oder die Integrität, die wir mit klaren Prozessen in der Informationsverarbeitung sicher stellen.

Zertifizierte Sicherheit

Sicherheit und der Schutz Ihrer Daten und Informationen ist Teil der „AEB-DNA“ und schon immer ein integraler Bestandteil von AEB-Lösungen.

Darum hat AEB seit über zehn Jahren für den Rechenzentrums (Cloud)-Betrieb und die Produktentwicklung eine Zertifizierung nach ISO 27001 sowie eine Zertifizierung zum „zugelassenen Wirtschaftsbeteiligten – Sicherheit“ (AEO-S)

Selbstverständlich stehen bei AEB nicht nur das Managementsystem und der Umgang mit Risiken im Fokus, sondern auch die zum Schutz der Daten notwendigen modernen Sicherheitsmechanismen. Dazu zählen etwa Next-Generation-Firewalls, Intrusion-Detection- und Prevention-Systeme, automatische Alarmierung und vieles mehr. Diese Mechanismen sind mehrstufig redundant im Einsatz.

AEB führt mehrmals jährlich Penetrationstests durch und scannt regelmässig zusätzlich alle Zugänge und Anwendungen in der AEB-Cloud. So identifizieren wir proaktiv mögliche Schwachstellen und Angriffsszenarien.


Rollenbasierte Anmeldung & Authentifizierung

AEB gewährt Kunden und Mitarbeitern Zutritt, Zugang und Zugriff zu Ressourcen und Lösungen mithilfe eines zentralen User Repositories und eines rollenbasierenden Sicherheitsmodells. Dadurch erhält jeder nur auf die Anwendungen und Umgebungen Zugriff, für die er auch berechtigt ist. User werden in Rollengruppen zusammengefasst. Dabei wird nicht das einzelne User-Objekt berechtigt, sondern immer die Rollen-Objekte.

Auch User mit besonderen administrativen oder privilegierten Rechten sind in geeigneten Rollengruppen zusammengefasst und unterliegen den entsprechenden Prozessen und Freigaben. Für besonders privilegierte Rechte (z.B. Firewall-Zugriff, Admin-Portale) muss der Anwender ein besonderes personalisiertes Administrator-Konto nutzen. Sein „normales“ User-Konto bekommt diese Rechte nicht bzw. kann nicht den entsprechenden Rollen zugeordnet werden.


Sichere Produkte 

Im Rahmen der Qualitätssicherung werden Neuentwicklungen vor der Freigabe manuell gegen die definierten Anforderungen sowie auf Anforderungen von Datenschutz und Sicherheit getestet. Hierzu gibt es Testverantwortliche, welche das Testmanagement übernehmen. Zudem sichern automatische Tests unsere Software kontinuierlich gegen unbeabsichtigte Seiteneffekte in der Entwicklung ab.

Im laufenden Betrieb ist die Sicherheit unserer Produkte durch Zugriffsbeschränkungen und Rollenkonzepte sichergestellt.


Sicherheit im AEB-Headquarter

Grundsätzlich ist der Zugang zu den AEB-Büros und der AEB-Infrastruktur nur AEB-Mitarbeitern gestattet. Jeder Zugang wird protokolliert. Gäste melden sich (nach einer Vorankündigung durch den einladenden AEB-Mitarbeiter) am Empfang an. Sie dürfen sich nur im Erdgeschoss aufhalten und müssen einen Gästeausweis sichtbar tragen, damit sie auch jeder Zeit als Gast erkennbar sind.

Den physischen Zutritt zu den Rechenzentren haben nur geschulte AEB-Mitarbeiter. Dabei sind die Zutrittssysteme Zwei-Faktor authentifiziert. Zudem werden die beiden Rechenzentren videoüberwacht.

Alle Mitarbeiter sind dazu aufgerufen, unbekannte oder auffällige Besucher anzusprechen oder zu melden. Abends übernimmt diese Aufgabe das Sicherheitspersonal, das alle Räume und vorgegebene Punkte kontrolliert. Auf diese Weise wird sichergestellt, dass sich keine unbefugten Menschen im Gebäude und auf dem Gelände befinden.


Notfallvorsorge: Das AEB Business Continuity Management

Die Bedeutung

Wenn Logistik- und Zollprozesse stillstehen, kann das für viele Unternehmen massive Folgen haben. Daher ist es essenziell, dass AEB-Cloud-Software, Services und Support-Leistungen reibungslos zur Verfügung stehen. Um dies auch in Ausnahmesituationen zu gewährleisten, hat AEB ein umfangreiches Business Continuity Management implementiert.

„Business Continuity Management ist für uns als Teil des Risikomanagements ein selbstverständliches Pflichtfach der Unternehmensführung“, erklärt Martin Setzler, Mitglied des Verwaltungsrats und IT-Verantwortlicher bei AEB. „Daher sehen wir es auch in enger Verzahnung mit unserem nach ISO 27001 zertifizierten Informationssicherheit-Managementsystem, in dem Business Continuity als eigener Regelungsbereich definiert ist.“

Die Ziele

Notfall-Prävention

Die Struktur des AEB Business Continuity Managements (BCM) wird in der AEB Business Continuity Leitlinie beschrieben. Diese basiert auf dem Standard-Baustein (100-4) zum Notfallmanagement des BSI (Bundesamt für Sicherheit in der Informationstechnik) und den ISO-Normen ISO 22301 und ISO 22313. Das BCM gliedert sich dabei in zwei Kernaufgaben: Massnahmen zur Notfall-Prävention und zur Notfall-Bewältigung.

Die Präventionsmassnahmen sind in einem Notfallvorsorgekonzept definiert. Es zielt darauf ab, sowohl die Eintrittswahrscheinlichkeit als auch mögliche Schäden zu verringern. Die Leitfragen lauten: Welche Vorkehrungen müssen getroffen und welche Massnahmen ergriffen werden, um im unwahrscheinlichen Fall eines Teil- oder gar Komplettausfalls der Systeme möglichst umgehend die Betriebsbereitschaft wiederherstellen zu können?

Notfall-Bewältigung

Das Notfallvorsorgekonzept enthält Instrumente, mit denen AEB ihre Prozesse entsprechend der Relevanz korrekt einstufen und bewerten kann, um geordnete Notfallmassnahmen zu betreiben. Das Notfallvorsorgekonzept sieht dazu auch regelmässige Übungen vor.

Sollte es wirklich einmal zu einem Notfall kommen und der Betrieb von AEB oder ihrer Lösungen gestört sein, regelt ein Emergency Guide transparent Abläufe und Verantwortlichkeiten. Das Notfallhandbuch der AEB hilft, dass Entscheidungen auch in der Krise schnell und effizient getroffen werden. Dazu enthält es vorbereitete Notfallpläne für verschiedene Szenarien. 

Durch diese Massnahmen können Kunden sich auch im Worst Case darauf verlassen, dass Massnahmen professionell und geordnet ablaufen. Dadurch sind AEB-Services schnell und professionell wieder verfügbar.


Mehr zum Thema

Ein effektives Business Continuity Management sorgt bei AEB auch in Krisenzeiten für einen reibungslosen Betrieb. Mehr zum Thema Business Continuity Management während der aktuellen Covid19-Pandemie Sie im Magazin-Artikel: 

Das AEB Business Continuity Management: Gewappnet für alle Fälle


Unser IT Security Manager

Martin Setzler

Martin Setzler

Seit 2006 habe ich bei AEB das Thema Security als IT Security Manager im Blick.

Diese Aufgabe mache ich mit grosser Leidenschaft, weil …

  • ich so intensiv für die Sicherheit der Daten und Informationen der AEB-Kunden sorgen kann.
  • Sicherheit schon seit langem mein Thema ist und die Entwicklungen in diesem Bereich einfach schnell sind. Dadurch entstehen spannende Herausforderungen.
  • mich schon in meinem Studium auch das Gegenteil von Security, nämlich Hacking & Cracking, fasziniert hat.

Als Mitglied der Geschäftsleitung bin ich ausserdem generell verantwortlich für den Betrieb und die Betreuung der Bestandskunden und des Cloud-Angebots der AEB. Das schliesst auch die Verantwortung für die IT sowie das Qualitätsmanagement mit ein. Im Unternehmensrat begeistert und beschäftigt mich ausserdem die grosse Frage wie wir in AEB miteinander arbeiten.



Kontakt zum Datenschutzbeauftragten

Haben Sie Fragen zum Thema IT Security bei AEB?

Wenden Sie sich an unseren IT Security Manager: service@aeb.com