Trust Center

Bester Schutz für Ihre Daten und IT-Systeme

Sicherheit nach ISO 27001

Ihre IT-Systeme sind durch ein umfassendes Sicherheitsmanagement mit konkreten Verantwortlichkeiten, Prozessen, Konzepten und Maßnahmen geschützt.

Internes Kontrollsystem (IKS)

Unser Risikomanagement und die Kontrollen sind auditiert nach PS 951/ISAE 3402.

Datenschutz nach EU-DSGVO

Wir speichern Ihre Daten ausschließlich in deutschen Rechenzentren und verfügen über ein umfassendes Datenschutzkonzept nach EU-DSGVO.
Cloud hosted in Germany

Physische Sicherheit

Unsere Rechenzentren sind optimal gesichert mit videoüberwachter Zutrittskontrolle, Sicherheitsdienst und elektronischem Schließsystem.

Verfahren und Richtlinien

Vorgaben, Prozessbeschreibungen und Checklisten sichern unsere Servicequalität.

Compliance

Gerne implementieren wir Ihre individuellen Compliance-Vorgaben in unsere Interne Revision und die Kontrollsysteme.

System- und Datensicherheit

Technische Maßnahmen wie Managed Firewalls, Systemhärtungen und Netzsegmentierung schützen Ihre Systeme und Daten.

Audits, Scans und Kontrollen

Auditierungsmöglichkeiten, Security-Scans und externe Kontrollen machen die zugesagte Sicherheit für Sie überprüfbar.

Security Event Management

Bei Vorfällen übernimmt unser IT-Security-Team das individuelle Handling.

Notfallmanagement

Im Katastrophenfall ist die Verfügbarkeit Ihrer Systeme und Daten durch umfassende Vorsorgemaßnahmen sichergestellt.

So funktioniert Sicherheit bei Adacor!

Sicherheit und Compliance sind unser Kerngeschäft. Was das genau bedeutet, erfahren Sie im Video!

International anerkannt: ISMS nach ISO 27001

Unser Informationssicherheitsmanagementsystem (ISMS) ist nach ISO 27001 zertifiziert. Es entspricht international anerkannten Vorgehensweisen zum Aufbau und Betrieb eines ISMS, das auf Basis einer Risikobewertung die Planung, Durchführung, Überwachung, Überprüfung und Verbesserung der Informationssicherheit abdeckt. Das ISMS umfasst unsere Organisation, Struktur, Verantwortlichkeiten, Verfahren, Prozesse und Infrastruktur. Letztere betreiben wir in zertifizierten Rechenzentren:

  • NTT: ISO 27001 auf Basis der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutz-Vorgaben (BSI-IT-Grundschutz)
  • Interxion: ISO 27001, ISO 22301 Business Continuity Management (Notfallmanagement) sowie PCI-DSS (Sicherheitsstandard für Kreditkartentransaktionen)

Dienstleistungsbezogenes Internes Kontrollsystem (IKS)

An unserem dienstleistungsbezogenen Internen Kontrollsystem (IKS) werden alle Arbeits- und Kontrollprozesse von Adacor ausgerichtet. Das detaillierte Rahmen- und Regelwerk orientiert sich an den international anerkannten Standards COSO und COBIT. Es definiert die geltenden Rahmenbedingungen (Kontrollumfeld), die Regelungen zur Risikobeurteilung, sämtliche Kontrollaktivitäten bei der täglichen Arbeit, Standards zur Information und Kommunikation unter den Kollegen und Kolleginnen sowie mit den Kunden. Hinzu kommen außerdem Mechaniken zur laufenden Überwachung der eingeführten Kontrollaktivitäten. Das Regelwerk ermöglicht selbst bei hochkomplexen individuellen Anforderungen eine zuverlässige Service-Erbringung.

Das IKS wird vollständig dokumentiert und jährlich durch einen Wirtschaftsprüfer gemäß Prüfungsstandard PS 591/ISAE 3402 auditiert. Dokumentation und Prüfbericht liefern unseren Kunden und deren Prüfern alle erforderlichen Informationen, um den Aufbau des Kontrollsystems nachzuvollziehen und in die eigenen Geschäftsprozesse einzubinden. Gerne stellen wir Ihnen die Dokumentation des Adacor IKS in gedruckter oder digitaler Form zur Verfügung.

Physische Sicherheit

Unser unternehmensweit einheitliches Zutrittskontrollkonzept regelt die Einteilung von Räumen und Rechenzentrumsflächen in Sicherheitszonen. Darüber hinaus definiert es die berechtigten Personengruppen und Sicherungsmaßnahmen. Dazu zählen:

  • Videoüberwachung
  • Alarmanlagen
  • Sicherheitsdienste
  • Elektronische Schließanlagen

Jährlich durchgeführte interne Audits überprüfen und dokumentieren die Wirksamkeit dieses Zutrittkontrollkonzeptes.

Zu schützende IT-Systeme betreiben wir ausschließlich in den beiden Rechenzentren NTT und Interxion in Frankfurt am Main. Sie befinden sich dort in abgeschlossenen Serverschränken (Racks) in speziell gesicherten Serverräumen (Suiten, Cages).

Durch diese Maßnahmen sind Ihre IT-Systeme bei NTT geschützt:

  • Das Rechenzentrumsgelände ist gesichert durch Perimeter-Zäune, Poller, Bewegungsmelder, Videokameras, Vereinzelungsanlagen, Untergrabschutz und Sicherheitstüren. Sicherheitsmitarbeitende überwachen das Gelände 24/7 und eine VdS-zertifizierte Leitstelle vor Ort schützt das Rechenzentrum vor unbefugtem Zutritt.
  • Die Racks stehen in Adacor-eigenen angemieteten Bereichen (Suiten bzw. Cages). Sie sind fensterlos, abgeschlossen und alarmgesichert. Der Zutritt ist nur mit berechtigten Code-Karten oder PINs möglich. Zutrittsberechtigt sind ausschließlich autorisierte Adacor- sowie Sicherheitsmitarbeitende von NTT.
  • Die elektronische Protokollierung in Verbindung mit der aufgezeichneten Videoüberwachung erfasst ausnahmslos jeden, der die Suiten betritt und verlässt. Die Protokolle werden zwölf Monate gespeichert und von unserem IT-Sicherheitsteam alle sechs Monate stichprobenartig überprüft.

Durch diese Maßnahmen sind Ihre IT-Systeme bei Interxion geschützt:

  • Das Rechenzentrumsgebäude ist durch Videokameras, Vereinzelungsanlagen mit Fingerabdruckscanner und Sicherheitstüren gesichert. Sicherheitsmitarbeitende überwachen das Gelände 24/7 vor Ort und schützen es vor unbefugtem Zutritt.
  • Die Racks befinden sich in Serverräumen, die ausschließlich von Adacor genutzt werden. Die Serverräume sind fensterlos, abgeschlossen und alarmgesichert. Der Zutritt ist nur mit entsprechenden Schlüsseln möglich. Zutrittsberechtigt sind Adacor-Mitarbeitende sowie Sicherheitsmitarbeitende und Techniker von Interxion.

Verbindlich

Ein Rahmenwerk aus Richtlinien, Sicherheitskonzepten, Verfahrensbeschreibungen, Sicherheitshinweisen und Checklisten regelt die Handhabung von Informationssicherheit eindeutig und verbindlich. Die Vorgaben decken die Bereiche Sicherheitsorganisation, Zutritts-, Zugriffs- und Zugangsschutz, Notfallplanung, Systemhärtung, Informationshandhabung und Administration ab. Alle Mitarbeitenden erhalten regelmäßige Unterweisungen in den Regelungen und verpflichten sich auf deren Einhaltung.

Konform

Mit unseren umfassenden Sicherheits- und Risikomanagement-Prozessen, unserer Internen Revision und unserem dienstleistungsbezogenen Internen Kontrollsystem erfüllen wir branchenspezifische Compliance-Vorgaben, zum Beispiel für den Gesundheits- und Finanzsektor.

Konsequent geschützt

Unser unternehmensweit einheitliches Zutrittskontrollkonzept regelt die Einteilung von Räumen und Rechenzentrumsflächen in Sicherheitszonen. Darüber hinaus definiert es die berechtigten Personengruppen und Sicherungsmaßnahmen. Dazu zählen:

  • Als deutscher Hoster mit deutschen Rechenzentrums-Standorten bildet die EU-DSGVO unsere Arbeitsgrundlage.
  • Ein Rechtsanwalt und TÜV-zertifizierter Datenschutzbeauftragter verantwortet den betrieblichen Datenschutz.
  • Ein zentrales Verfahrensverzeichnis umfasst alle unsere Verfahren, die der Datenschutzbeauftragte einer Vorabkontrolle unterzieht.
  • Unsere Administratoren sind in den folgenden Geheimhaltungsvereinbarungen unterwiesen und haben sich auf deren Einhaltung verpflichtet: das Datengeheimnis nach DSGVO, das Telekommunikationsgeheimnis nach § 3 TTDSG, das Sozialgeheimnis nach § 78 SGB X sowie nach § 1 VerpG. Die Unterweisung und Protokollierung erfolgt jährlich in Form von Schulungen durch das IT-Sicherheitsteam und den Datenschutzbeauftragten.
  • Wir passen unsere Datenschutzorganisation beständig den aktuellen Veränderungen an. Möglich ist das durch die Zusammenarbeit mit Datenschutz- und Datensicherheitsinstitutionen wie der Allianz für Cybersicherheit, Gesellschaft für Datenschutz und Datensicherung (GDD), dem Open Web Application Security Project (OWASP), dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Innenministerium Nordrhein-Westfalen.
  • Durch die Zusammenarbeit mit Datenschutz- und Datensicherheitsinstitutionen wie der Allianz für Cybersicherheit, GDD, OWASP, BSI und dem Innenministerium NRW können wir unsere Datenschutzorganisation stetig an die aktuellen Veränderungen anpassen.

Umfassend gesichert

Ihre IT-Systeme betreiben wir ausschließlich in geeigneten Serverräumen. Die Absicherung erfolgt durch Firewallsysteme, Netzsegmentierung und restriktiv konfigurierte Netzwerkkomponenten. Die Systeme unterschiedlicher Kunden, Projekte, Fachprozesse oder Sicherheitsstufen sind logisch getrennt. Möglich ist das durch eine Netzsegmentierung über die Firewalls. Nicht gebrauchte Ports und Verbindungen sind sowohl in den Firewalls als auch in den Systemen standardmäßig deaktiviert. Darüber hinaus regeln Betriebshandbücher die Zugangsberechtigungen, Befugnisse, Arbeitsanweisungen und Eskalationsmechanismen. Übergeordnete Sicherheits- und Härtungsrichtrichtlinien, Prozesse und Checklisten beschreiben den Umgang mit IT-Systemen sowie deren Konfiguration.

Umfassend geprüft

Mehrere mindestens jährlich durchgeführte interne Einzel-Audits, interne Sicherheitsüberprüfungen und -bewertungen sowie externe, unabhängige Prüfer kontrollieren und dokumentieren unsere Datenschutz- und Datensicherheitsmaßnahmen. Wirksame Kontrollmechanismen setzen auf gegenseitiges Überprüfen durch das Vier-Augen-Prinzip. Wir bieten Ihnen die Möglichkeit, Ihre bei uns betriebenen Systeme und Dienste sowie die Sicherheitsprozesse zu auditieren.

Projektorientiert

Unser IT-Security-Team bearbeitet die sicherheitsrelevanten Events. Gerne etablieren wir dabei Ihre individuellen Prozesse und Eskalationsmechanismen.

Vorbereitet

Im Katastrophenfall kommt unser Notfallmanagement zum Einsatz: Es deckt die Vorsorge, Planung und Bereitstellung von Maßnahmen zur Verfügbarkeit und Wiederherstellung von Systemen und Daten ab.

Mit folgenden Maßnahmen sind wir für Katastrophenszenarien gerüstet:

  • Redundante Versorgungsdienste für Strom und Kühlung mit mindestens TIER-3-Level
  • Redundante Internetanbindungen über verschiedene Carrier und physische Zugangswege
  • Redundante Kommunikationswege zu unserem Network Operation Center (NOC)
  • Vorsorgemaßnahmen gegen Elementargefährdungen wie gemauerte fensterlose Außenwände, F90-Brandschutzwände, verschiedene Brandabschnitte, zwei Rechenzentrumsstandorte in elf Kilometer Entfernung sowie Gaslöschanlagen
  • Backup-Konzepte und -Systeme in unterschiedlichen Brandabschnitten
  • Zentrale und lokale Virenschutz- und Firewallsysteme

Gerne konzipieren wir dedizierte Infrastrukturen mit individuellen Backup-Konzepten, Redundanzen, Notfallvorsorge und Notfallplänen gemäß Ihren Vorgaben zur IT Service Continuity.

Kontaktieren Sie jetzt unseren Spezialisten!

Ich helfe Ihnen gern. Rufen Sie mich an oder schicken Sie mir eine E-Mail mit Ihren Fragen. Ich melde mich umgehend bei Ihnen!

Michael Seefried, Compliance

+49 69 900299 2022 compliance@adacor.com

Aktuelle Fachartikel zum Thema Compliance