Erklärung zur Cybersicherheit und Geschäftskontinuität
Riege Software verpflichtet sich, umfassende Cybersicherheitsmaßnahmen zu implementieren, um kritische Daten und die betriebliche Kontinuität zu schützen. Nachfolgend finden Sie einen Überblick über unsere Cybersicherheitsstrategie, die die Einhaltung internationaler Standards, proaktives Risikomanagement und spezifische Maßnahmen im Bereich der Zivilluftfahrt umfasst.
Sicherheitsstandards & Zertifizierungen
-
Ein Informationssicherheits-Managementsystem wird angewendet, das nach ISO/IEC 27001 zertifiziert ist.
-
Regelmäßige Überprüfungen und Bewertungen zur Aufrechterhaltung der Cybersicherheitslage.
-
Einhaltung der EU-Durchführungsverordnung (EU) 2015/1998 zur Sicherheit in der Zivilluftfahrt.
Maßnahmen zur Cybersicherheit für kritische Systeme
- Patch-Management: Regelmäßige Patch-Zyklen und Sicherheits-Patch-Strategien für Systeme, insbesondere unter Einsatz zentraler Werkzeuge zur Überwachung von Status und Maßnahmen.
- Zentrale Werkzeuge für die kontinuierliche Risikoanalyse von Systemen und Anwendungen.
- Firmware- und Plattform-Patches über einen Managed Service.
- Next-Generation-Firewalls in Rechenzentren mit Bedrohungsschutz.
- Zugriffsrichtlinien mit minimalen Rechten.
-
Zusätzlich, lokale System-Firewalls und weitere Sicherheitsmaßnahmen.
-
Zwei-Faktor-Authentifizierung (2FA) für den Zugriff auf kritische Systeme (z. B. Scope-Anwendung).
-
Sicherer Reverse-Proxy mit Transportverschlüsselung vor kritischen Systemen.
Strategien für Datensicherung und Wiederherstellung
- Strategie zur Datensicherung:
-
Tägliche inkrementelle Backups, wöchentliche differenzielle Backups und monatliche vollständige Backups.
-
Sicherungskopien werden sowohl vor Ort als auch extern gespeichert (LTO Magnetbänder werden sicher für 10 Jahre aufbewahrt).
-
Datenbank-Backups (Percona XtraBackup für MySQL) mit 3 Replikationskopien für zusätzliche Sicherheit.
-
-
Wiederherstellungstests: Jährliche Wiederherstellungstests (oftmals häufiger) zur Validierung der Integrität von Backups und der Wiederherstellungsfähigkeiten.
-
Backup-Überwachung: Echtzeit-Grafana-Dashboard zur Überwachung des Backup-Status, mit Benachrichtigungen bei fehlgeschlagenen Backups.
Vorfallmanagement & Geschäftskontinuität
-
Pläne für Vorfallreaktion und Geschäftskontinuität:
- Notfallhandbuch und dokumentierte Verfahren zur Vorfallreaktion.
- Ein Katastrophenwiederherstellungsplan ist implementiert.
- Redundante Rechenzentren in drei verschiedenen Zonen und Failover-Mechanismen gewährleisten die Verfügbarkeit während Vorfällen.
- Ein Vorfallreaktionsplan (IRP) stellt eine schnelle und effektive Reaktion auf Vorfälle sicher.
Zugriffskontrolle & Durchsetzung der Cybersicherheit
-
Zugriffskontrolle:
-
Der Zugriff auf das Scope-System ist durch Benutzername/Passwort und 2FA als zusätzliche Sicherheitsmaßnahme eingeschränkt.
-
Rollenbasierte Berechtigungen sind auf die Bedürfnisse der Nutzer zugeschnitten (z. B. für Luftfrachtinformationen).
-
Das Berechtigungsmanagement wird von Kundenadministratoren oder autorisiertem Unternehmenspersonal kontrolliert.
-
-
Administratorzugriff: Administratoren müssen innerhalb eines festgelegten Rahmens arbeiten und erhalten Berechtigungen nur auf ausdrückliche Anweisung autorisierter Parteien.
Maßnahmen zur Cybersicherheit gegen Cyberangriffe
- Erkennung von Cyberangriffen:
- Einsatz von zentralen Werkzeugen zur proaktiven Überwachung von Schwachstellen und Risiken.
- Next-Generation-Firewalls in Kombination mit kontinuierlicher Systemüberwachung.
- Reaktion und Wiederherstellung bei Cyberangriffen:
- Einsatz automatisierter Wiederherstellungstools zur Systemrekonstruktion.
- Inkrementelle und vollständige Backup-Strategien gewährleisten eine schnelle Wiederherstellung nach Vorfällen.
- Die Verfahren zur Reaktion auf Vorfälle sind umfassend dokumentiert, um eine zügige Reaktion bei Sicherheitsvorfällen sicherzustellen.
Sichere Entwicklung und Bereitstellung
- Vier-Augen-Prinzip während der Softwareentwicklung.
- Zentrale Werkzeuge für Abhängigkeits- und Patch-Management definiert.
- Sichere CI/CD-Pipeline innerhalb eines festgelegten Produktlebenszyklus.
- Regelmäßige Aktualisierungen der Scope-Systeme.
- Richtlinien für sichere Entwicklung.
Lieferanten- und Drittanbieter-Management
- Wir führen gründliche Lieferantenbewertungen durch, um sicherzustellen, dass externe Partner unsere Anforderungen erfüllen.
- Lieferantenverträge können spezifische Cybersicherheitsanforderungen enthalten, um die Einhaltung durch Dritte sicherzustellen, insbesondere in Bezug auf Datenschutzrichtlinien.
Schulungen und Sensibilisierung für Cybersicherheit
- Fortlaufende Schulungen zur Sensibilisierung für ISMS und Datenschutz für alle Mitarbeiter, um das Bewusstsein für Cyberrisiken zu schärfen und regelmäßige Sicherheitsmaßnahmen zu gewährleisten, damit unser Personal gut auf neue Bedrohungen wie Phishing und Social Engineering vorbereitet ist
Meldung von Vorfällen & Transparenz
- Wir nutzen eine Statusseite für Echtzeit-Updates und die Kommunikation mit Stakeholdern im Hinblick auf Vorfälle.
- Klare Meldeverfahren gewährleisten, dass Vorfälle umgehend erkannt, untersucht und bearbeitet werden
Laufende Verbesserungen & Cybersicherheitsinitiativen
- Neues Rechenzentrum im Mai 2025, mit erhöhter Verfügbarkeit und verbesserten Abwehrmechanismen gegen DDoS-Angriffe.
- Stetige Verbesserungen der Cybersicherheit und technologische Aktualisierungen, um Bedrohungen stets einen Schritt voraus zu sein.
-
Stetige Weiterentwicklungen im Informationssicherheits-Managementsystem (ISMS)