Bezüglich der o.g. EU-Verordnung und ihren konsolidierten Fassungen möchte das Unternehmen RIEGE Software International GmbH als Anbieter der SaaS-Logistiksoftware „Scope“ Stellung beziehen.
RIEGE Software International hat sich bewusst dazu entschieden, in Meerbusch ein sogenanntes Informationssicherheitsmanagementsystem zu etablieren, welches gemeinhin unter der ISO-Zertifizierung 27001 bekannt ist. Wir führen regelmäßige interne Audits und externe ISO-Audits durch den TÜV Süd durch, um den Anforderungen der Informationssicherheit gerecht zu werden. Zunächst möchten wir hierzu auf unsere technisch-organisatorischen Maßnahmen eingehen, die nicht zuletzt eine Schnittstelle zwischen der Informationssicherheit und dem Datenschutz darstellen.
Generell ist Unbefugten der Zutritt/Zugriff zu unserer IT-Infrastruktur verwehrt; zudem sind die Gebäude und Ihre Bereiche in verschiedene Sicherheitszonen unterteilt. Das gilt einerseits für unsere alarmgesicherten Büroräume, die nur durch über Zutrittskarten und über gesonderte Transponder für Mitarbeiter von RIEGE zugänglich sind. Besucher und externe Unternehmen müssen angemeldet und innerhalb der Büroräume begleitet und als diese erkennbar sein. Unser internes IT-Equipment unterliegt weiteren Sicherheitsmaßnahmen, um den Zugriff zu unseren Systemen erheblich zu erschweren. Der Zugang zu den Systemen erfolgt gegen Authentifizierung mit einem individuellen Benutzerzugang, dessen Passwort nur dem zugeordneten Benutzer bekannt ist. Triviale Passwörter sind technisch ausgeschlossen, die Mindestlänge beträgt 14 Zeichen. Bei Inaktivität auf Serversystemen, werden die Konsolenzugriffe automatisch ausgeloggt; bei PCs starten automatisch passwortgeschützte Sperrbildschirme. Auf Betriebssystemebene (z.B. SSH) ist auch eine Authentifizierung über ein asymmetrisches Kryptosystem (Schlüssel) anstelle eines Passwortes möglich. Einlogging-Vorgänge als auch fehlgeschlagene Versuche werden protokolliert. Die Protokolle werden mindestens 6 Monate gespeichert, die Historie enthält die letzten 1.000 ausgeführten Befehle.
Interne Medien, wie Festplatten, sollen nach dem Stand der Technik verschlüsselt sein, um auch hier im Falle eines Diebstahls ein angemessenes Sicherheitsniveau zu schaffen. Firewalling und Antivirensoftware runden das Konzept ab.
Hinsichtlich der für Kunden betriebenen Systeme definiert der Verantwortliche über Gruppenregelungen, Anwendungsmodule und/oder über die Niederlassung die Berechtigung seiner Nutzer. Die betriebenen Server stehen bewusst im Eigentum des Unternehmens RIEGE und werden ausschließlich durch einem Berechtigungskonzept folgend über entsprechende Mitarbeiter administriert. Der Zugang zu den Server-Räumlichkeiten und verschiedenen Brandschutzzonen der Rechenzentren in Frankfurt am Main und Hilden (jeweils betrieben durch die Unternehmen I.T.E.N.O.S. und Datacenter ONE) ist durch gesonderte Zutrittskontrollen inkl. einer Personalausweisprüfung gesichert.
Scope protokolliert die Anlage, letzte Änderung und Löschung von Daten in Logfiles. Durchgeführte Änderungen auf Datenbanksystemen werden in Tickets und in einem Logbuch (Dokumentation) festgehalten.
Um die sicherheitsrelevanten Informationen, wie Sicherheits- und vergleichbare Angaben zu den jeweiligen Luftfrachtsendungen nicht systemseitig manipulieren zu können, sind entsprechende Nutzerbeschränkungen für unsere Mitarbeiter in diesen Bereichen vorgenommen.
RIEGE hat ihr Transportmanagement-System (TMS) "Scope" mit einer Zero-Trust-Policy ausgestattet, was bedeutet, dass unsere Systeme stark voneinander abgeschottet sind, intern sowie extern! Die am Internet angebundenen Systeme werden durch Reverse-Proxy-Server bereitgestellt, was eine zusätzliche Sicherheitsebene schafft. Unsere Firewall-Systeme sind redundant verfügbar; was uns durchgehend Intrusion-Detection und Intrusion-Prevention ermöglicht. Wir führen in regelmäßigen Abständen Penetrationtestings an unserer Systemlandschaft durch. Des Weiteren finden fortlaufende Vulnerability Assessments (Schwachstellenmanagement) auf unseren Systemen statt.
Im Rahmen unserer ISO-27001 Zertifizierung nimmt sich das ISMS-Team der Sicherheit unserer Systeme ebenfalls an und analysiert gegebenenfalls aufkommende Unregelmäßigkeiten der Sicherheit.