18 Min. Lesezeit

Lernziele

Am Ende dieses Moduls werden Sie in der Lage sein:

  • Den Shared Responsibility Model erklären und zwischen den Sicherheitsverantwortungen von IONOS und den Sicherheitsverantwortungen der Kunden unterscheiden
  • Die Sicherheitszertifizierungen und Compliance-Standards von IONOS Cloud identifizieren (ISO 27001, BSI IT-Grundschutz, BSI C5, SOC 2, GDPR, PCI DSS)
  • Beschreiben, wie IONOS Daten mithilfe von Verschlüsselung auf REST und während der Übertragung schützt
  • Erklären, wie Audit- Trails die Compliance-Anforderungen und Sicherheitsuntersuchungen unterstützen

Einheit 3.5: Sicherheit und Compliance

Einführung

Stellen Sie sich vor, Sie betreiben einen sicheren Tresorraum. Die Bank stellt das Gebäude, die Tresortür, die Sicherheitswachen und die Alarmanlagen zur Verfügung. Sie sind jedoch für den Inhalt verantwortlich, wer den Schlüssel erhält und wie Sie Ihre Werte organisieren. Cloud-Sicherheit funktioniert auf die gleiche Weise: Der Anbieter sichert die Infrastruktur, während Sie Ihre Workloads und Daten sichern.

In dieser Einheit werden Sie lernen, wie IONOS Cloud die Sicherheitsverantwortung mit Ihnen teilt, welche Zertifizierungen und Compliance-Standards IONOS aufrechterhält und wie die Plattform Ihre Daten durch Verschlüsselung und Audit- Trails schützt. Das Verständnis dieser Sicherheitsgrundlagen hilft Ihnen, konforme, sichere Anwendungen zu erstellen, während Sie regulatorische Anforderungen wie GDPR, ISO 27001 und branchenspezifische Standards erfüllen.

1. Shared Responsibility Model

Die Cloud-Sicherheit basiert auf einem Shared Responsibility Model, bei dem sowohl der Cloud-Anbieter als auch der Kunde unterschiedliche Sicherheitsaufgaben haben. Es ist wichtig, zu verstehen, wo die Verantwortung von IONOS endet und wo Ihre beginnt, um eine sichere Umgebung aufrechtzuerhalten.

1.1 IONOS-Verantwortung (Sicherheit DER Cloud)

IONOS ist für die Wartung der zugrunde liegenden Cloud-Infrastruktur verantwortlich, die Folgendes umfasst:

  • Physische Infrastruktur und Rechenzentren
  • Rechen- und Speicherinfrastruktur
  • Plattformdienste

IONOS wartet diese Schichten kontinuierlich, um sicherzustellen, dass die Grundlage Ihrer Cloud-Umgebung sicher bleibt, ohne dass ein Eingreifen des Kunden erforderlich ist.

1.2 Kundenverantwortung (Sicherheit IN der Cloud)

Als IONOS-Cloud-Kunde sind Sie für die Sicherheit aller von Ihnen bereitgestellten und konfigurierten Elemente in der Cloud-Umgebung verantwortlich:

Verantwortungsbereich IONOS (Anbieter) Kunde (Sie)
Physische Rechenzentren und Infrastruktur Vollverantwortung Keine Verantwortung
Netzwerkrückgrat und Hardware Vollverantwortung Keine Verantwortung
Hypervisor und Virtualisierungsschicht Vollverantwortung Keine Verantwortung
Infrastruktur für gemanagte Dienste Vollverantwortung Konfiguration und Nutzung
Betriebssysteme auf VMs Nicht verantwortlich Vollverantwortung
Anwendungen und Container Nicht verantwortlich Vollverantwortung
Datenverschlüsselung und Sicherung Stellt Tools bereit Implementiert und verwaltet
Identitäts- und Zugriffskontrolle Stellt Plattform bereit Konfiguriert Benutzer und Rollen
Netzwerksicherheitsregeln Stellt NSGs bereit Konfiguriert Regeln
Überwachung und Protokollierung Stellt Dienste bereit Konfiguriert und analysiert

1.3 Gemeinsame Kontrollen

Einige Sicherheitskontrollen erfordern sowohl IONOS als auch den Kunden:

Netzwerk-Feuerwände

  • IONOS stellt Network Security Groups (NSGs) als Plattformfunktion bereit
  • Sie konfigurieren die spezifischen Firewall-Regeln, die auf Ihre Ressourcen angewendet werden

Verschlüsselung

  • IONOS stellt Verschlüsselungsfunktionen und Infrastruktur bereit
  • Sie entscheiden, welche Daten zu verschlüsseln sind und verwalten Anwendungsebene-Verschlüsselungsschlüssel, wenn anwendbar

Überwachung und Protokollierung

  • IONOS stellt Activity Logs, Flow Logs und Überwachungsdienste bereit
  • Sie konfigurieren, was überwacht werden soll, richten Alarme ein und reagieren auf Ergebnisse

Das Verständnis dieser Aufteilung der Verantwortung hilft Ihnen, Sicherheitslücken zu identifizieren und eine vollständige Abdeckung über alle Schichten Ihrer Cloud-Umgebung sicherzustellen.

2. IONOS Sicherheitszertifizierungen und Compliance

IONOS Cloud verfügt über mehrere international anerkannte Sicherheitszertifizierungen und hält sich an wichtige Compliance-Rahmenbedingungen, was die Gewähr bietet, dass die Plattform strenge Sicherheits- und Datenschutzstandards erfüllt.

2.1 ISO 27001-Zertifizierung

Was es ist ISO 27001 ist der internationale Standard für Informationssicherheits-Management-Systeme (ISMS). Es etabliert einen systematischen Ansatz für die Verwaltung sensibler Daten durch Risikobewertung, Sicherheitskontrollen und kontinuierliche Verbesserungsprozesse.

IONOS-Compliance IONOS Cloud-Rechenzentren sind ISO 27001-zertifiziert an allen Standorten, was zeigt, dass IONOS international anerkannte Best-Practices für die Informationssicherheitsverwaltung befolgt. Der Zertifizierungsumfang wird durch regelmäßige unabhängige Audits an jedem Rechenzentrum überprüft.

Was es für Sie bedeutet Wenn Sie Workloads auf IONOS Cloud ausführen, profitieren Sie von einer Plattform, die auf ISO 27001-Prinzipien basiert und eine sichere Grundlage für Ihre eigenen Compliance-Bemühungen bietet. Viele Organisationen verlangen von Cloud-Anbietern, dass sie über eine ISO 27001-Zertifizierung verfügen, bevor sie sensible Workloads hosten können.

2.2 SOC 2 Typ II-Zertifizierung

Was es ist SOC 2 (Service Organization Control 2) Typ II ist ein Compliance-Rahmen, der Kontrollen im Zusammenhang mit Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz bewertet. Die Typ II-Zertifizierung zeigt speziell, dass diese Kontrollen über einen längeren Zeitraum hinweg effektiv funktionieren, nicht nur ordnungsgemäß entworfen sind.

IONOS-Compliance IONOS Cloud verfügt über eine SOC 2 Typ II-Zertifizierung an ausgewählten Rechenzentrum-Standorten, was unabhängige Prüfer verlangt, um zu überprüfen, dass IONOS' Sicherheitsprozesse und -kontrollen strenge betriebliche Kriterien konsistent erfüllen. Die Zertifizierung wird regelmäßig durch laufende Audits erneuert. Bitte konsultieren Sie den IONOS Cloud Service-Katalog für die aktuelle SOC 2-Abdeckung nach Standort.

Was es für Sie bedeutet Die SOC 2 Typ II-Zertifizierung bietet die Gewähr, dass IONOS Cloud-Operationen überwacht, kontrolliert und geprüft werden, um branchenübliche Kriterien zu erfüllen. Dies ist besonders wichtig für Organisationen in regulierten Branchen (Gesundheitswesen, Finanzen, Regierung), die ihre Lieferanten überprüfen müssen, um sicherzustellen, dass sie bestimmte Sicherheitsanforderungen erfüllen.

2.3 GDPR-Compliance

Was es ist Die Allgemeine Datenschutzverordnung (GDPR) ist das umfassende Datenschutzgesetz der Europäischen Union, das die Verarbeitung von personenbezogenen Daten von EU-Bürgern durch Organisationen regelt.

IONOS-Compliance IONOS Cloud ist vollständig GDPR-konform, mit Rechenzentren in der Europäischen Union (Deutschland, Spanien und Frankreich). Alle Datenverarbeitung, Verschlüsselung bei REST und während der Übertragung sowie Datenresidenz-Kontrollen sind darauf ausgelegt, die Anforderungen von GDPR zu erfüllen. IONOS bietet Tools und Funktionen, die es Kunden ermöglichen, GDPR-konforme Anwendungen zu erstellen.

Was es für Sie bedeutet Wenn Sie personenbezogene Daten von EU-Bürgern verarbeiten, können Sie die GDPR-konforme Infrastruktur und die EU-basierten Rechenzentren von IONOS nutzen, um die Anforderungen an die Datenresidenz und -souveränität zu erfüllen. Der Compliance-Rahmen von IONOS hilft Ihnen, Ihre eigenen GDPR-Verpflichtungen zu erfüllen.

2.4 PCI DSS-Compliance

Was es ist Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Satz von Sicherheitsanforderungen, der darauf ausgelegt ist, Zahlungskartendaten während der Verarbeitung, Speicherung und Übertragung zu schützen. Organisationen, die Kreditkarteninformationen verarbeiten, müssen die PCI DSS-Compliance erfüllen.

IONOS-Compliance IONOS Cloud bietet PCI DSS-Compliance an ausgewählten Rechenzentrum-Standorten für Kunden, die Zahlungskartendaten verarbeiten müssen. Dies bietet eine kompatible Infrastrukturgrundlage für E-Commerce, Zahlungsverarbeitung und andere Anwendungen, die Kreditkarteninformationen verarbeiten. Bitte überprüfen Sie die Verfügbarkeit von PCI DSS an Ihrem gewählten Rechenzentrum über den IONOS Cloud Service-Katalog.

Was es für Sie bedeutet Wenn Sie Anwendungen ausführen, die Kreditkartenzahlungen verarbeiten, können Sie die PCI DSS-konforme Infrastruktur von IONOS nutzen, um Ihre eigenen Compliance-Bemühungen zu vereinfachen. Allerdings ist die PCI DSS-Compliance eine geteilte Verantwortung: IONOS sichert die Infrastruktur, während Sie sicherstellen müssen, dass Ihre Anwendungen und Datenverarbeitungspraktiken auch die PCI DSS-Anforderungen erfüllen.

2.5 BSI C5 und IT-Grundschutz (Deutsche Bundes-Sicherheitsstandards)

Was sie sind:

Deutschland unterhält zwei wichtige Sicherheitsrahmen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). BSI IT-Grundschutz ist eine umfassende Informationssicherheitsmethodik, die detaillierte Baseline-Sicherheitsmaßnahmen bietet, die über ISO 27001 hinausgehen, indem sie konkrete, umsetzbare Kontrollen spezifiziert. BSI C5 (Cloud Computing Compliance Criteria Catalogue) definiert Kriterien für Cloud-Computing-Sicherheit in 17 Bereichen, von physischer Sicherheit bis hin zu Identitätsverifizierung und Interaktion mit Strafverfolgungsbehörden.

IONOS-Compliance:

IONOS Cloud verfügt über beide BSI-Zertifizierungen für Kern-Cloud-Dienste. Das ISO 27001-Zertifikat basierend auf IT-Grundschutz umfasst Compute Engine, Object Storage und Sicherung sowie Managed Kubernetes in deutschen Rechenzentren. Die BSI C5-Type-1-Bescheinigung umfasst Compute Engine, Cloud Cubes und Object Storage. Als deutscher Anbieter ist IONOS der erste, der sowohl die C5-Bescheinigung als auch die BSI IT-Grundschutz-Zertifizierung besitzt, was ein Engagement für die Erfüllung der höchsten deutschen Sicherheitserwartungen widerspiegelt.

Was es für Sie bedeutet:

Wenn Sie für den deutschen öffentlichen Sektor oder im Bereich der kritischen Infrastruktur (KRITIS) arbeiten, sind BSI-Zertifizierungen oft eine Voraussetzung für die Nutzung von Cloud-Diensten. Diese Zertifizierungen bieten detaillierte Transparenz in die Sicherheitskontrollen von IONOS, was Ihre eigene Risikoanalyse und Compliance-Prüfung vereinfacht. Die BSI C5-Bescheinigung ist besonders relevant für regulierte Branchen wie dem Gesundheitswesen, wo die Demonstration der Cloud-Anbieter-Compliance mit BSI-Standards Ihre eigenen regulatorischen Verpflichtungen unterstützt.

2.6 Compliance-Zusammenfassungstabelle

Die folgende Tabelle fasst die wichtigsten Zertifizierungen und Compliance-Standards von IONOS Cloud zusammen:

Zertifizierung / Standard Was es abdeckt IONOS-Status
ISO 27001 Informationssicherheits-Management-System (ISMS) mit systematischen Daten-Sicherheitskontrollen Zertifiziert an allen Rechenzentrum-Standorten
BSI IT-Grundschutz Deutsche Bundes-IT-Baseline-Schutz mit konkreten Sicherheitsmaßnahmen Zertifiziert für Kern-Dienste in deutschen Rechenzentren
BSI C5 Cloud Computing Compliance Criteria Catalogue für Cloud-Computing-Sicherheit in 17 Bereichen Type-1-Bescheinigung für Kern-Cloud-Dienste
SOC 2 Typ II Sicherheits-, Verfügbarkeits-, Verarbeitungsintegritäts-, Vertraulichkeits- und Datenschutz-Kontrollen, die über einen längeren Zeitraum hinweg überprüft werden Zertifiziert an ausgewählten Rechenzentrum-Standorten
GDPR EU-Datenschutzverordnung für personenbezogene Daten von EU-Bürgern Vollständig konform (EU-basierte Rechenzentren, Verschlüsselung, Datenresidenz)
PCI DSS Zahlungskartenindustrie-Sicherheitsstandard für die Verarbeitung von Kreditkarten-Daten Verfügbar an ausgewählten Rechenzentrum-Standorten

Wichtig: Die Zertifizierungsabdeckung variiert je nach Rechenzentrum-Standort und Dienst. Für die aktuelle Liste der Zertifizierungen an jedem Standort konsultieren Sie bitte den IONOS Cloud Service-Katalog.

2.7 Digitale Souveränität: GDPR vs. US CLOUD Act

IONOS Cloud erfüllt alle technischen Sicherheitsanforderungen, und das europäische Rechtsrahmen bietet einen entscheidenden Vorteil gegenüber nicht-europäischen Anbietern:

  • Immunität gegen den US CLOUD Act: Als deutsches Unternehmen ohne US-Mutterunternehmen unterliegt IONOS nicht dem Clarifying Lawful Overseas Use of Data (CLOUD) Act. Im Gegensatz zu US-Anbietern, die möglicherweise gesetzlich verpflichtet sind, den Behörden Zugang zu Daten unabhängig von ihrem physischen Speicherort zu gewähren, operiert IONOS ausschließlich unter europäischer Gerichtsbarkeit.
  • Digitale Souveränität: Kunden behalten die exklusive rechtliche Kontrolle über ihre Workloads und Daten. Der Zugriff durch Regierungsbehörden ist nur durch europäische Rechtsprozesse und gerichtliche Anordnungen möglich, was effektiv das Risiko von ausländischer rechtlicher Einmischung oder geheimer Daten-Offenlegung eliminiert.

3. DatenSchutz und Verschlüsselung

IONOS Cloud schützt Ihre Daten durch umfassende Verschlüsselungsstrategien, die sowohl Daten bei REST (gespeicherte Daten) als auch Daten während der Übertragung (Daten, die über Netzwerke übertragen werden) abdecken.

3.1 Verschlüsselung bei REST

Die Verschlüsselung bei REST schützt gespeicherte Daten vor unbefugtem Zugriff, sodass selbst wenn physische Speichergeräte kompromittiert werden, die Daten ohne die entsprechenden Verschlüsselungsschlüssel nicht lesbar sind.

Block Storage-Verschlüsselung

  • Alle Block Storage-logischen Volumes, die auf IONOS Cloud erstellt werden, werden automatisch mit AES-XTS 256-Bit-Verschlüsselung verschlüsselt
  • Jedes Volume erhält einen eindeutigen Verschlüsselungsschlüssel, der für den Speicher-Server nicht sichtbar ist
  • Selbst Root-Benutzer können nicht auf die rohen Verschlüsselungsschlüssel zugreifen
  • Optional kann eine Verschlüsselung auf SSD-Premium- und Standard-Volumes hinzugefügt werden, die eine zweite Schicht von AES-XTS 256-Bit-Verschlüsselung mit selbstverschlüsselnden Laufwerken (SEDs) verwendet
  • Wenn ein Laufwerk aus dem Rechenzentrum entfernt wird, werden die Daten unlesbar

Backup Service-Verschlüsselung

  • Serverseitige Verschlüsselung verwendet AES-256, um Sicherungsdaten auf Speichergeräten zu schützen
  • Optional kann eine Kunden-seitige Verschlüsselung verwendet werden, um Sicherungen mit einem passwortabgeleiteten Schlüssel (AES-256) zu verschlüsseln
  • Wenn Kunden-seitige Verschlüsselung verwendet wird, speichert IONOS und der Sicherungsanbieter (Acronis) nie Ihren Verschlüsselungsschlüssel
  • Dies stellt sicher, dass nur Sie Ihre Sicherungsdaten entschlüsseln und wiederherstellen können

IONOS Cloud Object Storage-Verschlüsselung

  • Serverseitige Verschlüsselung mit IONOS-verwalteten Schlüsseln (SSE-S3) verwendet AES-256
  • Die Option Kunden-verwaltete Schlüssel (SSE-C) verwendet ebenfalls AES-256-Verschlüsselung
  • Alle Daten, die in Object Storage-Buckets gespeichert sind, werden automatisch verschlüsselt

Private Container Registry-Verschlüsselung

  • Container-Images, die im Private Container Registry gespeichert sind, werden bei REST mit AES-256 verschlüsselt
  • Verschlüsselungsschlüssel werden von der IONOS-Plattform verwaltet
  • Kunden können keine eigenen Verschlüsselungsschlüssel für Container-Registrierungsspeicherung bereitstellen

3.2 Verschlüsselung während der Übertragung

Die Verschlüsselung während der Übertragung schützt Daten, wenn sie zwischen Ihren Anwendungen, IONOS-Diensten und externen Systemen übertragen werden, und verhindert Abhör- und Man-in-the-Middle-Angriffe.

TLS/HTTPS-Verschlüsselung

  • Alle IONOS Cloud-API-Endpunkte verwenden TLS 1.2 oder TLS 1.3-Verschlüsselung
  • IONOS Cloud Object Storage unterstützt TLS 1.2/1.3 für alle Datenübertragungen zu und von S3-kompatiblen Endpunkten
  • Backup Service verschlüsselt alle Sicherungsdaten in Echtzeit mit HTTPS/TLS und starken Chiffre-Suiten (Diffie-Hellman- und RSA-Schlüsselaustausch)
  • Management-Schnittstellen (Data Center Designer, API-Zugriff) sind durch HTTPS/TLS geschützt

Netzwerkdienst-Verschlüsselung

  • VPN Gateway-Verbindungen verschlüsseln den Datenverkehr zwischen Ihren lokalen Netzwerken und IONOS Cloud
  • Certificate Manager bereitstellt und verwaltet SSL/TLS-Zertifikate für Application Load Balancer, um verschlüsselte Client-Verbindungen sicherzustellen

3.3 Schlüsselverwaltung

Plattform-verwaltete Schlüssel Für die meisten IONOS-Dienste werden Verschlüsselungsschlüssel automatisch von der IONOS-Plattform verwaltet:

  • Schlüssel werden sicher innerhalb der IONOS-Infrastruktur gespeichert und werden nie Kunden oder Administratoren zugänglich gemacht
  • Der Zugriff auf Verschlüsselungsschlüssel erfordert authentifizierte, autorisierte und verschlüsselte Anfragen
  • Schlüssel sind an die Infrastruktur gebunden, was bedeutet, dass physische Laufwerke, die aus Rechenzentren entfernt werden, verschlüsselt und unlesbar bleiben

Kunden-verwaltete Schlüssel (begrenzte Verfügbarkeit) Einige Dienste bieten Kunden-verwaltete Verschlüsselungsoptionen:

  • Backup Service unterstützt passwortabgeleitete Verschlüsselungsschlüssel, die IONOS nie speichert
  • Object Storage unterstützt Kunden-verwaltete Schlüssel (SSE-C) für Bucket-Verschlüsselung
  • Die meisten anderen Dienste verwenden plattform-verwaltete Schlüssel ausschließlich

3.4 Sichere Datenlöschung

Wenn Sie Daten aus IONOS Cloud löschen, stellen sichere Löschprozesse sicher, dass die Daten nicht wiederhergestellt werden können:

Volume- und Sicherungslöschung

  • Das Löschen eines Block Storage-Volume oder einer Sicherung löscht die Metadaten und zerstört den Verschlüsselungsschlüssel
  • Ohne den Verschlüsselungsschlüssel werden die verschlüsselten Daten permanent unlesbar
  • Physische Laufwerke werden gemäß den Richtlinien von NIST SP 800-88 Rev 1 gelöscht
  • Wenn eine Löschung nicht möglich ist, werden die Laufwerke physisch zerstört

Object Storage-Löschung

  • Das Löschen von Objekten aus IONOS Cloud Object Storage entfernt die Metadaten und macht die Daten unlesbar
  • Die sichere Löschung folgt den gleichen NIST SP 800-88-Richtlinien wie Block Storage

Dieser umfassende Verschlüsselungsansatz (AES-256 für Daten bei REST, TLS 1.2/1.3 für Daten während der Übertragung, sichere Schlüsselverwaltung und NIST-konforme Löschung) stellt sicher, dass Ihre Daten während ihres gesamten Lebenszyklus auf IONOS Cloud vertraulich bleiben.

4. Audit-Trails für Compliance

Audit-Trails bieten eine chronologische, manipulationsfreie Aufzeichnung aller Aktionen, die innerhalb Ihrer IONOS Cloud-Umgebung durchgeführt werden. Diese Aufzeichnungen sind für Sicherheitsuntersuchungen, operatives Troubleshooting und die Erfüllung von Compliance-Anforderungen unerlässlich.

4.1 Was sind Audit-Trails?

Ein Audit-Trail ist ein schreibgeschützter, zeitlich geordneter Log wichtiger Ereignisse, der Folgendes erfasst:

  • Wer die Aktion durchgeführt hat (Benutzeridentität und Vertragsnummer)
  • Wann die Aktion erfolgte (genaue Zeitangabe)
  • Wo die Aktion stattfand (Quell-IP-Adresse und Dienst)
  • Was beeinflusst wurde (Ressourcentyp, Ressourcen-ID und spezifische Aktion)

IONOS Cloud bietet Audit-Trails über den Activity Log-Dienst, der jeden API-Anfrage, Konfigurationsänderung, Benutzeranmeldung, Ressourcenerstellung, -änderung und -löschung in Ihrer Cloud-Umgebung aufzeichnet.

4.2 Activity Log für Audit-Trails

Was Activity Logs erfassen Activity Logs erfassen alle Benutzeraktivitäten und Ressourcenänderungen, einschließlich:

  • Benutzerauthentifizierungsereignisse (Anmeldungen, Abmeldungen, fehlgeschlagene Anmeldeversuche)
  • Ressourcenbereitstellung und -entfernung (Erstellung von virtuellen Maschinen, Speichervolumen, Netzwerken)
  • Konfigurationsänderungen (Änderung von Firewall-Regeln, Aktualisierung von Load Balancer-Einstellungen)
  • Datenzugriffsereignisse (Zugriff auf Object Storage, Datenbankverbindungen)
  • Identitäts- und Zugriffsverwaltungsänderungen (Erstellung von Benutzern, Änderung von Rollen, Änderung von Berechtigungen)
  • Sicherheitsereignisse (Änderung von Netzwerksicherheitsgruppen-Regeln, Zertifikatbereitstellungen)

Activity Log-Datenstruktur Jeder Activity Log-Eintrag enthält:

  • Hauptidentität (Benutzer-E-Mail, Vertragsnummer, Quell-IP, Quelldienst)
  • Ereignistyp (z. B. RequestAccepted, ResourceCreated, ConfigurationChanged)
  • Ereignisressourcen (Ressourcentyp, Ressourcen-ID, durchgeführte Aktion)
  • Metadaten (Zeitstempel, Audit Log-Version)

Unveränderlichkeit und Aufbewahrung Activity Logs sind schreibgeschützt und können von Benutzern nicht geändert oder gelöscht werden, was manipulationsfreie Audit-Trails gewährleistet. Die Logs werden gemäß den IONOS-Richtlinien und Compliance-Anforderungen aufbewahrt und bieten eine historische Aufzeichnung für Untersuchungen und Audits.

4.3 Verwendung von Audit-Trails für Compliance

Audit-Trails unterstützen mehrere Compliance- und Sicherheitsziele:

Regulatorische Compliance Viele Regularien erfordern Audit-Trails darüber, wer auf Daten zugegriffen oder sie geändert hat:

  • GDPR erfordert die Protokollierung von persönlichen Datenzugriffs- und Verarbeitungsaktivitäten
  • HIPAA erfordert Audit-Trails für den Zugriff auf Gesundheitsdaten
  • SOX (Sarbanes-Oxley) erfordert Audit-Trails für Finanzdaten
  • PCI DSS erfordert die Protokollierung des Zugriffs auf Karteninhaberdaten

Activity Logs liefern die notwendigen Beweise, um die Erfüllung dieser Anforderungen während von Audits nachzuweisen.

Sicherheitsuntersuchungen Wenn Sicherheitsvorfälle auftreten, helfen Audit-Trails Ihnen:

  • Die Quelle von verdächtigen Aktivitäten zu identifizieren (welcher Benutzer, von welcher IP-Adresse)
  • Die Sequenz der Ereignisse, die zu einem Sicherheitsverstoß geführt haben, nachzuvollziehen
  • Den Umfang des unbefugten Zugriffs oder der Datenexposition zu bestimmen
  • Beweise für die Reaktion auf Vorfälle und die forensische Analyse bereitzustellen

Zugriffsüberprüfungen Regelmäßige Audit-Trail-Überprüfungen ermöglichen es Ihnen:

  • Übermäßige Berechtigungen, die Benutzern oder Dienstkontoen erteilt wurden, zu identifizieren
  • Verwaiste Konten, die deaktiviert werden sollten, zu erkennen
  • Rollen- und Berechtigungsänderungen über die Zeit zu überwachen
  • Den Zugriff umgehend zu widerrufen, wenn Benutzer ihre Rollen ändern oder die Organisation verlassen

Operatives Troubleshooting Jenseits der Compliance helfen Audit-Trails bei:

  • Der Diagnose von Konfigurationsproblemen (was vor dem Auftreten des Problems geändert wurde?)
  • Dem Verständnis von Ressourcennutzungsmustern und Trends
  • Der Überprüfung, ob Automatisierungsskripte und Infrastructure-as-Code-Deployments korrekt ausgeführt wurden

4.4 Zugriff auf Activity Logs

Activity Logs können über folgende Wege zugänglich gemacht werden:

IONOS Cloud API mithilfe von GET-Anfragen, um Log-Einträge programmatisch abzurufen (der Activity Log ist ein schreibgeschützter API und hat keine Browseransicht im Data Center Designer) Data Center Designer (DCD), um der "Zugriff auf Activity Log"-Gruppenberechtigung zu erteilen, die es Benutzerkonten ermöglicht, den Log über den API zu lesen (standardmäßig haben nur Vertragsinhaber- und Administrator-Konten Zugriff) Automatisierung und Integration mit externen SIEM-Systemen (Security Information and Event Management) für eine zentrale Log-Analyse

Durch regelmäßige Überprüfung von Activity Logs und ihre Integration in Ihre Sicherheitsüberwachungsprozesse können Sie die Compliance aufrechterhalten, Sicherheitsbedrohungen frühzeitig erkennen und schnell auf Vorfälle reagieren.

Häufige Anwendungsfälle

Reale Szenarien, in denen die Sicherheits- und Compliance-Features von IONOS Cloud verwendet werden:

  1. Gesundheitsanwendung mit GDPR und HIPAA Anforderungen: Ein Gesundheitsdienstleister baut ein Patientenmanagementsystem auf IONOS Cloud. Sie nutzen die DSGVO-konforme Infrastruktur von IONOS und die EU-basierten Rechenzentren (Abschnitt 2.3), um die Anforderungen an die Datenresidenz zu erfüllen. Die Block Storage-Verschlüsselung bei REST (Abschnitt 3.1) schützt die Patientenakten, während die TLS-Verschlüsselung während der Übertragung (Abschnitt 3.2) die Datenübertragungen sichert. Die Activity Logs (Abschnitt 4.2) liefern die für die HIPAA-Vorschriften erforderlichen Audit-Protokolle, indem sie alle Zugriffe auf Patientendaten für die Compliance-Berichterstattung aufzeichnen.
  2. E-Commerce-Plattform mit PCI-DSS-Compliance: Ein Online-Händler verarbeitet Kreditkartenzahlungen und muss die PCI-DSS-Vorschriften einhalten. Er setzt seine Zahlungsverarbeitungsanwendung auf der PCI-DSS-konformen Infrastruktur von IONOS Cloud (Abschnitt 2.4) ein. Die Network Security Groups (in Abschnitt 1.2 referenziert) trennen die Zahlungsverarbeitungssysteme von anderen Workloads. Die Certificate Manager (in Einheit 2.6 behandelt, hier für die TLS-Beendigung referenziert) stellt SSL/TLS-Zertifikate für sichere Zahlungstransaktionen bereit. Die Activity Logs verfolgen alle Konfigurationsänderungen an den Zahlungssystemen, um die PCI-DSS-Audit-Anforderungen (Abschnitt 4.3) zu unterstützen.
  3. Finanzdienstleistungsanwendung mit SOC 2-Anforderungen: Ein Finanztechnologie-Unternehmen muss robuste Sicherheitskontrollen für seine Unternehmenskunden demonstrieren, die die SOC 2-Konformität erfordern. Sie bauen ihre Anwendung auf der SOC 2-Typ-II-zertifizierten Infrastruktur von IONOS Cloud (Abschnitt 2.2) auf. Die Shared Responsibility Model (Abschnitt 1) klärt, welche Sicherheitskontrollen IONOS verwaltet und welche das Unternehmen implementieren muss. Sie implementieren eine kundenverwaltete Verschlüsselung für sensible Finanzdaten mithilfe der passwortbasierten Schlüssel von Backup Service (Abschnitt 3.1) und führen monatliche Activity-Log-Überprüfungen (Abschnitt 4.3) durch, um unbefugten Zugriff oder Privilegien-Eskalationsversuche zu identifizieren.

Zusammenfassung

Sicherheit und Compliance auf IONOS Cloud funktionieren durch ein Shared Responsibility Model, bei dem IONOS die Cloud-Infrastruktur (physische Rechenzentren, Netzwerk, Hypervisor) sichert, während Kunden ihre Workloads, Daten und Konfigurationen sichern. IONOS Cloud verfügt über mehrere international anerkannte Zertifizierungen, einschließlich ISO 27001 (in allen Standorten), BSI IT-Grundschutz und BSI C5 (für Kernservices in deutschen Rechenzentren), SOC 2 Typ II und GDPR-Compliance, wobei die spezifischen Zertifizierungen je nach Rechenzentrum-Standort und Dienst variieren.

Der Datenschutz wird durch umfassende Verschlüsselungsstrategien erreicht: AES-256-Verschlüsselung bei REST für Block Storage, Backup Service, Object Storage und Container-Registrierung, kombiniert mit TLS 1.2/1.3-Verschlüsselung während der Übertragung für alle Datenübertragungen. Verschlüsselungsschlüssel werden von der IONOS-Plattform für die meisten Dienste verwaltet, wobei optional kundenverwaltete Schlüssel für Backup Service und Object Storage verfügbar sind.

Die von Activity Logs bereitgestellten Audit- Trails erstellen unveränderliche Aufzeichnungen aller Benutzeraktivitäten und Ressourcenänderungen, die die Compliance-Anforderungen für GDPR, HIPAA, SOX und PCI DSS unterstützen. Diese Protokolle erfassen, wer Aktionen durchgeführt hat, wann sie aufgetreten sind, wo sie ihren Ursprung hatten und welche Ressourcen betroffen waren, und liefern wichtige Beweise für Sicherheitsuntersuchungen, Zugriffsprüfungen und regulatorische Audits.

Wichtige Punkte:

  • Das Shared Responsibility Model teilt die Sicherheitsaufgaben: IONOS sichert die Infrastruktur, Kunden sichern ihre Workloads, Daten und Konfigurationen
  • IONOS Cloud verfügt über Zertifizierungen, einschließlich ISO 27001, BSI IT-Grundschutz, BSI C5, SOC 2 Typ II und GDPR-Compliance, wobei die spezifischen Zertifizierungen je nach Rechenzentrum-Standort und Dienst variieren
  • Daten werden bei REST mit AES-256 und während der Übertragung mit TLS 1.2/1.3 über alle IONOS Cloud-Dienste hinweg verschlüsselt
  • Activity Logs liefern unveränderliche Audit- Trails, die für die Compliance mit GDPR, HIPAA, SOX und PCI DSS-Regulierungen erforderlich sind
  • EU-basierte Rechenzentren in Deutschland (Berlin, Frankfurt), Spanien (Logroño) und Frankreich (Paris) unterstützen die Anforderungen an die Datenresidenz und -souveränität
  • Audit- Trails ermöglichen Sicherheitsuntersuchungen, Zugriffsprüfungen und betriebliches Troubleshooting über die Compliance-Anforderungen hinaus

Wichtige Begriffe:

  • Shared Responsibility Model: Ein Cloud-Sicherheitsrahmen, der die Verantwortlichkeiten zwischen dem Cloud-Anbieter (Infrastruktursicherheit) und dem Kunden (Workload- und Datensicherheit) teilt
  • ISO 27001: Internationaler Standard für Information Security Management Systems (ISMS), der systematische Sicherheitskontrollen demonstriert
  • SOC 2 Typ II: Compliance-Rahmen, der bestätigt, dass Sicherheitskontrollen über die Zeit hinweg effektiv funktionieren, nicht nur nach Design
  • GDPR (Allgemeine Datenschutzverordnung): EU-Gesetz, das den Schutz personenbezogener Daten regelt, einschließlich der Rechte der betroffenen Personen, der Einwilligung und der Residenzkontrollen
  • Verschlüsselung bei REST: Schutz von gespeicherten Daten durch Verschlüsselung (AES-256), sodass sie ohne Entschlüsselungsschlüssel unlesbar bleiben
  • Verschlüsselung während der Übertragung: Schutz von Daten, die über Netzwerke übertragen werden, durch TLS/HTTPS, um Abhör- und Man-in-the-Middle-Angriffe zu verhindern
  • Audit- Trail: Chronologischer, schreibgeschützter Protokoll aller Aktionen in der Cloud-Umgebung, der erfasst, wer, wann, wo und was für Compliance- und Sicherheitsuntersuchungen
  • Aktivitätsprotokoll: IONOS Clouds Audit- Trail-Dienst, der alle API-Anfragen, Konfigurationsänderungen und Benutzeraktivitäten aufzeichnet

Nächste Schritte

Weiterlernen: Kursabschluss

Verwandte Themen: