Informationssicherheit


Dropbox hat eine Strategie zum Informationssicherheitsmanagement entwickelt, die Zweck, Ausrichtung, Prinzipien und Grundregeln in Bezug auf die Gewährleistung der Informationssicherheit darlegt. Informationssicherheit erreichen wir durch die Bewertung von Risiken und die kontinuierliche Verbesserung von Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit der Dropbox Business-Systeme. Darüber hinaus werden die Sicherheitsrichtlinien regelmäßig geprüft und aktualisiert, Sicherheitsschulungen angeboten, Anwendungs- und Netzwerksicherheitstests durchgeführt, die Erfüllung der Sicherheitsrichtlinien überprüft sowie interne und externe Risikobewertungen vorgenommen.

Sicherheitsrichtlinien

  • Informationssicherheit: Richtlinien bezüglich Nutzer- und Dropbox-Daten mit den Schwerpunkten Gerätesicherheit, Authentifizierungsanforderungen, Daten- und Systemsicherheit, Beschränkungen und Richtlinien für die Nutzung von Ressourcen durch Mitarbeiter sowie Handhabung potenzieller Probleme

  • Physische Sicherheit: So sorgen wir bei Dropbox für eine sichere und geschützte Umgebung für Menschen und Eigentum

  • Umgang mit Sicherheitsvorfällen: Unsere Anforderungen, wie auf potenzielle Sicherheitsvorfälle reagiert werden muss, einschließlich Beurteilung, Kommunikation und Untersuchungsverfahren

  • Logischer Zugriff: Richtlinien für den Schutz von Dropbox-Systemen sowie Nutzer- und Dropbox-Daten, einschließlich Zugriffskontrollen in Unternehmens- und Produktionsumgebungen

  • Zutritt zur Produktionsumgebung: Unsere Verfahren für die Beschränkung des Zugangs zum physischen Produktionsnetzwerk, einschließlich Management-Überprüfung der Mitarbeiter und Entzug von Berechtigungen für Mitarbeiter, die das Unternehmen verlassen haben

  • Änderungsmanagement: Richtlinien für Code-Überprüfungen und Verwaltung von sicherheitsrelevanten Änderungen durch autorisierte Entwickler an Anwendungsquellcode, Systemkonfiguration und Produktionsversionen

  • Support: Zugangsrichtlinien hinsichtlich Nutzer-Metadaten für unser Support-Team einschließlich Ansicht, Support-Angebot und Durchführung von Maßnahmen in Dropbox-Nutzerkonten

Zugriffskontrolle

Der Mitarbeiterzugang zur Dropbox-Umgebung wird von einem zentralen Verzeichnis verwaltet und durch eine Kombination aus komplexen Kennwörtern, passphrasengeschützten SSH-Schlüsseln, zweistufiger Authentifizierung und OTP-Tokens authentifiziert. Unsere internen Richtlinien sehen vor, dass Mitarbeiter, die Zugang zu den Produktions- und Unternehmensumgebungen haben, den Best Practices für die Erstellung und Speicherung von privaten SSH-Schlüsseln folgen. Für den Remote-Zugriff ist ein VPN-Zugang mit zweistufiger Authentifizierung erforderlich. Jeder außerordentliche Zugriff wird vom Sicherheitsteam geprüft und, wenn zulässig, genehmigt.

Dropbox wendet technische Zugangskontrollen und interne Richtlinien an, um Mitarbeiter daran zu hindern, willkürlich auf Nutzerdateien zuzugreifen, und um den Zugang zu Metadaten und sonstigen Informationen der Nutzerkonten einzuschränken. Dropbox dient unseren Kunden als Erweiterung ihrer unternehmenseigenen Infrastruktur. Die Sicherheit der Kundendaten steht daher für uns an erster Stelle.

Netzwerksicherheit

Die Sicherheit des Back-End-Netzwerks hat für Dropbox höchste Priorität. Dropbox identifiziert und behebt Risiken durch regelmäßige Anwendungs-, Netzwerk- und weitere Sicherheitstests sowie mithilfe von Audits, die sowohl von internen Sicherheitsteams als auch externen Sicherheitsexperten durchgeführt werden.

Unsere Mechanismen für Netzwerksicherheit und Monitoring bieten mehrere Sicherheitsebenen. Wir wenden branchenübliche Techniken an, einschließlich Firewalls, Überprüfung der Netzwerksicherheit und Einbruchmeldesysteme, damit nur zulässiger Datenverkehr unsere Infrastruktur erreichen kann. Um eine sichere Produktionsumgebung zu gewährleisten, erlauben wir ausschließlich autorisierten IP-Adressen den Zugriff darauf. Diese werden vierteljährlich überprüft.

Änderungsmanagement

Das Technikerteam von Dropbox hat formelle Richtlinien für das Änderungsmanagement aufgestellt, um zu gewährleisten, dass alle Anwendungsänderungen vor der Implementierung in die Produktionsumgebung autorisiert werden. Alle Änderungen werden in einem System mit Versionskontrolle gespeichert und einer automatisierten Qualitätssicherung (QS) unterzogen, damit die Einhaltung der Sicherheitsanforderungen gewährleistet ist. Unser Software Development Lifecycle (SDLC) erfordert die Einhaltung sicherer Programmierrichtlinien sowie die Überprüfung von Codeänderungen auf potenzielle Sicherheitsrisiken durch unser QS-Verfahren und unsere manuellen Überprüfungsprozesse. Das Dropbox-Sicherheitsteam ist für die Sicherheit der Infrastruktur sowie dafür zuständig, dass sich Server, Firewall und sonstige sicherheitsrelevante Konfigurationen auf dem neuesten Stand befinden und dem Branchenstandard entsprechen.

Näheres über unsere Sicherheitsarchitektur finden Sie in unserem Whitepaper zur Sicherheit in Dropbox Business.