Sicherheit

Regelmäßige Datenbackups

  • Tägliche Backups mit DSGVO-konformer Haltezeit
  • Backups sind nur für befugte Personen im Zugriff

Softwareseitige Sicherheitsmaßnahmen

  • HTTPS zur verschlüsselten Datenübertragung von Server zu Browser
  • Mindestlänge von 8 Zeichen bei Festlegung von Passwörtern
  • Verschlüsselung von Passwörtern mit AES-256
  • Verschlüsselung von Beratungsgesprächen anhand der am Beratungsgespräch beteiligten Nutzer ebenfalls mit AES-256
  • Schutz vor Cross-Site-Request-Forgery (CSRF) bei Übertragung von Formularen
  • Verhinderung von Cross-Site-Scripting (XSS)
  • SQL-Injection-Schutz durch Object-Relational Mapping (ORM)
  • Tiefgreifendes Rollen- und Rechtesystem

Sicherheitstests

Im Zuge eines IT-Projekts mit Master-Studierenden an der Fakultät Informatik wird unter der Leitung von Prof. Ronald Petrlic die Sicherheit der EBS getestet. Bei Penetrationstests wird eine Software auf potentielle Schwachstellen untersucht, die von Angreifenden genutzt werden können, um sich unerlaubten Zugang zu Daten zu verschaffen.

Der Black-Box-Test, bei dem die Software von außen und ohne Kenntnisse über die innere Funktionsweise angegriffen wurde, ist mittlerweile abgeschlossen. Dabei wurden nur Schwachstellen entdeckt, die wenig kritisch sind und sehr leicht behoben werden konnten. Sensible Daten in der Software erwiesen sich als gut geschützt. Ein zweiter Teil, für den der Quellcode zur Testung zur Verfügung gestellt wurde (White-Box-Test), läuft aktuell noch.

Verschlüsselung

Beratungsgespräche und Passwörter sind verschlüsselt in einer Datenbank hinterlegt. Die Datenbank selbst ist sehr stark passwortgeschützt, sodass nur beteiligte Berater*innen die Beratungsgespräche entschlüsseln können. Super-Administratoren können zum Zwecke nötigen Supports ebenfalls auf Beratungsgespräche zugreifen.

Zum Login in die EBS, als Ratsuchender wie auch als Beratende*r ist die Vergabe eines Passwortes nach hohen technischen Sicherheitsanforderungen erforderlich. Die Passwörter werden verschlüsselt übertragen und verschlüsselt gespeichert und sind nur den Nutzenden bekannt. Die Erneuerung von Passwörtern wird über die „Passwort vergessen“ Funktion eigenständig ausgeführt.

Zertifizierungen

Alle unsere Produkte werden von Servern innerhalb Deutschlands gehostet, die nach dem Standard ISO 27001:2013 zertifiziert sind.

Zusätzlich ist die Technische Hochschule Nürnberg nach dem Standard ISO 9001:2015 zertifiziert.