Regelmäßige Datenbackups

Tägliche Backups mit DSGVO-konformer Haltezeit

Backups sind nur für befugte Personen im Zugriff

Softwareseitige Sicherheitsmaßnahmen

HTTPS zur verschlüsselten Datenübertragung von Server zu Browser

Mindestlänge von 8 Zeichen bei Festlegung von Passwörtern

Verschlüsselung von Passwörtern mit AES-256

Verschlüsselung von Beratungsgesprächen anhand der am Beratungsgespräch beteiligten Nutzer ebenfalls mit AES-256

Schutz vor Cross-Site-Request-Forgery (CSRF) bei Übertragung von Formularen

Verhinderung von Cross-Site-Scripting (XSS)

SQL-Injection-Schutz durch Object-Relational Mapping (ORM)

Tiefgreifendes Rollen- und Rechtesystem

Sicherheitstests

Im Zuge eines IT-Projekts mit Master-Studierenden wurde 2022 an der Fakultät für Informatik unter der Leitung von Prof. Ronald Petrlic die Sicherheit der EBS getestet. Bei Penetrationstests wird eine Software auf potenzielle Schwachstellen untersucht, die von Angreifenden genutzt werden können, um sich unerlaubten Zugang zu Daten zu verschaffen. Die Master-Studierenden untersuchten die Software in zwei Phasen. Zunächst wurde ein umfangreicher Black-Box-Test durchgeführt, bei dem die Software von außen und ohne Kenntnisse über die innere Funktionsweise angegriffen wurde. Dabei wurden nur Schwachstellen entdeckt, die wenig kritisch sind und sehr leicht behoben werden konnten. Sensible Daten in der Software erwiesen sich als gut geschützt. Anschließend wurde in einer zweiten Phase der Quellcode zur Testung hinzugezogen in einem sogenannten White-Box-Test-Verfahren. Hierbei wurden keine Schwachstellen entdeckt, die nicht schon durch die Black-Box-Testung bekannt waren.

Im April 2024 startete ein weiteres IT-Projekt, wieder unter der Leitung von Prof. Ronald Petrlic, welches in einem ähnlichen Vorgehen die stark gewachsene Funktionalität der EBS erneut auf Sicherheit überprüfte.

Verschlüsselung

Beratungsgespräche und Passwörter sind verschlüsselt in einer Datenbank hinterlegt. Die Datenbank selbst ist sehr stark passwortgeschützt, sodass nur beteiligte Berater*innen die Beratungsgespräche entschlüsseln können. Super-Administratoren können zum Zwecke nötigen Supports ebenfalls auf Beratungsgespräche zugreifen.

Zum Login in die EBS, als Ratsuchender wie auch als Beratende*r ist die Vergabe eines Passwortes nach hohen technischen Sicherheitsanforderungen erforderlich. Die Passwörter werden verschlüsselt übertragen und verschlüsselt gespeichert und sind nur den Nutzenden bekannt. Die Erneuerung von Passwörtern wird über die „Passwort vergessen“ Funktion eigenständig ausgeführt.

Zertifizierungen

Alle unsere Produkte werden von Servern innerhalb Deutschlands gehostet, die nach dem Standard ISO 27001:2013 zertifiziert sind.

Zusätzlich ist die Technische Hochschule Nürnberg nach dem Standard ISO 9001:2015 zertifiziert.