Datensicherheit
Teamleader Focus

Wir bei Teamleader Focus wollen Unternehmen dabei unterstützen, smarter zu arbeiten. Ohne eine vertrauenswürdige Software, bei der Daten sicher aufgehoben sind, wäre das jedoch unmöglich. Deshalb hat Datensicherheit für uns oberste Priorität. Aus Gründen der Transparenz haben wir hier unsere Maßnahmen aufgelistet, mit denen wir Ihre Daten rund um die Uhr sicher und verfügbar halten.

Die kurze Antwort: so gut wie. Teamleader Focus strebt eine Systemverfügbarkeit von 99,9 % an, und wir nutzen mehrere Dienste, um Betriebszeit und Verfügbarkeit zu überprüfen. Im Falle von Auszeiten oder unerwarteten Ereignissen wird unser Team in Echtzeit benachrichtigt, so dass wir umgehend reagieren können.

Für den seltenen Fall, dass es doch einmal Probleme gibt, halten wir Sie durchgehend über unsere Statusseite sowie über In-App-Benachrichtigungen auf dem Laufenden. Wir werden alles tun, was in unserer Macht steht, um das Problem so schnell wie möglich zu lösen.

Der Datenfluss Richtung Teamleader Focus geschieht über eine SSL-verschlüsselte Verbindung, und wir akzeptieren Traffic ausschließlich über Port 443. Ein Report über unsere SSL-Konfiguration findet sich hier.

Beim ersten Besuch der Website schickt Teamleader Focus dem User-Agent einen Strict-Transport-Security-HTTP-Header (HSTS) und stellt so sicher, dass alle künftigen Requests per HTTPS erfolgen. Sogar wenn ein Link zu Teamleader Focus als HTTP spezifiziert ist.

Teamleader Focus verwendet Amazon Web Services (AWS), um Nutzerdaten zu speichern. Diese Server werden wiederkehrenden Sicherheitsbewertungen unterzogen, um die Einhaltung der neuesten Branchenstandards zu gewährleisten, und es findet kontinuierliches Risikomanagement statt. Indem wir AWS als Rechenzentrum nutzen, ist unsere Infrastruktur folgendermaßen akkreditiert:

• ISO 27001
• SOC 1 und SOC2/SSAE 16/ISAE 3402 (vormals SAS 70 Typ II)
• PCI Level 1
• C5 Operative Sicherheit
• ENS Hoch
• IT-Grundschutz

Weitere Informationen über die Sicherheit von AWS finden sich hier.

Um auf Teamleader Focus zugreifen zu können, müssen Sie ein sicheres Passwort aus mindestens 6 Zeichen festlegen. Diese Passwörter werden bei uns nicht im Klartext gespeichert, sondern als Passwort-Hashes, die mit dem geprüften Open-Source-Programm Bcrypt einseitig verschlüsselt wurden und auch ein zufallsgesteuertes Salt pro Nutzer beinhalten. Das schützt die Nutzer vor Rainbow-Table-Angriffen und dem Abgleich verschlüsselter Passwörter.

Wenn Nutzer mehrmals hintereinander falsche Passwörter eingeben, wird der Account vorübergehend gesperrt, um Brute-Force-Angriffe zu verhindern. Um den Account-Zugang noch weiter zu schützen, können Nutzer in den Sicherheitseinstellungen ihres Kontos die Zwei-Faktor-Authentifizierung durch Google Authenticator oder Authy aktivieren.

Wir blockieren Requests, die von bekannten, ungeschützten IP-Adressen oder -Bereichen ausgehen.

Requests von ein- und derselben IP-Adresse werden gedrosselt und begrenzt, um potenziellem Missbrauch vorzubeugen.

Um Cross-Site-Scripting-Angriffe (XSS) zu verhindern, wird sämtlicher Output der Anwendung im Backend standardmäßig escaped, bevor er in den Browser gelangt, wo er potenziell XSS-Angriffe ausführen könnte. Wir vermeiden es, Rohdaten zu liefern, weil das unter Umständen dazu führen könnte, dass ungewollte Daten an den Browser geschickt werden.

Unsere Anwendung lehnt Requests, die nicht aus unseren eigenen Domains stammen, ab. Damit wird das Risiko von Cross-Site-Request-Forgery-Angriffen (CSRF) verringert. Für kritische Aktionen verwenden wir auch CSRF-Token.

Und schließlich haben wir den Content-Security-Policy-HTTP-Header (CSP) implementiert. Dieser führt eine Whitelist sämtlicher Artefakte (JavaScript, Bilder, Stylesheets usw.), die der Browser des Benutzers laden bzw. ausführen dürfen soll. Ein korrekt implementierter CSP-Header eliminiert bösartiges JavaScript (XSS-Angriffe), manipulierte Dateien, die sich als Bilder ausgeben, und ähnliche Angriffe, die darauf basieren, dass der Browser den ausgelieferten Artefakten vertraut.

In enger Zusammenarbeit mit Intigriti.com haben wir ein ethisches Hacking-Programm initiiert. Während Sie dies hier lesen, prüft eine Gruppe unabhängiger Sicherheitsspezialisten kontinuierlich die Sicherheit unserer Anwendung. Dies hilft uns, potenzielle Schwachstellen zu identifizieren und zu eliminieren.

Unser Team benutzt starke, einzigartige Passwörter für die Teamleader Focus-Accounts und nutzt die Zwei-Faktor-Authentifizierung für jedes Gerät und jeden genutzten Dienst. Alle Mitarbeiter von Teamleader Focus sind angehalten, eine Passwort-Management-Software (LastPass, 1Password,...) zu nutzen, um damit starke Passwörter zu generieren und zu speichern.

Wir stellen außerdem sicher, dass lokale Festplatten verschlüsselt sind und die automatische Bildschirmsperre aktiviert ist. Der Zugriff auf administrative Funktionen der Anwendung ist auf einen ausgewählten Personenkreis beschränkt.

Wir haben strenge Code-Reviews für jede Änderung an unserer Code-Basis eingeführt, um sicherzustellen, dass in jedem unserer Code-Pushes die Best Practices der Softwareentwicklung zum Tragen kommen.

Seitdem wir mit Teamleader Focus an den Start gegangen sind, bitten wir alle darum, uns auf Probleme in unserer Anwendung hinzuweisen, um so unsere Plattform beständig sicherer und verlässlicher zu machen. Alle Berichte über Sicherheitslücken werden in der kürzest möglichen Zeit gelesen, bearbeitet und beantwortet.