Ihre Daten sind sicher und verfügbar

Wir bei Teamleader wollen Unternehmen dabei unterstützen, smarter zu arbeiten. Ohne eine vertrauenswürdige Software, bei der Daten sicher aufgehoben sind, wäre das jedoch unmöglich. Deshalb hat Datensicherheit für uns oberste Priorität. Aus Gründen der Transparenz haben wir hier unsere Maßnahmen aufgelistet, mit denen wir Ihre Daten rund um die Uhr sicher und verfügbar halten.

Availability

l. Verfügbarkeit

Ist Teamleader wirklich immer verfügbar? 

Die kurze Antwort: so gut wie. Teamleader strebt eine Systemverfügbarkeit von 99,9 % an, und wir nutzen mehrere Dienste, um Betriebszeit und Verfügbarkeit zu überprüfen. Im Falle von Auszeiten oder unerwarteten Ereignissen wird unser Team in Echtzeit benachrichtigt, so dass wir umgehend reagieren können. 

Was ist, wenn irgendetwas nicht funktioniert? 

Für den seltenen Fall, dass es doch einmal Probleme gibt, halten wir Sie durchgehend über unsere Statusseite sowie über In-App-Benachrichtigungen auf dem Laufenden. Wir werden alles tun, was in unserer Macht steht, um das Problem so schnell wie möglich zu lösen. 

Security measures

II. Sicherheitsmaßnahmen

Verschlüsselung von Daten während der Übertragung (Data-in-Transit)

Der Datenfluss Richtung Teamleader geschieht über eine SSL-verschlüsselte Verbindung, und wir akzeptieren Traffic ausschließlich über Port 443. Ein Report über unsere SSL-Konfiguration findet sich hier

Beim ersten Besuch der Website schickt Teamleader dem User-Agent einen Strict-Transport-Security-HTTP-Header (HSTS) und stellt so sicher, dass alle künftigen Requests per HTTPS erfolgen. Sogar wenn ein Link zu Teamleader als HTTP spezifiziert ist. 

AWS-Sicherheitsmaßnahmen

Teamleader verwendet Amazon Web Services (AWS), um Nutzerdaten zu speichern. Diese Server werden wiederkehrenden Sicherheitsbewertungen unterzogen, um die Einhaltung der neuesten Branchenstandards zu gewährleisten, und es findet kontinuierliches Risikomanagement statt. Indem wir AWS als Rechenzentrum nutzen, ist unsere Infrastruktur folgendermaßen akkreditiert:

  • ISO 27001
  • SOC 1 und SOC2/SSAE 16/ISAE 3402 (vormals SAS 70 Typ II)
  • PCI Level 1
  • C5 Operative Sicherheit
  • ENS Hoch
  • IT-Grundschutz 

Weitere Informationen über die Sicherheit von AWS finden sich hier.

Passwortregeln und -speicherung

Um auf Teamleader zugreifen zu können, müssen Sie ein sicheres Passwort aus mindestens 6 Zeichen festlegen. Diese Passwörter werden bei uns nicht im Klartext gespeichert, sondern als Passwort-Hashes, die mit dem geprüften Open-Source-Programm Bcrypt einseitig verschlüsselt wurden und auch ein zufallsgesteuertes Salt pro Nutzer beinhalten. Das schützt die Nutzer vor Rainbow-Table-Angriffen und dem Abgleich verschlüsselter Passwörter. 

Wenn Nutzer mehrmals hintereinander falsche Passwörter eingeben, wird der Account vorübergehend gesperrt, um Brute-Force-Angriffe zu verhindern. Um den Account-Zugang noch weiter zu schützen, können Nutzer in den Sicherheitseinstellungen ihres Kontos die Zwei-Faktor-Authentifizierung durch Google Authenticator oder Authy aktivieren. 

Drosseln und Nachverfolgen von Requests

Wir blockieren Requests, die von bekannten, ungeschützten IP-Adressen oder -Bereichen ausgehen. 

Requests von ein- und derselben IP-Adresse werden gedrosselt und begrenzt, um potenziellem Missbrauch vorzubeugen. 

XSS- und CSRF-Schutz

Um Cross-Site-Scripting-Angriffe (XSS) zu verhindern, wird sämtlicher Output der Anwendung im Backend standardmäßig escaped, bevor er in den Browser gelangt, wo er potenziell XSS-Angriffe ausführen könnte. Wir vermeiden es, Rohdaten zu liefern, weil das unter Umständen dazu führen könnte, dass ungewollte Daten an den Browser geschickt werden. 

Unsere Anwendung lehnt Requests, die nicht aus unseren eigenen Domains stammen, ab. Damit wird das Risiko von Cross-Site-Request-Forgery-Angriffen (CSRF) verringert. Für kritische Aktionen verwenden wir auch CSRF-Token. 

Und schließlich haben wir den Content-Security-Policy-HTTP-Header (CSP) implementiert. Dieser führt eine Whitelist sämtlicher Artefakte (JavaScript, Bilder, Stylesheets usw.), die der Browser des Benutzers laden bzw. ausführen dürfen soll. Ein korrekt implementierter CSP-Header eliminiert bösartiges JavaScript (XSS-Angriffe), manipulierte Dateien, die sich als Bilder ausgeben, und ähnliche Angriffe, die darauf basieren, dass der Browser den ausgelieferten Artefakten vertraut. 

Ethisches Hacking-Programm

In enger Zusammenarbeit mit Intigriti.com haben wir ein ethisches Hacking-Programm initiiert. Während Sie dies hier lesen, prüft eine Gruppe unabhängiger Sicherheitsspezialisten kontinuierlich die Sicherheit unserer Anwendung. Dies hilft uns, potenzielle Schwachstellen zu identifizieren und zu eliminieren.  

Organisation

Unser Team benutzt starke, einzigartige Passwörter für die Teamleader-Accounts und nutzt die Zwei-Faktor-Authentifizierung für jedes Gerät und jeden genutzten Dienst. Alle Mitarbeiter von Teamleader sind angehalten, eine Passwort-Management-Software (LastPass, 1Password,...) zu nutzen, um damit starke Passwörter zu generieren und zu speichern. 

Wir stellen außerdem sicher, dass lokale Festplatten verschlüsselt sind und die automatische Bildschirmsperre aktiviert ist. Der Zugriff auf administrative Funktionen der Anwendung ist auf einen ausgewählten Personenkreis beschränkt.
 

Quality assurance

III. Qualitätssicherung

Code-Review

Wir haben strenge Code-Reviews für jede Änderung an unserer Code-Basis eingeführt, um sicherzustellen, dass in jedem unserer Code-Pushes die Best Practices der Softwareentwicklung zum Tragen kommen. 

Offenlegung von Sicherheitslücken

Seitdem wir mit Teamleader an den Start gegangen sind, bitten wir alle darum, uns auf Probleme in unserer Anwendung hinzuweisen, um so unsere Plattform beständig sicherer und verlässlicher zu machen. Alle Berichte über Sicherheitslücken werden in der kürzest möglichen Zeit gelesen, bearbeitet und beantwortet.