Wir bei Teamleader wollen Unternehmen dabei unterstützen, smarter zu arbeiten. Ohne eine vertrauenswürdige Software, bei der Daten sicher aufgehoben sind, wäre das jedoch unmöglich. Deshalb hat Datensicherheit für uns oberste Priorität. Aus Gründen der Transparenz haben wir hier unsere Maßnahmen aufgelistet, mit denen wir Ihre Daten rund um die Uhr sicher und verfügbar halten.
Ist Teamleader wirklich immer verfügbar?
Die kurze Antwort: so gut wie. Teamleader strebt eine Systemverfügbarkeit von 99,9 % an, und wir nutzen mehrere Dienste, um Betriebszeit und Verfügbarkeit zu überprüfen. Im Falle von Auszeiten oder unerwarteten Ereignissen wird unser Team in Echtzeit benachrichtigt, so dass wir umgehend reagieren können.
Was ist, wenn irgendetwas nicht funktioniert?
Für den seltenen Fall, dass es doch einmal Probleme gibt, halten wir Sie durchgehend über unsere Statusseite sowie über In-App-Benachrichtigungen auf dem Laufenden. Wir werden alles tun, was in unserer Macht steht, um das Problem so schnell wie möglich zu lösen.
Verschlüsselung von Daten während der Übertragung (Data-in-Transit)
Der Datenfluss Richtung Teamleader geschieht über eine SSL-verschlüsselte Verbindung, und wir akzeptieren Traffic ausschließlich über Port 443. Ein Report über unsere SSL-Konfiguration findet sich hier.
Beim ersten Besuch der Website schickt Teamleader dem User-Agent einen Strict-Transport-Security-HTTP-Header (HSTS) und stellt so sicher, dass alle künftigen Requests per HTTPS erfolgen. Sogar wenn ein Link zu Teamleader als HTTP spezifiziert ist.
AWS-Sicherheitsmaßnahmen
Teamleader verwendet Amazon Web Services (AWS), um Nutzerdaten zu speichern. Diese Server werden wiederkehrenden Sicherheitsbewertungen unterzogen, um die Einhaltung der neuesten Branchenstandards zu gewährleisten, und es findet kontinuierliches Risikomanagement statt. Indem wir AWS als Rechenzentrum nutzen, ist unsere Infrastruktur folgendermaßen akkreditiert:
Weitere Informationen über die Sicherheit von AWS finden sich hier.
Passwortregeln und -speicherung
Um auf Teamleader zugreifen zu können, müssen Sie ein sicheres Passwort aus mindestens 6 Zeichen festlegen. Diese Passwörter werden bei uns nicht im Klartext gespeichert, sondern als Passwort-Hashes, die mit dem geprüften Open-Source-Programm Bcrypt einseitig verschlüsselt wurden und auch ein zufallsgesteuertes Salt pro Nutzer beinhalten. Das schützt die Nutzer vor Rainbow-Table-Angriffen und dem Abgleich verschlüsselter Passwörter.
Wenn Nutzer mehrmals hintereinander falsche Passwörter eingeben, wird der Account vorübergehend gesperrt, um Brute-Force-Angriffe zu verhindern. Um den Account-Zugang noch weiter zu schützen, können Nutzer in den Sicherheitseinstellungen ihres Kontos die Zwei-Faktor-Authentifizierung durch Google Authenticator oder Authy aktivieren.
Drosseln und Nachverfolgen von Requests
Wir blockieren Requests, die von bekannten, ungeschützten IP-Adressen oder -Bereichen ausgehen.
Requests von ein- und derselben IP-Adresse werden gedrosselt und begrenzt, um potenziellem Missbrauch vorzubeugen.
XSS- und CSRF-Schutz
Um Cross-Site-Scripting-Angriffe (XSS) zu verhindern, wird sämtlicher Output der Anwendung im Backend standardmäßig escaped, bevor er in den Browser gelangt, wo er potenziell XSS-Angriffe ausführen könnte. Wir vermeiden es, Rohdaten zu liefern, weil das unter Umständen dazu führen könnte, dass ungewollte Daten an den Browser geschickt werden.
Unsere Anwendung lehnt Requests, die nicht aus unseren eigenen Domains stammen, ab. Damit wird das Risiko von Cross-Site-Request-Forgery-Angriffen (CSRF) verringert. Für kritische Aktionen verwenden wir auch CSRF-Token.
Und schließlich haben wir den Content-Security-Policy-HTTP-Header (CSP) implementiert. Dieser führt eine Whitelist sämtlicher Artefakte (JavaScript, Bilder, Stylesheets usw.), die der Browser des Benutzers laden bzw. ausführen dürfen soll. Ein korrekt implementierter CSP-Header eliminiert bösartiges JavaScript (XSS-Angriffe), manipulierte Dateien, die sich als Bilder ausgeben, und ähnliche Angriffe, die darauf basieren, dass der Browser den ausgelieferten Artefakten vertraut.
Ethisches Hacking-Programm
In enger Zusammenarbeit mit Intigriti.com haben wir ein ethisches Hacking-Programm initiiert. Während Sie dies hier lesen, prüft eine Gruppe unabhängiger Sicherheitsspezialisten kontinuierlich die Sicherheit unserer Anwendung. Dies hilft uns, potenzielle Schwachstellen zu identifizieren und zu eliminieren.
Organisation
Unser Team benutzt starke, einzigartige Passwörter für die Teamleader-Accounts und nutzt die Zwei-Faktor-Authentifizierung für jedes Gerät und jeden genutzten Dienst. Alle Mitarbeiter von Teamleader sind angehalten, eine Passwort-Management-Software (LastPass, 1Password,...) zu nutzen, um damit starke Passwörter zu generieren und zu speichern.
Wir stellen außerdem sicher, dass lokale Festplatten verschlüsselt sind und die automatische Bildschirmsperre aktiviert ist. Der Zugriff auf administrative Funktionen der Anwendung ist auf einen ausgewählten Personenkreis beschränkt.
Code-Review
Wir haben strenge Code-Reviews für jede Änderung an unserer Code-Basis eingeführt, um sicherzustellen, dass in jedem unserer Code-Pushes die Best Practices der Softwareentwicklung zum Tragen kommen.
Offenlegung von Sicherheitslücken
Seitdem wir mit Teamleader an den Start gegangen sind, bitten wir alle darum, uns auf Probleme in unserer Anwendung hinzuweisen, um so unsere Plattform beständig sicherer und verlässlicher zu machen. Alle Berichte über Sicherheitslücken werden in der kürzest möglichen Zeit gelesen, bearbeitet und beantwortet.