Lobster Cloud betreibt ein mehrschichtiges Sicherheitsmodell, das Ihre Umgebung auf jeder Ebene schützt: von der physischen Rechenzentrumsinfrastruktur, die von AWS verwaltet wird, über Netzwerksegmentierung und Verschlüsselung, die von Lobster verwaltet werden, bis hin zur Sicherheit auf Anwendungsebene innerhalb der Lobster Data Platform. Diese Seite bietet einen Überblick über alle vorhandenen Sicherheitsmaßnahmen.
Infrastruktursicherheit
Jede Kundenumgebung ist vollständig isoliert innerhalb einer eigenen dedizierten AWS Virtual-Private-Cloud (VPC). Es gibt keine gemeinsam genutzte Infrastruktur zwischen Kunden.
Maßnahme | Umsetzung |
|---|---|
Kundenisolierung | Jeder Kunde erhält eine dedizierte VPC mit separaten Subnetzen, Security-Groups und Datenbankinstanzen. |
Netzwerksegmentierung | Öffentliche und private Subnetze über mehrere Availability Zones hinweg. Datenbankinstanzen befinden sich in privaten Subnetzen ohne direkten externen Zugriff. |
Dedizierte Firewall-Regeln pro Systemkomponente (LDP, DMZ, DEV). Eingehender Datenverkehr wird standardmäßig verweigert, sofern nicht explizit autorisiert. | |
VPC-Endpoints | AWS-Dienste werden über VPC-Endpoints angesprochen, ohne Exposition gegenüber dem öffentlichen Internet. |
Verschlüsselung
Alle Daten werden sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt.
Typ | Geltungsbereich | Methode |
|---|---|---|
Verschlüsselung im Ruhezustand | EBS-Volumes, RDS-Datenbanken, Backups | AES-256 über den AWS Key Management Service (KMS). Schlüssel werden automatisch jährlich rotiert. |
Verschlüsselung bei Übertragung | Alle Verbindungen | TLS 1.2 oder höher. |
Webservices, Plattformzugriff | Let's-Encrypt-Zertifikate, automatisch alle 90 Tage erneuert. Eigene Zertifikate werden unterstützt. |
Schlüsselverwaltung (KMS)
Lobster erstellt und verwaltet die Verschlüsselungsschlüssel eigenständig über den AWS Key Management Service (KMS) innerhalb der dedizierten AWS-Umgebung jedes Kunden. Die Schlüssel werden durch Lobster generiert und rotiert. Die Verschlüsselung aller ruhenden Daten (EBS-Volumes, RDS-Datenbanken, Backups) erfolgt per AES-256, mit automatischer jährlicher Schlüsselrotation.
Bring Your Own Key (BYOK)
Die Verwendung kundenseitig bereitgestellter Schlüssel (Bring Your Own Key) ist in der Lobster Cloud nicht möglich. Als iPaaS-Hoster benötigt Lobster jederzeit kontrollierten, unterbrechungsfreien Zugriff auf alle AWS-Dienste innerhalb der Kundenumgebung, damit Betrieb, Wartung und Support gewährleistet werden können. Ein extern verwalteter Schlüssel würde diesen Zugriff gefährden und ist daher nicht Teil des Leistungsumfangs. Diese Regelung gilt ohne Ausnahme und entspricht den verbindlichen Sicherheitsrichtlinien von Lobster.
Monitoring und Bedrohungserkennung
Lobster betreibt 24/7-Monitoring über mehrere Schichten hinweg unter Verwendung einer Kombination aus AWS-nativen Diensten und spezialisierten Drittanbieter-Tools.
Dienst | Zweck |
|---|---|
New Relic APM | Application Performance Monitoring, Infrastruktur-Monitoring |
Arctic Wolf | 24/7 Security Operations Centre (SOC) mit kontinuierlicher Bedrohungserkennung und -reaktion auf AWS-Kontoebene. EU-basierte Rechenzentren. Keine Kundendatenverarbeitung. |
AWS GuardDuty | Kontinuierliches Bedrohungsmonitoring und Anomalieerkennung in Ihrer AWS-Umgebung. |
AWS Security Hub | Zentralisiertes Dashboard für Sicherheit und Compliance. |
AWS CloudTrail | Vollständige Audit-Protokollierung aller API-Aufrufe und administrativer Aktionen. |
AWS Config | Kontinuierliche Konfigurationsüberprüfung und Compliance-Monitoring. |
VPC-Flow-Logs | Netzwerkverkehrs-Monitoring und forensische Analyse. |
PagerDuty | Automatisierte Incident-Alarmierung und Eskalation. Löst die Reaktion des On-Call-Teams aus. |
Incident Response
Lobster folgt einem strukturierten Incident-Response-Prozess mit definierten Zeitrahmen.
Phase | Zeitrahmen | Maßnahme |
|---|---|---|
Erkennung | Echtzeit | Anomalien werden automatisch über New Relic, GuardDuty und Arctic Wolf erkannt. |
Alarmierung | Weniger als 7 Minuten | PagerDuty löst eine automatische Benachrichtigung an das On-Call-Team aus. |
On-Call-Benachrichtigung | Weniger als 15 Minuten | Der On-Call-Engineer wird über die PagerDuty-Eskalationsrichtlinie benachrichtigt. |
Kundenbenachrichtigung | Weniger als 20 Minuten | Der Kunde wird über den Vorfall via PagerDuty informiert. |
Incident-Bewertung | Weniger als 4 Stunden | Sicherheitsteam und Arctic Wolf SOC bewerten Schweregrad und Auswirkungen. |
DSGVO-Benachrichtigung | Weniger als 72 Stunden | Falls erforderlich, benachrichtigt der Datenschutzbeauftragte die Aufsichtsbehörde (DSGVO Art. 33). |
Post-Incident-Review | Weniger als 7 Tage | Lessons-Learned-Dokumentation und Prozessverbesserungen. |
Verbindliche Sicherheitsrichtlinien
Die nachfolgenden Sicherheitsrichtlinien sind für Lobster verbindlich und gelten ohne Ausnahme. Sie definieren sowohl das Verhalten der Mitarbeiter als auch die organisatorischen Grenzen des Betriebs gehosteter Kundensysteme.
Richtlinie | Ausnahme |
|---|---|
Kundendaten werden zu keiner Zeit entschlüsselt. | Keine Ausnahmen. |
Kundendaten werden nicht auf andere Server oder Speichersysteme übertragen. | Protokolldaten und Konfigurationsdateien dürfen zur Fehlerbehebung kopiert werden, ausschließlich auf dokumentierte Kundenanfrage oder im nachgewiesenen Fehlerfall. |
Lobster-Mitarbeiter haben keinen Zugriff auf die Weboberfläche der Lobster Data Platform. | Temporärer Zugriff kann durch den Kunden per Support-Ticket freigegeben werden. Die Freigabe gilt ausschließlich für das Support-Team. |
Kundendaten werden nicht an Dritte weitergegeben. | Eine Weitergabe ist ausschließlich auf schriftliche Kundenanfrage per Support-Ticket zulässig. |
Abweichungen von der standardisierten Systemkonfiguration sind nicht zulässig. | Keine Ausnahmen. |
Lobster installiert keine Skripte, Drittanbietersoftware oder benutzerdefinierte Netzwerkkonfigurationen auf gehosteten Kundensystemen innerhalb der Lobster iPaaS-Umgebung. Dies gilt unabhängig von Kundenanfragen. | Keine Ausnahmen. Anfragen dieser Art werden abgelehnt. |
Audit und Compliance-Überprüfungen
Audit-Typ | Häufigkeit |
|---|---|
Interne Sicherheitsaudits | Vierteljährlich |
Penetrationstests (externes Unternehmen) | Jährlich |
ISO 27001, ISO 27018, ISO 9001 Zertifizierungsaudit | Jährlich |
AWS-Compliance-Prüfungen (Config, Security Hub, Arctic Wolf) | Kontinuierlich |
IAM-Berechtigungsüberprüfung und -rezertifizierung | Vierteljährlich |
Performance-Audits | Monatlich |
Mitarbeiterschulungen
Alle Lobster-Mitarbeiter durchlaufen verpflichtende Sicherheitsschulungen, um eine einheitliche Einhaltung der Sicherheitsrichtlinien sicherzustellen.
Schulungsthema | Häufigkeit |
|---|---|
DSGVO und Datenschutz | Jährlich |
IT-Sicherheit | Kontinuierlich |
AWS Security Best Practices | Halbjährlich |
Incident-Response-Verfahren | Vierteljährlich |
Vertraulichkeitsverpflichtung (§ 53 BDSG) | Bei Einstellung |
Sicherheitsbewusstsein | Kontinuierlich |