Lobster Cloud betreibt ein mehrschichtiges Sicherheitsmodell, das Ihre Umgebung auf jeder Ebene schützt: von der physischen Rechenzentrumsinfrastruktur, die von AWS verwaltet wird, über Netzwerksegmentierung und Verschlüsselung, die von Lobster verwaltet werden, bis hin zur Sicherheit auf Anwendungsebene innerhalb der Lobster Data Platform. Diese Seite bietet einen Überblick über alle vorhandenen Sicherheitsmaßnahmen.
Infrastruktursicherheit
Jede Kundenumgebung ist vollständig isoliert innerhalb einer eigenen dedizierten AWS Virtual-Private-Cloud (VPC). Es gibt keine gemeinsam genutzte Infrastruktur zwischen Kunden.
Maßnahme | Umsetzung |
|---|---|
Kundenisolierung | Jeder Kunde erhält eine dedizierte VPC mit separaten Subnetzen, Security-Groups und Datenbankinstanzen. |
Netzwerksegmentierung | Öffentliche und private Subnetze über mehrere Availability Zones hinweg. Datenbankinstanzen befinden sich in privaten Subnetzen ohne direkten externen Zugriff. |
Dedizierte Firewall-Regeln pro Systemkomponente (LDP, DMZ, DEV). Eingehender Datenverkehr wird standardmäßig verweigert, sofern nicht explizit autorisiert. | |
VPC-Endpoints | AWS-Dienste werden über VPC-Endpoints angesprochen, ohne Exposition gegenüber dem öffentlichen Internet. |
Verschlüsselung
Alle Daten werden sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt.
Typ | Geltungsbereich | Methode |
|---|---|---|
Verschlüsselung im Ruhezustand | EBS-Volumes, RDS-Datenbanken, Backups | AES-256 über den AWS Key Management Service (KMS). Schlüssel werden automatisch jährlich rotiert. |
Verschlüsselung bei Übertragung | Alle Verbindungen | TLS 1.2 oder höher. |
Webservices, Plattformzugriff | Let's-Encrypt-Zertifikate, automatisch alle 90 Tage erneuert. Eigene Zertifikate werden unterstützt. |
Monitoring und Bedrohungserkennung
Lobster betreibt 24/7-Monitoring über mehrere Schichten hinweg unter Verwendung einer Kombination aus AWS-nativen Diensten und spezialisierten Drittanbieter-Tools.
Dienst | Zweck |
|---|---|
New Relic APM | Application Performance Monitoring, Infrastruktur-Monitoring |
Arctic Wolf | 24/7 Security Operations Centre (SOC) mit kontinuierlicher Bedrohungserkennung und -reaktion auf AWS-Kontoebene. EU-basierte Rechenzentren. Keine Kundendatenverarbeitung. |
AWS GuardDuty | Kontinuierliches Bedrohungsmonitoring und Anomalieerkennung in Ihrer AWS-Umgebung. |
AWS Security Hub | Zentralisiertes Dashboard für Sicherheit und Compliance. |
AWS CloudTrail | Vollständige Audit-Protokollierung aller API-Aufrufe und administrativer Aktionen. |
AWS Config | Kontinuierliche Konfigurationsüberprüfung und Compliance-Monitoring. |
VPC-Flow-Logs | Netzwerkverkehrs-Monitoring und forensische Analyse. |
PagerDuty | Automatisierte Incident-Alarmierung und Eskalation. Löst die Reaktion des On-Call-Teams aus. |
Incident Response
Lobster folgt einem strukturierten Incident-Response-Prozess mit definierten Zeitrahmen.
Phase | Zeitrahmen | Maßnahme |
|---|---|---|
Erkennung | Echtzeit | Anomalien werden automatisch über New Relic, GuardDuty und Arctic Wolf erkannt. |
Alarmierung | Weniger als 7 Minuten | PagerDuty löst eine automatische Benachrichtigung an das On-Call-Team aus. |
On-Call-Benachrichtigung | Weniger als 15 Minuten | Der On-Call-Engineer wird über die PagerDuty-Eskalationsrichtlinie benachrichtigt. |
Kundenbenachrichtigung | Weniger als 20 Minuten | Der Kunde wird über den Vorfall via PagerDuty informiert. |
Incident-Bewertung | Weniger als 4 Stunden | Sicherheitsteam und Arctic Wolf SOC bewerten Schweregrad und Auswirkungen. |
DSGVO-Benachrichtigung | Weniger als 72 Stunden | Falls erforderlich, benachrichtigt der Datenschutzbeauftragte die Aufsichtsbehörde (DSGVO Art. 33). |
Post-Incident-Review | Weniger als 7 Tage | Lessons-Learned-Dokumentation und Prozessverbesserungen. |
Verbindliche Sicherheitsrichtlinien
Lobster setzt strikte Sicherheitsrichtlinien für alle Mitarbeiter durch, die mit Kundenumgebungen arbeiten. Diese Richtlinien sind verbindlich und können nicht außer Kraft gesetzt werden.
Richtlinie | Ausnahme |
|---|---|
Kundendaten dürfen niemals entschlüsselt werden. | Keine. |
Kundendaten dürfen niemals auf andere Server oder Speicher kopiert werden. | Protokolldaten oder Konfigurationsdateien dürfen zur Fehlerbehebung kopiert werden, jedoch nur auf Kundenanfrage oder im Fehlerfall. |
Lobster-Mitarbeiter haben keinen Zugriff auf die Weboberfläche der Lobster Data Platform. | Temporärer Zugriff kann vom Kunden per Support-Ticket gewährt werden (nur Support-Team). |
Kundendaten dürfen niemals an Dritte weitergegeben werden. | Teilweise erlaubt, jedoch nur auf schriftliche Kundenanfrage per Support-Ticket. |
Abweichungen von der standardisierten Systemkonfiguration sind nicht gestattet. | Keine. |
Keine Skripte, Drittanbietersoftware oder benutzerdefinierte Netzwerkkonfigurationen sind gestattet. | Keine. |
Audit und Compliance-Überprüfungen
Audit-Typ | Häufigkeit |
|---|---|
Interne Sicherheitsaudits | Vierteljährlich |
Penetrationstests (externes Unternehmen) | Jährlich |
ISO 27001, ISO 27018, ISO 9001 Zertifizierungsaudit | Jährlich |
AWS-Compliance-Prüfungen (Config, Security Hub, Arctic Wolf) | Kontinuierlich |
IAM-Berechtigungsüberprüfung und -rezertifizierung | Vierteljährlich |
Performance-Audits | Monatlich |
Mitarbeiterschulungen
Alle Lobster-Mitarbeiter durchlaufen verpflichtende Sicherheitsschulungen, um eine einheitliche Einhaltung der Sicherheitsrichtlinien sicherzustellen.
Schulungsthema | Häufigkeit |
|---|---|
DSGVO und Datenschutz | Jährlich |
IT-Sicherheit | Kontinuierlich |
AWS Security Best Practices | Halbjährlich |
Incident-Response-Verfahren | Vierteljährlich |
Vertraulichkeitsverpflichtung (§ 53 BDSG) | Bei Einstellung |
Sicherheitsbewusstsein | Kontinuierlich |