IT-Sicherheit bei der Atlassian Suite

Atlassian-vertical-blue@2x-rgb.png

IT-Sicherheit ist für jedes Unternehmen ein wichtiges Thema und beim Einsatz von Software sollte man über die Sicherheitsvorkehrungen der jeweiligen Software bzw. des Softwareanbieters informiert sein. Vom 9.-11. Oktober war it-economics auf der it-sa, Europas führende IT-Security-Messe und präsentierte dort schwerpunktmäßig Datenschutz und Sicherheitsaspekte der Atlassian Suite. Atlassian setzt dabei auf unabhängige Dritte und bewährte Verfahren der Branche. Was genau Atlassian tut, um die Vertraulichkeit und Sicherheit der Daten bei Nutzung seiner Softwareprodukte Confluence, Jira, Bitbucket etc. sicherzustellen und damit Compliance-Richtlinien einzuhalten, fassen wir hier noch einmal kurz zusammen, insbesondere für die Cloud-Dienste, welche Atlassian selbst betreibt.

SOC – Service Organization Control

Atlassians Service Organization Control (SOC) Reports sind von einem Drittanbieter zertifiziert und zeigen, wie Atlassian die wichtigsten Compliance-Kontrollen und -Ziele erreicht. Der Zweck dieser Reports ist es, Unternehmen und Ihren Wirtschaftsprüfern zu helfen, die Kontrollmaßnahmen zu verstehen, die zur Unterstützung des Betriebs und der Compliance bei Atlassian etabliert wurden.

Atlassian verfügt über SOC2-Zertifizierungen für:

  • Bitbucket Cloud (Typ II)

  • Confluence Cloud (Typ II)

  • Jira Cloud (Typ II)

  • Stride (Typ I)

Die SOC2-Zertifikate stehen hier zum Download bereit: https://www.atlassian.com/trust/compliance#

ISO/IEC 27001 - Information Security Management System

ISO/IEC 27001 ist als weltweit führender Standard für Information Security Management Systeme (ISMS) anerkannt. ISO/IEC 27001 nutzt auch die in ISO/IEC 27002 beschriebenen umfassenden Sicherheitskontrollen. Grundlage dieser Zertifizierung ist die Entwicklung und Implementierung eines konsequenten Sicherheitsmanagementprogramms sowie der Entwicklung und Implementierung eines Information Security Management Systems (ISMS).

Für das Erlangen einer Zertifizierung nach ISO 27001 ist es für Unternehmen erforderlich, mindestens die nachfolgenden Anforderungen zu erfüllen:

  • Systematische Bewertung von Informationssicherheitsrisiken unter Berücksichtigung der Auswirkungen von Sicherheitsbedrohungen und -schwachstellen.

  • Entwurf und Implementierung einer umfassenden Reihe von Informationssicherheitskontrollen zur Bewältigung von Sicherheitsrisiken.

  • Implementierung eines übergreifenden Audit- und Compliance-Management-Prozesses, um sicherzustellen, dass die Kontrollen kontinuierlich den Anforderungen entsprechen.

Zu den Atlassian-Produkten, die in den Geltungsbereich der Zertifizierung nach ISO/IEC 27001 fallen, gehören Jira und Confluence Cloud sowie die Mikroservices, die diese Produkte liefern. Das hierzu gehörende Zertifikat steht hier zum Download bereit: ISO/IEC 27001 Zertifikate.

 ISO/IEC 27018 - Schutz personenbezogener Daten in der Cloud

ISO/IEC 27018 ist ein Leitfaden, der sich auf den Schutz personenbezogener Daten in der Cloud konzentriert. Es basiert auf dem Informationssicherheitsstandard ISO/IEC 27002 und bietet zusätzliche Implementierungsrichtlinien für ISO/IEC 27002-Kontrollen, die auf Public Cloud Personal Identifiable Information (PII) anwendbar sind. Es bietet auch eine Reihe von zusätzlichen Kontrollmaßnahmen und zugehörigen Leitlinien, die darauf abzielen, die Anforderungen an den PII-Schutz in der Public Cloud zu erfüllen, die durch das bestehende ISO/IEC 27002-Kontrollset nicht abgedeckt werden.

Zu den Atlassian-Produkten, die nach ISO/IEC 27001 in den Geltungsbereich fallen, gehören Jira und Confluence Cloud sowie die Mikroservices, die diese Produkte liefern. Atlassian hat sich auf die Durchführung der entsprechenden Maßnahmen verpflichtet (ISO/IEC 27018 Certificate).

 Cloud Security Alliance - Sicherheits-, Vertrauens- und Zuverlässigkeitsregister

Das CSA Security, Trust & Assurance Registry (STAR) ist ein freies, öffentlich zugängliches Register, das die Sicherheitskontrollen verschiedener Cloud Computing-Angebote dokumentiert und Kunden so bei der Beurteilung der Sicherheit von Cloud-Anbietern unterstützt, die sie derzeit nutzen oder mit denen sie Verträge abschließen wollen. Atlassian ist CSA STAR-Registrar und Corporate Member der Cloud Security Alliance (CSA) und hat den Fragebogen der Cloud Security Alliance (CSA) Consensus Assessments Initiative Questionnaire (CAIQ) abgeschlossen. Die neueste Version des CAIQ, die auf die Cloud Controls Matrix (CCM) v.3.0.1 von CSA abgestimmt ist, beantwortet über 300 Fragen, die ein Cloud-Kunde oder ein Cloud Security Auditor an einen Cloud-Provider stellen könnte.

 Ein CSA STAR Level 1 Fragebogen für Atlassian steht auf der STAR Registry-Website der Cloud Security Alliance zum Download bereit.

 Fazit

Ein entscheidender Teil eines jeden Informationssicherheitsmanagementsystems ist die kontinuierliche Verbesserung von Sicherheits- und Konformitätsprogrammen, Systemen und Kontrollen. Atlassian nimmt Feedback von verschiedenen internen Teams, Kunden, internen und externen Auditoren an und verbessert seine Prozesse und Kontrollen für Sicherheit, Datenschutz und Compliance stetig.