Um die Sicherheit von Kundendaten und deren Kommunikation zu gewähren, setzt sipgate auf eine Vielzahl von Maßnahmen und erfüllt damit alle gängigen Standards und rechtlichen Vorgaben.
Die sipgate Produktinfrastruktur wird in Rechenzentren in Deutschland gehostet. Dabei sind alle Rechenzentren erfolgreich nach ISO 27001 zertifiziert und unterliegen einer ständigen Re-Zertifizierung.
Weiterlesen
Lesezeit: 4 Min
Allgemeine rechtliche Informationen.
Als in Deutschland ansässiger Anbieter ist die sipgate GmbH umfassender Regulierung, auch im Bereich Datenschutz und -sicherheit, unterworfen. Unter anderem verpflichtet das Telekommunikationsgesetz die sipgate GmbH, ein umfassendes Sicherheitskonzept vorzuhalten. Dieses Konzept enthält neben Regelungen zur Datensicherheit auch Notfallpläne für viele Notfallszenarien. Die Einhaltung des Sicherheitskonzepts wird durch die zuständige Aufsichtsbehörde, die Bundesnetzagentur, in regelmäßigen Abständen geprüft.
Die Vertrags- und Nutzungsbedingungen, ergänzt durch die jeweils einschlägige Leistungsbeschreibung, regeln die Nutzung der sipgate Dienste durch die Kunden:innen.
Die Datenschutzerklärung beschreibt, wie sipgate personenbezogene Daten sammelt, empfängt, verwendet, speichert, teilt, überträgt und verarbeitet.
Der Vertrag zur Verarbeitung von Daten im Auftrag legt fest, wie sipgate personenbezogene Daten im Auftrag der Kund:innen im Zusammenhang mit den von sipgate bereitgestellten Dienstleistungen verarbeitet und enthält Informationen über die Subunternehmer, mit denen sipgate arbeitet und den Umfang ihrer Datenverarbeitung.
sipgate verpflichtet sich, die Verfügbarkeit seiner Systeme sicherzustellen, indem alle angemessenen kommerziellen Anstrengungen unternommen werden, um eine jährliche Serviceverfügbarkeit von 99,95 % für den Telefoniedienst zu gewährleisten. Ferner bietet sipgate Echtzeit-Updates und historische Daten zum Systemstatus auf einer Statusseite an.
Infrastruktursicherheit schützt die zugrunde liegenden Systeme und Netzwerke, auf denen Daten gespeichert und verarbeitet werden, vor unbefugtem Zugriff, Manipulation und Ausfällen.
sipgate bietet Echtzeitinformationen über den Systemstatus und die Sicherheit auf der Statusseite. Diese Statusseite hostet live und historische Daten zur Systemleistung. Falls es Unterbrechungen im Service gibt, werden hier vorab Ankündigungen veröffentlicht.
Die sipgate Produktinfrastruktur wird in Rechenzentren in Deutschland gehostet. Alle Rechenzentren sind nach ISO 27001 zertifiziert und redundant aufgestellt.
sipgate nutzt Myra als Mitigation Anbieter zum Schutz vor DDoS Angriffen.
Auch können anomale Aktivitäten wie Produktmissbrauch, bösartige Aktivitäten, Anomalien beim Login/Benutzer sowie Verfügbarkeitsprobleme erkannt werden.
Anomale Ereignisse werden innerhalb der Software markiert und nach Schweregrad, Zeit des Auftretens und der ermittelnden Suche organisiert. Jedes Ereignis wird vom verantwortlichen Team des betroffenen Systems überprüft und bis zur Schließung verfolgt.
sipgate unterhält Notfallwiederherstellungspläne für wichtige Produktinfrastrukturen und Anbieter. Im Anschluss an jede Störung wird ein standardisierter Post Mortem Prozess durchlaufen, in dem Probleme identifiziert und Lösungen und Maßnahmen priorisiert und eingeplant werden. So wird ein wiederholtes Auftreten des Problems in Zukunft ausgeschlossen.
sipgate betreibt eigene NTP-Server, die mit NTP-Pools synchronisiert werden. Darüber hinaus werden diese NTP-Systeme regelmäßig von Externen im Rahmen der TKG-Abrechnungsgenauigkeitsanforderungen überprüft.
sipgate hat eine Staging-Produktionsumgebung für Tests und Integration, die eigenständig und vollständig getrennt von der Live-Produktionsumgebung funktioniert. Die Überführung von Code in die Produktionsumgebung erfolgt durch einen standardisierten Prozess, der auch statische Code-Analysen und Quality Gates beinhaltet.
Corporate Security gewährleistet die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmens- und Kundendaten unter Berücksichtigung der gesetzlichen Datenschutzbestimmungen.
Alle sipgate Mitarbeitenden müssen bei der Einstellung die Corporate Acceptable Use Policy (AUP), den Code Of Use Good Judgement (CUGJ) und eine Verpflichtung zum Datengeheimnis lesen und anerkennen. In diesen beiden Dokumenten werden die Sicherheitsverantwortlichkeiten der Mitarbeitenden zum Schutz von Unternehmenswerten und -daten definiert.
Das Security Operations Center (SOC) von sipgate bietet eine 24/7/365-Abdeckung, um schnell auf alle Sicherheits- und Datenschutzereignisse zu reagieren. Hierbei ist das schnelle Vorfallreaktionsprogramm von sipgate höchst reaktionsfähig und wiederholbar. Vorgegebene Vorfalltypen, basierend auf historischen Trends, werden erstellt, um eine zeitnahe Vorfallverfolgung, konsistente Aufgabenverteilung, Eskalation und Kommunikation zu erleichtern. In diesen Prozess fließen viele automatische Ereignisse ein, einschließlich Warnungen zu bösartigen Aktivitäten oder Anomalien, Anbieterwarnungen, Kundenanfragen oder Datenschutzereignissen.
Unser Sicherheitsmanagement überprüft alle sicherheitsrelevanten Vorfälle, sei es vermutet oder nachgewiesen. Ferner koordinieren wir uns mit betroffenen Kund:innen auf die optimale Vorgehensweise, abhängig von der Art des Vorfalls.
Die unternehmensweiten Passwortrichtlinien bei sipgate folgen den branchenüblichen Best Practices hinsichtlich erforderlicher Länge, Komplexität und Rotationshäufigkeit. Der Zugang zu den Unternehmenssystemen von sipgate, sowohl remote als auch vor Ort, ist zentralisiert, mit einem zweiten Faktor gesichert und nur durch ein VPN möglich. Sämtliche, im Unternehmen eingesetzten, SaaS (Software as a Service) Systeme sind durch den Google SSO Login mit zweitem Faktor abgesichert.
Das Enterprise-Risk-Management (ERM)-Programm bei sipgate stellt sicher, dass kontinuierliche Risikoanalysen durchgeführt werden. Hierbei werden Risiko- und Schadensminderungsaktivitäten verfolgt und in festgelegten Abständen überprüft. Ferner hat sipgate mit der Foundation-AG ein internes Organ geschaffen, das sich explizit um die Bewertung und Einordnung von Risiken kümmert.
sipgate stellt sicher, dass alle Mitarbeitende für ihre Rolle passende Sicherheitsschulungen bekommen. Innerhalb von 30 Tagen nach Beginn der Beschäftigung muss an einer Schulung zum Thema Sicherheitsbewusstsein teilgenommen werden. Entsprechende Trainings werden in jährlichen Intervallen angeboten. Ferner werden die Mitarbeitenden über aktuelle Sicherheitsnachrichten oder Initiativen kontinuierlich informiert. Zusätzlich zu den bereits genannten Maßnahmen führt sipgate Pishing-Bewusstseins-Trainings und Simulationen durch und bietet rollenspezifische Schulungen für bestimmte Positionen an. Final schult sipgate durch aktives Tooling bei der Softwareentwicklung das allgemeine Sicherheitsbewusstsein auch im Alltag ständig weiter.
Das Security Operations Center (SOC) von sipgate bietet eine 24/7/365-Abdeckung, um schnell auf alle Sicherheits- und Datenschutzereignisse zu reagieren. Hierbei ist das schnelle Vorfallreaktionsprogramm von sipgate höchst reaktionsfähig und wiederholbar. Vorgegebene Vorfalltypen, basierend auf historischen Trends, werden erstellt, um eine zeitnahe Vorfallverfolgung, konsistente Aufgabenverteilung, Eskalation und Kommunikation zu erleichtern. In diesen Prozess fließen viele automatische Ereignisse ein, einschließlich Warnungen zu bösartigen Aktivitäten oder Anomalien, Anbieterwarnungen, Kundenanfragen oder Datenschutzereignissen.
Unser Sicherheitsmanagement überprüft alle sicherheitsrelevanten Vorfälle, sei es vermutet oder nachgewiesen. Ferner koordinieren wir uns mit betroffenen Kund:innen auf die optimale Vorgehensweise, abhängig von der Art des Vorfalls.
Zusätzlich zum SOC hat sipgate ein dediziertes Security-Team zur Prävention von Bedrohungen und Erkennung von potenziellen Schwachstellen etabliert. Dieses Team arbeitet systematisch daran, Schwachstellen zu entdecken und diese zu beheben.
sipgate nutzt zur Unterstützung der Produktentwicklung, sowie für interne Operationen Dienstleistungen von Drittanbietern. Dazu unterhält sipgate ein Lieferantenmanagement-Programm, welches sicherstellen soll, dass angemessene Sicherheits- und Datenschutzkontrollen vorhanden sind. Dieses Programm umfasst die Inventarisierung, Verfolgung und Überprüfung der Sicherheitsprogramme der Anbieter, die sipgate unterstützen.
Angemessene Schutzmaßnahmen werden in Bezug auf die erbrachte Dienstleistung und die ausgetauschten Daten bewertet. Die laufende Einhaltung der erwarteten Schutzmaßnahmen wird im Rahmen unserer vertraglichen Beziehung zu den Dienstleistern verwaltet. Die Sicherheits-, Datenschutz-, Rechts- und Compliance-Teams koordinieren sich mit Geschäftsinteressengruppen im Rahmen des Drittanbietermanagementprüfungsprozesses. Eine entsprechende Liste der Subunternehmer wird in einem Datenverarbeitungsvertrag geführt.
Product Security bezeichnet die Gesamtheit der technischen und organisatorischen Maßnahmen, die gewährleisten, dass ein Produkt personenbezogene Daten und sensible Informationen vor unbefugtem Zugriff, Manipulation und Verlust schützt sowie die geltenden Datenschutzbestimmungen einhält.
Aktionen und Ereignisse, die innerhalb der sipgate Anwendungen auftreten, werden konsistent und umfassend protokolliert. Diese Protokolle werden indexiert, in einer zentralen Protokollierungslösung gespeichert und in sipgate eigenen Rechenzentren sicher verwahrt. Sicherheitsrelevante Protokolle werden ebenfalls aufbewahrt und indexiert, um Ermittlungs- und Reaktionsaktivitäten zu erleichtern. Der Aufbewahrungszeitraum der Protokolle hängt von der Art der protokollierten Daten ab.
Um die anvertrauten Daten zu schützen, verfolgt sipgate einen mehrschichtigen Sicherheitsansatz und implementiert Sicherheitskontrollen in der gesamten Organisation.
Kund:innen, welche die integrierte Anmeldung von sipgate nutzen, werden ermutigt, die Zwei-Faktor-Authentifizierung für ihr sipgate Konto einzurichten. Weitere Informationen und Hilfe zu diesem Thema finden Sie im folgenden Hilfecenter-Artikel.
Die sipgate Dienste ermöglichen es, eingerichtete Benutzer:innen zwischen Admin-Usern mit weitreichenden Rechten und normalen Usern mit eingeschränkten Rechten zu unterscheiden. Weitere Informationen und Hilfe zu diesem Thema finden Sie im folgenden Hilfecenter-Artikel.
sipgate ermöglicht es Benutzer:innen, einen Login über „Mit Google / Apple anmelden“ oder Single-Sign-On (SSO) zu nutzen, wobei die erstgenannte Funktion (Mit Google / Apple anmelden) allen Kund:innen zur Verfügung steht.
Eine entsprechende Passwortpolitik kann in den jeweiligen Google-/Apple-Accounts konfiguriert werden. Kund:innen, die einen SSO-Anbieter nutzen, können die SSO-basierte Anmeldung für alle ihre User einrichten. Weitere Informationen und Hilfe zu diesem Thema finden Sie im folgenden Hilfecenter-Artikel.
Christian Solmecke
Anwalt für Internet- und Medienrecht
Data Security ist ein Teilbereich des Datenschutzes und zielt darauf ab, personenbezogene Daten vor Missbrauch zu schützen und die gesetzlichen Bestimmungen einzuhalten.
Der Zugang zu sipgate Systemen ist streng kontrolliert und folgt dem Prinzip der geringsten Berechtigung. Der Zugriff für sipgate Mitarbeitende erfolgt nach einem rollenbasierten Zugriffskontrollmodell (RBAC).
sipgate legt betriebliche Anforderungen fest, welche die Erreichung der wichtigsten Serviceverpflichtungen, relevanter Gesetze und Vorschriften, sowie anderer Systemanforderungen, einschließlich der Zugangskontrolle, unterstützen. Um Benutzerzugriffsanfragen, Änderungen und Löschungen zu verwalten, wurde von sipgate ein entsprechender Prozess eingerichtet. Dieser Prozess variiert je nach der Art des benötigten Zugriffs oder ob das System mit der Unternehmens- oder Produktinfrastruktur verbunden ist. Administrativer und risikobehafteter Zugriff wird entweder vorab, basierend auf der funktionalen Rolle des Mitarbeitenden im Unternehmen, genehmigt oder durch eine Genehmigung im Workflow vor der Bereitstellung autorisiert. Benutzer, die eine Änderung für zusätzlichen Zugriff anfordern, durchlaufen denselben Prozess.
Alle Systeme werden regelmäßig mit festgelegten Zeitplänen und Frequenzen gesichert. Hierbei werden bis zu 30 Tage an Sicherungen für jede Datenbank aufbewahrt, um eine Wiederherstellung zu gewährleisten. Sicherungen werden auf erfolgreiche Ausführung überwacht. Im Falle von Ausnahmen werden Warnungen generiert, Fehlermeldungen eskaliert, untersucht und behoben. Entsprechende Warnungen sind für alle Sicherungen eingerichtet und werden priorisiert. Die erzeugten Daten werden täglich in ein anderes Rechenzentrum übertragen.
sipgate stellt aktiven Kund:innen Werkzeuge zur Verfügung, selbst ihre Daten zu löschen oder zu exportieren.
Die Daten der Kund:innen werden so lange aufbewahrt, bis eine schriftliche Anfrage seitens des Kunden / der Kundin zur Löschung aus Live-Datenbanken eingereicht wird oder nach einem festgelegten Zeitraum nach Beendigung aller Vereinbarungen mit dem jeweiligen Kunden /der jeweiligen Kundin.
Informationen, die in Replikationen, Snapshots und Backups gespeichert sind, werden nicht aktiv gelöscht, sondern altern natürlich aus den Repositories, während der Datenlebenszyklus fortschreitet. sipgate behält bestimmte Daten wie Protokolle und zugehörige Metadaten, um Sicherheits-, Compliance- oder gesetzliche Anforderungen zu erfüllen.
Weitere Informationen zu diesem Thema finden Sie in der sipgate Datenschutzerklärung im Abschnitt A. Allgemeines zur Datenverarbeitung, III. Datenlöschung/Speicherdauer.
sipgate nutzt Technologien, um sicherzustellen, dass gespeicherte sensible Daten immer verschlüsselt werden. Plattformdaten werden mit AES-Verschlüsselungsmechanismen gespeichert, Passwörter gemäß den besten Branchenpraktiken gehasht.
Alle sensiblen Interaktionen mit sipgate (etwa API-Anrufe, authentifizierte Sitzungen, usw.), werden während der Übertragung mit TLS 1.2 oder 1.3 mit 2048-Bit-Schlüsseln oder besser verschlüsselt.
Ferner können auch Telefonate und Faxe optional mit TLS verschlüsselt übertragen werden.
Die sipgate Produktinfrastruktur wird in Rechenzentren in Deutschland gehostet. Alle Rechenzentren sind nach DIN ISO 27001 zertifiziert und redundant aufgestellt.
Endpoint Security ist ein wichtiger Bestandteil der umfassenden Datensicherheit und trägt dazu bei, personenbezogene Daten auf Endgeräten vor unbefugter Nutzung und Datenlecks zu schützen.
Wie durch eine interne Richtlinie (siehe 7. Data Privacy, Festplattenverschlüsselung) gefordert, sind sipgate eigene Geräte so konfiguriert, dass sie eine vollständige Festplattenverschlüsselung aufrechterhalten. Dies wird mit technischen Maßnahmen auf Apple-Geräten gewährleistet. Alle anderen Geräte werden entsprechend kontinuierlich überprüft.
AI-Sicherheit stellt sicher, dass KI-Anwendungen vertrauenswürdig und transparent sind und die Privatsphäre der Nutzer schützen.
sipgate nutzt ChatGPT. Die Verarbeitung der Daten erfolgt ausschließlich in Europa, Kundendaten werden nach der Fertigstellung gelöscht oder anonymisiert. Eine weitere Nutzung der Daten, zum Beispiel für Machine Learning durch OpenAI, ist vertraglich ausgeschlossen.
Unter Data Privacy versteht man gesetzlich geregelte Maßnahmen zum Schutz personenbezogener Daten vor Missbrauch, wobei insbesondere das Recht auf informationelle Selbstbestimmung der betroffenen Personen gewährleistet werden soll.
sipgate verwendet Cookies aus technischen Gründen und zur Verbesserung der User-Erfahrung. Weitere Informationen darüber, was Cookies sind, wie sipgate diese verwendet und die Rechte der Kund:innen zur Kontrolle der Verwendung, finden sich in der sipgate Cookie-Richtlinie.
Gemäß Datenverarbeitungsvereinbarung werden Kund:innen ohne unangemessene Verzögerung benachrichtigt, sobald sipgate von einer Verletzung personenbezogener Daten Kenntnis erhält. Informationen zur Verletzung personenbezogener Daten werden, sobald bekannt oder auf angemessene Anfrage des Kunden / der Kundin, bereitgestellt.
Auf Anfrage von Kund:innen wird sipgate schnellstmöglich die erforderliche Unterstützung leisten, um den Kund:innen zu ermöglichen, relevante Datenpannen an die zuständigen Behörden und/oder betroffene Personen zu melden.
Die sipgate GmbH hat einen eigenen Datenschutzbeauftragten bestellt.
Wie durch eine interne Richtlinie (Notebookvereinbarung, die jeder Mitarbeitende bei Erhalt unterzeichnen muss) gefordert, sind sipgate eigene Geräte so konfiguriert, dass sie eine vollständige Festplattenverschlüsselung aufrechterhalten. Dies wird mit technischen Maßnahmen auf Apple-Geräten gewährleistet. Alle anderen Geräte werden entsprechend kontinuierlich überprüft.
sipgate hat ein internes Team für Schwachstellen und Bedrohungen, welches Schwachpunkte aufdeckt und sicherstellt, dass Best Practices zur Sicherung des Produkts implementiert sind.
Hier finden Sie alle wichtigen Dokumente als Downloads zentral an einer Stelle.