Dieses Kapitel beschreibt den operativen Betrieb der ecrop-Plattform und die Maßnahmen zur Sicherstellung eines reibungslosen, sicheren und effizienten Betriebs. Es bietet detaillierte Informationen zu den Prozessen, Verantwortlichkeiten und Tools, die für den reibungslosen Ablauf der Plattform unerlässlich sind.

Platform Management

Das Plattform-Management umfasst alle Aktivitäten, die für den sicheren und effizienten Betrieb der ecrop-Plattform notwendig sind. Es umfasst die folgenden Bereiche:

  • Benutzerverwaltung: Die Benutzerverwaltung umfasst das Anlegen, Ändern und Löschen von Benutzerkonten, die Zuweisung von Rollen und Berechtigungen gemäß dem Rollenkonzept, die Verwaltung von Benutzergruppen und -profilen sowie Self-Service-Funktionen für Benutzer, z.B. Passwortzurücksetzung.

  • Konfiguration: Die Konfiguration umfasst die Verwaltung von Plattform-Einstellungen, z.B. Benachrichtigungen, API-Limits und Sicherheitsrichtlinien, sowie die Verwaltung von Systemparametern und -konfigurationen. Die Konfiguration erfolgt über eine benutzerfreundliche Oberfläche und wird in einem sicheren Konfigurationsmanagement-System gespeichert. Infrastructure-as-Code (IaC) wird für die automatisierte Bereitstellung und Konfiguration der Infrastruktur verwendet.

  • Systemüberwachung: Das Monitoring umfasst die kontinuierliche Überwachung aller Systeme und Anwendungen, um die Verfügbarkeit, Performance und Sicherheit zu gewährleisten. Es werden Monitoring-Tools wie z.B. Prometheus, Grafana und CloudWatch eingesetzt. Automatische Benachrichtigungen und Alarme werden bei kritischen Ereignissen generiert.

Sicherheitsmanagement

Das Sicherheitsmanagement umfasst alle Maßnahmen zum Schutz der ecrop-Plattform vor Bedrohungen. Es umfasst die folgenden Bereiche:

  • Zugriffskontrollen: Strenge Zugriffskontrollen auf allen Ebenen (Netzwerk, Anwendung, Daten). Rollenbasierte Zugriffskontrolle (RBAC) und Multi-Faktor-Authentifizierung (MFA). Regelmäßige Überprüfung und Aktualisierung der Zugriffsrechte. Protokollierung aller Zugriffe und Sicherheitsereignisse.

  • Schlüsselmanagement: Sichere Generierung, Speicherung, Rotation und Wiederherstellung von Schlüsseln. Verwendung von Hardware Security Modules (HSMs) für die Offline-Speicherung von privaten Schlüsseln. Mehrstufige Zugriffskontrollen und Verschlüsselung für den Schutz der Schlüssel.

  • Incident Response: Definierter Prozess für die Behandlung von Sicherheitsvorfällen und Störungen.

    Klare Rollen und Verantwortlichkeiten im Incident Response Team. Eskalationswege und Kommunikationsrichtlinien. Regelmäßige Schulungen und Übungen für das Incident Response Team. Die ecrop GmbH nutzt ein Ticketsystem (Jira Service Management) zur Bearbeitung und Dokumentation von Incidents.

  • Schwachstellenmanagement: Kontinuierliche Analyse und Bewertung von Schwachstellen. Regelmäßige Sicherheitsüberprüfungen und Penetrationstests. Zeitnahe Behebung von Schwachstellen gemäß einem definierten Prozess. Nutzung eines Schwachstellen-Management-Tools zur Erfassung, Priorisierung und Verfolgung von Schwachstellen.

  • Datensicherung und -wiederherstellung: Regelmäßige und automatisierte Backups aller kritischen Daten und Systeme. Sichere Speicherung der Backups an einem externen Standort. Getestete Wiederherstellungsprozesse, um die Daten im Notfall wiederherzustellen. Die ecrop GmbH nutzt verschiedene Backup- und Recovery-Mechanismen, um die Daten und Systeme im Katastrophenfall wiederherzustellen. Dazu gehören Snapshots, Backups und Replikationen.

  • Notfallmanagement und Business Continuity: Die ecrop GmbH verfügt über ein umfassendes Notfallmanagement und Business-Continuity-Planning (BCP), um die Geschäftskontinuität im Falle von größeren Störungen oder Katastrophen sicherzustellen. Die Pläne werden regelmäßig geprüft und aktualisiert.

  • Compliance und Audit: Die ecrop GmbH stellt sicher, dass der operative Betrieb den regulatorischen Anforderungen entspricht und die Einhaltung der Compliance-Vorgaben gewährleistet ist. Regelmäßige Audits durch interne und externe Prüfer.