ACSC – Cloud-Computing-Sicherheit für Cloud-Serviceanbieter – Überblick der Leitlinien für 2023

1 – Allgemein

Bewerte den Cloud-Service und die zugrunde liegende Infrastruktur (in dieser Veröffentlichung wird ausdrücklich auf Maßnahmen zur Risikominderung eingegangen) anhand des ISM [1] für die Klassifizierungsstufe, die für den Umgang mit den Daten des Mandanten erforderlich ist.

Atlassian verfügt über solide Mechanismen, die die Einhaltung der Data Privacy Framework-Prinzipien sicherstellen.. Personen, die von der Nichteinhaltung dieser Grundsätze betroffen sind, stehen Rechtsmittel zur Verfügung und bei Nichteinhaltung der Prinzipien drohen Konsequenzen. Hierfür werden regelmäßige und Ad-hoc-Selbstbeurteilungen sowie bei Bedarf auch externe Audits und Compliance-Überprüfungen durchgeführt. Besonders hervorzuheben ist hier unsere jährliche Zusammenarbeit mit TrustArc, einem Drittanbieter, der bestätigt, dass unsere Datenschutzpraktiken den Data Privacy Framework-Prinzipien entsprechen. Dieser Drittanbieter steht hinter unserer Selbstzertifizierung und stellt zudem unabhängige Streitschlichtungsservices für Kundenbeschwerden im Zusammenhang mit dem Datenschutz bereit. Wir verfolgen und überwachen die Compliance außerdem mithilfe von Jira-Tickets, die zusammen mit unseren Selbstbeurteilungen, mitunter durchgeführten externen Audits/Compliance-Überprüfungen und allen vorhandenen Behebungsplänen als Audit-Trail verwendet werden können. Wir überwachen die Datenverarbeitungspraktiken und verfügen über ein Programm für Datenschutzverstöße, um Datenschutzvorfälle/-verstöße zu verfolgen.

2. Allgemein

Implementierung einer Sicherheits-Governance, bei der die Geschäftsleitung sicherheitsrelevante Aktivitäten, einschließlich eines soliden Änderungsmanagements, leitet und koordiniert sowie Einsatz von technisch ausgebildetem Personal in definierten Sicherheitsrollen.

Bala Sathiamurthy ist CISO von Atlassian und in unserer Niederlassung in San Francisco ansässig. Unser Sicherheitsteam besteht aus über 230 Teammitgliedern aus den Bereichen Product Security, Security Intelligence, Security Architecture, Trust, Risk and Compliance und einem Dev- und SRE-Team in unseren Niederlassungen in Sydney, Amsterdam, Austin, Bengarulu, Mountain View, San Francisco und New York sowie einigen Teammitgliedern an Remote-Standorten.

3. Allgemein

Implementieren und jährliches Testen eines Cyber Security Incident Response-Plans, der dem Mandanten Notfallkontaktdaten, Zugriff auf forensische Beweise, auf die er normalerweise nicht zugreifen kann, sowie Benachrichtigung über Vorfälle bereitstellt.

Wir haben eine dokumentierte Security Incident Response-Richtlinie und einen entsprechenden Plan mit den folgenden Grundprinzipien:

• Antizipieren von Sicherheitsvorfällen und Vorbereitung auf die Incident Response
• Eindämmung und Beseitigung von Vorfällen und anschließende Wiederherstellung
• Investition in Mitarbeiter, Prozesse und Technologien, um sicherzustellen, dass auftretende Sicherheitsvorfälle erkannt und analysiert werden können
• Der Schutz personenbezogener Daten und Kundendaten hat bei Sicherheitsvorfällen oberste Priorität.
• Regelmäßige Testläufe des Prozesses zur Security Incident Response
• Erlernen und Verbesserung der Funktion für das Management von Sicherheitsvorfällen
• Wir melden kritische Sicherheitsvorfälle dem Führungsteam von Atlassian.

4. Allgemein

Unterstützung und Verwendung von durch das ASD zugelassenen kryptografischen Kontrollen, um Daten bei der Übertragung zwischen dem Mandanten und dem CSP zu schützen, z. B. TLS- oder IPsec-VPN auf Anwendungsebene mit zugelassenen Algorithmen, zugelassener Schlüssellänge und zugelassenem Schlüsselmanagement.

Alle Kundendaten, die in Atlassian Cloud-Produkten und -Services gespeichert sind, werden bei der Übertragung über öffentliche Netzwerke mithilfe von Transport Layer Security (TLS) 1.2+ mit Perfect Forward Secrecy (PFS) verschlüsselt, um sie vor einer unautorisierten Veröffentlichung oder Modifikation zu schützen. Unsere Implementierung von TLS setzt die Verwendung starker Chiffren und Schlüssellängen voraus, sofern diese vom Browser unterstützt werden.

Datenlaufwerke auf Servern, auf denen Kundendaten und Anhänge in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie und Trello gespeichert sind, verwenden im Ruhezustand die AES-256-Verschlüsselung nach Branchenstandard.

Im Falle von ruhenden Daten werden vor allem Kundendaten auf Festplatte verschlüsselt, z. B. Jira-Vorgangsdaten (Details, Kommentare, Anhänge) oder Confluence-Seitendaten (Seiteninhalt, Kommentare, Anhänge). Die Verschlüsselung ruhender Daten dient als Schutz vor unberechtigtem Zugriff und sorgt dafür, dass nur autorisierte Rollen und Services mit geprüftem Zugriff zu den Verschlüsselungsschlüsseln auf die Daten zugreifen können.

Atlassian nutzt den AWS Key Management Service (KMS) für das Schlüsselmanagement. Der Verschlüsselungs-, Entschlüsselungs- und Schlüsselmanagementprozess wird im Rahmen interner Prüfprozesse regelmäßig von AWS untersucht und verifiziert. Jedem Schlüssel wird ein Besitzer zugewiesen, der dafür zuständig ist, dass angemessene Sicherheitsmaßnahmen für die Schlüssel in Kraft sind.

5. Allgemein

Verwendung von durch das ASD zugelassenen kryptografischen Kontrollen, um Daten bei der Übertragung zwischen den Rechenzentren des CSP über unsichere Kommunikationskanäle wie die öffentliche Internetinfrastruktur zu schützen.

Atlassian verfügt über Richtlinien zu Verschlüsselung und Kryptografie sowie zur Implementierung. Diese Richtlinien werden jährlich im Einklang mit unserem Policy Management Program (PMP) überprüft und aktualisiert. Weitere Informationen findest du unter: Unser Atlassian Trust Management System (ATMS)

6. Allgemein

Unterstützung und Verwendung von durch das ASD zugelassenen kryptografischen Kontrollen, um ruhende Daten auf Speichermedien für die Übertragung per Post/Kurier zwischen dem Mandanten und dem CSP zu schützen, wenn Daten im Rahmen von Onboarding oder Offboarding übertragen werden.

Alle Kundendaten, die in Atlassian Cloud-Produkten und -Services gespeichert sind, werden bei der Übertragung über öffentliche Netzwerke mithilfe von Transport Layer Security (TLS) 1.2+ mit Perfect Forward Secrecy (PFS) verschlüsselt, um sie vor einer unautorisierten Veröffentlichung oder Modifikation zu schützen. Unsere Implementierung von TLS setzt die Verwendung starker Chiffren und Schlüssellängen voraus, sofern diese vom Browser unterstützt werden.

Datenlaufwerke auf Servern, auf denen Kundendaten und Anhänge in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie und Trello gespeichert sind, verwenden im Ruhezustand die AES-256-Verschlüsselung nach Branchenstandard.

Im Falle von ruhenden Daten werden vor allem Kundendaten auf Festplatte verschlüsselt, z. B. Jira-Vorgangsdaten (Details, Kommentare, Anhänge) oder Confluence-Seitendaten (Seiteninhalt, Kommentare, Anhänge). Die Verschlüsselung ruhender Daten dient als Schutz vor unberechtigtem Zugriff und sorgt dafür, dass nur autorisierte Rollen und Services mit geprüftem Zugriff zu den Verschlüsselungsschlüsseln auf die Daten zugreifen können.

Atlassian nutzt den AWS Key Management Service (KMS) für das Schlüsselmanagement. Der Verschlüsselungs-, Entschlüsselungs- und Schlüsselmanagementprozess wird im Rahmen interner Prüfprozesse regelmäßig von AWS untersucht und verifiziert. Jedem Schlüssel wird ein Besitzer zugewiesen, der dafür zuständig ist, dass angemessene Sicherheitsmaßnahmen für die Schlüssel in Kraft sind.

7. Allgemein

Bereitstellen von Identitäts- und Zugriffsmanagement, z. B. Multi-Faktor-Authentifizierung und Kontorollen mit unterschiedlichen Rechten [6], damit der Mandant den Cloud-Service über das Website-Kontrollpanel und die API des CSP nutzen und verwalten kann.

Ja. Für Confluence und Jira ist die Multi-Faktor-Authentifizierung für einzelne Konten verfügbar. Weitere Informationen darüber, wie du die Multi-Faktor-Authentifizierung aktivierst, findest du unter: Verpflichtende Zwei-Faktor-Authentifizierung

BBC unterstützt 2FA weiterhin (Stand Februar 2022), ist im Allgemeinen in Atlassian Access integriert und unterstützt auch zusätzliche Funktionen, die über Access angeboten werden. Die verpflichtende Multi-Faktor-Authentifizierung kann auf Organisationsebene mit Atlassian Access eingerichtet werden. Weitere Informationen findest du unter: Verpflichtende Zwei-Faktor-Authentifizierung

In Bezug auf spezifische Produkte: Bitbucket unterstützt MFA-basierte SSO-Optionen. Weitere Informationen findest du unter: Verpflichtende Zwei-Faktor-Authentifizierung | Bitbucket Cloud

Halp verwendet SSO über Slack OAuth und MS Teams. Slack und MS Teams bieten mehrere Optionen für die Multi-Faktor-Authentifizierung. Weitere Informationen findest du unter: SAML-Single-Sign-On & Azure AD Connect: Seamless Single-Sign-On
Opsgenie unterstützt die Verwendung von MFA-basierten SSO-Optionen. Weitere Informationen findest du unter: SSO für Opsgenie konfigurieren
Statuspage unterstützt die Verwendung von MFA-basierten SSO-Optionen.
Trello unterstützt die Multi-Faktor-Authentifizierung. Weitere Informationen darüber, wie du die Multi-Faktor-Authentifizierung aktivierst, findest du unter: Aktivierung der Zwei-Faktor-Authentifizierung für dein Trello-Konto. Jira Align unterstützt die Verwendung von MFA-basierten SSO-Optionen.

8. Allgemein

Unterstützung und Verwendung von durch das ASD zugelassenen kryptografischen Kontrollen, um Anmeldedaten und administrative Aktivitäten während der Übertragung zu schützen, wenn der Mandant den Cloud-Service über das Website-Kontrollpanel und die API des CSP nutzt und verwaltet.

Alle Kundendaten, die in Atlassian Cloud-Produkten und -Services gespeichert sind, werden bei der Übertragung über öffentliche Netzwerke mithilfe von Transport Layer Security (TLS) 1.2+ mit Perfect Forward Secrecy (PFS) verschlüsselt, um sie vor einer unautorisierten Veröffentlichung oder Modifikation zu schützen. Unsere Implementierung von TLS setzt die Verwendung starker Chiffren und Schlüssellängen voraus, sofern diese vom Browser unterstützt werden.

Datenlaufwerke auf Servern, auf denen Kundendaten und Anhänge in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie und Trello gespeichert sind, verwenden im Ruhezustand die AES-256-Verschlüsselung nach Branchenstandard.

Im Falle von ruhenden Daten werden vor allem Kundendaten auf Festplatte verschlüsselt, z. B. Jira-Vorgangsdaten (Details, Kommentare, Anhänge) oder Confluence-Seitendaten (Seiteninhalt, Kommentare, Anhänge). Die Verschlüsselung ruhender Daten dient als Schutz vor unberechtigtem Zugriff und sorgt dafür, dass nur autorisierte Rollen und Services mit geprüftem Zugriff zu den Verschlüsselungsschlüsseln auf die Daten zugreifen können.

Atlassian nutzt den AWS Key Management Service (KMS) für das Schlüsselmanagement. Der Verschlüsselungs-, Entschlüsselungs- und Schlüsselmanagementprozess wird im Rahmen interner Prüfprozesse regelmäßig von AWS untersucht und verifiziert. Jedem Schlüssel wird ein Besitzer zugewiesen, der dafür zuständig ist, dass angemessene Sicherheitsmaßnahmen für die Schlüssel in Kraft sind.

9. Allgemein

Option für den Mandanten zum Herunterladen von detaillierten zeitsynchronisierten Protokollen und zum Erhalt von Benachrichtigungen in Echtzeit, die für die Cloud-Service-Konten des Mandanten generiert wurden, über die er auf den Cloud-Service zugreift und ihn verwaltet.

Wichtige Systemprotokolle werden von jedem System an eine zentrale Protokollplattform weitergeleitet, auf der Protokolle schreibgeschützt sind. Das Atlassian-Sicherheitsteam erstellt auf unserer Plattform für Sicherheitsanalysen (Splunk) Warnmeldungen und überprüft Anzeichen für Kompromittierungen. Unsere SRE-Teams nutzen die Plattform, um Verfügbarkeits- oder Leistungsprobleme zu überwachen. Protokolle werden 30 Tage lang als Hot Backup und 365 Tage als Cold Backup aufbewahrt.

Detaillierte Schlüsselprotokolle: Organisationsaktivitäten über das Audit-Protokoll erfassen

10. Allgemein

Option für den Mandanten zum Herunterladen von detaillierten zeitsynchronisierten Protokollen und zum Erhalt von Benachrichtigungen in Echtzeit, die von dem vom Mandant verwendeten Cloud-Service generiert werden, z. B. Betriebssystem, Webserver und Anwendungsprotokolle.

Wir nutzen Casper (https://www.jamf.com) und Osquery (https://osquery.io/) zur Festlegung, was protokolliert wird und wie lange Protokolle aufbewahrt werden. Die Protokolle werden in einem logisch separierten System gespeichert und der Schreibzugriff auf die Protokolle wird auf Mitglieder des Sicherheitsteams beschränkt. Wenn bestimmte Aktionen oder Ereignisse in den Protokollen identifiziert werden, werden Benachrichtigungen an das Sicherheitsteam oder den Servicedesk gesendet. Unser zentraler Protokollierungsservice (Splunk) ist für automatische Analysen in unsere Infrastruktur für Sicherheitsanalysen integriert. Es werden Warnmeldungen erstellt, um potenzielle Probleme zu identifizieren.

Zu unseren internen und externen Sicherheitsrisikoscannern gehören Benachrichtigungen über unerwartete offene Ports oder andere Konfigurationsänderungen (z. B. TLS-Profile von Listening-Servern). Wenn bestimmte Aktionen oder Ereignisse in den Protokollen identifiziert werden, werden Benachrichtigungen an das Sicherheitsteam oder den Servicedesk gesendet.

11. Allgemein

Offenlegung der Länder und Rechtsordnungen, in denen die Daten eines Mandanten derzeit oder in den nächsten Monaten von CSP-Mitarbeitern zur Problembehebung, Remote-Verwaltung und Kundenbetreuung gespeichert, gesichert, verarbeitet und abgerufen werden.

Atlassian verwendet Amazon Web Services (AWS) in den Regionen USA Ost, USA West, Irland, Frankfurt, Singapur und Sydney (Confluence und Jira). Weitere Informationen findest du unter: Cloud-Hosting-Infrastruktur

In Bezug auf spezifische Produkte: Trello ist in AWS USA Ost (Ohio) verfügbar. Der physische Standort der Kundendaten in Jira Align kann per Supportticket-Anfrage angefordert werden. Weitere Informationen findest du unter: Jira Align-Support

Statuspage ist in den AWS-Regionen USA West (Oregon, Kalifornien) und USA Ost (Ohio) verfügbar. Opsgenie hat AWS-Konten sowohl in den USA als auch in Europa. Kunden müssen sich bei der Registrierung für AWS USA (Oregon, Kalifornien) oder EU (Frankfurt) anmelden.

Halp wird bei AWS in den Regionen USA Ost 2 und USA West 2 gehostet. Die Repositorys und Hauptanwendungsfunktionen von Bitbucket werden bei AWS in den Regionen USA Ost und USA West gehostet.

12. Allgemein

Durchführung von Hintergrundüberprüfungen der CSP-Mitarbeiter entsprechend ihrem Grad an Zugriff auf Systeme und Daten. Einhaltung der Sicherheitsfreigaben für Mitarbeiter mit Zugriff auf hochsensible Daten [7].

Ja. Weltweit werden neue Atlassian-Mitarbeiter einer Hintergrundüberprüfung unterzogen. Bei neu eingestellten Mitarbeitern infolge einer Übernahme wird nach dem Datum der Übernahme eine Hintergrundüberprüfung durchgeführt. Bei allen neuen Mitarbeitern und unabhängigen Auftragnehmern wird eine Prüfung auf Vorstrafen durchgeführt. Eine Überprüfung der Ausbildung, der bisherigen Beschäftigung oder Bonitätsprüfungen erfolgt zusätzlich, wenn die Position oder das Niveau der Position dies erfordern. Wir führen vollständige Hintergrundüberprüfungen für Führungspositionen und Buchhaltungspositionen durch.

13. Allgemein

Nutzung von physisch sichere Rechenzentren und Büros zur Speicherung der Daten eines Mandanten sowie zum Zugriff darauf [8]. Überprüfung und Dokumentation der Identität aller Mitarbeiter und Besucher. Keine unbegleiteten Besucher, um einen unbefugten Zugriff auf Daten zu verhindern.

Unsere Atlassian-Büros orientieren sich an unserer internen Richtlinien für physische und umgebungsbezogene Sicherheit, einschließlich der Überwachung physischer Ein- und Ausgangspunkte. Unsere Partnerrechenzentren verfügen über mehrere Compliance-Zertifizierungen. Diese Zertifizierungen beziehen sich auf die physische Sicherheit, die Systemverfügbarkeit, den Netzwerk- und IP-Backbone-Zugriff, die Kundenbereitstellung und das Problemmanagement. Der Zugang zu den Rechenzentren ist auf autorisiertes Personal beschränkt und wird durch biometrische Identitätsprüfungen kontrolliert. Vor Ort sorgen außerdem Wachpersonal, Videoüberwachungsanlagen, Zugangsschleusen und weitere Einbruchsschutzmaßnahmen für Sicherheit. AWS verfügt über mehrere Zertifizierungen zum Schutz seiner Rechenzentren. Informationen zur Gewährleistung des physischen Schutzes durch AWS findest du unter: http://aws.amazon.com/compliance/

14. Allgemein

Einschränkung des privilegierten Zugriffs der CSP-Mitarbeiter auf Systeme und Daten auf der Grundlage ihrer Aufgaben [9]. Alle drei Monate Erteilung einer erneuten Genehmigung für CSP-Mitarbeiter, die privilegierten Zugriff benötigen. Widerruf des Zugriffs bei Kündigung der Anstellung eines CSP-Mitarbeiters.

Atlassian beschränkt weiterhin die Mitarbeiter, die diesen Zugriff für ihre berufliche Rolle und ihre Aufgaben benötigen. Alle Tier-1-Systeme werden über die zentrale Single Sign-On (SSO)- und Verzeichnislösung von Atlassian verwaltet. Benutzer erhalten auf der Grundlage dieser Profile angemessene Zugriffsrechte, die über Workflow aus unserem Personalverwaltungssystem gesteuert werden. Atlassian nutzt MFA für den Zugriff auf alle Tier-1-Systeme. Wir haben die Zwei-Faktor-Authentifizierung für die Hypervisor-Managementkonsole und die AWS-API sowie einen täglichen Auditbericht über den gesamten Zugriff auf die Hypervisor-Verwaltungsfunktionen aktiviert. Die Zugriffslisten für die Hypervisor-Managementkonsole und die AWS-API werden vierteljährlich überprüft. Wir führen außerdem eine 8-stündige Synchronisation zwischen unserem HR-System und unserem Identitätsspeicher durch.

15. Allgemein

Umgehende Analyse der Protokolle zu den Aktionen der CSP-Mitarbeiter, die auf einem sicheren und isolierten Protokollserver protokolliert werden. Implementierung einer Aufgabentrennung, indem die Protokollanalyse von CSP-Mitarbeitern durchgeführt wird, die keine anderen Privilegien oder beruflichen Rollen haben.

Für die Kernprodukte von Atlassian gibt es Kontrollen zur Funktionstrennung, die unter anderem Folgendes beinhalten:

• Überprüfungen von Zugriffskontrollen
• Von HR-Anwendungen verwaltete Sicherheitsgruppen
• Genehmigung/Peer-Review/Implementierung von Änderungen (PRGB)
• Workflow-Kontrollen

16. Allgemein

Durchführung einer Sorgfaltspflichtprüfung der Lieferanten vor der Inanspruchnahme von Software, Hardware oder Services, um die potenzielle Erhöhung des Sicherheitsrisikoprofils des CSP einzuschätzen.

Neue Anbieter von Atlassian müssen unserem Datenschutz- und Sicherheitszusatz sowie den entsprechenden Richtlinien in unseren Verträgen zustimmen. Die Rechts- und Beschaffungsabteilungen von Atlassian überprüfen Verträge, SLAs und interne Anbieterrichtlinien, um sicherzustellen, dass der Anbieter die Anforderungen zu Sicherheit, Verfügbarkeit und Vertraulichkeit einhält. Atlassian pflegt die folgende öffentlich zugängliche Seite: Liste der Daten-Unterauftragsverarbeiter

17. Allgemein

Verwendung von durch das ASD zugelassenen kryptografischen Kontrollen, um hochsensible Daten im Ruhezustand zu schützen. Bereinigung von Speichermedien vor der Reparatur, Entsorgung und dem Offboarding eines Mandanten mit einer Geheimhaltungsvereinbarung für Daten in verbleibenden Backups.

Das Workplace Technology-Team ist für diesen Prozess zuständig. Die Geräte und Medien werden bereinigt und ggf. entmagnetisiert. Atlassian hat keine Kontrolle über physische Medien, die unsere Cloud-Produkte und -Services unterstützen.

Datenlaufwerke auf Servern, auf denen Kundendaten und Anhänge in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie und Trello gespeichert sind, verwenden im Ruhezustand die AES-256-Verschlüsselung nach Branchenstandard.

18. Allgemein

Implementierung von Mechanismen für mehrere Mandanten, um zu verhindern, dass andere Mandanten auf die Daten des Mandanten zugreifen. Isolierung von Netzwerkverkehr, Speicher, Arbeitsspeicher und Computerverarbeitung. Bereinigung von Speichermedien vor der Wiederverwendung.

Atlassian ist eine mehrmandantenfähige SaaS-Anwendung. Mehrmandantenfähigkeit ist eine wichtige Funktion von Atlassian Cloud, die es mehreren Kunden ermöglicht, eine Instanz der Jira- oder Confluence-Anwendungsebene gemeinsam zu nutzen, wobei die Anwendungsdaten ihres jeweiligen Mandanten isoliert werden. Atlassian Cloud erreicht dies durch den Tenant Context Service (TCS). Jede Benutzer-ID ist mit genau einem Mandanten verknüpft, der dann für den Zugriff auf die Atlassian Cloud-Anwendungen verwendet wird. Weitere Informationen findest du unter: Sicherheitsverfahren
Produktionsumgebungen sind logisch und physisch von Nichtproduktionsumgebungen (Entwicklungsumgebungen) getrennt und wir verwenden Methoden zur Isolierung dieser Umgebungen.
Unsere Staging-Umgebung ist logisch, nicht jedoch physisch, getrennt und wird unter Änderungskontroll- und Zugriffsverfahren der Produktionsklasse verwaltet.

19 – Allgemein

Ermögliche dem Mandanten die Durchführung aktueller Backups in einem Format, durch das keine Bindung an einen CSP entsteht. Wenn ein Konto oder ein Cloud-Service gekündigt wird, informiere den Mandanten umgehend und gib ihm mindestens einen Monat Zeit, um seine Daten herunterzuladen.

Atlassian unterhält einen Standard zur Aufbewahrung und Vernichtung von Daten, der festlegt, wie lange wir Daten verschiedener Arten aufbewahren müssen. Daten werden gemäß der Atlassian-Richtlinie für Datensicherheit und Information Lifecycle Management und den darauf aufbauenden Kontrollen klassifiziert. Was Kundendaten betrifft, so werden bei Kündigung eines Atlassian-Vertrags die Daten eines Kundenteams aus der Live-Produktionsdatenbank entfernt. Alle direkt bei Atlassian hochgeladenen Dateianhänge werden innerhalb von 14 Tagen entfernt. Die Daten des Teams verbleiben in verschlüsselten Backups, bis der 60-tägige Aufbewahrungszeitraum für diese Backups überschritten ist und sie gemäß den Atlassian-Richtlinien zur Datenaufbewahrung vernichtet werden. Für den Fall, dass innerhalb von 60 Tagen nach einer angeforderten Datenlöschung eine Datenbankwiederherstellung erforderlich ist, wird das Operations-Team die Daten so schnell wie möglich erneut löschen, wenn das Live-Produktionssystem vollständig wiederhergestellt ist. Weitere Informationen findest du unter: Speicher überwachen und Daten zwischen Produkten verschieben.

20 – Allgemein

Atlassian-Kunden sind weiterhin dafür verantwortlich, sicherzustellen, dass ihre Nutzung unseres Service gemäß den geltenden Gesetzen und Vorschriften erfolgt. Weitere Informationen zu unseren spezifischen rechtlichen Vereinbarungen und Richtlinien findest du auf unserer Seite mit rechtlichen Ressourcen: https://www.atlassian.com/legal.

21 – Allgemein

Sorge für angemessene Bandbreite, niedrige Latenz und zuverlässige Netzwerkkonnektivität zwischen dem Mandanten und dem Cloud-Service, um das vom Mandanten geforderte Verfügbarkeitsniveau zu erfüllen.

Wir überwachen alle Cloud-Instanzen auf Leistung und Verfügbarkeit, aber bieten derzeit kein formelles Service Level Agreement (SLA) für die Anwendungsverfügbarkeit an. Unser Support-Team verfügt über ein SLA zur Erstreaktionszeit. Für die Behebung durch unseren Support gibt es zwar kein offizielles SLA, wir versuchen aber, alle zugewiesenen Fälle innerhalb von 48 Stunden zu beheben. Auf der folgenden Seite bietet Atlassian Statistiken zum aktuellen Status des Cloud-Systems: https://status.atlassian.com.

Für unsere Premium- und Enterprise-Lösungen bieten wir SLA-Garantien.

22 – Allgemein

Die Lösung ist so zu entwickeln, dass die vom Mandanten geforderte Verfügbarkeitsstufe erfüllt wird. Beispiele: minimale Single Points of Failure, Clustering und Lastenausgleich, Datenreplikation, automatisches Failover und Verfügbarkeitsüberwachung in Echtzeit.

Die Business Continuity- und Disaster Recovery-Pläne für unsere Atlassian Cloud-Services werden mindestens vierteljährlich getestet. Die Verfügbarkeit in mehreren Regionen wird in Echtzeit überwacht. Jede Woche werden in der Vorproduktionsumgebung automatische regionale Failover-Tests durchgeführt. In der Produktionsumgebung werden täglich automatisierte Tests zur Wiederherstellung der Konfigurationsdaten durchgeführt.

Alle Atlassian-Services werden für die Verfügbarkeitszonen in der Vorproduktionsumgebung vierteljährlich einem Resilienztest unterzogen. Weitere Informationen zu unserem Business-Continuity-Programm findest du unter: https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e.

Unsere Disaster-Recovery-Pläne werden von unseren externen Prüfern im Rahmen unseres Compliance-Programms getestet und validiert. Weitere Informationen findest du unter: https://www.atlassian.com/trust/compliance/resources.

23 – Allgemein

Entwickle und teste jedes Jahr einen Disaster-Recovery- und Business-Continuity-Plan, um die vom Mandanten geforderte Verfügbarkeitsstufe zu erfüllen. Beispiele: Maßnahmen bei Vorfällen, die zum dauerhaften Verlust von CSP-Mitarbeitern oder Infrastruktur führen.

Eine Richtlinie für Business Continuity und Disaster Recovery sowie ein Plan für Business Continuity und Disaster Recovery sind vorhanden und werden jährlich von den dafür zuständigen Ausschüssen überprüft. Besitzer von unternehmenskritischen Systemen, Prozessen oder Services müssen im Falle einer Katastrophe und im Rahmen festgelegter Störungstoleranzen eine ordnungsgemäße Business Continuity und/oder Disaster Recovery sicherstellen. Entsprechende Pläne werden vierteljährlich geprüft, um Probleme zu identifizieren und zu beheben. Weitere Informationen findest du unter Sicherheitsverfahren und Der Resilienz-Ansatz von Atlassian.

24 – Allgemein

Implementiere Denial-of-Service-Schutzmaßnahmen, um die vom Mandanten geforderte Verfügbarkeitsstufe zu erfüllen, z. B. redundante externe und interne Netzwerkkonnektivität mit hoher Bandbreite mit Drosselung und Filterung des Datenverkehrs.

Atlassian Security Engineering verwendet IPS-Technologien, die in unsere Büroumgebungen implementiert sind. Der Schutz vor Netzwerkbedrohungen wird von AWS durchgeführt, einschließlich DDoS-Schutz und einiger Firewall-Funktionen für Webanwendungen.

Spezifische ProdukteJira Align nutzt Cloudflare für WAF, DDoS und DNS-SEC. Wir verwenden Alert Logic IDS, Protokollanalysen und Cloudtrail. Wir verwenden Nexpose, um gemeinsam genutzte Netzwerkkomponenten mit dem Atlassian-Cloud-Stack zu scannen. Wir verwenden benutzerdefinierte Protokollanalysen in Splunk.

25 – Allgemein

Stelle Infrastrukturkapazität und reaktionsschnelle automatische Skalierung zur Verfügung, um das vom Mandanten geforderte Verfügbarkeitsniveau zu erfüllen.

Atlassian plant die Kapazität 6–12 Monate im Voraus, wobei die grobe perspektivische Planung auf 36 Monate ausgelegt ist.

SLA/SLOs: Für den Betrieb von Atlassian-Systemen gelten einheitliche Serviceziele.
(1) Alle Systeme haben eine Reihe von Service Level Objectives (SLOs), die an die Kernfunktionen dieser Systeme gebunden sind.
(2) Diese SLOs werden regelmäßig überprüft (vierteljährlich oder häufiger).
(3) Einige Atlassian-Kunden erhalten Service Level Agreements (SLAs) für von Atlassian erbrachte Dienstleistungen. Diese SLAs müssen durch interne SLOs abgesichert sein.
(4) Ein Team, das einen oder mehrere SLOs nicht erreicht, muss die Wiederherstellung der jeweiligen Kennzahlen allen anderen Aufgaben voranstellen.

26 – Allgemein

Biete dem Mandanten die Möglichkeit, die Kosten eines echten Anstiegs der Nachfrage oder eines Denial-of-Service-Angriffs über vertragliche Ausgabenlimits, Benachrichtigungen in Echtzeit und konfigurierbare Limits für die Nutzung der Infrastrukturkapazität des CSP zu verwalten.

Unsere SaaS-Angebote stellen wir Kunden nicht nutzungsbasiert in Rechnung. Derzeit geben wir Kapazitäts- oder Benutzerberichte nicht an Mandanten weiter.

27 – Allgemein

Verwende vom Unternehmen zugelassene und gesicherte Computer, Jump-Server, dedizierte Konten, sichere Passphrasen und Multifaktor-Authentifizierung, um Kundensupport bereitzustellen und Cloud-Services und -Infrastruktur zu verwalten.

Mitarbeiter müssen 2FA (sofern verfügbar) und einen Passwortmanager mit zufallsgenerierten, sicheren Passwörtern verwenden. Autorisierte Mitarbeiter greifen auf die Produktionsumgebung zu, indem sie sich mit eindeutigen, starken Passwörtern und TOTP-basierter 2FA beim VPN authentifizieren und dann ausschließlich über SSH-Terminalverbindungen mit durch Passphrasen geschützte persönliche RSA-Zertifikate. SSO, SSH, 2FA und VPN sind erforderlich.

28 – Allgemein

Verwende von ASD zugelassene kryptografische Kontrollen, um Anmeldedaten und administrative Aktivitäten während der Übertragung über unsichere Kommunikationskanäle zwischen dem Rechenzentrum des CSP und dem CSP-Administrator bzw. den Kundensupportmitarbeitern zu schützen.

Alle Kundendaten, die in Atlassian-Cloud-Produkten und -Services gespeichert sind, werden bei der Übertragung über öffentliche Netzwerke mithilfe von Transport Layer Security (TLS) 1.2+ mit Perfect Forward Secrecy (PFS) verschlüsselt, um sie vor einer unautorisierten Veröffentlichung oder Modifikation zu schützen. Unsere Implementierung von TLS setzt die Verwendung starker Chiffren und Schlüssellängen voraus, sofern diese vom Browser unterstützt werden.

Datenlaufwerke auf Servern, auf denen Kundendaten und Anhänge in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie und Trello gespeichert sind, verwenden im Ruhezustand die AES-256-Verschlüsselung nach Branchenstandard.

Im Falle von ruhenden Daten werden vor allem Kundendaten auf Festplatte verschlüsselt, z. B. Jira-Vorgangsdaten (Details, Kommentare, Anhänge) oder Confluence-Seitendaten (Seiteninhalt, Kommentare, Anhänge). Die Verschlüsselung ruhender Daten dient als Schutz vor unberechtigtem Zugriff und sorgt dafür, dass nur autorisierte Rollen und Services mit geprüftem Zugang zu den Verschlüsselungsschlüsseln auf die Daten zugreifen können.

Atlassian nutzt den AWS Key Management Service (KMS) für das Schlüsselmanagement. Der Verschlüsselungs-, Entschlüsselungs- und Schlüsselmanagementprozess wird im Rahmen interner Prüfprozesse regelmäßig von AWS untersucht und verifiziert. Jedem Schlüssel wird ein Besitzer zugewiesen, der dafür zuständig ist, die Anwendung angemessener Sicherheitsmaßnahmen für den Schlüssel sicherzustellen.

29 – Allgemein

Implementiere Netzwerksegmentierung und -trennung [20] zwischen dem Internet, der von Mandanten genutzten CSP-Infrastruktur, dem Netzwerk, das der CSP zur Verwaltung von Cloud-Services und -Infrastruktur verwendet, und dem Unternehmens-LAN des CSP.

Kundendaten dürfen niemals außerhalb der Produktionsumgebung repliziert werden, die sich auf den sicheren Servern von AWS befindet. Es gibt strenge Firewall-Regeln, die den Zugriff auf die Produktionsumgebung auf unser VPN-Netzwerk und autorisierte Systeme einschränken. VPN erfordert eine Multifaktor-Authentifizierung. Für die Kernprodukte von Atlassian gibt es Kontrollen zur Funktionstrennung, die unter anderem Folgendes beinhalten:

• Überprüfungen von Zugriffskontrollen
• Von HR-Anwendungen verwaltete Sicherheitsgruppen
• Genehmigung/Peer-Review/Implementierung von Änderungen (PRGB)
• Workflow-Kontrollen

30 – Allgemein

Nutze sichere Programmierverfahren für Software, die vom CSP entwickelt wurde [21] [22] [23].

Atlassian verwendet in allen Phasen des Entwicklungslebenszyklus sichere Entwicklungspraktiken. Weitere Informationen findest du unter: Sicherheit in der Softwareentwicklung bei Atlassian.

Zu den Praktiken in der Designphase gehören Bedrohungsmodellierung, Designprüfungen und eine regelmäßig aktualisierte Bibliothek mit Sicherheitsstandards, die gewährleistet, dass Sicherheitsanforderungen berücksichtigt werden.

Während der Entwicklung verlassen wir uns auf ein obligatorisches Peer-Review-Verfahren als erste Stufe der Sicherheitsüberprüfung. Dies wird durch automatisierte statische Analyseprüfungen (SAST) und manuelle Sicherheitstests unterstützt (sowohl durch interne Teams als auch durch externe Experten, wie es unser Risikobewertungsprozess vorschreibt). Die Entwicklung wird zudem durch Schulungsprogramme zur Anwendungssicherheit und eine vom Sicherheitsteam verwaltete Sicherheitswissensdatenbank unterstützt.

Formale Betriebsbereitschafts- und Änderungskontrollprozesse stellen dann sicher, dass nur genehmigte Änderungen in die Produktion übernommen werden. Nach dem Deployment setzen wir regelmäßige automatische Schwachstellenscans und ein branchenführendes Bug-Bounty-Programm ein (https://bugcrowd.com/atlassian), um die kontinuierliche Sicherheit unserer Anwendungen zu gewährleisten.

31 – Allgemein

Sorge für eine sichere Konfiguration, laufendes Schwachstellenmanagement, schnelles Patchen, jährliche Sicherheitsüberprüfungen durch Dritte und Penetrationstests der Cloud-Services und der zugrunde liegenden Infrastruktur.

Wir beauftragen externe Beratungsunternehmen mit der Durchführung jährlicher Penetrationstests für nach außen gerichtete Anwendungen. Wir ergänzen diese Tests auch durch kleinere, fortlaufende Sicherheitstests, die von unserem internen Sicherheitstestteam durchgeführt werden. Die Bewertungsschreiben für diese Penetrationstests sowie weitere Informationen zu unserem Testprozess findest du hier: Ansatz für externe Sicherheitstests

Darüber hinaus arbeiten wir mit BugCrowd zusammen, um ein Bug-Bounty-Programm aufrechtzuerhalten, in dessen Rahmen fortlaufende Schwachstellenanalysen unserer öffentlich zugänglichen Produkte und Services durchgeführt werden. Das Programm ist hier verfügbar: https://bugcrowd.com/atlassian. Wir teilen die Ergebnisse der Penetrationstests aus unserem Bug-Bounty-Programm unter: Ansatz für externe Sicherheitstests.

Alle gefundenen Sicherheitsrisiken unterliegen unserer Richtlinie zur Behebung von Sicherheitsfehlern, in der Service Level Objectives (SLOs) definiert werden, die auf der Grundlage des Schweregrads der einzelnen Sicherheitsprobleme berechnet werden. Die relevanten Problembehebungsfristen und weitere Details zur Richtlinie findest du unter: Richtlinie zur Behebung von Sicherheitsfehlern. Details zu unserem Schwachstellenmanagement-Programm findest du unter: Atlassian-Schwachstellenmanagement.

Weitere Informationen dazu, wie wir Sicherheitsmaßnahmen in unsere Entwicklungspraktiken integrieren, findest du unter: Sicherheit in der Softwareentwicklung bei Atlassian.

32 – Allgemein

Schule alle CSP-Mitarbeiter, insbesondere Administratoren, zu Beginn des Arbeitsverhältnisses und danach jedes Jahr in diesen Bereichen: Schutz von Mandantendaten, Aufrechterhaltung der Verfügbarkeit von Cloud-Services und proaktive Erkennung von Sicherheitsvorfällen, z. B. per Prompt-Protokollanalyse.

Atlassian bietet Schulungen zur Informationssicherheit als Bestandteil des Onboardings ("Rocketfuel") für neue Mitarbeiter und fortlaufend für alle Mitarbeiter. Neue Mitarbeiter und Auftragnehmer müssen eine Vertraulichkeitsvereinbarung unterzeichnen, bevor sie für das Unternehmen arbeiten. Im Falle eines Technologiewechsels oder einer anderen größeren Umstellung werden Kurse für bestehende Mitarbeiter über unser Intranet zur Verfügung gestellt und angekündigt.

Zusätzlich zu diesen allgemeinen Schulungen zur Informationssicherheit werden für unsere Entwickler gezieltere Schulungen zum Thema sicheres Programmieren angeboten, die durch unser Programm für dedizierte Sicherheitstechniker unterstützt werden. Atlassian bietet außerdem fortlaufende themenbezogene Schulungen zu Malware, Phishing und anderen sicherheitsrelevanten Aspekten an. Mitarbeiter und Auftragnehmer von Atlassian sind verpflichtet, sich Identifikations- und Berechtigungsprüfungen zu unterziehen.

1 – IaaS

Stelle Netzwerkzugriffskontrollen bereit, die dem Mandanten die Implementierung einer Netzwerksegmentierung und -trennung ermöglichen [25], einschließlich einer Netzwerkfilterfunktion, damit die Remoteverwaltung seiner VMs ausschließlich über seine eigene IP-Adresse erfolgen kann.

Nicht zutreffend. Atlassian ist ein SaaS-Anbieter.

2 – IaaS

Stelle dem Mandanten sicher konfigurierte und gepatchte VM-Vorlagen-Images zur Verfügung. Neu bereitgestellten VMs sollten keine schwachen administrativen Passphrasen zugewiesen werden.

Nicht zutreffend. Atlassian ist ein SaaS-Anbieter.

1 – PaaS

Sichere und konfiguriere Schutzmaßnahmen für Betriebssystem, Webserver und Plattformsoftware. Beschränke eingehende und ausgehende Netzwerkverbindungen auf die erforderlichen Ports/Protokolle. Führe umgehend Patches und Protokollanalysen durch.

Nicht zutreffend. Atlassian ist ein SaaS-Anbieter.

1 – SaaS

Implementiere Kontrollen für den jeweiligen Cloud-Service. Beispiel: Biete für E-Mail-Services Funktionen wie Inhaltsfilterung mit automatisierter dynamischer Analyse von E-Mails und E-Mail-Anhängen.

Dies bieten wir in unseren Produkten an. Atlassian verwendet Proofpoint (https://www.proofpoint.com/au/products/email-protection), um Anhänge zu scannen, und ändert URLs, um Phishing-Versuche zu blockieren. Außerdem nutzt Atlassian E-Mail-Schutzfunktionen, die in Google G-Suite (Services für Cloud-Sicherheit und Datenschutz) integriert sind.

2 – SaaS

Implementiere allgemeine Kontrollen [26], z. B. begrenzte eingehende und ausgehende Netzwerkkonnektivität, beschränkt auf erforderliche Ports/Protokolle, täglich aktualisierte Antivirensoftware, Angriffserkennungssysteme und Prompt-Protokollanalysen.

Nicht zutreffend. Auf den Produktionsservern von Atlassian wird keine Anti-Malware ausgeführt, da der Schreibzugriff auf die Server nur über unsere CI/CD-Pipeline möglich ist. Die Atlassian-Anwendungsservices, in denen Jira Cloud oder Confluence Cloud gehostet werden, hosten nur den Anwendungscode. Die Server von Jira Cloud und Confluence Cloud können nur über die Deployment-Pipeline bzw. die CI/CD-Pipeline von Atlassian beschrieben werden.

Von Kunden generierte Inhalte befinden sich auf den Datenbankservern / im RDS und alle Anlagen oder andere Elemente werden in einem gemeinsamen Media-Services-Dienst gespeichert, der im Grunde nur das Frontend eines S3-Buckets ist. Das Team zur Missbrauchsbekämpfung von Atlassian kann Anhänge in Media Services entfernen, die als Malware oder anderes schädliches Material identifiziert wurden, aber nicht aktiv nach Malware suchen. Wir verlassen uns auf unsere eigenen Funktionen zur Endpunkterkennung sowie auf die kundeneigene Malware-Erkennung.

Atlassian verwendet auf allen Windows-Servern Crowdstrike Falcon. Atlassian aktualisiert die Signaturen von Crowdstrike täglich, einschließlich Malware, die dem Anbieter Crowdstrike bekannt ist.