• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

"Hochsicherheits"-Server

G

Gast[200516]

Guest
Hallo Leute,

Ich benötige für ein sensibles Projekt (also jetzt keine Bank - aber fast so schlimm :D) einen Server (reicht theoretisch eig. auch Virtuell). Es soll mit Hochsensiblen Kundendaten umgegangen werden, und auch mit streng vertraulichen Dokumenten. Habt ihr da vom Server-Hoster her einen Tipp, oder kann man da theoretisch auch PHP-Friends oder STRATO nehmen?

Liebe Grüße
 
Das kommt ein wenig drauf an, was denn in den Projektspezifikationen bezüglich Sicherheit drin steht.

Von "das root-PW muss min. 8 Zeichen haben" bis zu Unbedenklichkeits-Bescheinigungen der kompletten RZ-Belegschaft ist da alles drin. Und je nach dem fällt eben der eine oder andere Hoster raus oder man kann Virtuelle Systeme verwenden oder eben nicht. Oder halt nur auf ded. eigener Hardware oder, oder, ....
 
Für sensible Projekte kann es, wie marce schon andeutet, Auflagen an das Rechenzentrum und den Betreiber geben. Accelerated ist Tüv Stufe-3 zertifiertes Rechzentrum, für kritische Infrastrukturen ist aber oft die Auszeichnung "Hochsicherheitsrechenzentrum" notwendig oder zumindest stark empfehlenswert.
Allein um Schuldzuweisungen zu reduzieren wären dann noch Sachen wie Chassis-Intrusion Erkennung, Verschlüsslung der Datenträger (Empfehlung: SSD's!) und Garantiesticker Begriffe die du genauer anschauen solltest.

Wenn du bspw Kreditkartendaten speicherst oder verarbeitest (bspw als Shopbetreiber) wird ein normales Rechzentrum laut PCI SAQ wegen Zugriffsmöglichkeit durch Dritte nicht mehr unbedingt ausreichen.
 
Hochsicherheit kommt nicht nur von einem darunter liegenden Rechenzentrum.
Mit AWS könnte man auch was sicheres bauen. Die haben PCI DSS 3.1

Das ist aber nur ein sehr kleiner Teil einer hochsicheren Umgebung. Dazu kommt dann die Service Architektur, die man da baut. Dann halt sowas wie encryption at rest (wurde ja schon angesprochen), Prozesse und deren Dokumentation. Wer hat Zugriff, wie werden Änderungen am System dokumentiert. ISO9001, ISO27001. Datenschutz ist auch ein großes Thema. Kategorisierung von Daten und davon abhängig definierte Schutzniveaus die dann entsprechende technische Implementation von Maßnahmen zum Schutz brauchen. u.s.w.

PS.: Ich bezweifle, dass man mit einem einzelnen Server eines (Billig-)Hosters eine hochsichere Umgebung bauen kann.
 
Sag doch einfach mal welche Art von Daten du speichern möchtest und wir können entsprechend beraten.

Häufig macht es auch Sinn einen Dienstleister (über API) einzubinden (Beispiel Payment-Gateway, um die eigenen Server aus dem "PCI-DSS-Scope" zu nehmen).

Gruß
Markus
 
ADV / TOM ist an sich kein Problem. Bei uns Hosten auch einige Kunden die kundenkritische Daten verarbeiten wie z.B. Krankendaten. Wir hätten dafür auch bereits Vorlagen für eine ADV sowie ein offenes Verfahrensverzeichnis und einen Datenschutzbeauftragten. Gerne kann ich dir diese einmal zukommen lassen.
 
Ich würde mich der Thematik gerne mal anschließen, mitlesen und verfolgen, da mich das Thema auch interessiert. Ein Bekannter von mir betreibt einen Shop und würde den gerne bei mir auf dem Server ablegen, so das ich sein Hosting mache da ich ihm im Vergleich zu seinem aktuellen Anbieter einen guten "Kurs" für ein SSL Zertifikat machen kann :)

Da aber mein dedizierter Server bei Hetzner steht, gehe ich jetzt mal nicht davon aus das die Rechenzentren von denen "Hochsicherheit" haben, bei den Preisen. Oder liege ich da etwa falsch?

Gruß, Domi
 
naja, das verlinkte PDF sagt zu der Problematik erst mal so rein gar nichts belastbares aus.

Entscheidend ist - wie schon oft erwähnt - erst mal, welche Daten denn auf dem Server gehalten werden. Aus denen ergibt sich entweder durch gesetzliche Vorgaben (so schwammig die auch teilweise formuliert sind) und den Vorgaben der Kunden eine Sicherheitsanforderung, die vom Server-Betreiber und ggf. dem Hoster erfüllt werden müssen.
 
Also ich persönlich würde mal behaupten dass vServer keinen besonders hohen Sicherheitsanforderungen entsprechen. Schließlich laufen die als Images auf dem Host-System.
Und es sollte eigentlich kein Problem sein im laufenden Betrieb das Image wegzukopieren und woanders zu mounten.
Damit kann jeder der Zugriff zum Hostsystem hat (und du weiß nicht wer das alles ist) deine Datein lesen...
 
Hallo Leute,

Ich benötige für ein sensibles Projekt (also jetzt keine Bank - aber fast so schlimm :D) einen Server (reicht theoretisch eig. auch Virtuell). Es soll mit Hochsensiblen Kundendaten umgegangen werden, und auch mit streng vertraulichen Dokumenten. Habt ihr da vom Server-Hoster her einen Tipp, oder kann man da theoretisch auch PHP-Friends oder STRATO nehmen?

Dafür mietet man sich ein dediziertes System - keinen 5€ vServer bei irgendeinem Massenanbieter. Den Rest kann man bequem per crypted fs regeln.

Hetzner definiere ich nicht als hochsicher. Dazu gibt es andere Kaliber an Gebäudeinfrastrukturen - spontan fällt mir dazu Telehouse ein, womöglich auch noch Interxion Frankfurt - z.B. FRA8, abhängig nach Gebäude und dessen Baujahr.

Banken müssen ihre Infrastruktur meines Wissens nach PCI DSS betreiben, definiere fast so schlimm.
 
Last edited by a moderator:
Back
Top