Cloudflare hat sich seit seiner Gründung für die Sicherheit seiner Kunden auf der ganzen Welt eingesetzt. Unsere Dienste schützen den Datenverkehr und die Daten unserer Kunden sowie unsere eigenen. Wir verbessern und erweitern diese Dienste kontinuierlich, um auf die sich verändernde Bedrohungslandschaft im Internet zu reagieren. Das Sicherheitsteam konzentriert sich auf Menschen, Beweise und Transparenz. So stellen wir sicher, dass jeder Berührungspunkt mit unseren Produkten und unserem Unternehmen verlässlich ist.
Menschen
Unser Sicherheitsteam verfügt über ein umfangreiches, breit gefächertes und brandaktuelles Wissen. Als Sicherheitsteam in einem Sicherheitsunternehmen zu arbeiten, bedeutet, dass wir hochgradig technisch versiert sind, divers, bereit sind, alle Produkte im eigenen Unternehmen zu testen, und unser Wissen mit unseren lokalen und globalen Communities durch Branchenverbände und Präsentationen auf Konferenzen weltweit zu teilen. Durch den Kontakt mit unseren Kunden und Kollegen bei Meetings und Konferenzen können wir uns über Probleme austauschen, etwas über kommende Branchentrends erfahren und Feedback austauschen, um das Kundenerlebnis zu verbessern. Neben der Durchführung eines formal dokumentierten, risikobasierten Sicherheitsprogramms für Cloudflare treiben die Teammitglieder die kontinuierliche Verbesserung in unseren Produkt- und Infrastrukturteams voran, indem sie Änderungen prüfen und beraten, Schwachstellen identifizieren und behandeln, die Autorisierung und den Zugriff auf Systeme und Daten kontrollieren, Daten während der Übertragung und im Ruhezustand verschlüsseln und Bedrohungen und Vorfälle erkennen und darauf reagieren.
Beweise
Behauptungen zum Thema Sicherheit sind schön und gut. Doch wie kann ein Kunde sicher sein, dass wir tun, was wir sagen? Wir unterziehen uns mehrmals im Jahr Audits, um zu beweisen, dass unsere Sicherheitspraktiken den Branchenstandards entsprechen. Bis heute hat Cloudflare regelmäßig die Konformität mit den Standards PCI DSS (als Händler und als Service Provider), SOC 2 Typ II, ISO 27001 und ISO 27701 geprüft und aufrechterhalten. Unabhängig davon, wo auf der Welt sich unsere Kunden befinden, werden sie sich wahrscheinlich auf mindestens einen dieser Standards verlassen müssen, um die Daten ihrer Kunden zu schützen. Wir nehmen die Verantwortung wahr, das Rückgrat dieses Vertrauens darzustellen.
Der Kundenstamm von Cloudflare wächst in immer mehr regulierte Branchen mit komplexen und strengen Anforderungen. Deshalb haben wir beschlossen, unser globales Netzwerk in diesem Jahr nach drei zusätzlichen Standards zu prüfen:
- FedRAMP, das US Federal Risk and Authorization Management Program, das unsere Systeme und Praktiken anhand des Standards für den Schutz von Daten der US-Behörden in Cloud Computing-Umgebungen bewertet. Cloudflare ist auf dem FedRAMP Marketplace als „In Process“ für eine behördliche Zulassung auf der Stufe „Moderate impact“ gelistet. Wir befinden uns in den letzten Schritten des Abschlusses unseres Sicherheitsbewertungsberichts (Security Assessment Report) durch unsere Prüfer und sind auf dem besten Weg, im Jahr 2022 eine Betriebsgenehmigung zu erhalten.
- ISO 27018, die unsere Praktiken zum Schutz personenbezogener Daten (PII) als Cloud-Anbieter prüft. Diese Erweiterung der Norm ISO 27001 stellt sicher, dass unser Informationssicherheitsmanagementsystem (ISMS) die mit der Verarbeitung von PII verbundenen Risiken beherrscht. Wir haben die Bewertung durch Dritte abgeschlossen und warten auf unsere Zertifizierung im kommenden Monat.
- C5, Cloud Computing Compliance Criteria Catalog, eingeführt vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland, ist eine Validierung anhand eines definierten Basis-Sicherheitsniveaus für Cloud Computing. Cloudflare wird derzeit von externen Prüfern anhand dieses Katalogs bewertet. Erfahren Sie hier mehr über unseren Weg.
Transparenz
Unser Engagement für die Sicherheit unserer Kunden und unseres Geschäftsbetriebs bedeutet, dass wir sehr transparent sein müssen. Wenn ein Sicherheitsvorfall eingedämmt wird, müssen wir in unserem Reaktionsplan nicht nur unsere Rechts-, Compliance- und Kommunikationsteams einbeziehen, um die Benachrichtigungsstrategie festzulegen. Wir beginnen auch damit, einen detaillierten Überblick darüber zu geben, wie wir reagieren, selbst wenn wir noch dabei sind, Abhilfe zu schaffen.
Wir wissen aus erster Hand, wie frustrierend es sein kann, wenn Ihre kritischen Lieferanten während eines Sicherheitsvorfalls schweigen und lediglich eine einseitige juristische Antwort geben, die nicht offenbart, wie sie von der Sicherheitslücke oder dem Vorfall betroffen waren. Hier bei Cloudflare ist Transparenz unser wichtigstes Anliegen. Sie sehen das an den Blog-Beiträgen (Verkada-Vorfall, Log4j), die wir verfassen und daran, wie schnell wir unseren Kunden zeigen, wie wir reagiert haben und was wir tun, um das Problem zu beheben.
Eine der häufigsten Fragen, die wir von unseren Kunden zu Vorfällen erhalten, ist die, ob unsere Drittanbieter betroffen waren. Schwachstellen in der Supply Chain, wie z.B. Solarwinds und Log4j, haben uns dazu veranlasst, Effizienzsteigerungen zu schaffen. So können wir beispielsweise automatisierte Anfragen an alle unsere kritischen Lieferanten auf einmal stellen. Während der Eindämmungsphase unseres Reaktionsprozesses auf Sicherheitsvorfälle ist unser externes Risikoteam schnell in der Lage, die betroffenen Anbieter zu identifizieren und unsere Produktions- und Sicherheitsanbieter zu priorisieren. Unsere Tools ermöglichen es uns, Anfragen an Dritte sofort auszulösen. Unser Team ist in den Prozess der Reaktion auf Vorfälle integriert, um eine effektive Kommunikation zu gewährleisten. Alle Informationen, die wir von unseren Anbietern erhalten, geben wir an unsere Security Compliance-Foren weiter. Auf diese Weise stellen wir sicher, dass andere Unternehmen, die sich ebenfalls bei ihren Anbietern erkundigen, keine doppelte Arbeit leisten müssen.
Vorteile
Diese wiederkehrenden Audits und Bewertungen sind nicht bloß Website-Badges. Unser Sicherheitsteam erbringt nicht nur Beweise, um Audits zu bestehen. Unser Prozess umfasst die Identifizierung von Risiken, die Bildung von Kontrollen und Prozessen zur Bewältigung dieser Risiken, den kontinuierlichen Betrieb dieser Prozesse, die Bewertung der Effektivität dieser Prozesse (in Form von internen und externen Audits und Tests) und die Durchführung von Verbesserungen des ISMS auf der Grundlage dieser Bewertungen. Einige Punkte, die unseren Prozess von jenem anderer Anbieter hervorhebt, sind:
- Viele Unternehmen setzen sich nicht mit den Anbietern in Verbindung oder haben diesen Prozess nicht in ihre Verfahren zur Reaktion auf Vorfälle integriert. Für log4j hat unser Vendor Security Team (Team für Anbietersicherheit) mit dem Reaktionsteam telefoniert und regelmäßig Updates zu den Reaktionen der Anbieter geliefert, sobald der Vorfall erkannt wurde.
- Viele Unternehmen kommunizieren nicht proaktiv mit ihren Kunden, wie wir es tun. Wir kommunizieren auch dann, wenn wir rechtlich nicht dazu verpflichtet sind. Denn wir sind der Meinung, dass es das Richtige ist, unabhängig von den Anforderungen.
- Die Tools in diesem Bereich sind in der Regel auch nicht flexibel genug, um kundenspezifische Fragebögen schnell an Anbieter zu versenden. Wir haben eine Automatisierungsfunktion eingerichtet, um diese Fragen sofort in großen Mengen zu versenden und stimmen sie auf die jeweiligen Sicherheitslücken ab.
Der letzte Schritt besteht darin, unseren Kunden das Ergebnis unserer Sicherheitsbewertung mitzuteilen. Kunden können unsere Sicherheitszertifizierungen und Bewertungsergebnisse von ihrem Cloudflare Dashboard herunterladen oder bei ihrem Account-Team anfordern. Die neuesten Informationen über unsere Zertifizierungen und Berichte finden Sie unter unserem Trust Hub.