Informationssicherheit-Programm von Akamai

Das Informationssicherheit-Programm soll klare und präzise Richtlinien, Leitfäden und Standards für Web-Sicherheit bereitstellen. Aufmerksame, motivierte und aktive Mitarbeiter sind der beste Schutz von Akamai vor dem Verlust sensibler Daten. Von allen Mitarbeitern wird erwartet, dass sie Risiken für Akamai bewerten, Abwehrmethoden entwickeln sowie die Effektivität von Schutzmechanismen überwachen.

Das Information Security Program hat folgende Ziele:

  • Optimierung des Erlebnisses und der Sicherheit unserer Kunden
  • Sicherheit als Wettbewerbsvorteil
  • Verwaltung von Sicherheits- und Datenschutzrisiken auf einer Ebene, die die Führungskräfte von Akamai für angemessen halten
  • Erfüllung aller gesetzlichen und behördlichen Anforderungen, und zwar so effizient wie möglich
  • Fortlaufende Sicherheitsschulungen für Mitarbeiter

Die grundlegenden Standards des Sicherheitsprogramms von Akamai lauten wie folgt: 

Minimale Berechtigungsvergabe.   Dies ist ein Prinzip, nach dem eine Architektur, ein Produkt oder ein Service so entworfen werden, dass jede Systemeinheit (z. B. ein einzelner Benutzer oder ein Gerät) nur die Systemressourcen und Autorisierungen erhält, die die jeweilige Einheit mindestens benötigt, um ihre Arbeit auszuführen. Dieses Prinzip schränkt das Risiko durch Unfälle, Fehler oder unautorisierte Handlungen ein.

Alle Aktionen zurückweisen, die nicht ausdrücklich erlaubt sind.   Alle Aktionen, die nicht ausdrücklich erlaubt sind, werden zurückgewiesen. Standardmäßig sollten Konfigurationen jeden Zugriff und jede Modifizierung zurückweisen, sofern diese nicht laut Spezifikation/Vertrag ausdrücklich erlaubt sind. 

Aufgabentrennung.   Bei dieser Vorgehensweise werden die Schritte einer bestimmten Systemfunktion auf unterschiedliche Rollen aufgeteilt. Zudem werden Verantwortlichkeiten und Berechtigungen auf eine Weise vergeben, die verhindert, dass Einzelpersonen oder kleine Gruppen unangemessene Kontrolle über mehrere wichtige Aspekte eines Verfahrens erhalten und unannehmbare Schäden oder Verluste verursachen. 

Tiefgreifende Verteidigung.   Dies wird durch den Aufbau mehrerer Sicherheitsebenen, die Unterteilung des Netzwerks und die Einrichtung von Zugangskontrollpunkten, die sich näher an den jeweils geschützten Assets befinden, bewerkstelligt. Dadurch ist die Gesamtsicherheit nicht nur von einem einzigen Verteidigungsmechanismus abhängig.

Risikosegmentierung.   Dient der absichtlichen und geplanten Beschränkung des Zugriffs allein auf die Daten, die mit bestimmten Personen und ihrem jeweiligen Kenntnisbedarf verknüpft werden können. Wenn eine Abteilung des Netzwerks angegriffen wurde, sollte es für den Angreifer genauso schwer sein, jede weitere Abteilung anzugreifen. 

Sicherer Ausfall.   Wenn ein System aus einem beliebigen Grund ausfällt, sollte es in einen sicheren Zustand versetzt werden. Dieses Prinzip gilt auch für den Start. Wenn das System initialisiert wird, ist der ursprüngliche Zustand zugleich auch der sicherste Zustand. Danach werden Funktionen aktiviert, die diesen sicheren Zustand beibehalten. Dieses Prinzip wird häufig auch als „Fail Close“ bezeichnet. 

Einfachheit.   Es ist leichter, ein einfaches System zu sichern als ein komplexes System, da die Fehlergefahr geringer ist. Unbenutzte oder nicht erforderliche Komponenten oder Funktionen werden entfernt, um die Komplexität zu reduzieren, eine einfachere Diagnose zu ermöglichen und die Zuverlässigkeit zu erhöhen.

Universelle Authentifizierung und Autorisierung.   Die eindeutig festgelegte, identitäts- und rollenbasierte Autorisierung wird verwendet, um ausdrücklich Entscheidungen bezüglich der Zugriffskontrolle zu fällen. Gemeinsame Authentifizierungssysteme reduzieren die Anzahl der geheimen Authentifizierungsdaten, die sich ein Benutzer merken muss; gemeinsame Autorisierungssysteme senken die Häufigkeit ungeprüfter Genehmigungen, die gegen das Prinzip der minimalen Berechtigungsvergabe verstoßen, wenn die Mitarbeiter ihre Rollen wechseln.

Verantwortlichkeit.   Ein wichtiger Bestandteil von Sicherheitssystemen ist die Fähigkeit, festzustellen, wer eine bestimmte Handlung durchgeführt hat und welche Handlungen während eines bestimmten Zeitintervalls erfolgt sind. Verstöße oder versuchte Verstöße gegen die Computersicherheit können bis zu den Einzelpersonen oder Einheiten nachverfolgt werden, die dann zur Verantwortung gezogen werden können.

Zuweisung von Verantwortlichkeit

Die InfoSec-Abteilung unter Leitung des Chief Security Officers trägt die Verantwortung für folgende Sicherheitsfunktionen: 

  • Überwachung der Sicherheit bei bereitgestellten (Produktions-)Netzwerken 
  • Entwicklung und Verwaltung des Systems zur Nachverfolgung von Anfälligkeiten 
  • Entwicklung und Verwaltung des Systems zur Nachverfolgung des Authentifikators 
  • Zusammenarbeit mit der Rechtsabteilung in Bezug auf die Durchsetzung von Rechtsvorschriften
  • Durchführung intern basierter Sicherheitsuntersuchungen in Bezug auf Richtlinienverstöße
  • Beratung zu geplanten Projekten und Produkten
  • Überwachung von Sicherheitsprüfungen- und Bewertungen
  • Reaktion auf Sicherheitsvorfälle
  • Bereitstellung einer Schulung für Sicherheitsbewusstsein und entsprechender Beratung 
  • Bearbeitung kundenseitiger Sicherheitsfragen
  • Überwachung des Störfallmanagementprozesses 
  • Überwachung von Projekten und Vorgängen mit starker Anfälligkeit 
  • Überwachung von Bedrohungen und Weitergabe der Informationen an die Öffentlichkeit, um sie mit dem Sicherheitsversprechen von Akamai vertraut zu machen

Die Gruppe für Unternehmenssicherheit ist für die Überwachung der Sicherheit von Unternehmensnetzwerken und -systemen verantwortlich. Dies umfasst:

  • Durchführung von Sicherheitsbewertungen für neue Anwendungen von Drittanbietern sowie produktivitätssteigernde Anwendungen
  • Zusammenarbeit mit Enterprise Infrastructure Services-Teams zur Unterstützung des Unternehmensumfelds
  • Verwaltung der reaktiven Sicherheit in Bezug auf Phishing, Malware und Signatur-Aktualisierungen

Alle Vorstandsmitglieder und Führungskräfte tragen die Verantwortung dafür, sicherzustellen, dass Informationssicherheitsprozesse in die Betriebsabläufe ihres Unternehmens integriert sind und dass Mitarbeiter alle Sicherheitsrichtlinien, -verfahren, -standards und -leitfäden erfüllen. Alle Manager sind dafür verantwortlich, sicherzustellen, dass die ihnen unterstellten Mitarbeiter eine angemessene Sicherheitsschulung durchlaufen.

Eigentümer von Informationsressourcen, Anwendungen, Repositorys und Datenbanken sind für die Erstellung und Verwaltung der Richtlinien, Verfahren, Leitfäden und Standards verantwortlich, um die Daten, die ihnen anvertraut wurden, angemessen zu sichern. Sie können z. B. angemessene Rollen und Verantwortlichkeiten für Administratoren und Benutzer für die Anwendung dokumentieren. Eigentümer sind für die Überwachung und Prüfung ihrer Steuermechanismen verantwortlich, um die Compliance sicherzustellen.

Mitarbeiter sind dafür verantwortlich, alle Richtlinien, Verfahren, Leitfäden und Standards zu lesen, zu verstehen und einzuhalten, die für ihre Rolle gelten. Sie sind auch dafür verantwortlich, die jährliche Teilnahme an Schulungen und den Erhalt von Richtliniendokumenten zu bestätigen.

Das Architecture Review Board besteht aus Architekten für jeden wichtigen Service oder Bestandteil der Unternehmensabteilungen Engineering und Platform Operations von Akamai, mit Ausnahme der Abteilungen von Luna und Aura. Kollektiv und individuell sind die Mitglieder des Architecture Review Board dafür verantwortlich, die Integrität des Systems von Akamai sicherzustellen.

Der Chief Security Architect ist ein Mitglied dieser Gruppe. Er ist dafür verantwortlich, die Sicherheitsarchitektur festzulegen und zu warten, die Sicherheitsarchitekturlösungen mit den bereitgestellten Netzwerkinfrastrukturarchitekturen zu integrieren und strategische und taktische Sicherheitsüberprüfungen durchzuführen.

Der Vice President of Corporate Services stellt Führungskräften Berichterstattung zu physikalische Ereignissen und Vorfällen bereit, die im Jahresverlauf überprüft werden müssen.

Der Senior Director of Systems Administration und der Vice President of Corporate Services sind für die Autorisierung des Zugriffs auf Verarbeitungseinrichtungen von Unternehmensinformationen verantwortlich.

Der Executive Vice President of Platform ist für die Autorisierung von Verarbeitungseinrichtungen für Informationen über bereitgestellte Netzwerke verantwortlich. Die Netzwerkserver von Akamai werden in Einrichtungen weltweit bereitgestellt. Akamai benötigt Kollokations-Partner, um den physikalischen Zugriff auf Partner zu beschränken, die über eine Genehmigung und einen Lichtbildausweis verfügen. Akamai erfordert auch, dass seine Anbieter die Verifizierung von Akamai Service-Anfragen durchsetzen: Anbieter dürfen nicht versuchen, ohne die Befolgung schriftlicher Anweisungen von Akamai Zugriff auf die Systeme von Akamai zu erlangen.

Die Rechtsabteilung verwaltet ein Formular für eine Vertraulichkeitsvereinbarung. Der Rechtsabteilung muss eine unterzeichnete Kopie dieser Vertraulichkeitsvereinbarung vorliegen, bevor vertrauliche Informationen mit unternehmensfremden Personen besprochen werden können. Individuelle Mitarbeiter tragen die Verantwortung dafür, die Art der von ihnen offengelegten Informationen zu verstehen und sicherzustellen, dass alle vertraulichen Informationen von Akamai entsprechend identifiziert werden. Falls ein Mitarbeiter Fragen dazu hat, welche Verfahren erforderlich sind, sollte er die Vertraulichkeitsvereinbarung und die Nutzungsrichtlinie lesen.

Tägliche Sorgfalt

Akamai verlässt sich nicht auf eine jährliche Risikobewertung, sondern verwaltet die Risiken für seine bereitgestellten Netzwerke fortlaufend. Anfälligkeiten werden täglich untersucht und bearbeitet. Schwere Anfälligkeiten, die zur Offenlegung, Änderung oder Zerstörung sensibler Daten führen könnten, werden mittels des „Technical Crisis and Incident Management Process“ (Verwaltungsprozess für technische Krisen und Sicherheitsvorfälle) von Akamai in formelle Sicherheitsvorfälle umgewandelt. Anfälligkeiten und Vorfälle werden das ganze Jahr über mit einem Team aus Führungskräften verwaltet.

Akamai hat ein Konzept zur Anfälligkeitsbewertung in mehreren Schritten implementiert. Sicherheitsrisiken werden einer qualitativen Risikobewertung unterzogen, wie in der Risikomatrix dargelegt, welche den potenziellen Schweregrad eines Risikos sowie die Angreifer, die ein Risiko instanziieren könnten, bewertet. Basierend auf diesen beiden Faktoren erhält die Anfälligkeit eine Klassifizierung, die den Schweregrad des Risikos angibt. Zusätzlich werden Risiken durch Softwaredefekte ebenfalls bewertet, und zwar über das Common Vulnerability Scoring System (CVSS), das sich stärker auf Wahrscheinlichkeit als auf mögliche Schäden konzentriert.

Basierend auf den Risiko- und CVSS-Bewertungen werden Wiederherstellungsprojekte zwischen Linienmanagern und/oder Systembetreibern sowie InfoSec priorisiert. InfoSec verwaltet eine Datenbank zu bewerteten Sicherheitsrisiken und trägt die Verantwortung für die Bewertung neu identifizierter Risiken und die Identifizierung von Risikobereichen, die einer weitergehenden Bewertung bedürfen.

Handhabung von Informationen

Akamai verwendet eine vierstufige Informationsklassifizierung: 
  • Akamai öffentlich
  • Akamai vertraulich: Vertraulichkeitserklärung vor Veröffentlichung erforderlich 
  • Akamai vertraulich: nur zur internen Verwendung
  • Akamai vertraulich: Beschränkte Offenlegung

Personen, die Dokumente von Akamai handhaben, werden angewiesen, diese angemessen zu beschriften, um die Klassifizierung und die Sensibilität der Daten anzuzeigen. Durch die Beschriftung von Dokumenten werden die Inhaber des Dokuments auf das Vorhandensein von proprietären und vertraulichen Informationen hingewiesen und über besondere Anforderungen für den Zugriff, die Steuerung oder den Schutz informiert.

Akamai schreibt vor, dass Informationen jeder Form von Zeitplänen für die Aufbewahrung und Entsorgung begleitet werden, basierend auf dem geschäftlichen Grund, wie jeweils vom Inhaber des Informationsassets dokumentiert. Die Rechtsabteilung ist dafür verantwortlich, die Richtlinie zur Aufbewahrungspflicht festzulegen.

Die Richtlinie gibt auch an, dass Informationen, die für potenzielle oder aktuelle Rechtsstreitigkeiten in Bezug auf das Unternehmen relevant sind, aufbewahrt werden sollten. Wenn ein Benutzer Fragen dazu hat, ob Informationen für potenzielle oder aktuelle Rechtsstreitigkeiten relevant sind, sollte er sich an ein Mitglied der Rechtsabteilung wenden.

Verfahren für die Handhabung und Speicherung von Informationen werden festgelegt, um diese Informationen vor dem nicht autorisierten Zugriff oder Missbrauch zu schützen. Alle Führungskräfte sind dafür verantwortlich, sicherzustellen, dass die ihnen unterstellten Mitarbeiter eine angemessene Sicherheitsschulung durchlaufen, damit sie diese Verfahren ordnungsgemäß umsetzen können.

Personen, die für alle Speichermedien mit vertraulichen Informationen von Akamai verantwortlich sind, sollten diese Elemente gemäß den allgemein anerkannten Grundsätzen löschen, bevor sie Speichermedien entfernen. Falls Medien nicht gelöscht werden können, werden sie mithilfe des Mechanismus zerstört, den der Vice President of Corporate Services von Akamai bereitstellt.

Die Entsorgung von abgelaufenen oder veralteten nichtelektronischen Informationen (z. B. Papierunterlagen) erfolgt mittels der jeweils autorisierten Methoden. Der Vice President of Corporate Services ist für die Bereitstellung von Aktenvernichtungsservices verantwortlich und hat sicherzustellen, dass in allen Einrichtungen von Akamai Container zur Verfügung stehen.

Bestimmte Informationsarten erfordern eine Sonderbehandlung: 

Finanzielle Informationen und Informationen zu Mitarbeitern: Diese Kategorie umfasst alle nicht öffentlichen finanziellen Informationen von Akamai sowie private Informationen über die Mitarbeiter von Akamai. Personen, die diese Informationen verwalten, sind angewiesen, diese gut sichtbar mit einer Liste zu versehen, in der aufgeführt wird, wer Zugriff hat. Zum Beispiel sollten Informationen über den privaten Werdegang eines Mitarbeiters als „Akamai vertraulich: Beschränkte Offenlegung“ gekennzeichnet werden. 

E-Mails: Alle Mitarbeiter müssen die „Nutzungsrichtlinie für elektronische Kommunikation“ befolgen. Angesichts der Risiken der elektronischen Kommunikation sollten Sie Vorsicht walten lassen, wenn Sie sensible Daten per E-Mail verschicken wollen. Alle E-Mail-Systeme müssen über angemessene Schutzvorkehrungen verfügen, um E-Mails bei der Übertragung und Speicherung zu schützen. Verschlüsselung kann verwendet werden, um sensible Daten beim Versenden per E-Mail zu schützen. 

Telefone und sensible Informationen: Akamai hat Ressourcen, die Mitarbeiter nutzen können, wenn sie einen Verdacht auf Social Engineering-Angriffe bzw. Probleme mit Mobiltelefonen oder Malware haben.

Internetkommunikation: Die Rechtsabteilung hat die Unternehmensrichtlinie für „Foren, Chatrooms und Veröffentlichung“ festgelegt. Vertrauliche Informationen von Akamai sollten nicht auf privaten Websites oder in Blogs (elektronischen Tagebüchern) offengelegt werden. Nachrichtenmedien, Branchenanalysten und andere durchsuchen Blogs regelmäßig nach sensiblen und Insider-Informationen. Konten von sozialen Netzwerken, die den Namen, das Logo und andern Informationen von Akamai verwenden, die zeigen, dass das Konto das Unternehmen repräsentiert, sind auf autorisierte Mitarbeiter beschränkt. Die vertraulichen Informationen von Akamai dürfen auf privaten Seiten in sozialen Netzwerken nicht veröffentlicht werden.

Arbeiten mit unternehmensfremden Personen

Das Information Security Program gilt auch für unseren Umgang mit unternehmensfremden Services, die Grafiken und Werbetexte liefern, Unterstützung bei Öffentlichkeitsarbeit und der Planung von Tagungen bieten, sensible Unternehmensmaterialien für Kundenpräsentationen, Konferenzen und behördliche Dokumentation drucken und kopieren und Akamai andere Services bereitstellen. Dies umfasst Mitarbeiter in Einrichtungen, Sicherheits-, Wartungs- und Hausmeisterdienste sowie Raumausstatter. 

Unsere Daten sind besonders bei der Übertragung gefährdet. Angemessene Maßnahmen werden ergriffen, um das Ausspionieren oder die Korruption der übertragenen Daten zu verhindern. Die Posträume von Akamai werden für den physikalischen Transport von Daten zwischen Standorten verwendet. Akamai arbeitet auch mit Datensicherheitsstandards, die gespeicherte/aufbewahrte Daten schützen.

Unternehmensfremde Firmen, die Daten von Akamai handhaben, werden angewiesen, sie mit derselben Sorgfalt wie Akamai zu behandeln. 

Die Richtlinie legt fest, dass Kennwörter von Akamai niemals unverschlüsselt im Netzwerk übertragen werden dürfen – stellen Sie bei der Eingabe in einen Webbrowser zunächst sicher, dass das SSL-Schlosssymbol angezeigt wird. Sollte jemand ein Kennwort unbeabsichtigt unverschlüsselt übertragen haben, muss diese Person die InfoSec-Abteilung und den Systembetreiber kontaktieren, um Anweisungen zur Änderung des Kennworts zu erhalten. 

Wer mit sensiblen Daten unterwegs ist, muss besondere Sicherheitsmaßnahmen ergreifen. Die Anzahl der mitgeführten sensiblen Materialien sollte sich auf das Nötigste beschränken. Sensible Daten, z. B. auf einem Laptop, sollten sich zu jeder Zeit unter der Kontrolle eines Mitarbeiters befinden. Ein Laptop sollte daher niemals in aufgegebenem Gepäck verstaut werden oder anderweitig aus der Kontrolle des Mitarbeiters von Akamai gelangen. Sensible Informationen sollten nicht auf engem Raum wie z. B. in öffentlichen Verkehrsmitteln oder in öffentlichen Bereichen besprochen werden. 

Die Richtlinie legt fest, dass die Besprechung sensibler Geschäftsdaten vermieden werden sollte, sofern nicht die angemessene Vertraulichkeitsvereinbarung vorliegt und die Diskussion an einem privaten Ort erfolgen kann. 

Mitarbeiter, die öffentliche Präsentationen halten und bei Branchentreffen an Podiumsdiskussionen teilnehmen, werden aufgefordert, sicherzustellen, dass ihre Präsentation oder Diskussion angemessen ist und vom jeweiligen Vorgesetzten genehmigt wird. Auf Fachmessen legt Akamai nur dann Informationen zu seinen zukünftigen Veröffentlichungen offen, wenn dies vorab genehmigt wurde. 

Sensible Dokumente und Materialien haben auf Fachmessen nichts zu suchen. Mitarbeiter werden angewiesen, sensible Materialien während des Versands sowie vor, während und nach Tagungen und Fachmessen sorgfältig zu schützen. 

Akamai kooperiert über das Information Security-Team vollumfänglich mit allen Exekutivbehörden. Mitarbeiter sollten den Namen, das zugehörige Unternehmen und die Kontaktinformationen der Person notieren und die Anfrage direkt an die Rechtsabteilung weiterleiten. Zudem dürfen sie Informationen von Akamai nicht ohne die Genehmigung des Information Security-Teams bereitstellen.

Öffentlichkeitsarbeit 

Routinemäßige Ankündigungen und Veröffentlichungen in der Presse bezüglich Ereignissen, Programm und Services von Akamai dürfen nur durch autorisierte Mitarbeiter herausgegeben werden. Bitten um Stellungnahmen von Nachrichtenmedien werden vom Corporate Communications Department gehandhabt.

Der Senior Director of Corporate Communications hat eine Kommunikationsstrategie und -richtlinie festgelegt, die bestimmte Unternehmensrichtlinien zum Umgang mit den Medien umfasst. 

Bei Kundenanfragen bezüglich Services, die von Ihrer Abteilung oder Gruppe erbracht werden, sollten Mitarbeiter den Namen und die Telefonnummer des jeweiligen Kunden aufschreiben und die Anfrage an einen autorisierten Vertreter ihrer Gruppe weiterleiten. Sie dürfen keine Kopien oder Informationen von Mitarbeiterlisten von Akamai oder Telefonbüchern an Lieferanten, Arbeitsvermittlungsstellen oder andere Personen, die diese Informationen anfordern, weiterleiten.

Alle Informationsanforderungen von Branchenanalysten sollten an die Abteilung Analyst Relations weitergeleitet werden. Um zusätzliche Details zu erfahren, wenden Sie sich an die Corporate Communications-Abteilung.

Physikalische Sicherheit 

Die Verantwortlichkeiten von Akamai bezüglich physikalischer Sicherheit sind auf Corporate Services, Network Infrastructure Engineering (Deployment) und Platform Operations aufgeteilt. Jeder Mitarbeiter trägt die Verantwortung für die Sicherheit seines Arbeitsbereichs und der Ausrüstung, für die er zuständig ist.

Der Vice President of Corporate Services ist für die physikalische Sicherheit aller Büros von Akamai verantwortlich. 

In den Büros und Rechenzentren von Akamai sind Maßnahmen für die Zugriffssteuerung erforderlich. Unternehmensfremde Personen müssen sich an- und abmelden und zu jeder Zeit innerhalb des Unternehmens begleitet werden. Für Mitarbeiter sollte es leicht sein, sich in solchen Bereichen zu bewegen, für Eindringlinge jedoch schwer. 

Mitarbeiter von Akamai haben im Allgemeinen Zugriff auf alle gemeinsamen Netzwerkumgebungen wie z. B. Büros, Zellenbüros und Konferenzräume. Der Zugang zu wichtigen Bereichen, wie z. B. internen Rechenzentren und selten besuchten Bereichen wie Lagerräumen, ist auf Personen beschränkt, die schriftlich nachweisen können, dass sie Zugang benötigen. Der in diesem Bereich verantwortliche Mitarbeiter muss die Liste von autorisierten Mitarbeitern mindestens einmal jährlich überprüfen. 

Der Vice President of Corporate Services ist für die Bereitstellung eines angemessenen Bedrohungsalarms zuständig. 

Der Vice President of Corporate Services ist für den Berichterstattungsprozess bezüglich Verletzungen der physikalischen Sicherheit zuständig.

NOCC (Network Operations Command Center)

Das größte NOCC (Network Operations Command Center) von Akamai befindet sich in Cambridge, Massachusetts. In verschiedenen anderen Ländern sind weitere NOCCs angesiedelt. Der physikalische Zugriff ist auf autorisierte Mitarbeiter beschränkt und wird durch eine Schlüsselkarte gesteuert. Das NOCC ist rund um die Uhr und an 7 Tagen die Woche von Mitarbeitern von Platform Operations besetzt. 

Der Senior Director of Global Network Operations ist für die NOCC-Sicherheit verantwortlich. 

Der Director of Infrastructure Engineering ist für die physikalische Sicherheit der bereitgestellten Netzwerke von Akamai verantwortlich. Dies umfasst die Identifizierung von Risiken durch interne Einrichtungen und Anbieter, die das bereitgestellte Netzwerk verwendet, und die Einrichtung angemessener Steuerungs- und Schutzmechanismen zur Risikominderung. 

Der Director of Network Infrastructure ist dafür verantwortlich, eine angemessene Überprüfung der Vorfallsreaktionsverfahren externer Einrichtungen, Notfallpläne und Leistungsverträge vor der Bereitstellung der Systeme von Akamai in der Einrichtung sicherzustellen.

Das Secure Content Delivery (ESSL) Netzwerk von Akamai erfordert spezielle Steuerungen, z. B. sollten ESSL-Server nur in verschlossenen Schränken mit Kameras mit Bewegungserkennung bereitgestellt werden. Die Gruppe für Network Infrastructure Engineering (Deployment) sollte die Sicherheitsanforderungen bei der Auswahl von Netzwerkpartnern und -anbietern sicherstellen. 

Zwar haben die meisten Besucher von Akamai legitime Gründe für ihren Besuch, doch wir haben Besucherrichtlinien, die auf bestimmte Einrichtungen und Gebiete zugeschnitten sind. Die Richtlinie legt Folgendes fest: 

  • Namensschilder müssen zu jeder Zeit an allen Standorten von Akamai sichtbar getragen werden und Mitarbeiter müssen Besucher auffordern, ihr Namensschild zu zeigen, oder Corporate Security anrufen. 
  • Kurzfristige Besucher müssen jederzeit von einem Mitarbeiter begleitet werden, während sie sich auf dem Gelände von Akamai befinden.
  • Mitarbeiter sollten beachten, dass es zwar angemessen ist, einem Kollegen die Tür aufzuhalten – jedoch sollten sie zugleich sicherstellen, dass das Namensschild des Kollegen sichtbar ist. 
  • Wenn in einem Arbeitsbereich Besucher erwartet werden, müssen vertrauliche Informationen sicher verwahrt bzw. abgedeckt werden. 
  • Bevor proprietäre Informationen besprochen werden oder der Zugriff auf Bereiche gewährt wird, in denen Besucher sensible Informationen hören oder anderweitig erfahren bzw. proprietäre Prozesse oder Daten auf Computerbildschirmen sehen könnten, müssen ein eindeutiger Kenntnisbedarf und das Vorliegen einer Vertraulichkeitsvereinbarung sichergestellt werden. 
  • Wichtige Geschäftsinfrastruktur muss sich in sicheren Bereichen befinden. Redundante Stromzufuhr und Kühlsysteme sowie Feuermelder und Brandschutzsysteme gehören zu den grundlegenden Sicherheitsmaßnahmen. Systeme, die eine hohe Verfügbarkeit erfordern, verfügen über redundante Systeme in alternativen Datenzentren, um das Risiko durch unvorhersehbare Naturkatastrophen zu verringern. Strom- und Datenkabel werden nur in gesicherten Bereichen verlegt. Verkabelungen zwischen gesicherten Bereichen werden durch Kanäle geführt.

Störfallmanagement

Die Richtlinie schreibt vor, dass alle Sicherheitsvorfälle, Schwachstellen und Fehlfunktionen so schnell wie möglich berichtet werden müssen.

Platform Operations schult Mitarbeiter, um Sicherheitsvorfälle mit Auswirkung auf das verteilte Netzwerk zu handhaben. Platform Operations verwaltet zentral alle Sicherheitsvorfälle und -reaktionen. Das NOCC benennt einen Incident Manager, der das Problem behebt und je nach Bedarf andere Mitarbeiter oder Abteilungen einschaltet, gemäß Technical Incident Response Procedure. 

Falls der Verdacht besteht oder bestätigt wird, dass es sich bei einem Ereignis um einen Verstoß gegen die Informationssicherheit handelt, wird das Problem an einen Sicherheits-Fachexperten eskaliert. Viele Sicherheits-Fachexperten sind zugleich geschulte TIMs (Technical Incident Managers).

Wöchentliche Treffen werden abgehalten, um Berichte zu schweren Störungsfällen und anderen Sicherheitsvorfällen zu überprüfen.

Physikalische Beweise werden von einem Mitglied von InfoSec erfasst und sicher aufbewahrt, bis sie einem Vertreter der Strafverfolgungsbehörden oder einem Gericht zur Verfügung gestellt werden können. Falls verfügbar, werden Chain-of-Custody-Tüten verwendet, um Beweise aufzubewahren, die in die Tüte passen. Jeder Beweis, der den Strafverfolgungsbehörden nicht übermittelt werden kann, wird in einem verschlossenen Büro oder in einem Safe aufbewahrt, auf den nur das Information Security-Team Zugriff hat. 

Digitale Beweise werden von einem Mitglied von InfoSec mithilfe von Mitgliedern anderer Teams (nach Bedarf) erfasst. Alle Beweise werden kryptografisch signiert und auf einem Wechseldatenträger gespeichert, der nach Möglichkeit im Information Security Department aufbewahrt wird.

Netzwerkverwaltung 

Die Abläufe von Akamai umfassen Netzwerksteuerungen, um Risiken für Akamai einzuschränken, wenn Daten im Netzwerk übertragen werden.

Installationen auf Benutzergeräten (z. B. Unternehmensbüros) oder Backend-Maschinen, die nicht für den weltweiten Einsatz gedacht sind (z. B. Datenbankserver), wurden dafür entworfen, von physisch getrennten Firewall-Geräten geschützt zu werden. Network Engineering ist für die Installation und Konfiguration der Firewalls verantwortlich.

Services, die durch die Firewall gelangen müssen, werden ggf. sicherer neu implementiert, z. B. mit Verkapselung auf Anwendungsebene oder einem Site-to-Site-VPN. Das Information Security-Team unterstützt Sie gerne beim Entwurf.

Die Enterprise Infrastructure Services-Gruppe ist für die Bereitstellung und Unterstützung einer Suite von VPN-Software verantwortlich, um den Arbeitsstationen von Akamai die Verbindung zum Unternehmensnetzwerk von außerhalb der sicheren Unternehmensfirewall zu ermöglichen. Es wird empfohlen, diese Software nur auf Geräten zu verwenden, die die Sicherheitsrichtlinien und -standards von Akamai unterstützen. 

Zugriff auf Anwendungsebene auf das Unternehmensnetzwerk ist über SSH möglich. 

Der Zugriff auf das Unternehmensnetzwerk ist auf genehmigte Software beschränkt. Mitarbeiter dürfen keinen eigenen Zugriff auf das Unternehmensnetzwerk auf Netzwerkebene erstellen. 

Das sicher bereitgestellte ESSL-Netzwerk muss zusätzlichen Branchenstandards wie dem PCI-DSS entsprechen.

Computermedien  Handhabung 

Bei Computermedien müssen vor allem Daten beachtet werden, die auf den verschiedenen Geräten gespeichert sind. In den meisten Fällen ist dies „Akamai vertraulich: Nur für den internen Verbrauch.“ Medien, auf denen finanzielle Daten, Daten aus der Personalabteilung bzw. rechtliche oder Kundeninformationen gespeichert sind, müssen entsprechend behandelt werden. Akamai verfügt zudem über Verfahren für die Zerstörung von sensiblen Daten und die Entsorgung von Geräten. 

Der Vertrieb einiger Medien – besonders Anbieter- und Wiederherstellungs-CDs – unterliegt einer Vertraulichkeitserklärung, doch sie sind sozusagen öffentlich, da beinahe jeder Zugriff auf sie hat. Personen, die solche CDs zusammenstellen, sollten sich dieser Tatsache bewusst sein und nicht erforderliche vertrauliche Informationen ausschließen.

Bei der Verteilung innerhalb des Unternehmens werden in der Regel keine Wechselmedien verwendet. In besonderen Fällen sind bei der Verteilung außerhalb des Unternehmens oder für das Offline-Backup von wichtigen Daten CD-ROMs, DVDs oder Speichermedien angemessen. Solche Medien müssen in Übereinstimmung mit Abschnitt 8, „Handhabung von Informationen“, eindeutig gekennzeichnet werden. Sie müssen mit derselben Sorgfalt behandelt werden wie ein Computer, auf dem solche Daten gespeichert sind. Wenn sie nicht mehr benötigt werden, müssen sie sorgfältig gelöscht oder zerstört werden. Vertrauliche Daten von Akamai, die sich auf einem dynamischen Wechseldatenträger oder auf Speicherkarten für PDAs, Mobiltelefone, Kameras usw. befinden, sollten sorgfältig gelöscht werden, wenn sie nicht mehr benötigt werden. 

Vertrauliches Material von Akamai sollte nicht auf Wechseldatenmedien gespeichert und außerhalb des Unternehmens verbracht werden.