Häufig gestellte Fragen zur Cybersicherheit von Siemens

Ja. Daten in unseren Cloud-Diensten haben standardmäßig keinen Zugriff. Kundenadministratoren gewähren oder entziehen Benutzern den Zugriff.

Innerhalb von Siemens Digital Industry Software (Siemens) überprüfen wir vierteljährlich Cloud-Konten auf Least-Privilege-Zugriffe. Dieses Modell beinhaltet die Aufgabentrennung, das „need to know“ -Prinzip und einen Antrag- und Genehmigungsprozess für alle Zugriffsanfragen.

Der Zugriff auf die Produktions-Cloud-Umgebung wird über eine bestimmte Gruppe von Access Points gesteuert und ist auf bestimmte, privilegierte Teammitglieder beschränkt. Benutzer werden mit Unternehmensanmeldedaten mit Hardware-Multifaktor-Authentifizierung (MFA) an Access Points authentifiziert, je nachdem, wo sich die Produktionsanlagen befinden. Passwörter werden zusammen mit der Zwei-Faktor-Authentifizierung für den Zugriff auf Netzwerkgeräte verwendet. Diese sind auf autorisierte Personen und Systemprozesse je nach Aufgabenbereich beschränkt und werden regelmäßig geändert.

Zu den geltenden Anforderungen an die Zugriffskontrolle gehören auch Benutzerzugriffsmanagement, privilegierter Zugriff, Zugriffsprüfung, mehrstufige Authentifizierung und Ablauf, Länge, Sperrung und Komplexität von Passwörtern sowie Anforderungen für Registrierungs- und Abmeldeprozesse, Zugriffsbeschränkungen, bewährte Verfahren für Anmeldeinformationen und Überprüfungen der Benutzerzugriffsrechte.

Ja. Die Siemens-Abteilung Facilities ist dafür verantwortlich, unsere physischen Standorte zu bewerten, physische Sicherheitsmaßnahmen anzuwenden und diese Maßnahmen bei Bedarf regelmäßig anzupassen. Physische Zutrittskontrollmechanismen (z. B. Ausweise, kontrollierter Empfang, Kameras, Zutrittsprotokollierung) sind in Bürogebäuden, Rechenzentren und anderen Siemens-Standorten implementiert.

Wir verfügen über verschiedene Informationssicherheitszertifizierungen, darunter ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ und Cyber Essentials Plus.

Weitere Informationen finden Sie in der Seite „Systemzertifikate“.

Wir haben eine beträchtliche Anzahl der Kontrollen in NIST SP 800-53 implementiert und überwachen sie weiterhin, und unsere Richtlinien entsprechen ISO 27001 und den SOC 2-Compliance-Frameworks.

Ja. Wir haben technische und organisatorische Maßnahmen (TOMs) eingeführt, die auf Datenschutzprinzipien basieren, um unsere Systeme zu schützen, die DSGVO-Anforderungen zu erfüllen und die Rechte der betroffenen Personen zu schützen.

Einzelheiten zu den TOMs von Siemens finden Sie unter Anlage II zu unseren Terms.

Verfahren zur Behandlung der Rechte von betroffenen Personen finden Sie in unseren Terms, Abschnitt 10, in dem beschrieben wird, wie die Rechte der betroffenen Personen gemäß der DSGVO behandelt werden. In der Regel informiert Siemens den Kunden unverzüglich, wenn Siemens von einer betroffenen Person eine Anfrage zur Ausübung der Rechte der betroffenen Person erhält (z. B. das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung). Siemens unterstützt den Kunden dann mit technischen und organisatorischen Maßnahmen zur Erfüllung seiner Verpflichtung, auf solche Anfragen zu antworten und das geltende Datenschutzrecht einzuhalten.

Sehen Sie Terms.

Verfolgt Ihre Organisation bei der Implementierung neuer Technologien einen strukturierten „Data Protection by Design/Default“ -Ansatz? Wie machen Sie Datenschutz zu einem wesentlichen Bestandteil der Kernfunktionen Ihrer Verarbeitungssysteme und Dienste?

Ja. Für Siemens bedeutet Privacy by Design, dass Legalität, Transparenz, informationelle Selbstbestimmung, Datensparsamkeit und Datensicherheit bereits bei der Entwicklung unserer Produkte und Dienstleistungen berücksichtigt werden. Privacy by Design-Konzepte werden daher gegebenenfalls in unsere Produktentwicklungsprozesse integriert.

Ja. Wir haben Richtlinien und Anforderungen für Softwareentwicklung und Quellcode-Repositorys festgelegt, zu denen auch Sicherheitsrichtlinien für den gesamten Lebenszyklus der Software- und Serviceentwicklung gehören. Diese Richtlinien behandeln Themen wie die Pflege des Quellcodes in zugelassenen Repositorien (einschließlich Protokollierung und Überwachung), Schulungen zur sicheren Entwicklung für Softwareingenieure und Programmieranalysten sowie Anforderungen für sichere Entwicklungs-, Test- und Betriebsumgebungen.

Unsere Programmierpraktiken werden direkt von der Weltweites Anwendungssicherheitsprojekt (OWASP) öffnen Standards. Eine Kombination aus Sicherheitstests (wie Penetration-, statische und/oder dynamische Analysen) wird implementiert, um die „Top 10“ Sicherheitsrisiken für Webanwendungen von OWASP und damit verbundene Probleme zu identifizieren. Alle erkannten kritischen Probleme werden so schnell wie möglich behoben, während kleinere Probleme in der Regel in zukünftigen Versionen behoben werden.

Ja. Sowohl Cloud-Daten bei der Übertragung als auch Daten im Ruhezustand (einschließlich Backups) sind verschlüsselt.

Ja. Unsere Mitarbeiter müssen sich jährlich einer Schulung zum Sicherheitsbewusstsein unterziehen. Zu den Themen, die in dieser Schulung behandelt werden, gehören die sichere Verwendung von Programmen und Tools, Phishing-Methoden, Passwortsicherheit und Multifaktor-Authentifizierung, Informationsklassifizierung, Sicherheit beim mobilen Arbeiten/Heimbüro, sichere Kommunikation und mehr.

Ja. Die Geheimhaltung ist in den Unternehmensrichtlinien von Siemens geregelt, zu deren Einhaltung sich jeder Mitarbeiter in den Arbeitsverträgen verpflichtet. Unsere Vereinbarungen mit unseren Partnern und Lieferanten beinhalten auch Vertraulichkeitsverpflichtungen und setzen die Rules für Geschäftspartner von Siemens um, die den ordnungsgemäßen Umgang mit vertraulichen Informationen definieren.

Ja. Unser Verfügbarkeits-SLA variiert je nach der für den jeweiligen Cloud-Dienst geltenden Service-Stufe.

Standard = 98%

Verbessert = 99,5%

Maximum = 99,95%

(Erweiterte Verfügbarkeit und maximale Verfügbarkeit sind möglicherweise nicht für jeden Cloud-Dienst verfügbar)

Einzelheiten finden Sie in der Cloud-Support und Service Level Framework (Cloud SLA).

Ja, über unseren Gold-Support-Servicelevel.

Sehen Sie unsere Cloud-Support und Service Level Framework (Cloud SLA) für Einzelheiten.

Ja. Sofern im Support Center nicht anders angegeben, haben Cloud-Dienste wöchentlich ein reguläres Wartungsfenster pro betreute Region wie folgt:

• Amerika: Samstag 01:00 Uhr bis Montag 3:00 Uhr US Eastern (GMT -4)
• Europa, Naher Osten und Afrika: Samstag 01:00 Uhr bis Montag 3:00 Uhr Mitteleuropäische Zeit (GMT +2)
• Asien-Pazifik: Samstag 01:00 Uhr bis Montag 3:00 Uhr japanische Standardzeit (GMT +9)

Kunden können abonnieren, um in unserem Support Center automatisch über geplante Ausfallzeiten informiert zu werden.

Ja, wir sichern Kundendaten, die über unsere Cloud-Dienste gehostet werden. Alle Cloud-Dienste, die im Rahmen unseres Standard-Servicelevels bereitgestellt werden, führen ein tägliches Backup durch, das zwei Wochen lang aufbewahrt wird, und ein monatliches Backup, das drei Monate lang aufbewahrt wird. Nach den gleichen Zugriffs- und Verschlüsselungsprozessen wie bei den Originaldaten werden alle Objektdaten in einem sekundären Systemkonto/Rechenzentrum in derselben geografischen Region wie die Originaldaten gesichert.

Weitere Informationen zur Datenspeicherung und zu den Optionen Enhanced und Maximum von Siemens (Verfügbarkeit variiert je nach Produkt) finden Sie in Abschnitt 3.1 in der Cloud-Support und Service Level Framework („Cloud SLA“).

Ja. Wir implementieren Anforderungen an Prozesse, Kriterien und Eigenverantwortung für das Informationssicherheitsmanagement, um das Unternehmen in widrigen Situationen am Laufen zu halten.

Verfahren zur Wiederherstellung von Daten aus Backups werden mindestens einmal jährlich getestet und im Rahmen interner und externer Auditprozesse überprüft.