# Netzwerk- und Infrastruktursicherheit

**Dokumenttyp:** Konzept
**Geltungsbereich:** Netzwerk, Server und Rechenzentrumsanbindung der PORTA-Plattform
**Version:** 1.0
**Status:** Entwurf zur internen Freigabe
**Owner:** Betrieb / DevOps
**Letzte Aktualisierung:** 02.06.2026
**Deckt ab (CACC):** 95, 96, 97, 98, 99

---

## 1. Härtung und Basiskonfiguration (#95)

| Element | Vorgabe | Status |
|---|---|---|
| Server-Härtung (Ubuntu) | nach anerkanntem Standard (z. B. CIS Benchmark) | [ZU PRÜFEN: angewendet?] |
| Nicht benötigte Dienste/Ports deaktiviert | ja | [ZU PRÜFEN] |
| Regelmässige Validierung der Basiskonfiguration | mind. jährlich | [ZU PRÜFEN: etablieren] |

## 2. Netzwerksegmentierung und Mandantentrennung (#96)

| Element | Beschreibung | Status |
|---|---|---|
| Trennung App / DB | Anwendung (`api.poweron.swiss`) und Datenbank (`db.poweron.swiss`) auf getrennten Hosts | Umgesetzt |
| Trennung Prod / Int | Produktiv- und Integrationsumgebung getrennt | Umgesetzt |
| Mandantentrennung (Multi-Tenancy) | Logische Trennung der Kundendaten innerhalb der Anwendung über Mandate/Berechtigungen | Umgesetzt (logisch) |
| Netzwerksegmentierung (Firewall-Zonen) | [ZU PRÜFEN: wie ist der Netzverkehr segmentiert?] | [ZU PRÜFEN] |

> **Hinweis für regulierte Kunden:** Die Mandantentrennung erfolgt logisch (gemeinsame DB-Instanz, getrennte Mandate/Berechtigungen), nicht physisch pro Kunde. Das ist für SaaS üblich, sollte aber im Assessment transparent gemacht werden.

## 3. Netzwerkschutzmassnahmen (#97)

| Massnahme | Status |
|---|---|
| Firewall | [ZU PRÜFEN: Infomaniak-Firewall / OS-Firewall (ufw/iptables) konfiguriert?] |
| Web Application Firewall (WAF) | [ZU PRÜFEN: vorhanden?] |
| IDS/IPS (Intrusion Detection/Prevention) | [ZU PRÜFEN: vorhanden?] |
| TLS-Terminierung / Reverse Proxy | [ZU PRÜFEN: nginx o. ä.?] |

## 4. Schutz vor netzwerkbasierten Angriffen / DDoS (#98)

| Massnahme | Status |
|---|---|
| DDoS-Schutz | [ZU PRÜFEN: durch Infomaniak bereitgestellt?] |
| Anomalie-Erkennung im Datenverkehr | [ZU PRÜFEN] |
| Rate-Limiting | Teilweise (z. B. Export max. 2/Min — siehe `datenbank-handling.md`) |

## 5. Physische Sicherheit und Versorgung (#99)

Die physische Sicherheit wird durch den Rechenzentrumsbetreiber **Infomaniak** (Schweiz) gewährleistet:

| Element | Zuständigkeit | Nachweis |
|---|---|---|
| Physische Zutrittskontrolle | Infomaniak | [ZU PRÜFEN: Infomaniak-Zertifikate/RZ-Doku beilegen, z. B. ISO 27001] |
| Stromversorgung / USV / Notstrom | Infomaniak | Infomaniak-Rechenzentren (CH) |
| Kühlung / Brandschutz | Infomaniak | Infomaniak-Dokumentation |

**Massnahme:** Aktuelle Sicherheits-/Zertifizierungsnachweise von Infomaniak einholen und als Evidenz dem Assessment beilegen.

## 6. Stand der Umsetzung / Lücken

| Thema | Status | Massnahme |
|---|---|---|
| Server-Härtung nach CIS | [ZU PRÜFEN] | Anwenden & dokumentieren |
| WAF / IDS / IPS | [ZU PRÜFEN] | Bedarf klären, ggf. einführen |
| Infomaniak-Zertifikate als Evidenz | Offen | Einholen |
| Firewall-Konfiguration dokumentieren | [ZU PRÜFEN] | Festhalten |