Netzwerk- und Infrastruktursicherheit
Dokumenttyp: Konzept
Geltungsbereich: Netzwerk, Server und Rechenzentrumsanbindung der PORTA-Plattform
Version: 1.0
Status: Entwurf zur internen Freigabe
Owner: Betrieb / DevOps
Letzte Aktualisierung: 02.06.2026
Deckt ab (CACC): 95, 96, 97, 98, 99
1. Härtung und Basiskonfiguration (#95)
| Element |
Vorgabe |
Status |
| Server-Härtung (Ubuntu) |
nach anerkanntem Standard (z. B. CIS Benchmark) |
[ZU PRÜFEN: angewendet?] |
| Nicht benötigte Dienste/Ports deaktiviert |
ja |
[ZU PRÜFEN] |
| Regelmässige Validierung der Basiskonfiguration |
mind. jährlich |
[ZU PRÜFEN: etablieren] |
2. Netzwerksegmentierung und Mandantentrennung (#96)
| Element |
Beschreibung |
Status |
| Trennung App / DB |
Anwendung (api.poweron.swiss) und Datenbank (db.poweron.swiss) auf getrennten Hosts |
Umgesetzt |
| Trennung Prod / Int |
Produktiv- und Integrationsumgebung getrennt |
Umgesetzt |
| Mandantentrennung (Multi-Tenancy) |
Logische Trennung der Kundendaten innerhalb der Anwendung über Mandate/Berechtigungen |
Umgesetzt (logisch) |
| Netzwerksegmentierung (Firewall-Zonen) |
[ZU PRÜFEN: wie ist der Netzverkehr segmentiert?] |
[ZU PRÜFEN] |
Hinweis für regulierte Kunden: Die Mandantentrennung erfolgt logisch (gemeinsame DB-Instanz, getrennte Mandate/Berechtigungen), nicht physisch pro Kunde. Das ist für SaaS üblich, sollte aber im Assessment transparent gemacht werden.
3. Netzwerkschutzmassnahmen (#97)
| Massnahme |
Status |
| Firewall |
[ZU PRÜFEN: Infomaniak-Firewall / OS-Firewall (ufw/iptables) konfiguriert?] |
| Web Application Firewall (WAF) |
[ZU PRÜFEN: vorhanden?] |
| IDS/IPS (Intrusion Detection/Prevention) |
[ZU PRÜFEN: vorhanden?] |
| TLS-Terminierung / Reverse Proxy |
[ZU PRÜFEN: nginx o. ä.?] |
4. Schutz vor netzwerkbasierten Angriffen / DDoS (#98)
| Massnahme |
Status |
| DDoS-Schutz |
[ZU PRÜFEN: durch Infomaniak bereitgestellt?] |
| Anomalie-Erkennung im Datenverkehr |
[ZU PRÜFEN] |
| Rate-Limiting |
Teilweise (z. B. Export max. 2/Min — siehe datenbank-handling.md) |
5. Physische Sicherheit und Versorgung (#99)
Die physische Sicherheit wird durch den Rechenzentrumsbetreiber Infomaniak (Schweiz) gewährleistet:
| Element |
Zuständigkeit |
Nachweis |
| Physische Zutrittskontrolle |
Infomaniak |
[ZU PRÜFEN: Infomaniak-Zertifikate/RZ-Doku beilegen, z. B. ISO 27001] |
| Stromversorgung / USV / Notstrom |
Infomaniak |
Infomaniak-Rechenzentren (CH) |
| Kühlung / Brandschutz |
Infomaniak |
Infomaniak-Dokumentation |
Massnahme: Aktuelle Sicherheits-/Zertifizierungsnachweise von Infomaniak einholen und als Evidenz dem Assessment beilegen.
6. Stand der Umsetzung / Lücken
| Thema |
Status |
Massnahme |
| Server-Härtung nach CIS |
[ZU PRÜFEN] |
Anwenden & dokumentieren |
| WAF / IDS / IPS |
[ZU PRÜFEN] |
Bedarf klären, ggf. einführen |
| Infomaniak-Zertifikate als Evidenz |
Offen |
Einholen |
| Firewall-Konfiguration dokumentieren |
[ZU PRÜFEN] |
Festhalten |
