Neu
Demo anfragen

Object First Vertrauenszentrum

Object First verpflichtet sich den Secure by Design-Prinzipien gemäß Definition der CISA, unabhängigen Penetrationstests durch Drittanbieter sowie Zero-Trust-Datenresilienz (ZTDR). Dieses Trust Center stellt klare, transparente Informationen zu unseren Sicherheitspraktiken, der Ausrichtung auf den Datenschutz und den architektonischen Grundlagen bereit, die Object First einfach resilient machen.

Wichtige Validierungsquellen

  • Sicherheit Validierung
  • Asset-Beschreibung
Sicherheit Validierung
CISA Secure by Design Zusage
Asset-Beschreibung
Object First hat die Selbstverpflichtung unterzeichnet – als öffentliches Bekenntnis, die Sicherheit unserer Produkte und Dienstleistungen kontinuierlich zu verbessern und ein sichereres Geschäftsumfeld für Partner und Kunden aufzubauen.
Asset-Beschreibung
Jährliche Penetrationstests durch Dritte validieren die Sicherheit der Object First Produkte, einschließlich externer Angriffsfläche, Konfigurationshärtung und Resilienz-Kontrollen.
Asset-Beschreibung
Ein umfassender Leitfaden zur Anwendung der Zero Trust-Prinzipien auf Backup-Speicher, um vollständige Ransomware-Resilienz sicherzustellen.
Sicherheit Validierung
Absolute Immutability Whitepaper
Asset-Beschreibung
Eine Übersicht der erforderlichen Anforderungen, um den ultimativen Schutz vor Ransomware zu gewährleisten, der destruktive Aktionen jeglicher Art gegen die Backup-Daten verhindert.
Asset-Beschreibung
Unabhängige Validierung, dass Object First Kunden dabei unterstützen kann, zentrale Vorschriften für Finanzdienstleistungen einzuhalten, einschließlich SEC Rule 17a-4(f) und FINRA Rule 4511(c).
Asset-Beschreibung
Unabhängige Forschung und Analyse, die aufzeigt, wie Object First die Resilienz gegenüber Ransomware stärkt, das operative Risiko reduziert und mit den Prinzipien von Zero-Trust-Datenresilienz im Einklang steht.

Meldung von Sicherheitslücken

Object First pflegt einen transparenten, verantwortungsvollen Prozess zur Offenlegung von Sicherheitslücken. Wenn Sie ein Sicherheitsproblem im Zusammenhang mit einem Object First-Produkt oder einer Website haben, lesen Sie unsere Richtlinie zur Meldung von Schwachstellen und melden Sie es unter [email protected]. Das Sicherheitsteam führt zu jeder Meldung eine gründliche Untersuchung durch und ergreift bei Bedarf geeignete Maßnahmen zur Behebung.

Wie Object First Zero Trust implementiert

Das Zero Trust-Reifegradmodell, maßgeblich vorangetrieben von Behörden wie CISA und NIST, hat sich zum Goldstandard für moderne Softwaresicherheit entwickelt. Das Zero Trust-Reifegradmodell ist ein Sicherheits-Framework, das davon ausgeht, dass standardmäßig keine Entität vertrauenswürdig ist, und eine kontinuierliche Verifizierung aller Benutzer, Geräte und Anwendungen innerhalb einer Organisation vorschreibt. Object First richtet sich in interner Entwicklung und IT-Praxis sowie in der Auslegung unserer Lösungen konsequent nach dem Zero Trust-Reifegradmodell und stellt damit sicher, dass unsere Kunden eine Zero Trust-fähige Appliance erhalten, die ihre bestehende Sicherheitsarchitektur nicht schwächt. Wir gehen noch einen Schritt weiter, indem wir zusätzlich dem ZTDR-Framework folgen.

Zero-Trust-Datenresilienz

Das Zero-Trust-Datenresilienz (ZTDR)-Framework, eingeführt von Veeam und Numberline Sicherheit, definiert, wie Organisationen Backup-Software und Backup-Speicher absichern, damit eine Wiederherstellung selbst unter Assume Breach-Bedingungen möglich bleibt. ZTDR wendet Zero Trust-Prinzipien direkt auf die Backup-Infrastruktur an und basiert auf drei Säulen:

  • Segmentierung: Strikte Trennung von Backup-Software und Backup-Speicher, um die Angriffsfläche zu reduzieren.
  • Mehrere Datenresilienz-Zonen: Unterstützung der 3‑2‑1-1-0-Regel und mehrschichtiger Sicherheitsdomänen.
  • Immutable Backup-Storage: Null Zugriff auf destruktive Aktionen – selbst für privilegierte Administratoren.

Object First-Appliances entsprechen den Zero Trust- und ZTDR-Prinzipien und werden weiterhin die Anforderungen beider Modelle erfüllen.

  • Segmentierung

    Strikte Trennung von Backup-Software und Backup-Speicher, um die Angriffsfläche zu reduzieren.

  • Mehrere Datenresilienz-Zonen

    Unterstützung der 3‑2‑1-1-0-Regel und mehrschichtiger Sicherheitsdomänen.

  • Immutable Backup-Storage

    Null Zugriff auf destruktive Aktionen – selbst für privilegierte Administratoren.

Absolute Immutability

Object First erzwingt Immutability auf der Speicherebene mithilfe von S3 Object Lock. Backup-Daten werden in dem Moment unveränderlich, in dem sie auf einem physischen Speichersystem geschrieben werden – ohne administrative Übersteuerungsmöglichkeit. Dadurch bleibt selbst während eines Ransomware-Angriffs die Sicherungsdatenintegrität erhalten.

Das Erreichen von Absolute Immutability durch Zero Access erfordert die Einhaltung von drei Kernprinzipien:

S3-Objektspeicherung
Ein vollständig dokumentierter, offener Standard mit nativ integrierter Immutability, der unabhängige Penetrationstests und Verifizierung ermöglicht.
Sofortige Unveränderbarkeit
Backup Daten müssen in dem Moment, in dem sie geschrieben werden, unveränderlich sein.
Ziel-Speicher-Appliance
Ein dediziertes Ziel-Speicher-Appliance trennt den Speicher von der Backup-Software und eliminiert die Risiken, die mit selbst aufgebautem und eigenverwaltetem Backup-Speicher im laufenden Betrieb verbunden sind – insbesondere bei Einrichtung, Updates und Wartung. Sie erfordert vom Kunden kaum bis gar keine Sicherheitskompetenz und verlagert die vollständige Verantwortung auf den Anbieter.

Zero-Access-Architektur

Ermöglicht Zero Access, destruktive Aktionen gegen die Firmware, das Betriebssystem, die Speicheranwendung oder die Backup-Daten auszuführen, um einen Least-Privilege-Ansatz Zero Trust aufrechtzuerhalten:

  • Kein Root-Zugriff
  • SSH ist standardmäßig deaktiviert
  • Nur kontrollierter TUI-Zugriff
  • Gehärtetes Linux-Betriebssystem
  • Kontinuierliche Überprüfung der erwarteten Konfigurationen

Betriebliche Schutzmaßnahmen

Object First reduziert das Betriebsrisiko, indem die Notwendigkeit für benutzerdefinierte Härtung, manuelle Integration oder spezialisiertes Sicherheits-Know-how entfällt, durch:

  • Automatische Firmware-, Betriebssystem- und Software-Updates
  • Überwachung von Konfigurationsabweichungen
  • Fail‑to‑ban‑Sperre bei wiederholten fehlgeschlagenen Anmeldeversuchen
  • Honeypot‑basierte Ransomware-Erkennung

FAQ

Ist Object First CCPA-konform?
Datenschutzrichtlinie von Object First steht im Einklang mit den Grundsätzen des California Consumer Privacy Act (CCPA) hinsichtlich der Art und Weise, wie wir als Anbieter die Daten unserer Kunden verarbeiten und schützen. Die Object First-Appliance verarbeitet keine personenbezogenen Verbraucherdaten im Auftrag von Object First, unterstützt jedoch CCPA-konforme Praktiken, indem sie Kunden dabei hilft, unbefugten Zugriff auf die in ihren Backups gespeicherten Daten zu verhindern, wenn sie mit starker Verschlüsselung und Immutability-Kontrollen kombiniert wird.
Ist Object First DSGVO-konform?
Object First steht im Einklang mit den Grundsätzen der Datenschutz-Grundverordnung (DSGVO) hinsichtlich der Art und Weise, wie wir als Unternehmen die Daten unserer Kunden verarbeiten und schützen. Obwohl die Object First-Appliance selbst keine personenbezogenen Daten von Endanwendern verarbeitet, stärkt sie DSGVO-konforme Praktiken, indem sie Kunden dabei unterstützt, unbefugten Zugriff oder Exfiltration der in ihren Backups gespeicherten Daten zu verhindern – insbesondere bei Einsatz von Ende-zu-Ende-Verschlüsselung und Immutability-Kontrollen.
Unterstützt Object First die Anforderungen der NIS2-Richtlinie?
Object First entspricht den NIS2‑Erwartungen hinsichtlich Datenresilienz, Segmentierung, Immutability und einer Secure‑by‑Design‑Architektur und unterstützt EU‑Organisationen dabei, ihre Cybersicherheitsverpflichtungen zu erfüllen.
Wie unterstützt Object First Unternehmen bei der Einhaltung von DORA?
Object First ist auf die EU-Verordnung DORA (Digital Operational Resilience Act) für Finanzinstitute ausgerichtet, indem es die zentralen Resilienzanforderungen der Verordnung gemäß den Artikeln 6, 9, 10, 11, 12 und 13 unterstützt und absolut unveränderliche, segregierte und verifizierbare Backup-Daten bereitstellt, die von keinem Administrator und keinem Angreifer verändert oder gelöscht werden können. Diese Kontrollen helfen Finanzunternehmen, saubere Wiederherstellungspunkte aufrechtzuerhalten und den Betrieb bei schwerwiegenden IKT-Störungen schnell wiederherzustellen.
Wie wird Object First Organisationen dabei helfen, die CSR-Richtlinie einzuhalten?
Object First steht im Einklang mit der Zielsetzung des bevorstehenden britischen Cyber-Sicherheit- und Resilienzgesetzes, indem sichergestellt wird, dass Sicherungsdaten durch Absolute Immutability und Zero-Access-Schutz manipulationssicher bleiben und schnell wiederhergestellt werden können, und unterstützt damit unmittelbar den Schwerpunkt des Gesetzes auf operativer Resilienz sowie sauberen, autoritativen Wiederherstellungsdaten.
Wie unterstützt Object First Unternehmen bei der Einhaltung der FINRA-Vorgaben?
Object First richtet sich nach FINRA, indem es nicht umschreibbaren, nicht löschbaren Speicher bereitstellt, der die Kernanforderungen der FINRA-Regel 4511(c) sowie der SEC-Regeln 17a‑4(f) und 18a‑6(e) unterstützt und sicherstellt, dass regulierte Aufzeichnungen unveränderlich, intakt und vollständig wiederherstellbar bleiben, wie im Unabhängigen Compliance-Bericht von Cohasset Associates. bestätigt.