Trust Center-FAQs

Sicherheit

Nutzt Elastic die eigenen Produkte auch selbst?

Elastic ist ein enthusiastischer „Customer Zero“ für alle seine Lösungen – insbesondere Elastic Security. Unsere Produkte und Dienstleistungen wurden alle in einer echten Produktionsumgebung getestet, bevor sie verbreitet werden. Wenn es der jeweilige Anwendungsfall zulässt, nutzen wir unsere eigenen Produkte – und das nicht nur für das Logging. Das InfoSec-Team von Elastic nutzt Features der Elasticsearch Platform tagtäglich, um sicherheitsrelevante Ereignisse zu erstellen, zu überwachen und zu erkennen sowie auf sie zu reagieren.

Weitere Informationen erhalten Sie unter Elastic über Elastic und Elastic Security.

Verfügt Elastic über ein Information Security Management System (ISMS)?

Elastic arbeitet mit einem Information Security Management System (ISMS), das nach ISO‑27001-zertifiziert ist – inklusive ISO 27017 und ISO 27018. Das Rückgrat aller unserer Richtlinien, Standards und Leitfäden für die Informationssicherheit bildet dabei unsere Information Security Governance Policy. Unser ISMS beinhaltet umfassende und angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Cluster-Daten vor unbefugtem Zugriff und vor unerwünschten Änderungen oder Löschungen.

Welche logischen Maßnahmen sind in Kraft, um Kundendaten zu schützen?

Zur Regulierung des Zugriffs auf Systeme, die Cluster-Daten unserer Kunden verarbeiten, müssen die Zugreifenden vor einem Zugriff ihre Identität authentifizieren. Auf diese Weise wird nicht nur verhindert, dass Unbefugte Zugriff auf diese Systeme erhalten, sondern wir können auch dafür sorgen, dass die Personen, die zugreifen dürfen, nur das sehen, was für ihre jeweilige Rolle benötigt wird. Zu den Maßnahmen zur Zugriffssteuerung gehören u. a. die Multi-Faktor-Authentifizierung, die Durchsetzung von Standards zur Passwortstärke und die Nutzung von virtuellen privaten Netzwerken (VPNs) für den administrativen Zugriff. Darüber hinaus haben wir zentralisiertes Logging zur Erfassung von Proxy-, Zugriffs-, Elasticsearch- und Auditbeat-Logdaten implementiert, mit denen wir den Zugriff auf Kunden-Cluster-Daten und die Systeme, auf denen diese residieren, aufzeichnen können.

Welche physischen und umgebungsbezogenen Maßnahmen sind in Kraft, um Kundendaten zu schützen?

Wir nutzen Suche-basierte Elastic Cloud-Lösungen auf zertifizierten Cloud-Plattformen, die von branchenführenden Infrastructure-as-a-Service(IaaS)-Anbietern wie Amazon Web Services (AWS), Google Cloud und Microsoft Azure verwaltet werden. Elastic prüft die Sicherheitszertifizierungen und ‑praktiken der von uns beauftragten Unterauftragsverarbeiter, um sicherzugehen, dass an den Orten, an denen Elastic Cloud-Daten verarbeitet und gespeichert werden, ausreichende physische Sicherheitsmaßnahmen vorhanden sind.

Wo macht Elastic Informationen zu Schwachstellen bei seinen eigenen Produkten öffentlich zugänglich?

Elastic nutzt „Elastic Security Advisories“ (ESAs) genannte Benachrichtigungen, um Nutzer:innen über Sicherheitsprobleme bei Elastic-Produkten zu informieren. Jeder dieser Advisory-Benachrichtigungen wird sowohl eine CVE- als auch eine ESA-Kennung zugewiesen. Außerdem stellt Elastic eine Zusammenfassung und Informationen zu Abhilfe- und Risikominderungsmaßnahmen zur Verfügung. Neue Advisory-Benachrichtigungen werden im Forum „Security Announcements for the Elastic Stack“ veröffentlicht. Sie können sich einen RSS-Feed für diese Benachrichtigungen einrichten.

Wie kann die Security-Community potenzielle Produktschwachstellen an Elastic melden?

Elastic arbeitet gern und eng mit der Security-Community zusammen und teilt deren Ziel, die Nutzer:innen – und das Internet als Ganzes – sicher zu machen. Wir bitten Sie, potenzielle Sicherheitsschwachstellen in Elastic-Produkten, in Elastic Cloud oder auf der Website elastic.co über unser Bug-Bounty-Programm auf HackerOne zu melden. Ausführliche Angaben zum Umfang und zur Teilnahme an diesem Programm entnehmen Sie bitte unserer HackerOne-Programm-Richtlinie.

Gemäß den Grundsätzen der Koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) analysiert Elastic potenzielle Sicherheitsschwachstellen, um Empfehlungen für Risikominderungsmaßnahmen oder Produktaktualisierungen zu erarbeiten. Entsprechende Offenlegungen werden in Form von Elastic Security Advisories (ESAs) veröffentlicht und über das CVE-Programm koordiniert. Bitte posten oder teilen Sie in öffentlichen Foren keine Informationen über potenzielle Schwachstellen, solange wir das Problem nicht untersucht und darauf reagiert haben.

Wie kann ich eine potenzielle Sicherheitslücke melden?

Die E-Mail-Adresse, unter der Nutzer:innen und Kunden sonstige potenzielle Sicherheitsprobleme melden können, lautet security@elastic.co. Unter dieser Adresse können Sie Produktanfragen mit Sicherheitsbezug oder Fragen zu anderen Sicherheitsthemen stellen, auf die hier nicht ausdrücklich eingegangen wird. (Über diese Adresse werden nur Nachrichten mit Bezug zu Sicherheitsfragen entgegengenommen.) Wenn Sie Fehler (Bugs) melden möchten, nutzen Sie dafür die Bug-Datenbank des entsprechenden Projekts oder wenden Sie sich an den Elastic Support. Sollten Sie Ihre Nachricht an uns verschlüsseln möchten, verwenden Sie bitte unseren PGP-Schlüssel. Der Fingerprint lautet:

1224 D1A5 72A7 3755 B61A 377B 14D6 5EE0 D2AE 61D2

Der Schlüssel ist über Schlüsselserver erhältlich. Suchen Sie nach „security@elastic.co“. Beispiel auf OpenPGP

Wie können Kunden ihre Elastic-Konten schützen?

Wir bei Elastic wissen, dass Sicherheit die Aufgabe jeder und jedes Einzelnen ist. Aus diesem Grund ist die Sicherheit ein integraler Bestandteil der Produktentwicklung bei Elastic und auch einer der Grundpfeiler von Elastic Cloud.

Die Sicherheit und der Schutz Ihrer Elastic Cloud-Daten hängen auch davon ab, dass Sie für eine sichere Konfiguration Ihres Elasticsearch-Clusters sorgen und die Vertraulichkeit Ihrer Elastic Cloud-Login-Daten wahren.

Im Folgenden finden Sie eine kleine Checkliste der Dinge, die Sie beachten sollten:

  • Geben Sie Ihre Anmeldedaten nicht an andere weiter.
  • Halten Sie Ihr Kontoprofil stets auf dem neuesten Stand, damit die dort enthaltenen Angaben immer korrekt und aktuell sind.
  • Fügen Sie Angaben zur Kontaktaufnahme mit Personen zu, die für operative Belange verantwortlich sind.
  • Sorgen Sie dafür, dass die verwendeten Passwörter sicher sind.
  • Seien Sie beim Aktivieren von eigenen Plugins oder Plugins Dritter in Ihren Elastic Cloud-Deployments vorsichtig.
  • Legen Sie nach Möglichkeit fest, dass zerstörerische Aktionen die Eingabe von Indexnamen voraussetzen.

Wenn Sie Änderungen vornehmen müssen, die in der Elastic Cloud-Konsole nicht verfügbar sind, erstellen Sie bitte ein Ticket beim Elastic Support. Wenn Sie annehmen, dass die Sicherheit eines Kontos kompromittiert wurde, senden Sie eine E‑Mail an security@elastic.co. Und wenn Sie möchten, dass etwas gelöscht wird, wenden Sie sich hier an das Data Privacy Team von Elastic.

Sind Elastic Cloud-Daten im gespeicherten Zustand (at-rest) und während der Übermittlung (in-transit) verschlüsselt?

Ja, im gespeicherten Zustand sind die Daten durch AES‑256 und während der Übermittlung sind sie durch TLS 1.2 verschlüsselt.

Wie prüft Elastic seine Drittanbieter?

Wir prüfen alle unsere Anbieter genau, um sicherzustellen, dass sie die Security- und Compliance-Standards von Elastic erfüllen. Bei der Bereitstellung der Elastic Cloud arbeitet Elastic mit großen IaaS-Anbietern zusammen. Zur Überprüfung der Sicherheit der Dienste dieser IaaS-Anbieter wird jeder Anbieter regelmäßig Audits durch unabhängige Drittanbieter unterzogen. Dazu gehören mindestens ein SOC‑2-Audit und die ISO‑27001-Zertifizierung Im Rahmen unseres Third-Party Risk Management Program sehen wir uns die dabei erstellten Audit-Berichte und Zertifizierungen an.

Elastic prüft darüber hinaus Drittanbietercode und veröffentlicht Abhängigkeiten von Open-Source-Software von Drittanbietern in Elastic-Produkten.

Wird das Produkt Penetrationstests unterzogen?

Elastic Cloud wird mindestens einmal pro Jahr von unabhängigen Anbietern Anwendungs- und Netzwerk-Penetrationstests unterzogen. Wenn Sie eine Zusammenfassung der Testergebnisse (Executive Summary) haben möchten, wenden Sie sich bitte an Ihren Account Representative oder an das Elastic Security Team.

Verfügen Sie über ein Software Development Framework?

Wir haben ein SSDF (Secure Software Development Framework), das auf NIST 800‑218 basiert, und halten uns bei Konzeptionierung und Architektur an Security-Best-Practices. Das Ergebnis ist Software, die sowohl „secure by design“ als auch „secure by default“ ist. Unser SSDF regelt, was beachtet werden muss, um beim Konzipieren, Entwickeln, Bereitstellen, Überwachen und Warten von Elastic-Software jedweder Art für Sicherheit zu sorgen. Es enthält außerdem Anforderungen zum Schutz unseres Build-Systems und zur Minderung der Risiken von Build-Chain-Kompromittierungen.

Wie kann ich selbst Elastic-Produkte testen?

Besuchen Sie unser öffentliches Bug-Bounty-Programm auf HackerOne.

Sicherheit und Schutz Ihrer Daten

Ihre Daten haben einen unschätzbaren Wert für Sie und wir sind uns bewusst, dass sie einer Vielzahl von Datenschutzgesetzen und ‑vorschriften unterliegen können. Wenn Sie wissen möchten, wie Elastic den Schutz Ihrer Daten in den Vordergrund stellt und welche Maßnahmen das Unternehmen ergriffen hat, lesen Sie bitte unsere FAQs zu diesem Thema.

Wem gehören die Daten, die Kunden in Elastic Cloud speichern?

Die Daten, die Sie uns anvertrauen, bleiben Ihre Daten. Wir nutzen Ihre Daten nur für die mit Ihnen ausdrücklich vereinbarten Zwecke, z. B. zur Bereitstellung des Dienstes, den Sie bezahlen. Wir haben strenge Sicherheitsmaßnahmen ergriffen, um Ihre Daten zu schützen, und stellen Ihnen Tools und Funktionen zur Verfügung, mit denen Sie Ihre Daten nach Ihren Vorstellungen steuern können.

Wie nutzt Elastic Kundendaten in Elastic Cloud?

Wir verarbeiten Ihre Elastic Cloud-Daten, um unsere vertragliche Verpflichtung zur Bereitstellung unserer Dienste zu erfüllen.

  • Kundendaten sind Ihre Daten. Wir verarbeiten die Daten lediglich gemäß der mit Ihnen getroffenen Vereinbarung.
  • Wir verkaufen Ihre Daten niemals an Dritte.
  • Wir arbeiten transparent, halten Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) und den California Consumer Privacy Act (CCPA) ein und setzen Datenschutz-Best-Practices um.
  • Dass wir den Datenschutz an erste Stelle stellen, bedeutet, die uns anvertrauten Daten zu schützen. Daher gehören die Sicherheit und der Schutz der Daten zu den Hauptkriterien bei der Konzeptionierung unserer Produkte.

Wie kann ich sicher sein, dass Kundendaten in Elastic Cloud sicher sind?

Wir sind uns der großen Verantwortung bewusst, die mit unserem Ziel verbunden ist, hervorragende Sucherlebnisse bereitzustellen und gleichzeitig Ihre Daten zu schützen. Wir arbeiten mit ganzer Kraft daran, Ihr Vertrauen nicht zu enttäuschen. Sicherheitsbelange – von der Beaufsichtigung durch den Aufsichtsrat und der Führung durch die Geschäftsleitung an der Spitze des Unternehmens bis hinunter zur Art und Weise, wie wir bei Elastic jede Mitarbeiterin und jeden Mitarbeiter einarbeiten und kontinuierlich schulen – sind für uns in jeder einzelnen Phase unserer Arbeit von herausragender Bedeutung. Wir können zahlreiche Compliance-Audit-Berichte und Zertifizierungen für den Elastic Cloud-Dienst sowie unser Information Security Management System (ISMS) durch führende Anbieter vorlegen. Diese Audit-Berichte und Zertifizierungen zeugen davon, dass alle unsere Aktivitäten – von der Produktentwicklung und ‑bereitstellung über das Schwachstellenmanagement und das Incident-Management bis hin zu den Prozessen zum Umgang mit Bedrohungen – von wirksamen Sicherheitsmaßnahmen begleitet werden.

Wo speichert Elastic Kundendaten in Elastic Cloud?

Elastic nutzt zur Bereitstellung von Elastic Cloud führende Anbieter von Cloud-Diensten (Cloud Service Providers, CSPs) wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP). Unsere Kunden weltweit können selbst entscheiden, bei welchem der von uns unterstützten CSPs sie ihre Elastic Cloud-Deployments bereitstellen möchten. Sie können die Region auswählen, in der Sie Ihre Deployments hosten möchten. So sorgen wir für die Einhaltung Ihrer Anforderungen an die Datensouveränität. Bei Datensicherungen erstellte Sicherungskopien werden standardmäßig in derselben Region gespeichert, in der Sie auch Ihr Deployment hosten.

Kann Elastic auf Kundendaten zugreifen?

Auf die Daten in Ihren selbstverwalteten Deployments hat Elastic keinen Zugriff. Um die Bereitstellung von Elastic Cloud zu ermöglichen, darf eine begrenzte Zahl von Elastic-Mitarbeitenden mit privilegierten Zugriffsrechten auf unsere Produktionsumgebung zugreifen. Wir pflegen diese Zugriffsrechte ausschließlich zum Zweck, die Verwaltung, Wartung und Unterstützung der Plattform zu ermöglichen.

Bei der Vergabe von Zugriffsrechten für interne Nutzer:innen verfolgt Elastic das „Least-Privilege“-Prinzip: Die Mitarbeitenden erhalten nur die Zugriffsrechte, die für die Ausübung ihrer Rolle im Unternehmen erforderlich sind. Zugriffsrechte und Änderungsberechtigungen werden regelmäßig überprüft und bei einem Jobwechsel oder unter anderen Umständen, in denen der Nutzerzugriff nicht mehr benötigt wird, entsprechend geändert.

Unser Threat Detection and Response Team hat außerdem Erkennungsmechanismen für verdächtige interne Kontoaktivitäten und unbefugte Zugriffe entwickelt. Diese überwachen u. a. die Integrität der Dateien und erkennen Anzeichen für feindliche Kontoübernahmen. Die Erkennungsmechanismen gehören zu automatisierten Workflows, die das Threat Detection and Response Team über verdächtige Aktivitäten informieren und Untersuchungen durch Analyst:innen auslösen.

Elastic-Produkte verfügen zudem über Funktionen zur rollenbasierten Zugriffssteuerung, damit die Kunden den Nutzer:innen ihrer Elastic-Deployments und der Elastic Cloud-Management-Plattform detaillierte Zugriffsrechte erteilen können.

Werden Kundendaten an Unterauftragsverarbeiter übermittelt?

Ja, wir greifen zur Bereitstellung der Dienste für unsere Kunden auf bestimmte Unterauftragsverarbeiter zurück, die uns bei der Bereitstellung der Infrastruktur und des Kunden-Supports unterstützen. Welche Unterauftragsverarbeiter konkret für Sie relevant sind, hängt vom Standort des Rechenzentrums sowie von den Diensten und Funktionen ab, die Sie nutzen möchten. (Die Liste der externen Unterauftragsverarbeiter finden Sie hier und die Liste der internen Unterauftragsverarbeiter finden Sie hier.)

Wenn wir Ihre Daten über Ländergrenzen hinweg übermitteln, tun wir dies in Übereinstimmung mit den geltenden Gesetzen. Wir haben entsprechende Sicherheitsvorkehrungen getroffen, um Ihre Daten zu schützen, wenn sie von unseren Unterauftragsverarbeitern verarbeitet werden. Diese reichen von Datenverarbeitungsvereinbarungen und der Festlegung genehmigter Übermittlungsmechanismen (wie die SCCs) bis zur Umsetzung ergänzender Maßnahmen. Wir verfügen über robuste Prozesse zur Überprüfung der Datenschutz- und Sicherheitsmaßnahmen bei allen Unterauftragsverarbeitern, die Zugang zu personenbezogenen Kundendaten haben.

Ist Elastic Cloud DSGVO-konform?

Die Funktionen und Merkmale von Elastic Cloud entsprechen der DSGVO und anderen Datenschutzgesetzen in der Welt:

  • Um für die Sicherheit Ihrer personenbezogenen Daten zu sorgen, sind standardmäßig wirksame technische und organisatorische Maßnahmen in Kraft, die regelmäßig getestet und validiert werden.
  • Sie können von uns ein DSGVO-konformes Data Processing Addendum erhalten, das Sie dabei unterstützt, Ihre vertraglichen Verpflichtungen gemäß DSGVO zu erfüllen.
  • Sie haben die Kontrolle darüber, welcher Anbieter von Cloud-Diensten Ihre in Elastic Cloud gespeicherten Daten hosten soll, und Sie können die Bereitstellungsregion auswählen.
  • Wir bieten Ihnen umfassende Ressourcen, die Ihnen helfen, die für Ihre spezifischen Anforderungen geltenden Verarbeitungstätigkeiten einzuhalten. Weitere Informationen dazu, wie Sie sicherstellen können, dass Ihre Elastic-Deployments DSGVO-konform sind, finden Sie unter https://www.elastic.co/de/gdpr.

Zusätzlich zu diesen Features gibt es bei Elastic Teams, die sich speziell um die Sicherheit und den Schutz der Daten kümmern. Diese Teams überwachen im Namen unserer Kunden unsere Einhaltung der DSGVO und anderer geltender Datenschutzgesetze bei der Verarbeitung personenbezogener Daten.

Wie ist bei Elastic die Übermittlung personenbezogener Kundendaten in Elastic Cloud außerhalb des EWR, der Schweiz und des Vereinigten Königreichs geregelt?

Elastic ist ein globales Unternehmen und wir können Daten, die aus dem EWR, der Schweiz und dem Vereinigten Königreich stammen, an außereuropäische verbundene Unternehmen von Elastic und Drittorganisationen übermitteln, die für die Bereitstellung unserer Dienstleistungen erforderlich sind. (Sie finden deren Standorte oben im Abschnitt zu Unterauftragsverarbeitern.) In solchen Fällen greifen die SCCs, einschließlich des Moduls „Übermittlung von Verantwortlichen an Auftragsverarbeiter“ bzw. des Moduls „Übermittlung von Verantwortlichen an Verantwortliche“ bei unseren Kunden und des Moduls „Übermittlung von Verantwortlichen an Verantwortliche“ bei unseren Unterauftragsverarbeitern, sowie robuste ergänzende Maßnahmen.

Wie schützt Elastic personenbezogene Kundendaten in Elastic Cloud nach dem „Schrems II“-Urteil?

Es ist uns ein Anliegen, Sie bei der Einhaltung der Gesetze und Vorschriften in den verschiedenen Ländern und Regionen weltweit zu unterstützen. Nach dem Studium der EDSA-Empfehlungen für ergänzende Maßnahmen für die internationale Datenübermittlung nach dem „Schrems II“-Urteil haben wir unsere Praktiken einer gründlichen Überprüfung unterzogen, um sicherzustellen, dass internationale Datenübermittlungen den Datenschutzanforderungen entsprechen:

  • Die Datenübermittlungen durch Elastic fallen nicht in den typischen Fokus von US-Überwachungsgesetzen und wir haben bisher noch keine Ersuchen von Behörden bezüglich der Offenlegung von Kundendaten erhalten, auch nicht unter Gesetzen wie FISA, EO12333 oder dem CLOUD Act.
  • Für den Fall, dass wir von einer Behörde ein Ersuchen auf Offenlegung von Kundendaten erhalten, verfügen wir über Richtlinien und Prozesse für den Umgang mit solchen Ersuchen. Diese enthalten u. a. Schritte zur Anfechtung solcher Ersuchen, zur Benachrichtigung der betroffenen Parteien und zur Beantragung von Ausnahmen von Benachrichtigungsverboten.
  • Wir stellen robuste ergänzende Maßnahmen zum Schutz Ihrer Daten bereit. Dazu gehört u. a. die Verschlüsselung der Daten sowohl während der Übermittlung (in-transit) als auch im gespeicherten Zustand (at-rest), um deren Vertraulichkeit und Integrität in allen Phasen sicherzustellen.
  • Zur Erfüllung der Anforderungen an die Datensouveränität können Elastic Cloud-Kunden festlegen, dass ihre Daten auf EU-Servern gehostet werden sollen. Auch die bei Datensicherungen erstellten Sicherungskopien werden in derselben Region gespeichert, in der Sie Ihr Deployment hosten.
  • Zur Absicherung von Datenübermittlungen können die Standardvertragsklauseln (Standard Contractual Clauses, SCCs) verwendet werden. Dies gilt auch für Fälle, in denen sich Kunden für ein Hosting auf Servern in den USA entscheiden oder mit unserer US-Entität zusammenarbeiten, sowie für Übermittlungen von Elastic an unsere Unterauftragsverarbeiter.
  • Wir arbeiten kontinuierlich daran, unsere vertraglichen, technischen und organisatorischen Sicherheitsvorkehrungen zum Schutz von Datenübermittlungen zu bewerten und weiterzuentwickeln.

Was sind die ergänzenden Maßnahmen, die Elastic für Elastic Cloud einsetzt?

Wir bieten verschiedene ergänzende Maßnahmen, um sicherzustellen, dass Ihre Daten in der Elastic Cloud geschützt bleiben. Wir begrenzen die Verarbeitung von Kundendaten im Rahmen der Bereitstellung unserer Dienste auf das unbedingt Notwendige. Wir haben im gesamten Unternehmen Prozesse, Organisationsstrukturen und technische Maßnahmen eingeführt, die sicherstellen, dass die globalen Datenschutzgrundsätze eingehalten oder sogar übertroffen werden.

Vertragliche Maßnahmen

Elastic verpflichtet sich vertraglich zur Umsetzung angemessener Maßnahmen zum Datenschutz und zur Wahrung der Privatsphäre gemäß unseres Data Processing Addendum (DPA), einschließlich der SCCs, und unseres Information Security Addendum. Um sicherzustellen, dass das DPA jederzeit die geltenden Datenschutzanforderungen erfüllt, wird es regelmäßig überprüft und aktualisiert. Es enthält u. a. die folgenden Bestimmungen:

  • Die Verarbeitung personenbezogener Daten erfolgt nur auf Ihre Anweisungen hin.
  • Wir hosten Ihre Daten nur in der von Ihnen ausgewählten Region.
  • Alle Mitarbeitenden, die befugt sind, personenbezogene Daten zu verarbeiten, unterliegen strengen Vertraulichkeitsrichtlinien, ‑verfahren und ‑vereinbarungen.
  • Sie können alle personenbezogenen Daten, die Sie auf Elastic Cloud hochladen, jederzeit abrufen, korrigieren und löschen.
  • Wenn wir ein Ersuchen auf Offenlegung Ihrer Daten erhalten, benachrichtigen wir Sie, sofern dies nicht gesetzlich verboten ist.
  • Unsere Unterauftragsverarbeiter unterliegen denselben strengen Standards und Organisationsanforderungen. Wir haften für die Handlungen und Unterlassungen unserer Unterauftragsverarbeiter genau so, als würden wir die Dienste selbst erbringen.

Technische Maßnahmen

Wir entwickeln unsere Produkte so, dass sie Ihnen helfen, die Daten Ihres Unternehmens zu schützen, globale Vorschriften einzuhalten und Vertrauen zu schaffen. Wir setzen branchenführende Sicherheitsstandards um:

  • Verschlüsselung während der Übermittlung (in-transit) und im gespeicherten Zustand (at-rest): Elastic setzt Verfahren zur Verwaltung von Verschlüsselungsschlüsseln ein und verschlüsselt Kundendaten während der Übermittlung und im gespeicherten Zustand mindestens mit AES‑128.
  • Regelmäßige Systemaktualisierungen und Anwendung von Patches: Um die Wahrscheinlichkeit von sicherheitsrelevanten Vorfällen zu verringern, werden Elasticsearch-Instanzen auf der Grundlage der neuesten Betriebssystem-Kernel bereitgestellt. Wenn in einer Komponentensoftware eine CVE (Common Vulnerability and Exposure) entdeckt wird, werden entsprechende Patches angewendet.
  • Nutzung führender Anbieter: Die Dienste von Elastic werden in Rechenzentren gehostet, die von führenden Anbietern entsprechender Dienstleistungen betrieben werden und modernste technische und organisatorische Sicherheitsmaßnahmen zum Schutz der gehosteten Daten anbieten.
  • Zugriffssteuerung: Elastic arbeitet mit technischen, logischen und administrativen Zugriffssteuerungsmaßnahmen, inklusive Verfahren zur Multi-Faktor-Authentifizierung, um sicherzustellen, dass nur befugte Nutzer:innen auf die Daten zugreifen können. Darüber hinaus hat Elastic ein zentralisiertes Logging mit Proxy-, Zugriffs-, Elasticsearch- und Auditbeat-Logs implementiert, um die Nachverfolgbarkeit von Zugriffen auf Kundendaten und die Systeme, auf denen sie residieren, zu ermöglichen.

Organisatorische Maßnahmen

Wir haben unternehmensweit robuste Organisationsstrukturen eingeführt, die unser unermüdliches Engagement für die Einhaltung und Übererfüllung der Datenschutzgrundsätze in der ganzen Welt demonstrieren:

  • Programme für Sicherheit und Datenschutz: Wir unterhalten umfassende Programme für Informationssicherheit und Datenschutz, in deren Rahmen geeignete Maßnahmen für die Sicherheit und den Schutz Ihrer Daten umgesetzt werden.
  • Richtlinie zum Umgang mit Behördenersuchen auf Datenzugriff (Public Authority Access Request Policy): Wir verfügen über Richtlinien und Verfahren für den Umgang mit Ersuchen auf Offenlegung personenbezogener Daten durch Behörden. Diese enthalten u. a. Schritte zur Anfechtung solcher Ersuchen, zur Benachrichtigung der betroffenen Parteien und zur Beantragung von Ausnahmen von Benachrichtigungsverboten.
  • Andere interne Richtlinien: Wir verfügen über interne Richtlinien, die die Verwendung personenbezogener Daten und den Zugang zu ihnen regeln. So wird der ordnungsgemäße Umgang mit Datenschutzverletzungen, Zugangsersuchen, Datenaufbewahrungsvorgaben und Zugriffssteuerungsrichtlinien gewährleistet.
  • Branchenstandards: Elastic arbeitet mit einem Information Security Management System (ISMS), das ISO‑27001-konform ist – inklusive ISO 27017 und ISO 27018. Das Rückgrat aller unserer Richtlinien, Standards und Leitfäden für die Informationssicherheit bildet dabei die Elastic Information Security Governance Policy. Außerdem wurde durch eine unabhängige Stelle geprüft und zertifiziert, dass die Elastic Cloud-Dienste den Vorgaben von SOC 2 Type 2 entsprechen.
  • Regelmäßige Tests: Wir führen regelmäßige Tests auf Schwachstellen im Netzwerk und in Anwendungen durch und implementieren Verfahren zum Dokumentieren und Beseitigen der während der Schwachstellen- und Penetrationstests gefundenen Schwachstellen.
  • Schulung der Mitarbeitenden: Alle unsere Mitarbeitenden müssen bei ihrer Einstellung und nachfolgend mindestens einmal jährlich Schulungen zur Sicherheit und zum Schutz von Daten absolvieren.

Welche praktischen Erfahrungen hat Elastic beim Umgang mit Ersuchen zur Offenlegung von Daten durch Behörden?

Wir verfügen über Richtlinien und Verfahren, die regeln, wie wir auf Behördenersuchen bezüglich des Zugangs zu Kundendaten reagieren. Diese berücksichtigen geltende Datenschutzgesetze und die mit Ihnen geschlossene Kundenvereinbarung. Elastic gibt Ihre Daten nur dann weiter bzw. gewährt Zugang zu ihnen, wenn dies gesetzlich verlangt wird. Wir werden Daten niemals in einer massiven, unverhältnismäßigen oder willkürlichen Art und Weise herausgeben, die über das hinausgeht, was in einer demokratischen Gesellschaft notwendig ist.

Ungeachtet dessen hat Elastic bisher noch von keiner Behörde ein Ersuchen zum Zugang zu Kundendaten erhalten, auch nicht in Bezug auf Section 702 FISA und den CLOUD Act. Uns ist darüber hinaus auch nicht bekannt, dass es jemals zu einem direkten Zugriff auf Kundendaten gemäß EO 12333 gekommen wäre. Wir haben noch nie eine Backdoor oder einen Masterschlüssel für eines unserer Produkte oder Dienste erstellt und haben niemals einer Behörde den ungehinderten oder direkten Zugriff auf unsere Server gestattet.

Veröffentlicht Elastic einen Transparenzbericht?

Wie oben bereits angemerkt, hat noch nie eine Behörde die Offenlegung von Kundendaten bei Elastic ersucht. Sollten wir jemals ein solches Ersuchen erhalten, werden wir mit der Veröffentlichung von Transparenzberichten beginnen.

Wo bekomme ich weitere Informationen zu den Datenerfassungspraktiken von Elastic her?

Wenn Sie mehr darüber erfahren möchten, wie Elastic personenbezogene Daten erfasst und nutzt, lesen Sie unsere Datenschutzerklärungen:

Allgemeine Datenschutzerklärung

Produkt-Datenschutzerklärung

Datenschutzerklärung für Bewerberdaten

Datenschutzrechte in Kalifornien

Elastic-Cookie-Datenschutzerklärung

Wir halten uns an die in der Welt geltenden Datenschutzvorschriften, einschließlich DSGVO und CCPA. Wenn Sie als betroffene Person einen Antrag einreichen möchten, wenden Sie sich an das Data Privacy Team von Elastic.


Compliance

Welche Compliance-Frameworks werden von Elastic erfüllt?

Elastic Cloud erfüllt die Standards ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II, CSA CCM 4.0, PCI‑DSS und HIPAA sowie andere branchenspezifische Frameworks, wie TISAX. Mehr zu diesem Thema erfahren Sie auf der Elastic-Webseite zu Compliance-Fragen.

Welche FedRAMP-Einstufung hat Elastic Cloud?

Elastic Cloud ist FedRAMP-autorisiert und hat die FedRAMP-Einstufung „Moderate Impact“, sofern die Bereitstellung auf AWS GovCloud (USA) erfolgt. Nutzer:innen in US-Behörden aller Ebenen (Federal, States und lokal) sowie in höheren Bildungseinrichtungen sowie Nutzer:innen mit amtlichen Daten können sich jetzt registrieren.

Gibt es bei Elastic ein Ethik- und Compliance-Programm?

Wir richten uns nach den höchsten ethischen Normen, halten alle geltenden Gesetze ein und tun alles in unserer Kraft stehende, die uns anvertrauten Daten zu schützen. Wenn Sie mehr zu diesem Thema erfahren möchten, besuchen Sie unsere Webseite „Ethik, Compliance und Datensicherheit“. Dort finden Sie u. a. Links zu unserem Verhaltens- und Ethik-Kodex, zu unserem Verhaltenskodex für Anbieter und zu unserer Richtlinie zu Whistleblowing.

Unterliegen die Produkte von Elastic Exportbeschränkungen?

Elastic ist ein Technologieunternehmen und wir verpflichten uns, unser Geschäft mit Ehrlichkeit und Integrität und in Übereinstimmung mit allen in den USA geltenden Gesetzen und Vorschriften zu führen, die Exporte beschränken und internationale Geschäftsaktivitäten regeln, einschließlich Handelssanktionen und Gesetzen und Vorschriften zu Handelssanktionen, Exportbeschränkungen und Boykotten. Kunden und Interessenten benötigen häufig die Export Control Classification Number (ECCN) unserer Produkte. Unsere kostenpflichtigen Produkte sind generell alle unter der ECCN 5D002.c.1 klassifiziert und ihr Export ist unter der Lizenzausnahme ENC gemäß Abschnitt 740.17 (b)(1) der Export Administration Regulations zulässig.

Eine aktuelle Liste aller Produkt-ECCNs finden Sie hier. Diese Informationen können sich ändern, da wir immer wieder neue Produkte entwickeln oder neue Funktionen hinzufügen. Prüfen Sie daher stets die jeweils aktuelle ECCN-Liste auf der Elastic-Website. Wir empfehlen Ihnen auch, Ihren Exportberater zu konsultieren, um festzustellen, welche Auswirkungen diese Daten auf Ihre Exporttransaktionen oder Ihre Verwendung der Elastic-Produkte haben.


Zuverlässigkeit

Wo ist Elastic Cloud verfügbar?

Elastic Cloud ist bei allen großen Anbietern von Cloud-Diensten weltweit verfügbar. Mit Elastic Cloud können Sie Deployments in einer Vielzahl von Regionen bei Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) einrichten und betreiben. Die aktuelle Liste der Regionen finden Sie hier.

Wo kann ich aktuelle und historische Uptime-Informationen für Elastic Cloud einsehen?

Uptime-Informationen finden Sie auf der Webseite zum Elastic Cloud-Status.