# Sicherheit & Datenschutz

Dieses Kapitel bietet einen Überblick über häufig gestellte Fragen zu Informationssicherheit, Datenschutz und Qualitätssicherung.

## Datenverarbeitung und Berechtigungen <a href="#data-processing-and-permissions" id="data-processing-and-permissions"></a>

### 1. Aus welchem Rechenzentrum betreibt RealmJoin seinen Betrieb?

* Azure region West Europe (primär)
* Azure region North Europe (Backup)

### 2. Welche Daten werden von RealmJoin verarbeitet?

* Computerstatus
* Entra ID Benutzer-/Geräte-/Gruppendaten (dies enthält UPN-/E-Mail-Adressdaten, Vorname, Nachname, Profilbild)
* Intune-Daten
* ATP-Daten
* Protokolldateien

### 3. Welche Daten werden dauerhaft von/in Vertretung von RealmJoin gespeichert und wie?

* Computerstatus
* Entra ID Benutzer-/Gerätereferenzen (dies enthält UPN-/E-Mail-Adressdaten)
* Informationen für die Anwendungsverwaltung
* Protokolldateien

Die Daten werden in einer Kombination aus Blob Storage und Datenbanken gespeichert.

### 4. Gibt es einen Archivierungsmechanismus für Protokolle?

Der Computerstatus wird 90 Tage lang archiviert, danach entfernen Aufbewahrungsrichtlinien die Daten.

### 5. Welchen Tenant-Berechtigungen müssen Benutzer, die auf das RealmJoin-Webportal zugreifen, zustimmen?

Bitte beachten Sie [Erforderliche Berechtigungen](/de/realmjoin-bereitstellung/required-permissions.md).

### 6. Welche Daten werden durch die Zustimmung(en) aus Frage 5 bereitgestellt?

Bitte beachten Sie [Erforderliche Berechtigungen](/de/realmjoin-bereitstellung/required-permissions.md).

### 7. Welche extern erreichbaren Endpunkte stellt RealmJoin bereit?

1. RealmJoin Portal
   * Ein Webportal, das die Verwaltung des Dienstes ermöglicht.
2. RealmJoin Client-API
   * API für die Clientanwendungen (interne Nutzung).
3. RealmJoin Customer-API
   * API für Kunden.
4. RealmJoin Internal-API
   * API für zugehörige Backend-Operationen (interne Nutzung).
5. RealmJoin CDN
   * Binärdaten mit BranchCache-Unterstützung.
6. RealmJoin Package Server
   * Benutzerdefiniertes nuget-Paket-Repository.

### 8. Wie werden die Endpunkte aus Frage 7 geschützt?

1. RealmJoin Portal
   * Gesichert durch OAuth 2.0-Authentifizierung mit Microsoft Entra ID (Azure AD).
2. RealmJoin Client-API
   * Gesichert durch OAuth 2.0-Authentifizierung mit Microsoft Entra ID (Azure AD).
   * Benutzerdefinierte Authentifizierung mit Entra-Device-Certificate.
3. RealmJoin Customer-API
   * Vorab gemeinsam genutzter Schlüssel pro Kunde.
4. RealmJoin Internal-API
   * Vorab gemeinsam genutzter Schlüssel pro Kunde.
5. RealmJoin CDN
   * Per Definition nicht authentifiziert, kann mit verschlüsselten Dateien geschützt werden.
6. RealmJoin Package Server
   * Vorab gemeinsam genutzter Schlüssel pro Kunde.

### 9. Welche Ports und Protokolle werden von den Endpunkten aus Frage 7 verwendet?

1. Alle Endpunkte verwenden standardmäßig TLS.
   * HTTPS (TCP / 443).
2. RealmJoin CDN
   * Erlaubt HTTP (TCP / 80) für Zwecke der Fehlerbehebung.
   * Konfigurierte URLs verwenden ausschließlich HTTPS (TCP / 443).

## Identität

### 1. Welche Autorisierungsschemata werden verwendet, um Zugriff auf RealmJoin zu erhalten?

Der administrative Zugriff erfolgt über OAuth 2.0-Authentifizierung mit Microsoft Entra ID (Azure AD) für Benutzer, die auf der Plattform registriert sind.

### 2. Gibt es Conditional Access / rollenbasierte Zugriffskontrollen zum Schutz von RealmJoin?

Ja. Das RealmJoin-Admin-Portal bietet Funktionen zum Zuweisen von [Rollen](/de/realmjoin-einstellungen/permission.md) an jeden Benutzer.

Verfügbare Standardrollen:

* Admin
* Auditor
* Supporter
* Runbook Runner
* Software Agent
* Software-Anforderer
* Organic Software Requester
* Notification Agent

Darüber hinaus ermöglicht RealmJoin das Erstellen von Custom Roles.

### 3. Können Zugangsdaten wiederhergestellt werden? Wenn ja, wie?

RealmJoin verwendet SSO und unterliegt den Richtlinien von Microsoft Entra ID (Azure AD) im Kundentenant.

## Datenschutz

### 1. Wie wird *data at-rest* vor unbefugtem Zugriff geschützt?

* Eingeschränkter administrativer Zugriff gemäß Best Practices.
* Verwendung von Passkey MFA.
* Datenbanken sind für den externen Zugriff auf VPN-IP-Adressen beschränkt.

### 2. Wie wird *data in transit* vor unbefugtem Zugriff geschützt?

Die Kommunikation zwischen dem RealmJoin Service (Backend) und dem RealmJoin Agent (Client) ist mit Transport Layer Security (TLS) 1.2 oder höher gesichert.

Zusätzlich werden einige Inhalte (z. B. Softwarepakete) vom RealmJoin Service signiert, sodass der RealmJoin Agent sicherstellen kann, dass die Daten während des Transports nicht verändert wurden.

### 3. Wie werden Kundentenants voneinander getrennt?

Je nach Dienstbeschränkungen und Leistungsaspekten entweder durch separate Gruppen/Container oder durch Tabellenpartitionierung.

Codepfade verwenden eine umgebungsbasierte Kundenkontexttrennung.

## Security by Design

### Wir verpflichten uns zu hohen Sicherheitsstandards

* Unser Entwicklungs- und unser Betriebsteam ist ISO 27001-zertifiziert.
* Wir arbeiten mit den neuesten Cloud-Entwicklungswerkzeugen (z. B. GitHub) und Code wird in gesicherten Repositories gespeichert.
* Wir verpflichten uns zu modernsten Entwicklungs-, Build- und Betriebs-Methoden (z. B. CI/CD).
* Unsere Teammitglieder verwenden Entra ID-Identitäten und sind verpflichtet, Multi-Faktor-Authentifizierung zu nutzen.
* Endpunkte, Identitäten und Dienste werden durch die neuesten Technologien geschützt (z. B. Microsoft Sentinel und M365 Defender Suite inkl. EDR) und von einem Security Operations Center überwacht.
* Alle Systeme werden kontinuierlich aktualisiert.

### 1. Welche Technologien, Stacks und Plattformen wurden für das Design von RealmJoin verwendet?

* `Azure`

## Verfügbarkeit

### 1. Wie stellen Sie die Verfügbarkeit von RealmJoin sicher?

Um die hohe Verfügbarkeit von RealmJoin zu gewährleisten, werden mehrere zentrale Strategien implementiert, die jeweils darauf ausgelegt sind, einen robusten, unterbrechungsfreien Zugriff auf den Dienst bereitzustellen. Zu diesen Maßnahmen gehören:

* **Redundante Infrastruktur**: Bereitstellung über mehrere Rechenzentren hinweg, um einen kontinuierlichen Dienst im Falle eines Ausfalls an einem Standort sicherzustellen. RealmJoin nutzt Azure IaaS in mehreren Azure-Rechenzentren.
* **Automatisierte Failover-Prozesse**: Es sind Systeme vorhanden, die den Datenverkehr bei einem Ausfall automatisch auf betriebsfähige Server umleiten und so Ausfallzeiten minimieren.
* **Skalierbare Architektur**: Die Möglichkeit, Ressourcen je nach Bedarf schnell nach oben oder unten zu skalieren, hilft, die Leistung bei Spitzenlastzeiten aufrechtzuerhalten.
* **Regelmäßige Updates und Patches**: Routinemäßige Wartungen und Aktualisierungen werden angewendet, um Schwachstellen zu beheben und die Leistung zu verbessern, sodass die Plattform sicher und effizient bleibt.
* **Überwachung und Warnmeldungen**: Kontinuierliche Überwachung des Systemzustands und automatisierte Warnungen bei Problemen, die die Dienstverfügbarkeit beeinträchtigen könnten.
* **Wiederherstellungspläne**: Wir haben mehrere Ebenen von Wiederherstellungsmaßnahmen implementiert: Wir können den Hauptsystemstatus innerhalb der letzten Wochen wiederherstellen, da unsere Datenbanken Point-in-Time-Recovery unterstützen. Darüber hinaus können im unwahrscheinlichen Fall eines vollständigen Systemausfalls die zentralen RealmJoin-Dienste mithilfe eines IaC-Ansatzes (Terraform) wiederhergestellt werden, was die Wiederherstellungszeit erheblich verkürzt.

## GDPR und Datenresidenz

### 1. Verlässt Daten Europa?

Nein.

### 2. Auf welche Cloud-Anbieter von Drittanbietern ist RealmJoin angewiesen und warum?

<table><thead><tr><th>Unternehmen</th><th>Dienste</th><th width="221.671875">Kontakt</th><th>Zweck</th></tr></thead><tbody><tr><td>Microsoft Corporation</td><td>Cloud Services (Azure)</td><td>Building 3, Carmanhall Road Sandyford,<br>Industrial Estate 18, Dublin,<br>Irland</td><td>Cloud-Dienste (Azure)</td></tr><tr><td>GitHub B.V.</td><td>git code repository, integration, testing and release automation</td><td>Prins Bernhardplein 200, Amsterdam, 1097JB<br>Niederlande</td><td>Code-Repository, CI/CD-Pipeline.</td></tr><tr><td>GitLab, Inc.</td><td>git code repository, integration, testing and release automation</td><td>268 Bush Street #350, San Francisco, CA 94104-3503,<br>Vereinigte Staaten</td><td>Packaging-Pipeline</td></tr></tbody></table>

## Sonstiges

### 1. Ist RealmJoin Teil eines Bug-Bounty-Programms?

Nein.

### 2. Welche QA-Maßnahmen sind vorhanden?

* Wir führen signierte Binärdateien aus.
* Unsere App-Pakete werden auf konsistente Weise erstellt und nutzen modernste Code-Repositories sowie CI/CD-Methoden, um ein Höchstmaß an Integrität sicherzustellen.
* App-Pakete werden während des Build-Prozesses signiert und vor der Installation auf dem Client vom RJ-Agenten geprüft.

### 3. Führen Sie regelmäßig Penetrationstests durch?

Nein.

Im Rahmen unserer Secure Development Practices verwenden wir Tools (z. B. statische Codeanalyse), die die Codebasis auf CVEs und andere gängige Exploits (einschließlich Abhängigkeiten wie Bibliotheken von Drittanbietern) scannen, die die Sicherheit der von RealmJoin bereitgestellten Endpunkte beeinträchtigen könnten. Vor jeder Freigabe werden alle relevanten Funde bewertet und behoben, um sicherzustellen, dass RealmJoin frei von bekannten Schwachstellen bleibt. Wir führen weder selbst Penetrationstests durch, noch verwenden wir Tools von Drittanbietern für „Penetration Test-as-a-Service“. Im ersten Fall sehen wir einen inhärenten Interessenkonflikt. Im zweiten Fall sehen wir, da typische Penetrationstest-Dienste oft lediglich die exponierten Endpunkte gegen CVEs und andere bekannte Exploits prüfen, keinen zusätzlichen Nutzen gegenüber den von uns bereits durchgeführten Prüfungen mittels statischer Codeanalyse. Wenn Sie eigene Penetrationstests durchführen möchten, bitte [wenden Sie sich an uns](https://www.realmjoin.com/help/) und teilen Sie uns Ihre Anforderungen mit.

### 4. Gibt es einen Patch-Prozess?

Ja, routinemäßige Wartungen und Aktualisierungen werden angewendet, um Schwachstellen zu beheben und die Leistung zu verbessern, sodass die Plattform sicher und effizient bleibt.

### 5. Wie lauten die SLAs für Patches?

* Patches für CVEs / Sicherheitslücken: Sobald die Schwachstelle öffentlich bekannt wird oder sobald wir eine Schwachstelle in unserem eigenen Code identifizieren, wird spätestens 24 Stunden nach unserer Kenntnisnahme der Schwachstelle ein Hotfix bereitgestellt.
* Sonstige Patches: Kein SLA.

### 6. Führt RealmJoin Backups durch?

RealmJoin verwendet Point-in-Time-Restore-Technologie für alle kritischen Daten. GitLab (Hosting der PACKaaS-Pipeline und des Repositories) wird regelmäßig gesichert.

### 7. Gibt es Backup-Wiederherstellungstests?

Nein. Bitte siehe [Verfügbarkeit](#id-1.-how-do-you-ensure-the-availability-of-realmjoin) für Details.

### 8. Was macht RealmJoin-Pakete sicherer als Community-Lösungen?

Im Gegensatz zu Community-Lösungen behalten wir jederzeit die volle Kontrolle über jedes Paket und jede Binärdatei. Mehrere implementierte Prüfungen stellen sicher, dass auf Geräten keine beschädigten Daten ausgeführt werden.

* **Keine öffentlichen Repositories**: Wir betreiben unsere GitLab-, nuget- und CDN-Instanzen. Während der RealmJoin-Agent derzeit eine modifizierte Version der Chocolatey-Engine verwendet, ist die Paketquelle auf die glueckkanja AG-Paketserver beschränkt.
* **Getrennte Repositories**: Kundenspezifische Pakete befinden sich in einem kundenspezifischen Bereich unserer Server und können von anderen Kunden nicht aufgerufen werden.
* **Vollständige Versionierung**: Alle Tools sowie der RealmJoin-Paket-Store stellen Commit- und Audit-Informationen bereit. Es ist jederzeit transparent, wer wann was in welchem Paket geändert hat.
* **Verzicht auf spezifische Daten**: Die Trennung von Paketcode und Binärdateien ermöglicht es uns grundsätzlich, sensible Informationen aus den Binärdateien zu entfernen, sodass selbst abgefangene Binärdateien nicht böswillig verwendet werden können.
* **Verschlüsselung und Hashes**: Die Paketskripte werden auf einem verschlüsselten Server mit stark eingeschränktem Zugriff gespeichert. Der RealmJoin-Agent lädt die Skripte über eine verschlüsselte Verbindung herunter. Für zusätzliche Sicherheit werden alle Binärdateien vor jeder Aktion gegen einen fest codierten Hash geprüft.
* **Pentest**: In den letzten Jahren war der RealmJoin-Agent Teil mehrerer erfolgreicher Kunden-Pentests.
* **Tests**: Alle RealmJoin-Pakete werden im Rahmen des PACKaaS-QA auf Windows-Geräten mit Defender mehrfach installiert. Malware-Scans sind Teil der automatisierten Build- und Bereitstellungsprozesse. Gepflegte Pakete verwenden offizielle Herstellerquellen.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.realmjoin.com/de/sonstiges/security-and-privacy.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.