> For the complete documentation index, see [llms.txt](https://docs.realmjoin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.realmjoin.com/de/sonstiges/security-and-privacy.md).

# Sicherheit & Datenschutz

Dieses Kapitel bietet einen Überblick über häufig gestellte Fragen zu Informationssicherheit, Datenschutz und Qualitätssicherung.

## Datenverarbeitung und Berechtigungen <a href="#data-processing-and-permissions" id="data-processing-and-permissions"></a>

### 1. Von welchem Rechenzentrum aus betreibt RealmJoin den Betrieb?

* Azure-Region West Europe (primär)
* Azure-Region North Europe (Backup)

### 2. Welche Daten werden von RealmJoin verarbeitet?

* Computerstatus
* Entra ID Benutzer-/Geräte-/Gruppendaten (dies enthält UPN-/E-Mail-Adressdaten, Vorname, Nachname, Profilbild)
* Intune-Daten
* ATP-Daten
* Protokolldateien

### 3. Welche Daten werden dauerhaft von/durch RealmJoin gespeichert und wie?

* Computerstatus
* Entra ID Benutzer-/Geräte-Referenzen (dies enthält UPN-/E-Mail-Adressdaten)
* Informationen für die App-Verwaltung
* Protokolldateien

Die Daten werden in einer Kombination aus Blob Storage und Datenbanken gespeichert.

### 4. Gibt es einen Archivierungsmechanismus für Protokolle?

Der Computerstatus wird 90 Tage lang archiviert, danach entfernen Aufbewahrungsrichtlinien die Daten.

### 5. Welchen Tenant-Berechtigungen müssen Benutzer beim Zugriff auf das RealmJoin-Webportal zustimmen?

Bitte beachten Sie [Erforderliche Berechtigungen](/de/realmjoin-bereitstellung/required-permissions.md).

### 6. Welche Daten werden durch die Zustimmung(en) aus Frage 5 bereitgestellt?

Bitte beachten Sie [Erforderliche Berechtigungen](/de/realmjoin-bereitstellung/required-permissions.md).

### 7. Welche extern zugänglichen Endpunkte stellt RealmJoin bereit?

1. RealmJoin Portal
   * Ein Webportal, das die Verwaltung des Dienstes erleichtert.
2. RealmJoin Client-API
   * API für die Client-Anwendungen (interne Nutzung).
3. RealmJoin Customer-API
   * API für Kunden.
4. RealmJoin Internal-API
   * API für zugehörige Backend-Operationen (interne Nutzung).
5. RealmJoin CDN
   * Binärdaten mit BranchCache-Unterstützung.
6. RealmJoin Paketserver
   * Benutzerdefiniertes NuGet-Paket-Repository.

### 8. Wie sind die Endpunkte aus Frage 7 geschützt?

1. RealmJoin Portal
   * Gesichert durch OAuth 2.0-Authentifizierung mit Microsoft Entra ID (Azure AD).
2. RealmJoin Client-API
   * Gesichert durch OAuth 2.0-Authentifizierung mit Microsoft Entra ID (Azure AD).
   * Benutzerdefinierte Authentifizierung mit Entra-Device-Certificate.
3. RealmJoin Customer-API
   * Vorab geteilter Schlüssel pro Kunde.
4. RealmJoin Internal-API
   * Vorab geteilter Schlüssel pro Kunde.
5. RealmJoin CDN
   * Per Definition nicht authentifiziert, kann jedoch mit verschlüsselten Dateien geschützt werden.
6. RealmJoin Paketserver
   * Vorab geteilter Schlüssel pro Kunde.

### 9. Welche Ports und Protokolle werden von den Endpunkten aus Frage 7 verwendet?

1. Alle Endpunkte verwenden standardmäßig TLS.
   * HTTPS (TCP / 443).
2. RealmJoin CDN
   * Erlaubt HTTP (TCP / 80) zu Fehlerbehebungszwecken.
   * Konfigurierte URLs verwenden ausschließlich HTTPS (TCP / 443).

## Identität

### 1. Welche Autorisierungsschemata werden verwendet, um Zugriff auf RealmJoin zu erhalten?

Administrativer Zugriff wird über OAuth 2.0-Authentifizierung mit Microsoft Entra ID (Azure AD) für Benutzer realisiert, die auf der Plattform registriert sind.

### 2. Gibt es Conditional Access / rollenbasierte Zugriffskontrollen zum Schutz von RealmJoin?

Ja. Das RealmJoin-Admin-Portal bietet Funktionen zum Zuweisen [von Rollen](/de/realmjoin-einstellungen/permission.md) an jeden Benutzer.

Verfügbare Standardrollen:

* Administrator
* Prüfer
* Supporter
* Runbook-Ausführer
* Software-Agent
* Software-Anforderer
* Organischer Software-Anforderer
* Benachrichtigungs-Agent

Darüber hinaus ermöglicht RealmJoin das Erstellen benutzerdefinierter Rollen.

### 3. Können Zugriffsdaten wiederhergestellt werden? Wenn ja, wie?

RealmJoin verwendet SSO und unterliegt den Richtlinien von Microsoft Entra ID (Azure AD) im Kunden-Tenant.

## Datenschutz

### 1. Wie wird *Daten im Ruhezustand* vor unbefugtem Zugriff geschützt?

* Eingeschränkter administrativer Zugriff gemäß Best Practices.
* Verwendung von Passkey-MFA.
* Datenbanken sind für den externen Zugriff auf VPN-IP-Adressen beschränkt.

### 2. Wie werden *Daten während der Übertragung* vor unbefugtem Zugriff geschützt?

Die Kommunikation zwischen dem RealmJoin-Dienst (Backend) und dem RealmJoin-Agenten (Client) ist mit Transport Layer Security (TLS) 1.2 oder höher gesichert.

Zusätzlich ist ein Teil der Inhalte (z. B. Softwarepakete) vom RealmJoin-Dienst signiert, sodass der RealmJoin-Agent sicherstellen kann, dass die Daten während des Transports nicht verändert wurden.

### 3. Wie werden Kunden-Tenants voneinander getrennt?

Je nach Dienstbeschränkungen und Leistungsaspekten entweder durch separate Gruppen/Container oder durch Tabellenpartitionierung.

Code-Pfade verwenden einen umgebungsbasierten Kundenkontext zur Trennung.

## Security by Design

### Wir verpflichten uns zu hohen Sicherheitsstandards

* Unser Entwicklungs- und Betriebsteam ist ISO 27001-zertifiziert.
* Wir arbeiten mit den neuesten Cloud-Entwicklungstools (z. B. GitHub), und der Code wird in gesicherten Repositories gespeichert.
* Wir setzen auf modernste Entwicklungs-, Build- und Betriebsmethoden (z. B. CI/CD).
* Unsere Teammitglieder verwenden Entra ID-Identitäten und müssen Multifaktor-Authentifizierung verwenden.
* Endpunkte, Identitäten und Dienste werden durch die neuesten Technologien (z. B. Microsoft Sentinel und M365 Defender Suite inkl. EDR) geschützt und von einem Security Operations Center überwacht.
* Alle Systeme werden kontinuierlich aktualisiert.

### 1. Welche Technologien, Stacks und Plattformen wurden für die Entwicklung von RealmJoin verwendet?

* `Azure`

## Verfügbarkeit

### 1. Wie stellen Sie die Verfügbarkeit von RealmJoin sicher?

Um eine hohe Verfügbarkeit von RealmJoin zu gewährleisten, werden mehrere wichtige Strategien umgesetzt, die jeweils darauf ausgelegt sind, einen robusten, unterbrechungsfreien Zugriff auf den Dienst bereitzustellen. Zu diesen Maßnahmen gehören:

* **Redundante Infrastruktur**: Bereitstellung über mehrere Rechenzentren hinweg, um einen kontinuierlichen Dienst im Falle eines Ausfalls an einem Standort zu gewährleisten. RealmJoin nutzt Azure IaaS in mehreren Azure-Rechenzentren.
* **Automatisierte Failover-Prozesse**: Es gibt Systeme, die den Datenverkehr bei einem Ausfall automatisch auf funktionsfähige Server umleiten und so Ausfallzeiten minimieren.
* **Skalierbare Architektur**: Die Fähigkeit, Ressourcen je nach Bedarf schnell hoch- oder herunterzuskalieren, trägt dazu bei, die Leistung bei Spitzenlasten aufrechtzuerhalten.
* **Regelmäßige Updates und Patches**: Routinewartung und Updates werden angewendet, um Schwachstellen zu beheben und die Leistung zu verbessern, damit die Plattform sicher und effizient bleibt.
* **Überwachung und Warnungen**: Kontinuierliche Überwachung des Systemzustands und automatisierte Warnungen bei Problemen, die die Verfügbarkeit des Dienstes beeinträchtigen könnten.
* **Wiederherstellungspläne**: Wir haben mehrere Ebenen von Wiederherstellungsmaßnahmen implementiert: Wir können den Hauptsystemzustand innerhalb der letzten Wochen wiederherstellen, da unsere Datenbanken Point-in-Time-Recovery unterstützen. Darüber hinaus können im unwahrscheinlichen Fall eines vollständigen Systemausfalls die wichtigsten RealmJoin-Dienste mithilfe eines IaC-Ansatzes (Terraform) wiederhergestellt werden, was die Wiederherstellungszeit erheblich verkürzt.

## DSGVO und Datenresidenz

### 1. Verlässt die Daten Europa?

Nein.

### 2. Auf welche Cloud-Anbieter von Drittanbietern stützt sich RealmJoin und warum?

<table><thead><tr><th>Unternehmen</th><th>Dienste</th><th width="221.671875">Kontakt</th><th>Zweck</th></tr></thead><tbody><tr><td>Microsoft Corporation</td><td>Cloud-Dienste (Azure)</td><td>Building 3, Carmanhall Road Sandyford,<br>Industrial Estate 18, Dublin,<br>Ireland</td><td>Cloud-Dienste (Azure)</td></tr><tr><td>GitHub B.V.</td><td>Git-Code-Repository, Integration, Tests und Release-Automatisierung</td><td>Prins Bernhardplein 200, Amsterdam, 1097JB<br>Niederlande</td><td>Code-Repository, CI/CD-Pipeline.</td></tr><tr><td>GitLab, Inc.</td><td>Git-Code-Repository, Integration, Tests und Release-Automatisierung</td><td>268 Bush Street #350, San Francisco, CA 94104-3503,<br>Vereinigte Staaten</td><td>Paketierungs-Pipeline</td></tr></tbody></table>

## Verschiedenes

### 1. Ist RealmJoin Teil eines Bug-Bounty-Programms?

Nein.

### 2. Welche QA-Maßnahmen sind vorhanden?

* Wir führen signierte Binärdateien aus.
* Unsere App-Pakete werden auf konsistente Weise erstellt und nutzen modernste Code-Repositories sowie CI/CD-Methoden, um ein Maximum an Integrität zu gewährleisten.
* App-Pakete werden während des Build-Prozesses signiert und vom RJ-Agenten vor der Installation auf dem Client geprüft.

### 3. Führen Sie regelmäßig Penetrationstests durch?

Nein.

Im Rahmen unserer Secure Development Practices verwenden wir Tools (z. B. statische Codeanalyse), die die Codebasis auf CVEs und andere gängige Exploits (einschließlich Abhängigkeiten wie Bibliotheken von Drittanbietern) prüfen, die die Sicherheit der von RealmJoin bereitgestellten Endpunkte beeinträchtigen könnten. Vor jedem Release werden alle relevanten Funde bewertet und behoben, um sicherzustellen, dass RealmJoin frei von bekannten Schwachstellen bleibt. Wir führen weder selbst Penetrationstests durch, noch verwenden wir Tools von Drittanbietern für „Penetration Test-as-a-Service“. Im ersten Fall sehen wir einen inhärenten Interessenkonflikt. Im zweiten Fall sehen wir keinen zusätzlichen Nutzen gegenüber den Prüfungen, die wir bereits mit statischer Codeanalyse durchführen, da typische Penetrationstest-Dienste oft einfach die exponierten Endpunkte gegen CVEs und andere bekannte Exploits prüfen. Wenn Sie eigene Penetrationstests durchführen möchten, bitte [nehmen Sie bitte Kontakt mit uns auf](https://www.realmjoin.com/help/) und teilen Sie uns Ihre Anforderungen mit.

### 4. Gibt es einen Patch-Prozess?

Ja, Routinewartung und Updates werden angewendet, um Schwachstellen zu beheben und die Leistung zu verbessern, damit die Plattform sicher und effizient bleibt.

### 5. Wie lauten die SLAs für Patches?

* Patches für CVEs / Sicherheitslücken: Sobald die Schwachstelle öffentlich bekannt wird oder sobald wir eine Schwachstelle in unserem eigenen Code identifizieren, wird spätestens 24 Stunden nachdem wir von der Schwachstelle erfahren haben ein Hotfix bereitgestellt.
* Andere Patches: Kein SLA.

### 6. Führt RealmJoin Backups durch?

RealmJoin verwendet Point-in-Time-Restore-Technologie für alle kritischen Daten. GitLab (das die PACKaaS-Pipeline und das Repository hostet) wird regelmäßig gesichert.

### 7. Gibt es Tests zur Wiederherstellung von Backups?

Nein. Bitte beachten Sie [Verfügbarkeit](#id-1.-how-do-you-ensure-the-availability-of-realmjoin) für Details.

### 8. Was macht RealmJoin-Pakete sicherer als Community-Lösungen?

Im Gegensatz zu Community-Lösungen behalten wir jederzeit die volle Kontrolle über jedes Paket und jede Binärdatei. Mehrere implementierte Prüfungen stellen sicher, dass auf Geräten keine beschädigten Daten ausgeführt werden.

* **Keine öffentlichen Repositories**: Wir hosten unsere GitLab-, NuGet- und CDN-Instanzen. Während der RealmJoin-Agent derzeit eine modifizierte Version der Chocolatey-Engine verwendet, ist die Paketquelle auf die glueckkanja AG-Paketserver beschränkt.
* **Getrennte Repositories**: Kundenspezifische Pakete befinden sich in einem kundenspezifischen Bereich unserer Server und können nicht von anderen Kunden abgerufen werden.
* **Vollständige Versionierung**: Alle Tools sowie der RealmJoin-Paketstore stellen Commit- und Audit-Informationen bereit. Es ist jederzeit transparent, wer wann in welchem Paket was geändert hat.
* **Spezifische Daten vermeiden**: Durch die Trennung von Paketcode und Binärdateien können wir sensible Informationen grundsätzlich aus den Binärdateien entfernen, sodass selbst abgefangene Binärdateien nicht missbräuchlich verwendet werden können.
* **Verschlüsselung und Hashes**: Die Paketskripte werden auf einem verschlüsselten Server mit stark eingeschränktem Zugriff gespeichert. Der RealmJoin-Agent lädt die Skripte über eine verschlüsselte Verbindung herunter. Für zusätzliche Sicherheit werden alle Binärdateien vor jeder Aktion mit einem hart codierten Hash abgeglichen.
* **Pentest**: In den letzten Jahren war der RealmJoin-Agent Teil mehrerer erfolgreicher Penetrationstests bei Kunden.
* **Tests**: Alle RealmJoin-Pakete werden während der PACKaaS-QA mehrfach auf Windows-Geräten mit Defender installiert. Malware-Scans sind Teil der automatisierten Build- und Deployment-Prozesse. Gewartete Pakete verwenden offizielle Anbieterquellen.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.realmjoin.com/de/sonstiges/security-and-privacy.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.