Anmerkung: Diese Stellungnahme wurde ursprünglich am 03. Juli 2021 in der Community für Partner von NinjaOne veröffentlicht und in unserer App kommuniziert. Die Veröffentlichung in unserem Blog soll dazu beitragen, die Sichtbarkeit zu erhöhen und es unseren Partnern erleichtern, diese Stellungnahme an Ihre Endkunden weiter zu leiten.
Sehr geehrte NinjaOne-Benutzer,
Die meisten von Ihnen haben sicher inzwischen von den Ransomware-Vorfällen im Zusammenhang mit Kaseya VSA gehört, von denen MSP’s und Ihre Endkunden betroffen sind. Wie auch Sie, beobachten wir die Entwicklungen sehr genau und wir möchten Ihnen versichern, dass wir keinerlei Anhaltspunkte dafür gefunden haben, dass NinjaOne oder Partner von NinjaOne von dieser oder einer ähnlichen Attacke betroffen sind. Zur Klarstellung: NinjaOne verwendet keine Produkte, Services oder Komponenten von Kaseya in seinem Stack.
Verständlicherweise möchten unsere Partner nicht nur erfahren, ob NinjaOne von den aktuellen Ereignissen direkt betroffen ist, sondern wir erhalten darüber hinaus viele Fragen zu den Sicherheitsvorkehrungen, die NinjaOne umsetzt, um seine Partner zu schützen.
Wir möchten die Gelegenheit nutzen, Ihnen diesbezüglich einige Details mitzuteilen. Zuerst jedoch möchten wir klarstellen, dass wir in uneingeschränkter Solidarität hinter Kaseya stehen und diesen Akt des Terrorismus gegen Unternehmen und Ihre Kunden verurteilen. Es sind Vorfälle wie diese, die uns alle nachts nicht schlafen lassen und wir sind der festen Überzeugung, dass wir diesen Kampf gemeinsam führen müssen. Daher sind wir jederzeit bereit Kaseya und ihr Team zu unterstützen.
In Bezug auf unsere eigenen internen Sicherheitsbemühungen: Als Softwareanbieter sind wir uns darüber im Klaren, dass Sie Ihre Sicherheit in unsere Hände legen, und wir nehmen diese Verantwortung extrem ernst. Seit unserer Unternehmensgründung hat der Schutz unserer Infrastruktur für uns höchste Priorität. Wir passen unsere Sicherheitsprozesse und -initiativen ständig an, bewerten sie neu, verstärken und ergänzen sie und sehen unsere Arbeit im Bereich der Sicherheit als permanente Aufgabe an, die niemals ganz abgeschlossen sein wird.
Um einen Einblick in unsere Bemühungen zu geben, ist im Folgenden eine kurze Auswahl der Maßnahmen aufgeführt, die wir ergriffen haben, um NinjaOne und unsere Partner zu schützen:
- NinjaOne’s Online-Dienstleistungen und unser Quellcode werden routinemäßigen Scans unterzogen sowie regelmäßigen Stresstests durch renommierte, externe Firmen ausgesetzt, um eventuelle Sicherheitslücken aufzudecken. NinjaOne wird konstant mit “SEHR SICHER” (“highly secure”) bewertet.
- Unser Agenten-basiertes Verwaltungsportal wird in einer sicheren, isolierten Cloud-Umgebung mit einer leistungsstarken Verschlüsselung für alle im Ruhezustand befindlichen Daten gehostet. Unsere Cloud-Infrastruktur verfügt über zahlreiche integrierte Sicherheitsebenen und wird nur bei branchenführenden Cloud-Anbietern gehostet, die sich Audits unterzogen haben, welche in SSAE18 SOC1/SOC2/SOC3 Berichten resultieren..
- Darüber hinaus ist der Zugang zu all unseren Cloud-Ressourcen, -Diensten und -Umgebungen streng reglementiert. Es werden VPNs benötigt (unter Verwendung von Verschlüsselung), wir setzen eine zweistufige MFA/2FA Authentifizierung in Verbindung mit SSL-Zertifikaten durch und überwachen alle Systeme auf ungewöhnliche Aktivitäten und unbefugte Versuche des Eindringens.
- NinjaOne unterzieht sich außerdem jährlichen unabhängigen SSAE18 SOC2-Audits, aus denen im Ergebnis ein Bericht resultiert, den wir unseren Kunden auf Anfrage zur Verfügung stellen.
- Wir unterziehen alle Systeme nicht nur unabhängigen Penetrationstests und Sicherheitsbewertungen, sondern haben Anfang des Jahres auch ein eigenes internes „Red Team“ ins Leben gerufen, das kontinuierlich nach Schwachstellen sucht und uns hilft, diese zu beseitigen.
- Abschließend hat NinjaOne Sicherheitskontrollen implementiert, um verschiedene Cyber-Sicherheitsstandards der US-Regierung zu erfüllen, dazu zählen:
- NIST Cyber Security Framework (CSF) Revision 1.1
- NIST Special Publication 800-171 Revision 2
- NIST Special Publication 800-53 Revision 5
- US Department of Defense Federal Acquisition Regulation Supplement (DFARS) clause 204-7012
- US Department of Defense Cybersecurity Maturity Model Certification Level (CMMC) 3 (Anmerkung: Ein Zertifizierungsprozess hat nicht stattgefunden)
Angesichts dieses aktuellen Ereignisses sind unsere Mitarbeiter und insbesondere unser Sicherheitsteam äußerst wachsam. Wir werden alle zusätzlichen Informationen über die Art des Angriffs auswerten und unsere eigenen Sicherheitspraktiken jetzt und in Zukunft genaustens überprüfen, anpassen und verbessern. Wir leben nach dem Kodex, dass Sicherheit immer eine Momentaufnahme ist und wir werden Ihre Sicherheit und die Ihrer Partner auch zukünftig zu unserer Mission machen und unermüdlich dafür arbeiten.
Sie können sich mit Fragen oder Bedenken jederzeit gerne an unser Team wenden. Sie erreichen uns unter [email protected].
Vielen Dank, für Ihr Vertrauen in NinjaOne.
Mit freundlichen Grüßen,
Lewis Huynh
Chief Security Officer / Sicherheitsbeauftragter
