Informationssicherheit der TIMEOFFICE Mobile App
Entlang der Anforderung an ein ISO 27001 konformes Informationssicherheits-Managementsystem besitzt der Schutz von Informationen und die Einhaltung der Grundwerte Verfügbarkeit, Integrität und Vertraulichkeit im Hause Pradtke allerhöchste strategische Priorität. Das inkludiert den Schutz von Daten im Allgemeinen, selbstverständlich aber auch den Schutz von personenbezogenen Daten nach DSGVO.
Informationssicherheit
Mit der Einführung der App TIMEOFFICE Mobile erweitert Pradtke sein Portfolio um eine Lösung, die zwingenderweise die Einbindung eines Cloud-Dienstes erfordert. Hieraus ergeben sich aus der Sicht des Informationsschutzes besondere Herausforderungen, die einer besonderen Sorgfalt bedürfen und welche wir hiermit erläutern möchten.
Gegenstand: App „TIMEOFFICE Mobile”
Zur ordentlichen Bewertung der eingesetzten Schutzmechanismen auf Basis einer zuvor durchgeführten Risikobewertung möchten wir zunächst beschreiben, für was bzw. wie die App eingesetzt wird.
Aus der Sicht des Nutzers bzw. des Mitarbeitenden kann die App für Folgendes genutzt werden:
Einsicht der eigenen Dienst-/Einsatzpläne und die Vor- und Nachnamen der Schichtbegleiter (Früh-/Spät- und Nachdienst) sehen
Ansicht der eigenen Zeitkonten
Ansicht der eigene Profildaten und, sofern vom Arbeitgeber freigegeben, diese aktualisieren (z.B. Telefonnummer)
Textinformationen (ggf. mit Anhängen) des Arbeitgebers erhalten/öffnen, bestätigen oder auch als Umfragen beantworten
Krankmeldung unter der Angabe, ob eine elektronische Arbeitsunfähigkeitsbescheinigung (eAU) vorliegt
Arbeitszeiten elektronisch erfassen
Dienstangebote bei vakanten Diensten nutzen, darauf reagieren und einen Dienst zuzusagen oder abzusagen
Aus der Sicht des Arbeitgebers bzw. unseres Kunden kann die App für Folgendes genutzt werden:
Nachrichten (ggf. mit Anhängen) werden direkt auf die Handys der Mitarbeitenden gesendet, Bestätigungen eingefordert und Um/-Abfragen durchgeführt
Pflege gewisser Stammdaten werden durch die Mitarbeitenden vorgenommen, z.B. Telefonnummer
Bereitstellung eines zusätzlichen „Immer-Aktuell“-Komfort-Zugewinns für Mitarbeitende
Automatisierte Bereitstellung von DSGVO-konformen Dienstplänen
Prozessoptimierung der elektronischen Arbeitsunfähigkeitsbescheinigungen (eAU) von Mitarbeitenden mittels des TIMEOFFICE Systems (entsprechende Schnittstellen zum Lohnsystem vorausgesetzt)
Anfrage bei Mitarbeitenden zur Übernahme von vakanten Diensten
Dezentralisierung der elektronischen Arbeitszeiterfassung mit Ersetzung oder Ergänzung der Hardwareterminals
Um diese Funktionalität bereit zu stellen, werden ausschließlich folgende Daten aus TIMEOFFICE verarbeitet.
Verschiedene Felder können von der Verarbeitung ausgeschlossen werden.
Datenkategorie | Datenfelder | Verarbeitung zwingend notwendig? |
|---|---|---|
QR-Code | Globally Unique Identifier (GUID) | Ja |
QR-Code | QR-Code PIN (hash) | Ja |
Allgemein | Personalnummer | Ja |
Allgemein | Nachname | Ja |
Allgemein | Vorname | Ja |
Allgemein | Titel | Ja |
Allgemein | Geburtsdatum | Nein |
Allgemein | Familienstand | Nein |
Allgemein | Foto | Nein |
Allgemein | Geburtsort | Nein |
Allgemein | Bemerkungsfelder (1-10) | Nein |
Allgemein | Eintrittsdatum | Ja |
Allgemein | Austrittsdatum | Ja |
Adressdaten | Straße | Nein |
Adressdaten | PLZ | Nein |
Adressdaten | Wohnort | Nein |
Adressdaten | Straße Nebenwohnsitz | Nein |
Adressdaten | PLZ Nebenwohnsitz | Nein |
Adressdaten | Wohnort Nebenwohnsitz | Nein |
Kontaktdaten | Telefon (privat) | Nein |
Kontaktdaten | Telefon mobil (privat) | Nein |
Kontaktdaten | E-Mail (privat) | Nein |
Kontaktdaten | Telefon (dienstlich) | Nein |
Kontaktdaten | Telefon mobil (dienstlich) | Nein |
Kontaktdaten | E-Mail (dienstlich) | Nein |
Kontaktdaten | Telefax | Nein |
Mitteilungen vom Arbeitgeber | Mitteilungstitel | Nein |
Mitteilungen vom Arbeitgeber | Mitteilungstext | Nein |
Mitteilungen vom Arbeitgeber | Dateianhänge | Nein |
Dienstzeiten | Schichtbezeichnung | Ja |
Dienstzeiten | Arbeitsbeginn | Ja |
Dienstzeiten | Arbeitsende | Ja |
Dienstzeiten | Pausendauer | Ja |
Dienstzeiten | Zusatzaufgaben (Einsatzarten) | Ja |
Ausfallzeiten | Art des Ausfalls | Ja |
Einsatzort | Name des Einsatzortes | Ja |
Dienstplan Bemerkungen | Bemerkung für den Einsatzort | Ja |
Dienstplan Bemerkungen | Bemerkung für den Mitarbeiter am Tag | Ja |
Funktionen | Tagesfunktionen | Nein |
Funktionen | Monatsfunktionen | Nein |
Mitarbeiter im Dienst | Name | Nein |
Mitarbeiter im Dienst | Vorname | Nein |
Mitarbeiter im Dienst | Schichtform (Früh, Spät oder Nacht) | Nein |
Zeitkonten | Eigene Zeitkonten je nach institutioneller Konfiguration | Nein |
Aufgaben | Bezeichnung der Aufgabengruppe | Ja |
Aufgaben | Bezeichnung der Aufgabe | Ja |
Aufgaben | Beginn der Aufgabe | Ja |
Aufgaben | Ende der Aufgabe | Ja |
Aufgaben | Name der Person | Ja |
Aufgaben | Vorname der Person | Ja |
Einsatzplan Bemerkungen | Bemerkung für den Einsatzort | Ja |
Einsatzplan Bemerkungen | Bemerkung für den Mitarbeiter am Tag | Ja |
Einsatzplan Bemerkungen | Bemerkung für die Aufgabe | Ja |
Elektronische Krankmeldung | Von-Datum | Nein |
Elektronische Krankmeldung | Bis-Datum | Nein |
Elektronische Krankmeldung | AU-Kennzeichen | Nein |
Elektronische Krankmeldung | Bemerkung zur Krankmeldung | Nein |
Elektronische Krankmeldung | Herkunft (z.B. Mobile App oder TIMEOFFICE) | Nein |
Elektronische Krankmeldung | Erstelldatum | Nein |
Zeiterfassung | Stempelgrund (Kommt, Geht, etc.) | Nein |
Zeiterfassung | Dienstplanstatus | Nein |
Zeiterfassung | Stempelzeit (Datum, Uhrzeit) | Nein |
Zeiterfassung | Kennzeichen für tel. Rufdienst | Nein |
Zeiterfassung | Standorte Zeiterfassung | Nein |
Zeiterfassung | Kennzeichen für eine nachbearbeitete Stempelung | Nein |
Diese Daten sind des Weiteren in folgender Art und Weise limitiert:
Der Nutzer der App kann ausschließlich seine persönlichen personenbezogenen Daten einsehen, nicht die der Kollegen (Ausnahme sind die Vor- und Nachnamen der Kollegen der eigenen, der vor- und nachgelagerten Schichten, wenn diese Ansicht im TIMEOFFICE „Mobile Center” freigegeben wurde.)
Es werden nur die Nutzerdaten der App verarbeitet, die vom Arbeitgeber freigegeben wurden.
Diese freigegebenen Daten werden innerhalb eines rollierenden Zeitfensters vorgehalten (3 Monate in die Vergangenheit, 15 Monate in die Zukunft). Alle anderen Daten werden gelöscht.
Erforderliche Komponenten
Es wird ein Cloud Service benötigt, auf dem folgende Softwarekomponenten installiert sind:
Ein Lizenz Server, welcher die Anzahl erworbener und eingesetzter Nutzer pro Einrichtung vorhält und prüft.
Je Kunde eine eigene SQL-Datenbank, die als Zwischenspeicher eingesetzt wird (hier werden maximal die zuvor beschriebenen, freigegebenen Datenfelder vorgehalten).
Je Kunde eine ReST-API/Middleware, die sowohl die Authentifizierung als auch den Informationsaustausch von/zum Pradtke Mobile Backend bzw. der App ermöglicht.
Geolokalisierung zur Verifizierung optionaler Standorte, an denen Mitarbeiter ihre Arbeitszeit erfassen dürfen.
Im Hause unserer Kunden/des Arbeitgebers:
Eine aktuelle TIMEOFFICE ADA (9.x.x) oder TIMEOFFICE GRACE (10.x.x) Installation mit freigegebener Funktion „Mobile Center“.
Ein lokal installiertes Pradtke Mobile Backend, welches als Kommunikationszentrale zwischen der lokalen TIMEOFFICE Datenbank und dem Cloud-Dienst fungiert.
Auf dem Smartphone des freigegebenen Nutzers:
Eine installierte, authentifizierte App TIMEOFFICE Mobile
Beschreibung der Betriebsweise und des Datenflusses
Einrichtung
Nachdem alle technischen Voraussetzungen erfüllt sind und für die jeweilige Einrichtung sowohl das TIMOFFICE „Mobile Center“ freigegeben ist als auch das notwendige Nutzerkontingent auf dem Lizenzserver des Cloud-Dienstes hinterlegt sind, stehen im neuen Register „Mobile Center" der TIMOFFICE Desktop-Anwendungen Lizenzen zur Zuordnung der Mitarbeitenden zur Verfügung. Für jeden zugeordneten Mitarbeitenden wird je ein QR-Code und eine PIN generiert, welche nur einmal eingesetzt werden können.
Mit der Freigabe eines Mitarbeitenden wird zum einen ein einmaliger, nur auf einem Gerät nutzbarer, QR-Code mit zugehöriger PIN generiert, die zusammen mit den nutzerspezifischen „Datenfeldern" durch das Pradtke Mobile Backend über eine SSL-gesicherte Verbindung in den kundenspezifischen SQL-Zwischenspeicher der Cloud kopiert werden (die PIN wird per Hash-Algorithmus mit Pbkdf2.SHA512 und mindestens 150.000 Iterationen generiert).
Damit Mitarbeitende die App einsetzen können, müssen sie Folgendes durchführen:
App TIMEOFFICE Mobile herunterladen und installieren („Apple App Store“ oder „Google Play“)
QR-Code und PIN organisieren, entweder über einen Verantwortlichen TIMEOFFICE Benutzer/Planer/Vorgesetzen oder direkt über das TIMEOFFICE Portal
QR-Code aus der App heraus einscannen und die einmalige PIN eingeben
Datenfluss
Das lokale Pradtke Mobile Backend überprüft regelmäßig, ob sich die „Datenfelder“ sowohl in der Cloud als auch in der lokalen TIMEOFFICE Datenbank geändert haben. Gibt es eine Neuerung, so werden diese in der jeweiligen Datenbank aktualisiert (lokal oder in der Cloud).
Wenn nun der App-Nutzer die App erstmalig öffnet, meldet sich die App nach Eingabe des QR-Codes plus PIN über eine sichere SSL-Verbindung über die einrichtungsspezifische ReST-API an der Cloud an.
Dort wird dem App-Nutzer ein eindeutiger Benutzername und ein zufallsgeneriertes 64-stelliges Passwort zugeordnet. Dies wird künftig für die Authentifizierung via Bearer-Token verwendet.
Nun werden zunächst die über das Pradtke Mobile Backend auf der Cloud aktualisierten Datenfelder in die App kopiert bzw. überschrieben. Danach werden die durch den Nutzer in der App vorgenommene Änderungen in den Cloud-SQL-Zwischenspeicher geschrieben (überschrieben).
Bei der nächsten Änderungsüberprüfung durch das lokale Pradtke Mobile Backend wird diese Änderung erkannt, von dieser abgeholt und in die lokale TIMEOFFICE Datenbank geschrieben. Dem verantwortlichen TIMEOFFICE Benutzer wird diese Änderung in TIMEOFFICE oder in TIMEOFFICE Web angezeigt.
Nutzer ausschließen (z.B. bei Verlust des Smartphones oder automatisch bei Austritt)
Der zuständige Benutzer des TIMEOFFICE „Mobile Center” entzieht dem Nutzer die App-Lizenz. Damit werden automatisch die Anmeldeinformationen des Nutzers und die zwischengespeicherten Daten aus der Cloud-SQL-Datenbank gelöscht.
Beim nächsten Öffnen der App werden die Daten nicht mehr aktualisiert und die Verbindung zur Einrichtung ist getrennt.
Ergänzungen zur technischen und organisatorischen Umsetzung der TIMEOFFICE Mobile App
Eingesetzte Cloud-Technologie
Deutscher Serverstandort und Datenspeicherung
ISO 27001 mit 27017 und 27018 zertifiziert
C5 testiert
Umsetzung Sicherheitsmaßnahmen nach CSI-Benchmark
Mittels Customer Key verschlüsselte SQL-Datenbanken, die immer nur Kopien der Originaldaten vorhalten
Standortbestimmung mittels Azure Maps
Eingesetzte Kommunikations-/Authentifizierungstechnologie
Geschützter Datentransport mit SSL-Verschlüsselung (TLS 1.2) – durchgängig
ReST-API Technologie. Lässt logisch keinen Zugriff auf lokale Infrastrukturen zu
Token basiertes Authentifizierungssystem
Permanente Berücksichtigung der OWASP Top-Ten
Rollierende Datenvorhaltung
RSA-Verschlüsselung mit 2048-Bit des Cloud-Servers
Datenspeicherung auf Smartphones
Die sicherheitsrelevanten Daten der App auf den Smartphones der Nutzenden werden im Secure Store des Betriebssystems verschlüsselt abgelegt. Diese Sicherheit der Secure Stores der Betriebssysteme Android und iOS sind allgemein anerkannt und werden weltweit z.B. von Banking Apps genutzt.
Die Verschlüsselung des Dateisystems ist darüber hinaus in den von TIMEOFFICE Mobile unterstützenden Mobile-Betriebssystemen obligatorisch.
Push-Nachrichten Funktion
Um App-Nutzer auf Ereignisse innerhalb der App hinzuweisen, benutzen Smartphone-Betriebssysteme Push-Nachrichten. Um eine Push-Nachricht zu versenden ist es notwendig, die Infrastruktur der Betriebssystem-Hersteller (Apple, Google) zu verwenden. Hierbei wird notwendigerweise durch die App ein Request an Apple (bei iOS-Geräten) bzw. das Google Firebase Framework (bei Android-Geräten) gesendet, welche dann die Push-Nachrichten auf das Smartphone ausspielen. Hierzu muss die App den sogenannten Device Token des Smartphones verwenden, welcher als eindeutige ID des Gerätes fungiert.
Es werden lediglich die Routinen verwendet, welche zum Versand der Push-Nachrichten notwendig sind. Weiteres aktives App-Tracking, welches prinzipiell z.B. mit dem Framework Firebase Analytics möglich ist, wird nicht durchgeführt.
Standortdienste
Um Standorte definieren und verifizieren zu können, an denen die Mitarbeitenden ihre Arbeitszeiten erfassen dürfen, sind Standortdienste notwendig. TIMEOFFICE nutzt zur Verifizierung den Service „Azure Maps“. Ist für die App-Nutzer das Erfassen von Arbeitszeiten an diese Standorte gebunden, nutzt die App die jeweiligen Standortdienste des Smartphone-Betriebssystems, um zu ermitteln, ob die Mitarbeitenden an diesem Standort zur Zeiterfassung berechtigt ist oder nicht. Die Standortdaten der Mitarbeitenden werden von der App nicht gespeichert.
Log-Dateien
Für die Bereitstellung der Funktionalitäten sowie für Fehlerbehebungen werden mehrere Log-Dateien auf der Middleware angelegt:
Push-Nachrichten: Device Tokens (s.o.), Metadaten (Zeitpunkt, ID, Typ, Status) zu gesendeten Push-Nachrichten, keine Inhalte der Nachrichten
Applog Items: Protokollierung der Aufrufe von API-Routen
Error-Reports: Mitarbeiter-Lizenz, Zeitpunkt, Fehlernachricht, Stacktrace mit Kontext zu auftretenden Fehlern
Keine dieser Log-Dateien wird routinemäßig manuell oder maschinell ausgewertet. Sie dienen lediglich zur Fehleranalyse und zur Bereitstellung eines stabilen Systems.
Des Weiteren wird zur Fehlerbehebung das Framework Firebase Crashlytics eingesetzt, um Fehlermeldungen aus den Apps erhalten zu können und die Stabilität von TIMEOFFICE Mobile zu verbessern. Hierbei werden keine Daten zum Verhalten des Nutzenden o.ä. übertragen, sondern lediglich die Fehlermeldungen der App.
Weiteres zur Informationssicherheit und Datenschutz im Hause Pradtke
DSGVO- und BDSG-neu konform
Informationssicherheitssystem basierend auf ISO 27001 mit 27017
Etablierte Datenschutz- und Informationssicherheitsbeauftragte
Kein gesondertes Backup für kundenspezifische Cloud-Datenbestände nötig, da die Originaldaten immer in der lokalen Datenbank und dem dortigen Backup gesichert bleiben.