Sicherheitsverfahren
Uns ist bewusst, dass du uns wertvolle Daten anvertraust. Deshalb nehmen wir das Thema Datensicherheit besonders ernst. Wir erläutern eingehend unsere Sicherheitspraktiken 🔒
Zu den FAQsZugriffsüberwachung: Notion hat die Protokollierung auf allen kritischen Systemen aktiviert. Die Protokolle umfassen fehlgeschlagene/erfolgreiche Protokolle, Anwendungszugriff, Änderungen durch Admins und Systemänderungen. Die Protokolle werden von unserer SIEM-Lösung (Observability and Security Incident Event Management) für die Protokollaufnahme und automatisierte Protokollierungs-/Warnfunktionen aufgenommen.
Backups aktiviert: Notion wird von AWS gehostet und speichert Kundendaten mithilfe unterschiedlicher Datenbanken. AWS bietet standardmäßig eine langlebige Infrastruktur zum Speichern wichtiger Daten und ist auf eine Haltbarkeit von 99,9 % der Objekte ausgelegt. Automatisierte Backups aller Kunden- und Systemdaten sind aktiviert, und die Daten werden mindestens täglich gesichert. Die Backups werden auf die gleiche Weise verschlüsselt wie die Live-Produktionsdaten. Sie werden überwacht und angezeigt.
Datenlöschung: Die Kund/-innen von Notion sind für ihre Daten verantwortlich.Jede/-r Kund/-in ist für die Informationen verantwortlich, die er/sie erstellt, verwendet, speichert, verarbeitet und zerstört. Kund/-innenen von Notion haben die Möglichkeit, die Löschung von Daten anzufordern oder die Löschung selbst vorzunehmen, wenn Daten nicht den behördlichen oder gesetzlichen Aufbewahrungspflichten unterliegen. Weitere Informationen findest du in unserer Datenschutzrichtlinie und in den Zusatzbestimmungen zur Datenverarbeitung .
Verschlüsselung im Ruhezustand: Kundendaten werden im Ruhezustand mit AES-256 verschlüsselt. Die Kundendaten werden verschlüsselt, wenn sie sich in den internen Netzwerken von Notion befinden, sowie im Ruhezustand in Cloud-Speichern, Datenbanktabellen und Backups.
Verschlüsselung während der Übertragung: Während der Übertragung gesendete Daten werden mit TLS 1.2 oder höher verschlüsselt.
Physische Sicherheit: Notion nutzt für das Hosting unserer Anwendung Amazon Web Services (AWS) und delegiert alle physischen Sicherheitskontrollen für das Rechenzentrum an AWS. Weitere Informationen zu den physischen Sicherheitskontrollen von AWS findest du hier.
Responsible Disclosure: Notion unterhält ein Bug-Bounty-Programm. Mehr Infos findest du in unserer Richtlinie zu Responsible Disclosure.
Codeanalyse: Die Sicherheits- und Entwicklungsteams von Notion führen Bedrohungsmodelle und sichere Designüberprüfungen für neue Releases und Updates durch. Nach der Fertigstellung des Codes für wichtige neue Funktionen führen wir Code-Audits, Code-Reviews und Sicherheitsscans für unsere Codebasis durch.
Softwareentwicklungszyklus (SDLC): Notion verwendet einen definierten SDLC, um sicherzustellen, dass Code sicher geschrieben wird. Während der Designphase werden für neue Releases und Updates Sicherheitsbedrohungsmodelle und Sicherheitsdesignüberprüfungen durchgeführt. Nach der Fertigstellung des Codes für wichtige neue Funktionen führen wir Code-Audits durch, arbeiten mit Anbieter/-innen zusammen oder unternehmen interne Tests und führen Sicherheitsscans für unsere Codebasis durch. Nach dem Start führen wir Bug-Bounties durch und nutzen ein Programm zum Management von Sicherheitslücken, um schwerwiegende Sicherheitsprobleme zu beheben.
Berechtigungsverwaltung: Notion verwendet einen Key Management Service (KMS) eines Drittanbieters, der automatisch die Schlüsselgenerierung, Zugriffskontrolle, sichere Speicherung, Sicherung und Rotation der Schlüssel verwaltet. Die kryptografischen Schlüssel werden auf der Grundlage der geringsten Zugriffsrechte bestimmten Rollen zugewiesen. Die Schlüssel werden jedes Jahr automatisch ausgetauscht. Die Verwendung der Schlüssel wird überwacht und protokolliert.
Schwachstellen- und Patch-Management: Notion führt kontinuierlich Schwachstellenscans und Paketüberwachungen bei allen infrastrukturbezogenen Hosts und den Produkten des Unternehmens durch. Externe und interne Dienste werden regelmäßig gepatcht. Alle entdeckten Probleme werden je nach Schweregrad in der Notion-Umgebung behandelt und behoben.
Web Application Firewall (WAF): Alle öffentlichen Endpunkte nutzen eine verwaltete Web Application Firewall, um Versuche zur Ausnutzung gängiger Schwachstellen zu verhindern.
Zugriffsebene: Intern (d.h., Notion-Mitarbeitende greifen nur auf deine Daten zu, um Probleme zu beheben oder Inhalte auf deinen Wunsch hin wiederherzustellen.)
Abhängigkeit von Dritten: Ja – sieh dir die Liste mit den Auftragsverarbeiter hier an.
Hosting: Notion wird bei Amazon Web Services (AWS) gehostet, einem der größten Cloud-Service-Anbieter.
Wiederherstellungszeit (RTO): Schätzungsweise 2 Stunden
Maximal zulässiger Datenverlust (RPO): Schätzungsweise 24 Stunden
Personalschulungen: Sicherheitsschulungen sind während des Einführungsprozesses der Mitarbeiter/-innen und danach jährlich erforderlich. Die Mitarbeiter/-innen müssen außerdem den Verhaltenskodex und die Sicherheitsrichtlinie von Notion lesen und anerkennen.
HR-Sicherheit: Notion führt bei der Einstellung von Mitarbeiter/-innen in Übereinstimmung mit den örtlichen Gesetzen und Vorschriften Hintergrundüberprüfungen durch.
Incident Response: Notion verfügt über einen Incident Management Plan, der Schritte zur Vorbereitung, Identifizierung, Eindämmung, Untersuchung, Beseitigung, Wiederherstellung und Nachbereitung enthält. Dieser Plan wird mindestens einmal jährlich überprüft und getestet.
Interne Bewertungen: Bei Notion werden mindestens einmal jährlich interne Sicherheitsaudits durchgeführt.
Internes SSO: Die Multi-Faktor-Authentifizierung (MFA) ist für alle Mitarbeiter/-innen von Notion erforderlich, um sich beim Identitätsanbieter von Notion anzumelden.
Datenzugriff: Notion-intern gilt das Prinzip der minimalen Rechtevergabe für den Zugriff auf Daten. Der gewährte Zugriff richtet sich nach der Funktion, den geschäftlichen Anforderungen und dem Bedarf an Kenntnis von den Daten. Es werden regelmäßig Zugriffsprüfungen durchgeführt, um festzustellen, ob der Zugriff auf wichtige Systeme noch erforderlich ist.
Protokollierung: Notion nutzt eine SIEM-Lösung für die Protokollaufnahme und für automatisierte Protokollierungs-/Warnfunktionen. Es werden Protokolle aus kritischen Systemen aufgenommen und Warnregeln eingesetzt, um sicherzustellen, dass Sicherheitswarnungen bei Bedarf ausgelöst werden.
Passwortsicherheit: Es muss eine MFA für alle Systeme eingerichtet sein, wo die Möglichkeit einer MFA besteht. Wenn dies nicht möglich ist, gilt bei Notion eine strenge interne Passwort-Management-Richtlinie hinsichtlich der Komplexität und Länge.
Schutz vor DDoS-Angriffen: Notion verwendet Anwendungen von Drittanbietern zur Abwehr von DDoS-Angriffen.
Datencenter: Notion wird auf AWS gehostet, das die physische Sicherheit der Datencenter steuert. Weitere Informationen findest du in den Sicherheitsdokumenten von AWS hier.
Infrastruktursicherheit: Die Infrastruktur von Notion wird auf einer vollständig redundanten, sicheren Umgebung gehostet. Die Daten der Kund/-innen von Notion werden von AWS gehostet. AWS verfügt über eine Liste mit Berichten, Zertifizierungen und Drittbewertungen für bestmögliche Sicherheitspraktiken. Weitere Compliance-bezogene Informationen zu AWS findest du hier.
Die AWS-Infrastruktur befindet sich in den von Amazon kontrollierten Datencentern weltweit. Die Datencenter selbst sind durch verschiedene physische Kontrollen vor einem unbefugten Zugriff geschützt. Weitere Informationen zu den AWS-Datencentern und ihren Sicherheitskontrollen findest du hier.Getrennte Produktionsumgebung: Daten von Kund/-innen werden niemals auf einer Nichtproduktionsumgebung gespeichert. Konten von Kund/-innen sind in unserer Produktionsumgebung logisch getrennt. Wir haben getrennte Entwicklungs-, Test- und Produktionsumgebungen.
Festplattenverschlüsselung: Auf Mitarbeiter/-innen-Laptops ist die Festplattenverschlüsselung aktiviert.
Endpunkterkennung und -reaktion: Alle Endpunkte verfügen über eine installierte Erkennungssoftware. Zusätzlich hat Notion mehrere Sicherheitskontrollen implementiert, um die Sicherheit der Daten und Lösungen von Kund/-innen zu gewährleisten. Mit diesen Kontrollen wird sichergestellt, dass wir einen kontinuierlichen Einblick in die Vorgänge unseres Endpunkts haben. Außerdem können wir so Manipulationen oder Gefahren erkennen und schnell darauf reagieren und Kontrollen protokollieren und durchsetzen.
Mobilgeräte-Management: Mitarbeiter/-innen-Geräte und ihre Softwarekonfiguration werden remote vom IT- und Sicherheitsteam über MDM-Software verwaltet.
Bedrohungserkennung: Notion nutzt die Endpunkt-Schutzsoftware eines Drittanbieters, um Bedrohungen zu ermitteln. Die Endpunkt-Software erkennt Eingriffe, Malware und bösartige Aktivitäten an Endpunkten. Außerdem unterstützt sie eine schnelle Reaktion zur Beseitigung und Minderung der Bedrohungen.
Firewall: Die Büronetzwerke von Notion sind mit einer Netzwerk-Firewall ausgestattet. WAN-zugängliche Netzwerkdienste werden nicht innerhalb der Büroumgebung gehostet.
IDS/IPS: Notion nutzt eine Mischung aus Netzwerk- und Host-basierten IDS/IPS-Typsystemen im Rahmen seiner allgemeinen Abwehrvorrichtungen für die Sicherheit der Organisation. Dazu zählt auch die Überwachung auf verdächtige Aktivitäten über eine Kombination aus signaturbasierten und anomaliebasierten Erkennungen.
Security Information and Event Management (SIEM): Notion nutzt eine SIEM-Lösung für den Umgang mit Vorfällen. Unsere Sicherheitsmitarbeiter/-innen werden in Echtzeit über Vorfälle informiert.
Drahtlos-Sicherheit: Die Büros von Notion nutzen eine starke Verschlüsselung für Drahtlosnetzwerke in den Büros. Notion verfügt über keine Drahtlosnetzwerke mit Auswirkungen auf Kund/-innen-Daten oder Produktionssysteme.
Domain-Management: Als Domain wird die E-Mail-Adresse bezeichnet, die mit einem Notion-Konto verknüpft ist. Per Domain-Verifizierung weisen sich Workspace-Besitzer/-innen als solche aus, damit die Einstellungen für die Domain-Verwaltung freigeschaltet werden.
SAML Single Sign-On (SSO): Notion unterstützt Single Sign-On (SSO). Business- und Enterprise-Kunden und Kundinnen können also über eine einzige Anmeldequelle auf die App zugreifen.
Bereitstellung und Widerruf von SCIM: Notion-Workspace mit dem API-Standard „System for Cross-domain Identity Management“.
Auditprotokoll: Notion stellt Workspace-Besitzer/-innen Zugriff auf detaillierte Informationen zum Thema Sicherheit zur Verfügung. Dazu zählt zum Beispiel das Erkennen von Sicherheitsrisiken, das Untersuchen von verdächtigem Verhalten und die Behebung von Zugriffsproblemen.
2FA (MFA)Mit der Zwei-Faktor-Verifizierung ist dein Notion-Konto besser geschützt. Die Funktion ist in allen Paketen inbegriffen und lässt sich ganz einfach in den Kontoeinstellungen einrichten.
Berechtigungen verwalten: Notion gibt den Benutzer/-innen die Kontrolle über ihre Berechtigungsebenen. So wird sichergestellt, dass du kontrollieren kannst, wie Nutzer/-innen deine Inhalte anzeigen und verwenden können.
Teambereiche verwalten: Workspace-Besitzer/-innen können sich einen Überblick über alle Teamspaces innerhalb des Workspace verschaffen, deren Einstellungen ändern und weitere Verwaltungstools nutzen.
SIEM- und DLP-Einbindungen: Notion kann in dein bevorzugtes DLP oder SIEM integriert werden, um Ereignisse zu erkennen.
FAQs
Welche Daten verarbeiten wir?
Notion setzt sich für deine Sicherheit und Privatsphäre ein. Detaillierte Informationen zu den von uns verarbeiteten Daten findest du in unserem Data Processing Addendum.
Was passiert mit unseren Daten, wenn wir Notion nicht mehr nutzen möchten?
Deine Daten kannst du auf zwei Arten löschen:
Folge der Anleitung auf der Hilfe-Seite.
Schreibe uns eine E-Mail an [email protected].
Wenn du deine Daten versehentlich gelöscht hast, wende dich bitte an [email protected].
Informationen dazu, wie lange Notion Daten speichert, findest du im Data Protection Addendum.
Wie werden die Systeme von Notion und deren Funktionalität nach einem Notfall, von dem auch meine Notion-Instanz betroffen war, wiederhergestellt?
Notion führt täglich automatisierte Backups aller Mitglieds- und Systemdaten durch, um Verluste aufgrund unvorhergesehener Ereignisse in den einzelnen Availability Zones in der AWS-Cloud (US-West-2) zu vermeiden.
Darüber hinaus haben wir einen speziellen Geschäftsfortführungsplan und einen Notfallwiederherstellungsplan für solche Situationen. Der Notfallwiederherstellungsplan wird mindestens einmal jährlich getestet, um sicherzustellen, dass Notion nach einer notfallbedingten Störung schnellstmöglich wieder betriebsbereit ist.
Können Mitarbeitende von Notion auf unsere Informationen zugreifen?
Mitarbeitende von Notion rufen deine Daten nur ab, um Probleme für dich zu beheben oder Inhalte zu bearbeiten. Weitere Informationen findest du in unserer Einwilligung zum Datenzugriff .
Können andere meine Seiten sehen?
Deine Daten sind in Notion rundum geschützt. Versucht jemand, sich ohne entsprechende Zugriffsberechtigungen Zugang zu deinem Workspace zu verschaffen, wird eine Seite mit einem Hinweis auf fehlende Zugangsberechtigungen angezeigt.
Mit dem Befehl Im Web teilen im Teilen-Menü oben rechts kannst du die Seite im Web veröffentlichen. So kann jede Person mit dem entsprechenden Link auf die Seite zugreifen. Diese Funktion ist standardmäßig deaktiviert.
Wenn du einen Workspace freigibst, sind die Seiten für alle oder nur für einen bestimmten Personenkreis sichtbar. Dies hängt von den Berechtigungseinstellungen im Teilen-Menü oben rechts ab.
Bitte beachte, dass die Workspace-Besitzer/-innen auf deine Inhalte zugreifen können, sofern du ein Konto in einem Enterprise-Workspace benutzt. Mehr dazu erfährst du in unseren Nutzungsbedingungen.
Weitere Informationen zu Freigaben und Berechtigungen findest du in diesem Hilfe-Artikel.
Kann ich meine Zustimmung zu Tracking und Analytik widerrufen?
Selbstverständlich! Dadurch wird jedoch auch der In-App-Support deaktiviert. Wenn du Hilfe benötigst, erreichst du uns aber weiterhin unter [email protected]
Sende unserem Support einfach eine Nachricht, damit wir deinem Widerruf nachkommen können.
Mein Browser weist mich darauf hin, dass Notion Tracker verwendet. Wozu dienen die?
Wir nutzen Tracking-Code für Werbezwecke (etwa um Besuche auf unserer Marketing-Seite erkennen zu können). Die Tracker sind jedoch auf eine Sandbox-Umgebung in einer Subdomain (aif.notion.so) begrenzt. Sie werden nie auf Benutzerseiten aktiviert.
Benutzerinhalte sind für Drittanbieterdienste absolut unzugänglich.
