Vertrauen ist die Grundlage professionellen Netzwerkens.

Um Ihrem Vertrauen als XING-Mitglied gerecht zu werden, treffen wir umfassende Maßnahmen zum Schutz Ihrer Daten.

XING unterliegt dem deutschen Datenschutzrecht. 

Ihre persönlichen Daten verdienen den besten Schutz. Die XING AG ist ein deutsches Unternehmen, sowohl der Unternehmenssitz als auch die Rechenzentren für die unmittelbare Datenverarbeitung sind in Deutschland. Dementsprechend unterliegt XING dem deutschen Datenschutzrecht, einem der strengsten weltweit.

Datenschutz nach strengen deutschen Richtlinien.

XING ist den strengen deutschen Datenschutzbestimmungen respektive den jeweiligen EU-Regeln verpflichtet. Wenn XING weitere Firmen mit der Verarbeitung von Daten beauftragt(1), wird grundsätzlich verlangt, dass eine Verarbeitung der Daten innerhalb der EU erfolgt. Deren oberstes Prinzip ist das sogenannte „Verbot mit Erlaubnisvorbehalt“. Es besagt, dass keinerlei Erhebung, Verarbeitung oder Nutzung von Daten zulässig ist, wenn dafür keine explizite Einwilligung des Nutzers oder eine gesetzliche Erlaubnis vorliegt. Deshalb holen wir grundsätzlich vor jeder Datenverarbeitung die Einwilligung der Nutzer ein (Registrierung Datenschutzbestimmungen).

Individuelle Datenfreigabe: Sie haben die volle Kontrolle.

XING gibt Ihnen alle nötigen Werkzeuge an die Hand, damit Sie die volle Kontrolle über Ihre Daten haben. Wie viel Sie von sich preisgeben und wer welche Ihrer Informationen einsehen kann, bestimmen Sie. Im Detail heißt das: Sie können für jedes XING-Mitglied individuell festlegen, welche Ihrer Kontaktdaten es sehen kann und ob es Ihnen Nachrichten schreiben darf. Sie können zudem festlegen, ob Ihr Profil auch von Nicht-Mitgliedern und von Suchmaschinen wie Google auffindbar sein soll. Somit haben Sie selbst die Wahl, wo Sie mit Ihrem XING-Profil erscheinen möchten. Sie können selbst darüber entscheiden, was und wie viel Sie in Ihrem Profil über sich schreiben: Die Pflichtangaben umfassen lediglich Name, Geschlecht, Land/Region sowie Ihren beruflichen Status (ggf. mit Firma und Position).

Verschlüsselte Datenübertragung mit SSL/TLS

Die Datenübertragung für eingeloggte Mitglieder ist bei XING immer verschlüsselt, und das bereits seit seiner Gründung. Die eingesetzte Verschlüsselungstechnik kennen Sie bereits aus dem Online-Banking. Die Übertragung Ihrer Daten ist dabei in beide Richtungen nicht von Dritten einsehbar.

Wir schützen die übertragenen Inhalte auf dem Transportweg mit SSL/TLS, dabei unterstützen wir TLS 1.2, 1.1 und 1.0. Abhängig von Ihrem Browser kommt eine Verschlüsselung mit bis zu 256 Bit zum Einsatz. Für ältere Browser bieten wir eine Verschlüsselung mit mindestens 128 Bit an. Welche Verschlüsselung Ihr Browser zu unseren Systemen verwendet, können Sie in den Verbindungs-Informationen Ihres Browsers überprüfen.

Für die Auswahl der Algorithmen und Schlüssellängen folgen wir den aktuellen Empfehlungen des BSI und der ENISA. Sie können z.B. mit dem SSL Server Test der Qualys SSL Labs überprüfen und bewerten (https://www.ssllabs.com/ssltest/analyze.html?d=xing.com), welche Algorithmen und Einstellungen unsere Systeme anbieten.

Responsible Disclosure Policy

Um unserer Verantwortung gerecht zu werden, arbeiten wir bei XING eng mit Forschern im Sicherheitsumfeld zusammen. XING kümmert sich eiligst um gemeldete Schwachstellen, die in Abhängigkeit von der Komplexität des Problems, innerhalb von einer oder zwei Release-Zyklen behoben werden. Jedwede gemeldete mögliche Sicherheitslücke möchten wir vor einer Publikation schließen, um die Sicherheit unserer Kunden nicht zu gefährden. Bitte schreiben Sie uns eine E-Mail an security-reports [at] xing [punkt] com und wir werden uns so schnell wie möglich bei Ihnen melden.

XING-Sicherheitsexperten im Expertenkreis beim Bundesamt für Sicherheit in der Informationstechnik

Unser XING-Sicherheitsteam ist Mitglied im Expertenkreis beim Bundesamt für Sicherheit in der Informationstechnik. Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik in Kooperation mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. Mitarbeiter des XING-Sicherheitsteams sind Mitglied im Expertenkreis „Cyber-Sicherheit“ beim Bundesamt für Sicherheit in der Informationstechnik. Im Mittelpunkt steht der Erfahrungsaustausch zu aktuellen Themen der Cyber-Sicherheit. Der Expertenkreis identifiziert zudem entscheidende Maßnahmen zur Abwehr von Cyber-Angriffen. Diese werden im Rahmen der Allianz für Cyber-Sicherheit vom BSI veröffentlicht und somit der deutschen Wirtschaft zugänglich gemacht.

Unabhängige Überprüfungen

Wir unterziehen uns regelmäßig Prüfungen durch externe unabhängige Institutionen, die verschiedene technische Aspekte unserer Plattform beleuchten. XING unterliegt der regelmäßigen Prüfung auf Einhaltung der sogenannten PCI-Compliance zur Kreditkartensicherheit. Zudem werden unsere Infrastruktur sowie verschiedene Funktionen von externen Sicherheitsexperten und unserem eigenen Sicherheitsteam analysiert.

PCI-Compliance zur Kreditkartensicherheit

Wir werden regelmäßig auf die Einhaltung des sogenannten Payment Card Industry Data Security Standard (PCI) geprüft, dessen Erfüllung zur Kreditkartenverarbeitung nötig ist. Darin erfasste Bestandteile unserer Plattform reichen von der Installation einer Firewall über den physikalischen wie technischen Schutz bis zur verschlüsselten Übertragung der Zahlungsdaten. Weitere Informationen finden Sie beim PCI Security Standards Council (https://www.pcisecuritystandards.org).

Code Review und externe Sicherheitsaudits

Die gesamte XING-Infrastruktur und neue Funktionen werden von unserem eigenen Sicherheitsteam und zusätzlich von externen Experten überprüft. So haben wir beispielsweise das im Juli 2013 neu eingeführte Mitgliederprofil von der Firma „Inverse Path S.r.l.“ erfolgreich testen lassen.

Weitere Schutzmechanismen

Darüber hinaus verwenden wir auf unserer Plattform eine Reihe von Sicherheitsmaßnahmen, um verschiedenen typischen digitalen Risiken vorzubeugen. Dazu gehören zum Beispiel:

  • Mittels einer sogenannten Intrusion Detection spüren wir mögliche Angriffe und verdächtige Aktivitäten auf unserer Plattform auf.
  • Alle Bereiche der Plattform, in welchen Texte durch Mitgliedereingaben dargestellt werden können – Gruppen, Events, Suchergebnisse, Profileingaben - werden gescannt, um das Einschleusen von Schadcode (so genanntes Cross-Site-Scripting) zu unterbinden.
  • Verschiedene Monitoring-Werkzeuge analysieren fortwährend Aktivitäten auf der Plattform und prüfen Nutzereingaben auf Plausibilität. Bestimmte Zeichenfolgen (etwa „asdf“ in allen Eingabefeldern bei der Registrierung) oder Logins verschiedener Mitglieder, die von einem Computer zu stammen scheinen, führen sofort zu einer Benachrichtigung des Customer-Care-Teams oder gar automatisch zu vorübergehenden Sperren verdächtiger Aktivitäten bzw. Profile.

 

 

(1) Die XING AG lässt z.B. Daten von der kununu GmbH im Auftrag verarbeiten. kununu nutzt dabei IT-Systeme, die sich nicht in Deutschland, aber in der europäischen Union befinden. Die XING AG hat Vorkehrungen dafür getroffen, dass die Sicherheit der Daten nach deutschen Standards gewährleistet ist.

Das XING-Sicherheitsteam

Veronika Isbarn
Data Protection Officer
& Legal Counsel
Ingo Chao
Team Leader Technical Risk Management
Daniel Silva Yañez
Team Leader Customer Care
Dr. Stefan Kaes
Principal System Architect
Felix Lasse
Principal Legal Counsel
Tilmann Haak
Security Engineer
Martin Richardson
Product Manager