Wir nehmen Informationssicherheit sehr ernst – nicht als Pflichtübung, sondern als festen Bestandteil unseres Geschäftsmodells. Unsere Produkte und Dienstleistungen richten sich an kleine und mittelständische Unternehmen, die sich darauf verlassen können müssen, dass Daten, Systeme und Geschäftsprozesse jederzeit geschützt sind. Deshalb orientiert sich unser Sicherheitskonzept an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie an etablierten Standards wie ISO-2700x und wird laufend weiterentwickelt.
Wir verfolgen einen ganzheitlichen Ansatz für Informationssicherheit, der Technik, Prozesse und Menschen umfasst. Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sind die Leitprinzipien all unserer Lösungen. Schon bei der Planung neuer Funktionen berücksichtigen wir Sicherheitsaspekte („Security by Design“) und achten darauf, dass nur die Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck tatsächlich erforderlich sind („Privacy by Default“ und Datenminimierung). Der Schutz personenbezogener Daten nach DSGVO ist dabei ein integraler Bestandteil unseres Sicherheitsverständnisses.
Die Datenhaltung erfolgt – sofern nicht ausdrücklich anders vereinbart – ausschließlich in Rechenzentren innerhalb der Europäischen Union. Wir arbeiten nur mit Hosting- und Cloud-Partnern zusammen, die nach anerkannten Standards zertifiziert sind und ein hohes Schutzniveau nachweisen können. Verarbeitungsorte, Subdienstleister und Übermittlungen werden sorgfältig geprüft, vertraglich geregelt und im Rahmen unseres Datenschutz- und Informationssicherheitsmanagements dokumentiert. Wo immer möglich, vermeiden wir Datentransfers in Drittländer außerhalb der EU bzw. des EWR; falls dies im Einzelfall nötig ist, stellen wir ein angemessenes Schutzniveau durch geeignete Garantien sicher.
Auf technischer Ebene setzen wir umfassend auf Verschlüsselung. Die Übertragung von Daten erfolgt grundsätzlich verschlüsselt über aktuelle Transportverschlüsselungsprotokolle (z. B. TLS) mit zeitgemäßen Cipher-Suites. Wo es sinnvoll und möglich ist, werden Daten zusätzlich im Ruhezustand (Data at Rest) verschlüsselt gespeichert. Zugangsdaten, kryptographische Schlüssel und andere sensible Geheimnisse werden getrennt, geschützt und nach dem „Need-to-know“-Prinzip behandelt. Passwörter werden nicht im Klartext gespeichert, sondern ausschließlich in gehashter Form mit bewährten, sicheren Verfahren.
Unsere internen Prozesse orientieren sich an BSI- und ISO-empfohlenen Vorgehensweisen. Dazu gehören geregelte Rollen- und Berechtigungskonzepte, die sicherstellen, dass nur befugte Personen Zugriff auf sensible Daten und Systeme erhalten. Das Berechtigungsmanagement folgt klaren Prozessen für die Vergabe, Änderung und Entziehung von Zugriffsrechten, etwa bei Rollenwechseln oder beim Austritt von Mitarbeitenden. Technische und organisatorische Maßnahmen wie Netzwerksegmentierung, Härtung von Systemen, sichere Konfigurationen, Patch- und Update-Management, Protokollierung und regelmäßige Sicherheitsüberprüfungen sind fester Bestandteil unseres Betriebs.
Ein geordnetes Notfall- und Incident-Management ist für uns selbstverständlich. Sicherheitsvorfälle werden nach einem definierten Prozess behandelt: von der ersten Meldung über die Priorisierung und Analyse bis hin zur Behebung und Nachdokumentation. Verdächtige Aktivitäten werden ernst genommen und zeitnah untersucht. Im Falle eines bestätigten Sicherheitsvorfalls ergreifen wir unverzüglich Gegenmaßnahmen, um Schäden zu begrenzen und die Ursache zu beseitigen. Sofern personenbezogene Daten betroffen sind, prüfen wir umgehend, ob eine Meldepflicht gegenüber Aufsichtsbehörden und ggf. eine Benachrichtigung betroffener Personen besteht, und setzen diese Anforderungen fristgerecht um.
Unser Notfallmanagement umfasst darüber hinaus Szenarien wie Systemausfälle, Datenverlust, Ausfälle von Dienstleistern oder sonstige kritische Störungen des Betriebs. Für wesentliche Systeme und Dienste halten wir Notfallpläne bereit, die klare Verantwortlichkeiten, Kommunikationswege und Wiederanlaufstrategien vorgeben. Ziel ist es, die Geschäfts- und Servicekontinuität auch in Ausnahmesituationen zu sichern und Ausfallzeiten so gering wie möglich zu halten.
Backup, Wiederherstellbarkeit und Monitoring sind tragende Säulen unseres Sicherheitskonzeptes. Daten werden regelmäßig, planvoll und nachvollziehbar gesichert. Die Sicherungskonzepte sind so ausgelegt, dass sich geschäftskritische Informationen im Ernstfall innerhalb angemessener Zeit wiederherstellen lassen. Backups werden nach Möglichkeit geografisch getrennt und vor unbefugtem Zugriff geschützt aufbewahrt. Wiederherstellungstests werden in sinnvollen Abständen durchgeführt, um die Funktionsfähigkeit der Backup-Strategie zu überprüfen. Ergänzend setzen wir auf Monitoring- und Logging-Lösungen, mit denen wir die Verfügbarkeit relevanter Systeme überwachen, Anomalien erkennen und bei Auffälligkeiten schnell reagieren können.
Unser Sicherheitskonzept folgt dem Grundsatz der kontinuierlichen Verbesserung. Änderungen in der Bedrohungslage, neue technologische Entwicklungen und Anpassungen regulatorischer Anforderungen fließen laufend in unsere Sicherheitsüberlegungen ein. Prozesse, Richtlinien und technische Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst. Wo angebracht, beziehen wir externe Expertise ein, etwa in Form von Audits, Penetrationstests oder spezialisierten Sicherheitsreviews.
Informationssicherheit ist für uns keine einmalige Maßnahme, sondern ein andauernder Prozess. Dazu gehört auch die Sensibilisierung unserer Mitarbeitenden. Sie werden regelmäßig zu Themen wie Phishing, sicherem Umgang mit Passwörtern, Datenschutz und Meldewegen bei Sicherheitsvorfällen geschult. Vertraulichkeitsverpflichtungen und klare Verhaltensregeln stellen sicher, dass Sicherheitsanforderungen im Arbeitsalltag umgesetzt werden. Für unsere Kunden – insbesondere für kleine und mittelständische Unternehmen – wollen wir ein verlässlicher Partner sein, der Sicherheit nicht nur verspricht, sondern konkret lebt. Auf Wunsch stellen wir weitere Informationen zu unseren Sicherheits- und Datenschutzmaßnahmen zur Verfügung und unterstützen bei der Einordnung unserer Lösungen in das bestehende Sicherheits- und Compliance-Umfeld Ihres Unternehmens. Wenn Sie spezielle Anforderungen, etwa aus branchenspezifischen Regelwerken, BSI-Empfehlungen oder internen Compliance-Richtlinien haben, prüfen wir gerne gemeinsam, wie diese bestmöglich berücksichtigt werden können.
Häufig gestellte Fragen – FAQ
Wie stellt Ihr Unternehmen sicher, dass Daten nur innerhalb der EU verarbeitet werden?
Wir wählen unsere Infrastrukturanbieter gezielt nach ihrem Standort und ihren Zertifizierungen aus. Standardmäßig erfolgt die Datenverarbeitung ausschließlich in Rechenzentren innerhalb der Europäischen Union. Die eingesetzten Anbieter sind nach anerkannten Sicherheitsstandards zertifiziert und werden regelmäßig überprüft. Eine Verarbeitung außerhalb der EU findet nur statt, wenn dies ausdrücklich vereinbart wurde und geeignete Schutzmechanismen bestehen.
Welche Verschlüsselungstechniken werden eingesetzt?
Daten werden grundsätzlich über moderne Transportverschlüsselung (TLS) übertragen. Für Daten im Ruhezustand setzen wir – abhängig vom System und Anwendungsfall – auf zusätzliche Verschlüsselungslösungen. Passwörter und vergleichbare Geheimnisse werden nicht im Klartext gespeichert, sondern ausschließlich in gehashter und gesalzener Form.
Was bedeutet „Security by Design“ in Ihren Produkten?
Bereits in der Planungsphase neuer Funktionen werden Sicherheitsanforderungen berücksichtigt. Dazu gehören minimale Datenerhebung, klare Berechtigungskonzepte, sichere Standardkonfigurationen und regelmäßige Überprüfungen. Funktionen, die sicherheitsrelevant sind, durchlaufen vor Veröffentlichung eine risikoorientierte Prüfung.
Wie funktioniert Ihr Berechtigungsmanagement?
Zugriffe werden nach dem „Need-to-know“-Prinzip vergeben. Mitarbeitende erhalten nur die Rechte, die sie für ihre Aufgaben benötigen. Rollenwechsel, Zugangsänderungen und Austritte werden über definierte Prozesse abgewickelt. Zugriffsrechte werden regelmäßig überprüft und bei Bedarf angepasst.
Wie gehen Sie mit Sicherheitsvorfällen um?
Es existiert ein festgelegter Incident-Management-Prozess. Verdächtige Vorkommnisse werden analysiert, priorisiert und technisch bewertet. Bei bestätigten Vorfällen ergreifen wir unverzüglich Gegenmaßnahmen. Wir dokumentieren den Vorfall vollständig und leiten – sofern personenbezogene Daten betroffen sind – die nach DSGVO erforderlichen Schritte ein, inklusive Meldung an die zuständige Aufsichtsbehörde.
Gibt es ein Notfallmanagement und Wiederanlaufkonzepte?
Ja. Für kritische Systeme existieren Notfallpläne, die Verantwortlichkeiten, Kommunikationswege und Wiederanlaufverfahren definieren. Ziel ist die Aufrechterhaltung der Geschäftskontinuität. Diese Konzepte werden regelmäßig überprüft und bei Bedarf aktualisiert.
Wie häufig werden Backups durchgeführt?
Backups erfolgen regelmäßig, nach einem dokumentierten Sicherungskonzept und mit festen Aufbewahrungsfristen. Sie werden geschützt gespeichert und geografisch getrennt aufbewahrt. Wiederherstellungstests stellen sicher, dass die Daten im Ernstfall innerhalb angemessener Zeit zurückgespielt werden können.
Wie stellen Sie sicher, dass Systeme aktuell und gepatcht sind?
Wir verwenden ein strukturiertes Patch- und Update-Management. Sicherheitsrelevante Updates werden priorisiert behandelt und zeitnah eingespielt. Systeme, Softwarekomponenten und abhängige Dienste werden kontinuierlich überwacht, um Schwachstellen frühzeitig zu erkennen und zu beheben.
Werden externe Sicherheitsprüfungen durchgeführt?
Abhängig vom Produkt und dem Risiko führen wir externe Audits, Penetrationstests oder technische Sicherheitsanalysen durch. Ergebnisse fließen in den kontinuierlichen Verbesserungsprozess ein. Zudem orientieren wir uns an BSI-Empfehlungen sowie an ISO-geeigneten Verfahren.
Wie wird Monitoring umgesetzt?
Relevante Systeme werden permanent oder intervallbasiert überwacht. Ziel ist es, Auffälligkeiten, Lastspitzen, fehlerhafte Prozesse oder potenzielle Sicherheitsrisiken frühzeitig zu erkennen. Die Protokollierung erfolgt nach klaren Regeln, sodass Ereignisse nachvollzogen und sicher ausgewertet werden können.
Wie gehen Sie mit Dienstleistern und Subunternehmern um?
Vor der Zusammenarbeit prüfen wir technische und organisatorische Maßnahmen sowie Zertifizierungen. Verträge beinhalten klare Vorgaben zu Datenschutz, Informationssicherheit, Verfügbarkeit, Löschfristen und Meldewegen bei Sicherheitsvorfällen. Subdienstleister dürfen nur nach vorheriger Prüfung eingesetzt werden.
Wie werden Mitarbeitende geschult?
Wir führen regelmäßige Schulungen zu Passwortsicherheit, Phishing, Datenschutz, Vorfallmeldung und sicheren Arbeitsweisen durch. Neue Mitarbeitende erhalten ein verpflichtendes Sicherheitstraining. Wiederholungs- und Auffrischungsmaßnahmen sind Bestandteil unseres Sicherheitskonzeptes.
Kann Ihr Unternehmen branchenspezifische Sicherheitsanforderungen berücksichtigen?
Ja. Anforderungen aus internen Richtlinien, Branchenstandards oder aus spezifischen Regelwerken (z. B. BSI-Empfehlungen, behördliche Anforderungen oder Vorgaben aus Ausschreibungen) können berücksichtigt werden, sofern sie klar definiert sind. Wir unterstützen bei der Bewertung und Umsetzung dieser Vorgaben.
Wie werden Kunden über Änderungen im Sicherheitskonzept informiert?
Wesentliche Anpassungen werden dokumentiert und auf Anfrage bereitgestellt. Bei sicherheitsrelevanten Änderungen, die Auswirkungen auf bestehende Integrationen oder Kundendaten haben, informieren wir aktiv und rechtzeitig.
