Sicherheit ist Betriebsdisziplin.
Keine Folien, keine „Secure by Design"-Plattitüden. Hier stehen die technischen und organisatorischen Maßnahmen, die wir jeden Werktag durchführen – prüfbar, messbar, dokumentiert.
Verschlüsselung
- TLS 1.3 für sämtliche HTTPS- und API-Verbindungen
- AES-256 at rest für Datenbanken, Backups und Attachments
- Client-Side-Field-Encryption für sensible PII-Felder
- HSM-basiertes Key-Management, rotierend alle 90 Tage
Backup & Disaster-Recovery
- 3-2-1-Strategie: 3 Kopien, 2 Medien, 1 Off-Site (EU)
- Daily-Backup 30 Tage Retention, Weekly 12 Monate
- Point-in-Time-Recovery 7 Tage
- Dokumentierter RTO 4 h / RPO 15 min, 2× jährlich getestet
Identität & Zugriff
- MFA Pflicht für Admins, optional für alle Nutzer
- SSO via SAML 2.0 und OIDC (Azure AD, Google, Okta)
- Rollen-Matrix auf Feld-Ebene, Mandanten-trennung per Row-Level-Security
- Just-in-Time-Zugriff für Support (mit Kunden-Freigabe)
Pen-Tests & Bug-Bounty
- Jährlicher externer Pen-Test durch OSCP/CREST-zertifizierte Firma
- Bug-Bounty-Programm über YesWeHack, Severity-basierte Prämien
- Summary-Report öffentlich im Audit-Pack
- Critical/High-Findings werden vor Live-Gang geschlossen
Audit-Logs & Monitoring
- Append-only Audit-Log je Mandant, WORM-Storage 10 Jahre
- SIEM-Integration (Splunk / Elastic), 24/7-Alerting
- Anomalie-Erkennung für Login-Muster und Datenexporte
- Export für Wirtschaftsprüfer im CSV/JSON, GoBD-konform
Incident-Response
- On-Call-Rotation 24/7 mit 15-Minuten-Reaktion Severity 1
- Runbooks für die Top-12-Szenarien (DDoS, Data-Breach, Ransomware …)
- Post-Mortem innerhalb 72 h öffentlich auf der Status-Page
- Meldung an Aufsichtsbehörden nach Art. 33 DSGVO innerhalb 72 h
Compliance-Status
Transparente Roadmap statt „Bald verfügbar". Jedes Item ist einem Auditor und einem erwarteten Datum zugeordnet.
| Thema | Standard | Status | Erwartet / Turnus | Auditor |
|---|---|---|---|---|
| BSI C5 Typ 1 Testat | BSI C5 (2020) | Aktiv | jährlich erneuert | PwC Deutschland |
| BSI C5 Typ 2 TestatType-2-Audit über 12 Monate Beobachtungszeitraum | BSI C5 (2020) | In Vorbereitung | Q4/2026 | PwC Deutschland |
| ISO 27001:2022 | ISO/IEC 27001:2022 | In Vorbereitung | Stage 1 Audit 2027 | TÜV Süd |
| Pen-Test (extern) | OWASP ASVS Level 2 | Kontinuierlich | jährlich | Cure53 |
| Bug-Bounty-Programm | YesWeHack | Aktiv | durchgehend | Community + intern |
| ISO 27017 / 27018 | Cloud-spezifisch | Geplant | 2027 | TÜV Süd |
Hosting
Produktivbetrieb in Frankfurt am Main (Primär) auf Infrastruktur von Open Telekom Cloud, IONOS Cloud und Hetzner. Fallback-Region: Berlin. Keine Datenverarbeitung außerhalb der EU.
- Provider-Zertifikate: ISO 27001, BSI C5 Typ 2, EU-Cloud- Code-of-Conduct
- Netzwerk-Segmentierung in Produktions-, Staging- und Audit-VPCs
- DDoS-Schutz auf Layer 3/4 (Provider) + Layer 7 (WAF/Cloudflare EU)
Secure Development Lifecycle
- Static-Analysis (SAST) in der CI-Pipeline
- Dependency-Scanning (SCA) mit daily Renovate-Updates
- Container-Scanning (Trivy) in jedem Build
- Security-Review verpflichtend für jedes neue öffentliche API-Endpoint
- Threat-Modelling (STRIDE) bei Architektur-Entscheidungen
- Vier-Augen-Prinzip bei jedem Merge in main (CODEOWNERS)
Security-Whitepaper – ohne Formular, ohne Gate
Alle Inhalte dieser Seite plus Architektur-Diagramme, Pen-Test-Summary und Incident-Runbooks in einem 42-seitigen PDF.
Fragen an unseren CISO?
Direkt-Kontakt, keine Sales-Zwischenschicht. Wir stellen auch Pen-Test-Summary und Architektur-Diagramme im NDA-Setup.
Hosting Deutschland · DSGVO-konform · BSI C5 Typ 1 Testat