Unternehmensweite Sicherheit

Ihre Datensicherheit hat für uns oberste Priorität. Erfahren Sie mehr über unsere umfassenden Sicherheitsmaßnahmen, Compliance-Standards und wie wir Ihre vertraulichen Informationen schützen.

AES-256-Verschlüsselung

Militärische Verschlüsselung für alle Daten im Ruhezustand und während der Übertragung

SOC 2-konform

Geprüfte Sicherheitskontrollen und Compliance-Standards

99,9% Verfügbarkeits-SLA

Zuverlässige Infrastruktur mit automatischem Failover und Backups

Datenverschlüsselung

Militärische Verschlüsselung schützt Ihre Daten auf allen Ebenen

Verschlüsselung im Ruhezustand

  • AES-256-Verschlüsselung: Alle in unseren Datenbanken gespeicherten Daten werden mit dem Advanced Encryption Standard mit 256-Bit-Schlüsseln verschlüsselt
  • Datenbankverschlüsselung: Firebase Firestore bietet automatische Verschlüsselung im Ruhezustand für alle gespeicherten Daten
  • Biometrische Daten: Fingerabdruckdaten werden mit SHA-256 gehasht und in verschlüsseltem Format gespeichert, was ein Reverse Engineering unmöglich macht
  • Backup-Verschlüsselung: Alle Backups werden mit demselben AES-256-Standard verschlüsselt
  • Dateispeicherung: Alle hochgeladenen Dateien (Berichte, Dokumente) werden vor der Speicherung verschlüsselt

Verschlüsselung während der Übertragung

  • TLS 1.3: Alle zwischen Ihrem Browser und unseren Servern übertragenen Daten verwenden Transport Layer Security 1.3
  • HTTPS überall: Unsere gesamte Plattform arbeitet über HTTPS mit aktiviertem HSTS
  • API-Sicherheit: Alle API-Aufrufe werden mit sicheren Tokens verschlüsselt und authentifiziert
  • Zertifikats-Pinning: Unsere mobilen Apps verwenden Zertifikats-Pinning, um Man-in-the-Middle-Angriffe zu verhindern

Schlüsselverwaltung

  • Google Cloud KMS: Verschlüsselungsschlüssel werden vom Google Cloud Key Management Service verwaltet
  • Schlüsselrotation: Verschlüsselungsschlüssel werden automatisch alle 90 Tage rotiert
  • Zugriffskontrollen: Nur autorisierte Systeme können auf Verschlüsselungsschlüssel zugreifen, mit vollständiger Audit-Protokollierung
  • Hardware-Sicherheitsmodule (HSM): Schlüssel werden in FIPS 140-2 Level 3 zertifizierten HSMs gespeichert

Authentifizierung & Zugriffskontrolle

Mehrschichtige Sicherheit zum Schutz des Kontozugriffs

Zwei-Faktor-Authentifizierung (2FA)

  • TOTP-Unterstützung: Zeitbasierte Einmalpasswörter über Google Authenticator, Authy oder ähnliche Apps
  • E-Mail-2FA: Alternative 2FA über E-Mail-Verifizierungscodes
  • Obligatorische 2FA: Organisationen können 2FA für alle Benutzer erzwingen
  • Backup-Codes: Wiederherstellungscodes werden für den Fall eines verlorenen Authentifizierungsgeräts bereitgestellt

Passwortsicherheit

  • Bcrypt-Hashing: Alle Passwörter werden mit bcrypt mit Salt gehasht
  • Passwortrichtlinien: Mindestens 8 Zeichen, Komplexitätsanforderungen werden durchgesetzt
  • Leckerkennung: Passwörter werden gegen bekannte Leak-Datenbanken geprüft (Have I Been Pwned)
  • Ratenbegrenzung: Fehlgeschlagene Anmeldeversuche werden begrenzt, um Brute-Force-Angriffe zu verhindern
  • Sitzungsverwaltung: Automatische Abmeldung nach Inaktivität, konfigurierbare Timeout-Zeiträume

Rollenbasierte Zugriffskontrolle (RBAC)

  • Granulare Berechtigungen: Feinkörnige Zugriffskontrollen für verschiedene Benutzerrollen (Admin, Manager, Mitarbeiter)
  • Prinzip der geringsten Berechtigung: Benutzer haben nur Zugriff auf Daten, die für ihre Rolle erforderlich sind
  • Organisationsisolierung: Multi-Tenant-Architektur gewährleistet vollständige Datenisolierung zwischen Organisationen
  • Audit-Protokolle: Alle Zugriffs- und Berechtigungsänderungen werden protokolliert und überwacht

Firebase Authentication

  • Industriestandard: Betrieben von Googles Firebase Authentication-Plattform
  • OAuth 2.0: Unterstützung für Social-Login-Anbieter (Google, Microsoft) mit OAuth 2.0
  • E-Mail-Verifizierung: Obligatorische E-Mail-Verifizierung für alle neuen Konten
  • Kontowiederherstellung: Sicherer Passwortzurücksetzung per E-Mail mit zeitlich begrenzten Tokens

Infrastruktursicherheit

Unternehmensweite Cloud-Infrastruktur mit globaler Redundanz

Cloud-Infrastruktur

  • Google Cloud Platform: Gehostet auf Google Cloud mit ISO 27001-, SOC 2- und SOC 3-Zertifizierungen
  • Multi-Region-Bereitstellung: Daten werden zur Redundanz über mehrere geografische Regionen repliziert
  • Auto-Skalierung: Die Infrastruktur skaliert automatisch, um Verkehrsspitzen zu bewältigen
  • DDoS-Schutz: Google Cloud Armor bietet automatische DDoS-Abwehr
  • Netzwerkisolierung: Private VPC-Netzwerke mit Firewall-Regeln und Netzwerksegmentierung

Verfügbarkeit & Zuverlässigkeit

  • 99,9% Verfügbarkeits-SLA: Garantierte Serviceverfügbarkeit mit finanziellen Gutschriften bei Ausfallzeiten
  • Automatisches Failover: Redundante Systeme übernehmen automatisch im Fehlerfall
  • Lastausgleich: Verkehr wird über mehrere Server verteilt für optimale Leistung
  • Gesundheitsüberwachung: 24/7 automatisierte Überwachung mit sofortiger Benachrichtigung
  • Vorfallreaktion: Dediziertes Team reagiert innerhalb von 15 Minuten auf Vorfälle

Backup & Notfallwiederherstellung

  • Kontinuierliche Backups: Firebase bietet automatische, kontinuierliche Datenbackups
  • Point-in-Time-Wiederherstellung: Daten können auf jeden Zeitpunkt innerhalb der letzten 35 Tage wiederhergestellt werden
  • Geografische Redundanz: Backups werden an mehreren geografischen Standorten gespeichert
  • Notfallwiederherstellungsplan: Umfassender DR-Plan mit Recovery Time Objective (RTO) von 4 Stunden
  • Backup-Tests: Regelmäßige Backup-Wiederherstellungstests zur Sicherstellung der Datenintegrität

Physische Sicherheit

  • Google-Rechenzentren: Hochmoderne Einrichtungen mit 24/7-Sicherheitspersonal
  • Biometrischer Zugang: Rechenzentrumszugang wird durch biometrische Authentifizierung kontrolliert
  • Videoüberwachung: Kontinuierliche Überwachung mit Videoaufzeichnung
  • Umweltkontrollen: Brandbekämpfung, Klimatisierung und Stromredundanz

Anwendungssicherheit

Sichere Codierungspraktiken und Schwachstellenmanagement

Sichere Entwicklung

  • Sicherer SDLC: Sicherheit ist in jede Phase des Software-Entwicklungslebenszyklus integriert
  • Code-Reviews: Alle Codeänderungen werden vor der Bereitstellung von mehreren Entwicklern überprüft
  • Statische Analyse: Automatisiertes Code-Scanning auf Sicherheitslücken (SAST)
  • Abhängigkeits-Scanning: Drittanbieter-Bibliotheken werden auf bekannte Schwachstellen gescannt
  • Sicherheitsschulungen: Regelmäßige Sicherheitsschulungen für alle Mitglieder des Entwicklungsteams

Schwachstellenmanagement

  • Penetrationstests: Jährliche Drittanbieter-Penetrationstests von zertifizierten Sicherheitsfirmen
  • Bug-Bounty-Programm: Verantwortungsvolles Offenlegungsprogramm mit Belohnungen für Sicherheitsforscher
  • Schwachstellen-Scanning: Wöchentliche automatisierte Scans auf Sicherheitslücken
  • Patch-Management: Kritische Sicherheitspatches werden innerhalb von 24 Stunden bereitgestellt
  • CVE-Überwachung: Kontinuierliche Überwachung von Common Vulnerabilities and Exposures

OWASP Top 10 Schutz

  • SQL-Injection: Parametrisierte Abfragen und ORM verhindern SQL-Injection-Angriffe
  • XSS-Prävention: Eingabebereinigung und Content Security Policy (CSP)-Header
  • CSRF-Schutz: Anti-CSRF-Tokens bei allen zustandsändernden Operationen
  • Authentifizierungsfehler: Industriestandardauthentifizierung über Firebase Auth
  • Sicherheitsfehlkonfiguration: Automatisierte Konfigurationsprüfungen und Härtung
  • Offenlegung sensibler Daten: Verschlüsselung und sichere Speicherung aller sensiblen Daten

API-Sicherheit

  • JWT-Tokens: API-Authentifizierung mit JSON Web Tokens mit Ablauf
  • Ratenbegrenzung: API-Ratenlimits verhindern Missbrauch und DDoS-Angriffe
  • Eingabevalidierung: Alle API-Eingaben werden validiert und bereinigt
  • OAuth 2.0: Sicherer Drittanbieter-API-Zugriff mit OAuth 2.0-Protokoll

Compliance & Zertifizierungen

Erfüllung globaler Sicherheits- und Datenschutzstandards

SOC 2 Type II

Jährliche Audits unserer Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen durch unabhängige Drittanbieter-Prüfer.

DSGVO-Konformität

Vollständige Einhaltung der EU-Datenschutz-Grundverordnung, einschließlich Rechte betroffener Personen und Meldung von Datenschutzverletzungen.

CCPA-Konformität

Einhaltung des California Consumer Privacy Act für US-amerikanische Kunden mit umfassenden Datenschutzkontrollen.

ISO 27001 (GCP)

Unser Infrastrukturanbieter (Google Cloud) verfügt über eine ISO 27001-Zertifizierung für Informationssicherheitsmanagement.

PCI DSS

Zahlungsabwicklung über PCI DSS Level 1 konforme Zahlungsabwickler. Wir speichern niemals Kreditkartendaten.

HIPAA-bereit

Infrastruktur unterstützt HIPAA-Compliance-Anforderungen für Gesundheitsorganisationen (BAA auf Anfrage verfügbar).

Datenschutz & Datensicherheit

Transparente Datenpraktiken und Datenschutzkontrollen für Benutzer

Datenminimierung

  • Wir erfassen nur Daten, die für die Servicefunktionalität erforderlich sind
  • Keine Tracking-Cookies zu Marketingzwecken
  • Biometrische Daten werden in gehashtem, nicht umkehrbarem Format gespeichert
  • Optionale Funktionen ermöglichen es Ihnen, bestimmte Datenerhebungen zu deaktivieren

Benutzerrechte

  • Auskunftsrecht: Exportieren Sie alle Ihre Daten in Standardformaten (CSV, JSON, Excel)
  • Recht auf Löschung: Fordern Sie die dauerhafte Löschung Ihrer Daten an
  • Recht auf Berichtigung: Korrigieren Sie ungenaue oder unvollständige Daten
  • Recht auf Datenübertragbarkeit: Übertragen Sie Daten an einen anderen Dienstanbieter
  • Widerspruchsrecht: Deaktivieren Sie Marketingkommunikation und Analysen

Datenverarbeitungsvereinbarungen

  • Standardvertragsklauseln: EU-genehmigte SCCs für internationale Datenübermittlungen
  • DSGVO-Konformität: Vollständige Einhaltung der Auftragsverarbeiterpflichten gemäß DSGVO Artikel 28
  • Subunternehmer-Transparenz: Öffentliche Liste aller Subunternehmer mit Benachrichtigung über Änderungen
  • Meldung von Datenschutzverletzungen: Benachrichtigung innerhalb von 72 Stunden bei jeder Datenschutzverletzung

Sicherheitsüberwachung & Vorfallreaktion

24/7-Überwachung und schnelle Vorfallreaktion

Kontinuierliche Überwachung

  • 24/7-Überwachung: Rund um die Uhr Überwachung von Infrastruktur und Anwendungen
  • SIEM-Integration: Security Information and Event Management zur Bedrohungserkennung
  • Anomalieerkennung: Machine Learning-basierte Erkennung ungewöhnlicher Aktivitäten
  • Echtzeitwarnungen: Sofortige Benachrichtigungen bei Sicherheitsvorfällen
  • Protokollaggregation: Zentralisierte Protokollierung mit Aufbewahrung für forensische Analysen

Vorfallreaktion

  • Dediziertes Team: Sicherheitsvorfallreaktionsteam rund um die Uhr verfügbar
  • Reaktionszeit: Erstreaktion innerhalb von 15 Minuten nach Erkennung eines kritischen Vorfalls
  • Kommunikation: Transparente Kommunikation mit betroffenen Kunden während Vorfällen
  • Post-Incident-Review: Detaillierte Analyse und Korrekturmaßnahmen nach Vorfällen
  • Behördenmeldung: Einhaltung der Meldepflichten bei Datenschutzverletzungen (DSGVO, CCPA)

Audit-Protokollierung

  • Umfassende Protokolle: Alle Benutzeraktionen, Systemereignisse und Sicherheitsereignisse werden protokolliert
  • Unveränderliche Protokolle: Protokolle können nicht geändert oder gelöscht werden, um die Integrität des Audit-Trails zu gewährleisten
  • Protokollaufbewahrung: Sicherheitsprotokolle werden 2 Jahre lang für Compliance und Forensik aufbewahrt
  • Benutzeraktivität: Kunden können Audit-Protokolle ihrer Organisationsaktivitäten einsehen

Mitarbeiterzugriff & Schulungen

Strenge Kontrollen für Mitarbeiterzugriff auf Kundendaten

Zugriffskontrollen

  • Geringste Berechtigung: Mitarbeiter haben nur Zugriff auf Daten, die für ihre Funktion erforderlich sind
  • Hintergrundprüfungen: Alle Mitarbeiter durchlaufen Hintergrundprüfungen vor der Einstellung
  • NDA & Vertraulichkeit: Alle Mitarbeiter unterzeichnen Geheimhaltungsvereinbarungen
  • Zugriffsüberprüfungen: Vierteljährliche Überprüfungen der Mitarbeiterzugriffsberechtigungen
  • Sofortiger Widerruf: Zugriff wird sofort nach Kündigung widerrufen

Sicherheitsschulungen

  • Einführungsschulung: Obligatorische Sicherheitsschulung für alle neuen Mitarbeiter
  • Jährliche Schulung: Jährliche Sicherheitsbewusstseinsschulung mit aktualisierten Bedrohungen
  • Phishing-Simulationen: Regelmäßige Phishing-Tests zur Aufrechterhaltung der Wachsamkeit
  • Vorfallreaktionsübungen: Vierteljährliche Sicherheitsvorfallreaktionsübungen
  • Compliance-Schulung: DSGVO-, SOC 2- und Datenschutzschulung

Kundendatenzugriff

  • Kein Standardzugriff: Mitarbeiter haben standardmäßig keinen Zugriff auf Kundendaten
  • Support-Zugriff: Kundensupport kann nur mit ausdrücklicher Erlaubnis auf Daten zugreifen
  • Audit-Trail: Jeder Mitarbeiterzugriff auf Kundendaten wird protokolliert und überwacht
  • Datenanonymisierung: Ingenieure arbeiten mit anonymisierten Daten zum Debuggen

Sicherheits-Best-Practices für Kunden

Wir empfehlen die folgenden Praktiken zur Verbesserung Ihrer Kontosicherheit:

  • Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für alle Benutzer
  • Verwenden Sie starke, eindeutige Passwörter (mindestens 12 Zeichen)
  • Überprüfen Sie regelmäßig Benutzerzugriffsberechtigungen und entfernen Sie unnötigen Zugriff
  • Schulen Sie Mitarbeiter in Phishing-Bewusstsein und Social Engineering
  • Implementieren Sie eigene interne Zugriffskontrollen und Richtlinien
  • Exportieren und sichern Sie regelmäßig Ihre Daten
  • Überwachen Sie Audit-Protokolle auf verdächtige Aktivitäten
  • Melden Sie Sicherheitsbedenken sofort an [email protected]

Verantwortungsvolles Offenlegungsprogramm

Wir schätzen die Sicherheitsgemeinschaft und begrüßen Berichte über Sicherheitslücken. Wenn Sie ein Sicherheitsproblem entdecken, melden Sie es bitte verantwortungsvoll:

Sicherheits-E-Mail: [email protected]

PGP-Schlüssel: Auf Anfrage für verschlüsselte Kommunikation verfügbar

Reaktionszeit: Wir bestätigen Berichte innerhalb von 24 Stunden

Bug Bounty: Belohnungen für qualifizierende Schwachstellen verfügbar

Richtlinien

  • Greifen Sie nicht auf Kundendaten zu oder ändern Sie diese ohne Autorisierung
  • Führen Sie keine Denial-of-Service-Angriffe oder destruktive Tests durch
  • Geben Sie uns angemessene Zeit, das Problem zu beheben, bevor Sie es öffentlich offenlegen
  • Geben Sie detaillierte Reproduktionsschritte und Auswirkungsbeurteilung an
  • Wir werden keine rechtlichen Schritte gegen gutgläubig handelnde Forscher einleiten

Fragen zur Sicherheit?

Unser Sicherheitsteam hilft Ihnen gerne bei der Beantwortung Ihrer Fragen

Sicherheitsteam kontaktieren Datenschutzrichtlinie anzeigen