Datensparsamkeit
Es werden nur Daten erhoben, die für einen klar benannten Zweck erforderlich sind. Öffentliche Formulare verzichten auf externe Captchas und Werbedienste.
Sicherheit & Datenschutz
Digitale Lösungen werden nach ihrem tatsächlichen Risiko geplant. Datenminimierung, klare Berechtigungen, sichere Voreinstellungen und ein geordneter Betrieb gehören deshalb von Beginn an zum Projektumfang.
Grundsätze
Es werden nur Daten erhoben, die für einen klar benannten Zweck erforderlich sind. Öffentliche Formulare verzichten auf externe Captchas und Werbedienste.
Interne Bereiche sind vom öffentlichen Auftritt getrennt. Sitzungen, Anmeldeversuche und schreibende Vorgänge werden mit mehreren technischen Kontrollen geschützt.
Eingaben werden begrenzt und geprüft. Belege liegen außerhalb des öffentlichen Webbereichs; Dateityp, Signatur und Integrität werden kontrolliert.
Sicherung, Wiederherstellung, Aktualisierung, Protokollierung, Aufbewahrung und geregelte Übergabe werden passend zum Schutzbedarf festgelegt.
Absolute Sicherheit gibt es nicht. Maßnahmen werden risikobasiert gewählt, dokumentiert, getestet und bei veränderten Anforderungen weiterentwickelt. Zertifizierungen werden nur genannt, wenn sie tatsächlich vorliegen.
In Kundenprojekten
Der konkrete Umfang richtet sich nach Datenarten, Betroffenen, Verfügbarkeit, Schnittstellen und dem möglichen Schaden eines Ausfalls oder Missbrauchs.
Verantwortungsvolle Meldung
Bitte melden Sie einen möglichen Schwachpunkt vertraulich über den vorgesehenen Sicherheitskanal. Keine Passwörter, Zugangscodes, personenbezogenen Echtdaten oder aktiven Schadcode mitsenden. Die Meldung wird priorisiert geprüft und nachvollziehbar bearbeitet.
SicherheitsmeldungOrientierung
Die Sicherheitsarbeit orientiert sich unter anderem an den Grundsätzen der DSGVO, insbesondere Datenschutz durch Technikgestaltung und Sicherheit der Verarbeitung, sowie an anerkannter Web-Sicherheitspraxis. Welche Maßnahmen erforderlich sind, wird für jedes Projekt anhand des tatsächlichen Risikos festgelegt.
Art. 25 DSGVO · Art. 32 DSGVO · OWASP ASVS · Datenschutzhinweise