Sicherheit & Datenschutz

Sicherheit ist Teil der Architektur, nicht ein Zusatz.

Digitale Lösungen werden nach ihrem tatsächlichen Risiko geplant. Datenminimierung, klare Berechtigungen, sichere Voreinstellungen und ein geordneter Betrieb gehören deshalb von Beginn an zum Projektumfang.

  • Datenschutz durch Technikgestaltung
  • Nachvollziehbare Schutzmaßnahmen
  • Verantwortung über die Übergabe hinaus

Grundsätze

Schutzmaßnahmen folgen Daten, Rollen und Risiken.

01

Datensparsamkeit

Es werden nur Daten erhoben, die für einen klar benannten Zweck erforderlich sind. Öffentliche Formulare verzichten auf externe Captchas und Werbedienste.

02

Zugriffsschutz

Interne Bereiche sind vom öffentlichen Auftritt getrennt. Sitzungen, Anmeldeversuche und schreibende Vorgänge werden mit mehreren technischen Kontrollen geschützt.

03

Sichere Verarbeitung

Eingaben werden begrenzt und geprüft. Belege liegen außerhalb des öffentlichen Webbereichs; Dateityp, Signatur und Integrität werden kontrolliert.

04

Geordneter Betrieb

Sicherung, Wiederherstellung, Aktualisierung, Protokollierung, Aufbewahrung und geregelte Übergabe werden passend zum Schutzbedarf festgelegt.

Keine pauschalen Sicherheitsversprechen

Absolute Sicherheit gibt es nicht. Maßnahmen werden risikobasiert gewählt, dokumentiert, getestet und bei veränderten Anforderungen weiterentwickelt. Zertifizierungen werden nur genannt, wenn sie tatsächlich vorliegen.

In Kundenprojekten

Sicherheit wird als überprüfbare Anforderung geführt.

Der konkrete Umfang richtet sich nach Datenarten, Betroffenen, Verfügbarkeit, Schnittstellen und dem möglichen Schaden eines Ausfalls oder Missbrauchs.

Vor der Umsetzung

  • Datenflüsse und Verantwortlichkeiten klären
  • Schutzbedarf und Missbrauchsfälle einordnen
  • Rollen, Rechte und Löschfristen festlegen

In der Umsetzung

  • Sichere Voreinstellungen und minimale Rechte
  • Serverseitige Prüfung und geschützte Geheimnisse
  • Nachvollziehbare Änderungen und Abnahmen

Im Betrieb

  • Aktualisierungen und Wiederherstellung testen
  • Vorfälle erkennen, bewerten und dokumentieren
  • Zugänge bei Rollenwechseln konsequent entziehen

Verantwortungsvolle Meldung

Sicherheitsproblem entdeckt?

Bitte melden Sie einen möglichen Schwachpunkt vertraulich über den vorgesehenen Sicherheitskanal. Keine Passwörter, Zugangscodes, personenbezogenen Echtdaten oder aktiven Schadcode mitsenden. Die Meldung wird priorisiert geprüft und nachvollziehbar bearbeitet.

Sicherheitsmeldung

Orientierung

Recht und anerkannte Praxis.

Die Sicherheitsarbeit orientiert sich unter anderem an den Grundsätzen der DSGVO, insbesondere Datenschutz durch Technikgestaltung und Sicherheit der Verarbeitung, sowie an anerkannter Web-Sicherheitspraxis. Welche Maßnahmen erforderlich sind, wird für jedes Projekt anhand des tatsächlichen Risikos festgelegt.

Art. 25 DSGVO · Art. 32 DSGVO · OWASP ASVS · Datenschutzhinweise