Verteilte Teams müssen kein höheres Risiko bedeuten. Wir führen Projekte in einem kontrollierten, auditierbaren Setup durch, das die Gefahr der Datenexposition reduziert und den Zugriff auf das beschränkt, was zur Erledigung der Arbeit unbedingt erforderlich ist.
Diese Seite erläutert die praktischen Kontrollen, die wir in den Bereichen Zugriff, Code, Infrastruktur und Personal anwenden.
Was Sie erhalten
- Kontrollierter Zugriff auf Projektsysteme, der rollenbasiert gewährt und bei Nichtmehrgebrauch entzogen wird
- Klare Trennung von Umgebungen (Entwicklung, Staging, Produktion)
- Sicherer Umgang mit Geheimnissen und Zugangsdaten
- Integrierte Sicherheitsprüfungen in der Bereitstellung (Code-Review, Scanning, CI/CD-Kontrollen)
- Richtlinien für verteilte Teams (Geräte, lokaler Speicher, Regeln für Remote-Arbeit)
- Incident-Response-Prozess und transparente Berichterstattung, wenn etwas schiefläuft
- Versicherungsschutz für Sicherheitsvorfälle (Details auf Anfrage erhältlich)
1. Zugriffssteuerung und Identität
Wir behandeln den Zugriff als einen verwalteten Prozess, nicht als eine einmalige Einrichtung.
- MFA ist für kritische Systeme erforderlich (Repositories, Cloud, CI/CD, Passwortmanager)
- Der Zugriff wird rollenbasiert gewährt (geringstes Privileg) und regelmäßig überprüft
- Zeitlich begrenzter Zugriff kann für sensible Systeme verwendet werden
- Offboarding erfolgt noch am selben Tag – Zugriff wird entzogen, Secrets bei Bedarf rotiert
Was wir auf Anfrage bereitstellen können:
- eine Vorlage für eine Projektzugriffsmatrix
- eine Liste der verwendeten Systeme und deren Zuständigkeit (wer den Zugriff gewähren und genehmigen kann)
2. Verwaltung von Geheimnissen und Zugangsdaten
Geheimnisse sind eine der häufigsten Ursachen für Datenlecks. Wir minimieren die Exposition durch Design.
- Keine Geheimnisse im Quellcode, in Tickets oder im Chat
- Geheimnisse werden in einem dedizierten Secrets Manager oder einem vereinbarten Tresoransatz gespeichert
- Zugangsdaten werden nach Zeitplan und bei jeder Risikoänderung rotiert
- Produktionsgeheimnisse sind von der Entwicklung getrennt und auf genehmigtes Personal beschränkt
3. Sicherer Entwicklungslebenszyklus (SDLC)
Sicherheit ist Teil der Bereitstellung, nicht ein Add-on nach dem Launch.
- Obligatorisches Code-Review für Produktionsänderungen
- Branch-Protection-Regeln und kontrollierter Merge-Prozess
- Automatisiertes Scannen auf bekannte Schwachstellen in Abhängigkeiten
- Optional SAST/DAST basierend auf Projektanforderungen
- Protokollierung und Auditierbarkeit für Änderungen in CI/CD und Infrastruktur
4. Umgebungssegmentierung und Infrastruktursicherheit
Wir halten Systeme segmentiert, um die Auswirkungen von Fehlern zu reduzieren und die Exposition zu begrenzen.
- Separate Umgebungen für Entwicklung, Staging und Produktion
- Infrastruktur konfiguriert mit geringsten Zugriffsrechten und starken Netzwerkbegrenzungen
- Verschlüsselung während der Übertragung (TLS) und Verschlüsselung im Ruhezustand, wo von der Plattform unterstützt
- Backup- und Wiederherstellungsverfahren im Einklang mit den Anforderungen des Kunden
Wenn das Projekt eine stärkere Isolation erfordert:
- Remote-Entwicklungsumgebung (VDI oder kontrollierte Build-Umgebung)
- strengere Netzwerkrichtlinien und IP-Allowlisting
- dedizierte Cloud-Konten oder mandantenübergreifende Trennung
5. Kontrollen für verteilte Teams
Hier bleiben viele Anbieter vage. Wir sind spezifisch.
- Geräte müssen eine Basislinie erfüllen (Festplattenverschlüsselung, Auto-Sperre, aktuelles Betriebssystem, Malware-Schutz)
- Kundendaten werden nicht lokal gespeichert, es sei denn, dies ist ausdrücklich genehmigt und kontrolliert
- Arbeiten erfolgen ausschließlich über genehmigte Tools (Repositories, Ticketing, Speicher)
- Regeln für öffentliche WLAN-Netze und VPN-Anforderungen können basierend auf der Kundenrichtlinie durchgesetzt werden
- Zugriffsüberprüfungen und regelmäßige Checks stellen sicher, dass die Basislinie eingehalten wird
6. Datenverarbeitung und Vertraulichkeit
Wir minimieren die Menge sensibler Daten, die während der Entwicklung verwendet werden.
- Datenminimierung: nur das, was zum Erstellen und Testen benötigt wird
- Maskierung und Anonymisierung für Entwicklungsumgebungen, wenn möglich
- Optionen für synthetische Daten für nicht-produktive Tests
- Klare Regeln, wer auf welche Daten zugreifen kann und wo diese gespeichert werden dürfen
Rechtliche und vertragliche Schutzmaßnahmen sind verfügbar:
- NDA und Vertraulichkeitsverpflichtungen für das gesamte Lieferteam
- Bestimmungen zur Übertragung von IP-Rechten
- DPA für GDPR-bezogene Verarbeitung (falls zutreffend)
- Regeln und Einschränkungen für Subunternehmer (falls Subunternehmer eingesetzt werden)
7. Überwachung, Audit und Incident Response
Selbst bei starken Kontrollen müssen Vorfälle schnell und transparent behandelt werden.
- Zugriffs- und Aktivitätsprotokolle für kritische Systeme, wo unterstützt
- Regelmäßige Zugriffsüberprüfungen und Bereinigungen
- Incident-Response-Prozess: Eindämmung, Untersuchung, Kommunikation, Behebung
- Bericht nach dem Vorfall mit Korrekturmaßnahmen, wenn relevant
Versicherungsschutz
Wir unterhalten einen Versicherungsschutz, der darauf ausgelegt ist, die finanziellen Auswirkungen bestimmter Sicherheitsvorfälle zu managen. Die Bedingungen, Deckungsgrenzen und Anwendbarkeit hängen von der Police und der Art des Vorfalls ab.
Details auf Anfrage erhältlich.
Sicherheitspaket (auf Anfrage erhältlich)
Für Kunden mit strengeren Beschaffungs- oder Compliance-Prozessen können wir ein kurzes Sicherheitspaket zur Verfügung stellen, das Folgendes enthalten kann:
- SDLC-Übersicht
- Vorlage für eine Zugriffsmatrix
- Zusammenfassung zur Datenverarbeitung
- Einseitiger Incident-Response-Plan
- Liste der im Projekt verwendeten Tools und Umgebungen
- Versicherungsbestätigung und -zusammenfassung (auf Anfrage)
SDLC-Übersicht, Zugriffskontrollen, Incident Response, Versicherungsbestätigung.
