Zum Inhalt springen

🛡 Security Policy – Puchalla.Pro

1. Zweck und Geltungsbereich2. Sicherheitsgrundsätze3. Verantwortlichkeiten4. Informationsklassifizierung5. Zugriffskontrolle6. Netzwerksicherheit7. Datensicherheit & Backup8. Incident Response & Meldepflicht9. OSINT-Spezifische Sicherheitsrichtlinien10. Software- & Systemhärtung11. Schulung & Awareness12. Compliance & Audit13. Versionierung & Aktualisierung

1. Zweck und Geltungsbereich

Diese Security Policy definiert die Sicherheitsgrundsätze, Maßnahmen und Verantwortlichkeiten der Puchalla.Pro.

Sie gilt für alle Systeme, Mitarbeiter:innen, Auftragnehmer:innen und Partner, die auf Daten, Netzwerke oder Systeme von Puchalla.Pro zugreifen.

Ziel: Schutz von Vertraulichkeit, Integrität und Verfügbarkeit aller Informationen und Systeme — unabhängig davon, ob sie intern, cloudbasiert oder self-hosted betrieben werden.

2. Sicherheitsgrundsätze

  • Systeme: Jede Komponente folgt dem Prinzip „Security by Design“ und „Privacy by Default“.

  • Strategien: Entscheidungen werden datenbasiert getroffen — Risikoanalyse ersetzt Bauchgefühl.

  • Kontrolle: Wir überwachen, dokumentieren und auditieren jede relevante Aktivität.

  • Zero Trust: Kein System, keine Verbindung, kein Nutzer wird standardmäßig vertraut.

3. Verantwortlichkeiten

  • Chief Security Officer (CSO): Gesamtverantwortung für Informationssicherheit.

  • IT-Abteilung: Umsetzung und Wartung technischer Sicherheitsmaßnahmen.

  • Mitarbeitende: Verpflichtung zur Einhaltung dieser Policy, Meldepflicht bei Vorfällen.

  • Externe Partner: Unterzeichnen verbindliche NDAs und Sicherheitsvereinbarungen.

4. Informationsklassifizierung

Alle Daten werden in vier Sicherheitsstufen klassifiziert:

  1. Öffentlich: Inhalte, die frei zugänglich sind (z. B. Blog, Presse).

  2. Intern: Arbeitsunterlagen ohne externe Freigabe.

  3. Vertraulich: Kundendaten, Strategien, interne Analysen.

  4. Streng vertraulich: OSINT-Rohdaten, Sicherheitsarchitekturen, interne Systeme.

Jede Stufe erfordert spezifische Zugriffskontrollen und Verschlüsselungsmaßnahmen.

5. Zugriffskontrolle

  • Zugriff nur nach dem Need-to-Know-Prinzip.

  • Multi-Factor-Authentifizierung (MFA) ist verpflichtend für alle Administratoren.

  • Passwörter erfüllen Mindeststandards nach NIST SP 800-63B.

  • Accounts werden regelmäßig überprüft und inaktive Zugänge deaktiviert.

6. Netzwerksicherheit

  • Alle Systeme werden durch Firewalls, IDS/IPS und VPN-Zugriffe abgesichert.

  • Serverkommunikation erfolgt ausschließlich über TLS 1.3 oder höher.

  • Interne Dienste werden isoliert per Docker-Compose / Kubernetes Namespaces betrieben.

  • Regelmäßige Penetrationstests und Schwachstellen-Scans sind vorgeschrieben.

7. Datensicherheit & Backup

  • Alle Daten werden verschlüsselt (AES-256 im Ruhezustand, TLS in Übertragung).

  • Backups erfolgen automatisiert, verschlüsselt und georedundant.

  • Test-Restores werden regelmäßig durchgeführt.

  • Kein Datentransfer ohne AVV (Auftragsverarbeitungsvertrag) nach DSGVO.

8. Incident Response & Meldepflicht

  • Vorfälle (z. B. unautorisierte Zugriffe, Datenverlust, Malware) müssen innerhalb von 2 h gemeldet werden.

  • Ein dediziertes Incident-Response-Team (IRT) bewertet, dokumentiert und leitet Gegenmaßnahmen ein.

  • Bei Datenschutzverletzungen wird die Aufsichtsbehörde innerhalb von 72 h informiert (Art. 33 DSGVO).

9. OSINT-Spezifische Sicherheitsrichtlinien

  • OSINT-Datenquellen werden ausschließlich aus legalen, öffentlichen Quellen bezogen.

  • Speicherung erfolgt getrennt von Kundendaten (physische & logische Trennung).

  • Keine Sammlung personenbezogener Daten ohne legitimen Zweck.

  • Anonymisierung und Pseudonymisierung sind Standardverfahren.

10. Software- & Systemhärtung

  • Nur signierte Software-Releases (PGP/GPG-verifiziert).

  • Container & Stacks werden regelmäßig neu gebaut („immutable deployments“).

  • Alle Systeme nutzen Least Privilege Access.

  • Regelmäßige Security-Updates nach CVSS-Priorität.

11. Schulung & Awareness

  • Jährliche Security-Awareness-Trainings für alle Mitarbeitenden.

  • Phishing-Simulationen & OSINT-Angriffsübungen zur Sensibilisierung.

  • Verstöße gegen die Policy werden disziplinarisch verfolgt.

12. Compliance & Audit

  • Diese Policy basiert auf den Standards ISO 27001, NIST CSF und der DSGVO.

  • Interne Audits werden mindestens jährlich durchgeführt.

  • Externe Audits auf Anfrage von Kunden möglich (Non-Disclosure vorausgesetzt).

13. Versionierung & Aktualisierung

  • Diese Security Policy wird mindestens einmal pro Jahr überprüft.

  • Änderungen werden durch den CSO dokumentiert und kommuniziert.

Stand: Oktober 2025

© Puchalla.Pro – Systeme. Strategien. Kontrolle.