Sicherheitsrichtlinie

Zuletzt aktualisiert: 25. Dezember 2024

---

Diese Sicherheitsrichtlinie beschreibt die technischen und organisatorischen Maßnahmen, die Domain ergreift, um die Vertraulichkeit, Integrität und Verfügbarkeit der auf der Plattform domain.info verarbeiteten Daten zu schützen. Die Richtlinie gilt für alle Nutzer, die auf unsere Dienste zugreifen.

1. Allgemeine Grundsätze

Der Schutz von Nutzerdaten hat für uns höchste Priorität. Wir verfolgen einen risikobasierten Ansatz zur Informationssicherheit und richten unsere Maßnahmen kontinuierlich an anerkannten Industriestandards aus. Sicherheit ist ein fortlaufender Prozess, der regelmäßige Überprüfung, Anpassung und Verbesserung erfordert.

2. Zugangskontrolle und Authentifizierung

2.1 Nutzerauthentifizierung

• Alle Nutzerkonten sind durch individuelle Zugangsdaten geschützt.
• Passwörter werden ausschließlich in verschlüsselter Form gespeichert und niemals im Klartext hinterlegt.
• Nutzer sind verpflichtet, starke, einzigartige Passwörter zu verwenden und diese vertraulich zu behandeln.
• Nach einer definierten Anzahl fehlgeschlagener Anmeldeversuche wird der Zugang temporär gesperrt.

2.2 Interne Zugriffskontrolle

• Der Zugriff auf Systeme und Daten erfolgt nach dem Prinzip der minimalen Rechtevergabe.
• Mitarbeiter erhalten nur die Berechtigungen, die für ihre jeweilige Aufgabe unbedingt erforderlich sind.
• Privilegierte Zugänge werden gesondert protokolliert und regelmäßig überprüft.
• Bei Ausscheiden von Mitarbeitern werden Zugänge unverzüglich deaktiviert.

3. Datenverschlüsselung

3.1 Übertragungssicherheit

• Alle Datenübertragungen zwischen Nutzern und unseren Servern erfolgen ausschließlich über verschlüsselte Verbindungen mittels TLS-Protokoll in einer aktuellen Version.
• Unverschlüsselte HTTP-Verbindungen werden automatisch auf HTTPS umgeleitet.

3.2 Datenspeicherung

• Sensible Daten werden im Ruhezustand verschlüsselt gespeichert.
• Kryptografische Schlüssel werden sicher verwaltet und regelmäßig erneuert.
• Veraltete oder unsichere Verschlüsselungsverfahren werden nicht eingesetzt.

4. Infrastruktur und Netzwerksicherheit

4.1 Serversicherheit

• Serversysteme werden regelmäßig mit Sicherheitsaktualisierungen versorgt.
• Nicht benötigte Dienste und Ports werden deaktiviert oder gesperrt.
• Firewall-Systeme kontrollieren ein- und ausgehenden Netzwerkverkehr.

4.2 Netzwerksegmentierung

• Produktions-, Test- und Verwaltungssysteme sind voneinander getrennt.
• Kritische Systeme befinden sich in gesicherten Netzwerksegmenten ohne direkte Internetexponierung.

4.3 Schutz vor Angriffen

• Es sind Systeme zum Erkennen und Abwehren unbefugter Zugriffe implementiert.
• Maßnahmen zum Schutz vor Denial-of-Service-Angriffen sind vorhanden.
• Eingehende Anfragen werden auf schadhaften Inhalt geprüft.

5. Anwendungssicherheit

5.1 Entwicklungsprozess

• Sicherheitsaspekte werden bereits im Entwicklungsprozess berücksichtigt.
• Code-Änderungen durchlaufen einen strukturierten Prüfprozess vor der Veröffentlichung.
• Bekannte Schwachstellenmuster wie SQL-Injection, Cross-Site-Scripting und ähnliche werden durch geeignete Maßnahmen verhindert.

5.2 Abhängigkeiten und Bibliotheken

• Eingesetzte Softwarekomponenten und Bibliotheken werden regelmäßig auf bekannte Sicherheitslücken geprüft.
• Veraltete oder unsichere Abhängigkeiten werden zeitnah aktualisiert oder ersetzt.

5.3 Sicherheitstests

• Die Plattform wird regelmäßig auf Sicherheitsschwachstellen geprüft.
• Erkannte Schwachstellen werden nach einem definierten Verfahren behoben und dokumentiert.

6. Datensicherung und Wiederherstellung

• Nutzerdaten und Systemdaten werden in regelmäßigen Abständen gesichert.
• Datensicherungen werden verschlüsselt und an einem gesonderten Speicherort aufbewahrt.
• Die Wiederherstellbarkeit von Sicherungen wird regelmäßig getestet.
• Wiederherstellungsverfahren sind dokumentiert und können im Bedarfsfall zügig angewendet werden.

7. Protokollierung und Überwachung

• Sicherheitsrelevante Ereignisse werden protokolliert und aufbewahrt.
• Protokolldaten werden auf verdächtige Aktivitäten überwacht.
• Anomalien und potenzielle Sicherheitsvorfälle lösen interne Benachrichtigungen aus.
• Zugang zu Protokolldaten ist auf autorisiertes Personal beschränkt.

8. Umgang mit Sicherheitsvorfällen

8.1 Reaktion auf Vorfälle

• Es existiert ein dokumentiertes Verfahren zur Erkennung, Bewertung und Behebung von Sicherheitsvorfällen.
• Verantwortlichkeiten und Eskalationswege sind intern klar definiert.
• Vorfälle werden dokumentiert und ausgewertet, um zukünftige Risiken zu minimieren.

8.2 Benachrichtigung betroffener Nutzer

• Sofern ein Sicherheitsvorfall die Daten von Nutzern betrifft, werden diese zeitnah und transparent informiert.
• Die Benachrichtigung enthält Informationen über die Art des Vorfalls sowie empfohlene Schutzmaßnahmen.

9. Physische Sicherheit

• Serversysteme befinden sich in gesicherten Rechenzentren mit Zutrittskontrolle.
• Der physische Zugang zu Infrastrukturkomponenten ist auf autorisiertes Personal beschränkt.
• Rechenzentren verfügen über Maßnahmen zum Schutz vor Umwelteinflüssen wie Brand, Überschwemmung und Stromausfall.

10. Drittanbieter und externe Dienste

• Der Einsatz von Drittanbietern wird sorgfältig geprüft, insbesondere im Hinblick auf deren Sicherheitsstandards.
• Verträge mit Dienstleistern enthalten Anforderungen an den Schutz verarbeiteter Daten.
• Der Zugang externer Dienstleister zu unseren Systemen ist auf das notwendige Minimum beschränkt und wird überwacht.

11. Mitarbeitersensibilisierung

• Mitarbeitende werden regelmäßig zu Themen der Informationssicherheit geschult.
• Der Umgang mit sensiblen Daten ist intern klar geregelt und kommuniziert.
• Für die Meldung interner Sicherheitsbedenken stehen definierte Kanäle zur Verfügung.

12. Verantwortungsvolle Offenlegung von Sicherheitslücken

Wenn Sie eine Sicherheitslücke in unserer Plattform entdecken, bitten wir Sie, diese verantwortungsvoll an uns zu melden, bevor Sie die Informationen öffentlich zugänglich machen. Bitte nehmen Sie Kontakt mit uns auf unter:

• E-Mail: [email protected]
• Adresse: Holzstraße 14, 82256 Fürstenfeldbruck, Germany

Wir werden Ihre Meldung zeitnah prüfen und Sie über den Fortschritt informieren. Wir bitten darum, bis zur Behebung der Schwachstelle keine öffentlichen Angaben zu machen.

13. Aktualisierung dieser Richtlinie

Diese Sicherheitsrichtlinie wird regelmäßig überprüft und bei Bedarf aktualisiert, um neue Bedrohungen, technische Entwicklungen und geänderte Betriebsprozesse abzubilden. Das Datum der letzten Aktualisierung ist am Anfang dieses Dokuments angegeben. Wir empfehlen Nutzern, diese Richtlinie regelmäßig einzusehen.

14. Kontakt

Bei Fragen oder Anmerkungen zu dieser Sicherheitsrichtlinie können Sie uns jederzeit erreichen:

• E-Mail: [email protected]
• Telefon: +496151933070
• Adresse: Holzstraße 14, 82256 Fürstenfeldbruck, Germany