diff --git a/admin-compliance/app/sdk/document-generator/page.tsx b/admin-compliance/app/sdk/document-generator/page.tsx index fd4a604..77acb70 100644 --- a/admin-compliance/app/sdk/document-generator/page.tsx +++ b/admin-compliance/app/sdk/document-generator/page.tsx @@ -45,13 +45,15 @@ const CATEGORIES: { key: string; label: string; types: string[] | null }[] = [ { key: 'misc', label: 'Weitere', types: ['community_guidelines', 'copyright_policy', 'data_usage_clause'] }, { key: 'dsfa', label: 'DSFA', types: ['dsfa'] }, // Sicherheitskonzepte (Migration 051) - { key: 'security', label: 'Sicherheitskonzepte', types: ['it_security_concept', 'data_protection_concept', 'backup_recovery_concept', 'logging_concept', 'incident_response_plan', 'access_control_concept', 'risk_management_concept'] }, - // Policy-Bibliothek (Migration 054) + { key: 'security', label: 'Sicherheitskonzepte', types: ['it_security_concept', 'data_protection_concept', 'backup_recovery_concept', 'logging_concept', 'incident_response_plan', 'access_control_concept', 'risk_management_concept', 'cybersecurity_policy'] }, + // Policy-Bibliothek (Migration 071/072) { key: 'it_security_policies', label: 'IT-Sicherheit Policies', types: ['information_security_policy', 'access_control_policy', 'password_policy', 'encryption_policy', 'logging_policy', 'backup_policy', 'incident_response_policy', 'change_management_policy', 'patch_management_policy', 'asset_management_policy', 'cloud_security_policy', 'devsecops_policy', 'secrets_management_policy', 'vulnerability_management_policy'] }, { key: 'data_policies', label: 'Daten-Policies', types: ['data_protection_policy', 'data_classification_policy', 'data_retention_policy', 'data_transfer_policy', 'privacy_incident_policy'] }, { key: 'hr_policies', label: 'Personal-Policies', types: ['employee_security_policy', 'security_awareness_policy', 'acceptable_use', 'remote_work_policy', 'offboarding_policy'] }, { key: 'vendor_policies', label: 'Lieferanten-Policies', types: ['vendor_risk_management_policy', 'third_party_security_policy', 'supplier_security_policy'] }, { key: 'bcm_policies', label: 'BCM/Notfall', types: ['business_continuity_policy', 'disaster_recovery_policy', 'crisis_management_policy'] }, + // Modul-Dokumente (Migration 073) + { key: 'module_docs', label: 'DSGVO-Dokumente', types: ['vvt_register', 'tom_documentation', 'loeschkonzept', 'pflichtenregister'] }, ] // ============================================================================= diff --git a/admin-compliance/lib/sdk/types.ts b/admin-compliance/lib/sdk/types.ts index 9dfa225..01954e5 100644 --- a/admin-compliance/lib/sdk/types.ts +++ b/admin-compliance/lib/sdk/types.ts @@ -1939,6 +1939,7 @@ export type LicenseType = * Template types available for document generation */ export type TemplateType = + // Legal / Vertragsvorlagen | 'privacy_policy' | 'terms_of_service' | 'agb' @@ -1956,6 +1957,55 @@ export type TemplateType = | 'copyright_policy' | 'clause' | 'dsfa' + // Sicherheitskonzepte (Migration 051) + | 'it_security_concept' + | 'data_protection_concept' + | 'backup_recovery_concept' + | 'logging_concept' + | 'incident_response_plan' + | 'access_control_concept' + | 'risk_management_concept' + // CRA Cybersecurity (Migration 056) + | 'cybersecurity_policy' + // IT-Sicherheit Policies (Migration 071) + | 'information_security_policy' + | 'access_control_policy' + | 'password_policy' + | 'encryption_policy' + | 'logging_policy' + | 'backup_policy' + | 'incident_response_policy' + | 'change_management_policy' + | 'patch_management_policy' + | 'asset_management_policy' + | 'cloud_security_policy' + | 'devsecops_policy' + | 'secrets_management_policy' + | 'vulnerability_management_policy' + // Daten-Policies (Migration 072) + | 'data_protection_policy' + | 'data_classification_policy' + | 'data_retention_policy' + | 'data_transfer_policy' + | 'privacy_incident_policy' + // Personal-Policies (Migration 072) + | 'employee_security_policy' + | 'security_awareness_policy' + | 'remote_work_policy' + | 'offboarding_policy' + // Lieferanten-Policies (Migration 072) + | 'vendor_risk_management_policy' + | 'third_party_security_policy' + | 'supplier_security_policy' + // BCM/Notfall (Migration 072) + | 'business_continuity_policy' + | 'disaster_recovery_policy' + | 'crisis_management_policy' + // Modul-Dokumente (Migration 073) + | 'vvt_register' + | 'tom_documentation' + | 'loeschkonzept' + | 'pflichtenregister' /** * Jurisdiction codes for legal documents @@ -2190,6 +2240,7 @@ export const DEFAULT_PLACEHOLDERS: Record = { * Template type labels for display */ export const TEMPLATE_TYPE_LABELS: Record = { + // Legal / Vertragsvorlagen privacy_policy: 'Datenschutzerklärung', terms_of_service: 'Nutzungsbedingungen', agb: 'Allgemeine Geschäftsbedingungen', @@ -2207,6 +2258,54 @@ export const TEMPLATE_TYPE_LABELS: Record = { copyright_policy: 'Urheberrechtsrichtlinie', clause: 'Vertragsklausel', dsfa: 'Datenschutz-Folgenabschätzung', + // Sicherheitskonzepte + it_security_concept: 'IT-Sicherheitskonzept', + data_protection_concept: 'Datenschutzkonzept', + backup_recovery_concept: 'Backup- und Recovery-Konzept', + logging_concept: 'Logging-Konzept', + incident_response_plan: 'Incident-Response-Plan', + access_control_concept: 'Zugriffskonzept', + risk_management_concept: 'Risikomanagement-Konzept', + cybersecurity_policy: 'Cybersecurity-Richtlinie (CRA)', + // IT-Sicherheit Policies + information_security_policy: 'Informationssicherheitsrichtlinie', + access_control_policy: 'Zugriffskontrollrichtlinie', + password_policy: 'Passwortrichtlinie', + encryption_policy: 'Verschlüsselungsrichtlinie', + logging_policy: 'Protokollierungsrichtlinie', + backup_policy: 'Datensicherungsrichtlinie', + incident_response_policy: 'Incident-Response-Richtlinie', + change_management_policy: 'Change-Management-Richtlinie', + patch_management_policy: 'Patch-Management-Richtlinie', + asset_management_policy: 'Asset-Management-Richtlinie', + cloud_security_policy: 'Cloud-Security-Richtlinie', + devsecops_policy: 'DevSecOps-Richtlinie', + secrets_management_policy: 'Secrets-Management-Richtlinie', + vulnerability_management_policy: 'Schwachstellenmanagement-Richtlinie', + // Daten-Policies + data_protection_policy: 'Datenschutzrichtlinie', + data_classification_policy: 'Datenklassifizierungsrichtlinie', + data_retention_policy: 'Aufbewahrungsrichtlinie', + data_transfer_policy: 'Datenübermittlungsrichtlinie', + privacy_incident_policy: 'Datenschutzvorfall-Richtlinie', + // Personal-Policies + employee_security_policy: 'Mitarbeiter-Sicherheitsrichtlinie', + security_awareness_policy: 'Security-Awareness-Richtlinie', + remote_work_policy: 'Remote-Work-Richtlinie', + offboarding_policy: 'Offboarding-Richtlinie', + // Lieferanten-Policies + vendor_risk_management_policy: 'Lieferanten-Risikomanagement', + third_party_security_policy: 'Drittanbieter-Sicherheitsrichtlinie', + supplier_security_policy: 'Lieferanten-Sicherheitsanforderungen', + // BCM/Notfall + business_continuity_policy: 'Business-Continuity-Richtlinie', + disaster_recovery_policy: 'Disaster-Recovery-Richtlinie', + crisis_management_policy: 'Krisenmanagement-Richtlinie', + // Modul-Dokumente + vvt_register: 'Verarbeitungsverzeichnis (Art. 30)', + tom_documentation: 'TOM-Dokumentation (Art. 32)', + loeschkonzept: 'Löschkonzept (Art. 5/17)', + pflichtenregister: 'Pflichtenregister', } /** diff --git a/backend-compliance/compliance/api/legal_template_routes.py b/backend-compliance/compliance/api/legal_template_routes.py index c85e85f..fa6d069 100644 --- a/backend-compliance/compliance/api/legal_template_routes.py +++ b/backend-compliance/compliance/api/legal_template_routes.py @@ -92,6 +92,15 @@ VALID_DOCUMENT_TYPES = { "business_continuity_policy", "disaster_recovery_policy", "crisis_management_policy", + # CRA Cybersecurity (Migration 056) + "cybersecurity_policy", + # DSFA template + "dsfa", + # Module document templates (Migration 073) + "vvt_register", + "tom_documentation", + "loeschkonzept", + "pflichtenregister", } VALID_STATUSES = {"published", "draft", "archived"} diff --git a/backend-compliance/migrations/071_policy_templates_it_security.sql b/backend-compliance/migrations/071_policy_templates_it_security.sql new file mode 100644 index 0000000..7a73494 --- /dev/null +++ b/backend-compliance/migrations/071_policy_templates_it_security.sql @@ -0,0 +1,1731 @@ +-- Migration 071: IT-Security Policy Templates +-- 14 professional policy templates based on ISO 27001 / BSI IT-Grundschutz +-- Types: information_security_policy, access_control_policy, password_policy, +-- encryption_policy, logging_policy, backup_policy, incident_response_policy, +-- change_management_policy, patch_management_policy, asset_management_policy, +-- cloud_security_policy, devsecops_policy, secrets_management_policy, +-- vulnerability_management_policy + +-- Template 1: Informationssicherheitsrichtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'information_security_policy', + 'Informationssicherheitsrichtlinie (ISO 27001)', + 'Uebergeordnete Informationssicherheitsrichtlinie nach ISO/IEC 27001:2022 und BSI IT-Grundschutz. Definiert Governance, Risikoansatz, Klassifizierung, Rollen und Pruefzyklus.', + $template$# Informationssicherheitsrichtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert den uebergeordneten Rahmen fuer die Informationssicherheit bei {{COMPANY_NAME}}. Sie gilt fuer: + +- Alle Mitarbeiterinnen und Mitarbeiter, einschliesslich Fuehrungskraefte +- Externe Dienstleister und Auftragnehmer mit Zugang zu Unternehmensinformationen +- Alle IT-Systeme, Netzwerke, Anwendungen und Datenbestaende +- Cloud-Dienste, mobile Endgeraete und Remote-Arbeitsplaetze + +Die Richtlinie orientiert sich an ISO/IEC 27001:2022, BSI IT-Grundschutz (Kompendium Edition 2023) und den Anforderungen der DSGVO Art. 32. + +--- + +## 2. Sicherheitsziele und Grundsaetze + +{{COMPANY_NAME}} verfolgt die folgenden Sicherheitsziele: + +| Schutzziel | Beschreibung | +|------------|-------------| +| Vertraulichkeit | Informationen sind nur Berechtigten zugaenglich | +| Integritaet | Daten sind vollstaendig und unverfaelscht | +| Verfuegbarkeit | Systeme und Daten stehen bei Bedarf zur Verfuegung | +| Authentizitaet | Identitaet von Nutzern und Systemen ist verifiziert | +| Nichtabstreitbarkeit | Aktionen koennen eindeutig zugeordnet werden | + +Grundsaetze: + +- Risikobasierter Ansatz: Massnahmen orientieren sich am Schutzbedarf +- Need-to-Know-Prinzip: Zugriff nur bei dienstlicher Notwendigkeit +- Defense-in-Depth: Mehrschichtige Sicherheitsarchitektur +- Kontinuierliche Verbesserung: PDCA-Zyklus fuer das ISMS + +--- + +## 3. Informationsklassifizierung + +| Klasse | Beschreibung | Beispiele | +|--------|-------------|-----------| +| Oeffentlich | Frei zugaenglich | Pressemitteilungen, Marketing | +| Intern | Nur fuer Mitarbeiter | Organigramme, interne News | +| Vertraulich | Eingeschraenkter Personenkreis | Vertraege, Finanzdaten | +| Streng vertraulich | Nur namentlich Berechtigte | Geschaeftsgeheimnisse, Kryptoschluessel | + +Jeder Informationswert muss klassifiziert und einem Verantwortlichen (Asset Owner) zugeordnet werden. + +--- + +## 4. Organisation und Rollen + +| Rolle | Verantwortung | +|-------|---------------| +| Geschaeftsfuehrung ({{GF_NAME}}) | Gesamtverantwortung, Ressourcenbereitstellung, Freigabe | +| ISB ({{ISB_NAME}}) | Steuerung des ISMS, Risikobehandlung, Berichterstattung | +| IT-Leitung | Umsetzung technischer Massnahmen | +| Fachabteilungen | Klassifizierung ihrer Daten, Einhaltung der Richtlinien | +| Alle Mitarbeiter | Einhaltung der Sicherheitsrichtlinien, Meldung von Vorfaellen | + +Der ISB berichtet mindestens quartalsweise an die Geschaeftsfuehrung. + +--- + +## 5. Risikoansatz + +Die Risikobewertung erfolgt nach ISO 27005 und umfasst: + +1. **Identifikation**: Erfassung aller Informationswerte und Bedrohungen +2. **Analyse**: Bewertung der Eintrittswahrscheinlichkeit und Schadenshoehe +3. **Bewertung**: Priorisierung anhand der Risikomatrix (Schutzbedarf: normal/hoch/sehr hoch) +4. **Behandlung**: Risikominderung, -transfer, -akzeptanz oder -vermeidung + +Akzeptierte Restrisiken werden von der Geschaeftsfuehrung schriftlich genehmigt. + +--- + +## 6. Schulung und Sensibilisierung + +- Alle neuen Mitarbeiter erhalten eine Sicherheitseinweisung innerhalb der ersten Arbeitswoche +- Jaehrliche Awareness-Schulungen fuer alle Mitarbeiter sind verpflichtend +- Gezielte Trainings fuer IT-Personal und Entwickler nach Bedarf +- Phishing-Simulationen mindestens zweimal jaehrlich + +--- + +## 7. Revision + +Jaehrliche Pruefung durch den ISB. Ausserplanmaessige Pruefung bei wesentlichen Aenderungen der Bedrohungslage, nach Sicherheitsvorfaellen oder bei organisatorischen Veraenderungen. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'information_security_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 2: Zugriffskontrollrichtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'access_control_policy', + 'Zugriffskontrollrichtlinie', + 'Richtlinie zur Zugriffskontrolle nach ISO 27001 Annex A.9 und BSI IT-Grundschutz. Regelt RBAC, Least Privilege, Onboarding/Offboarding, MFA und Rezertifizierung.', + $template$# Zugriffskontrollrichtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie regelt die Vergabe, Verwaltung und den Entzug von Zugriffsrechten auf IT-Systeme und Daten bei {{COMPANY_NAME}}. Sie gilt fuer alle Mitarbeiter, externen Dienstleister und technischen Konten. + +Normative Grundlagen: ISO/IEC 27001:2022 Annex A.9, BSI IT-Grundschutz ORP.4, DSGVO Art. 32 Abs. 1b. + +--- + +## 2. Grundsaetze + +- **Least Privilege**: Jeder Benutzer erhaelt ausschliesslich die Rechte, die zur Ausfuehrung seiner Aufgaben erforderlich sind +- **Need-to-Know**: Zugriff auf Informationen nur bei dienstlicher Notwendigkeit +- **Rollbasierte Zugriffskontrolle (RBAC)**: Berechtigungen werden ueber Rollen vergeben, nicht individuell +- **Funktionstrennung (Segregation of Duties)**: Kritische Prozesse erfordern die Mitwirkung mehrerer Personen + +--- + +## 3. Onboarding und Offboarding + +### 3.1 Onboarding + +| Schritt | Verantwortlich | Frist | +|---------|---------------|-------| +| Rollenantrag durch Fachvorgesetzten | Fachbereich | Vor Arbeitsbeginn | +| Freigabe durch IT-Sicherheit | ISB / IT | Innerhalb 1 Arbeitstag | +| Einrichtung der Konten | IT-Administration | Vor Arbeitsbeginn | +| Sicherheitseinweisung | ISB | Erster Arbeitstag | + +### 3.2 Offboarding + +- Deaktivierung aller Konten am letzten Arbeitstag (Frist: 0 Tage) +- Entzug physischer Zugangsmedien (Ausweise, Token) +- Ueberpruefung auf persoenliche Daten auf Unternehmensgeraeten +- Dokumentation im Offboarding-Protokoll + +--- + +## 4. Multi-Faktor-Authentifizierung (MFA) + +MFA ist verpflichtend fuer: + +- Alle Remote-Zugriffe (VPN, Cloud-Konsolen) +- Administrative Konten und privilegierte Zugaenge +- Zugriff auf vertrauliche oder streng vertrauliche Daten +- Single Sign-On (SSO) Portale + +Akzeptierte Faktoren: TOTP-Apps, Hardware-Token (FIDO2/U2F). SMS-basierte OTP sind nicht zulaessig. + +--- + +## 5. Rezertifizierung + +| Berechtigungstyp | Pruefzyklus | Verantwortlich | +|------------------|-------------|----------------| +| Standard-Benutzer | Halbjaehrlich | Fachvorgesetzter | +| Privilegierte Konten | Quartalsweise | ISB + IT-Leitung | +| Service-Accounts | Halbjaehrlich | IT-Administration | +| Externe Zugaenge | Quartalsweise | Projektleitung + ISB | + +Nicht bestaetigte Rechte werden nach Fristablauf automatisch entzogen. + +--- + +## 6. Protokollierung und Monitoring + +- Alle Anmeldevorgaenge (erfolgreich und fehlgeschlagen) werden protokolliert +- Fehlgeschlagene Anmeldeversuche: Kontosperrung nach 5 Versuchen +- Privilegierte Zugriffe werden im SIEM korreliert und ueberwacht +- Zugriffsprotokolle werden mindestens 12 Monate aufbewahrt + +--- + +## 7. Revision + +Jaehrliche Pruefung durch den ISB. Ausserplanmaessige Pruefung bei Sicherheitsvorfaellen oder organisatorischen Aenderungen. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'access_control_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 3: Passwortrichtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'password_policy', + 'Passwortrichtlinie', + 'Richtlinie zur Passwortsicherheit nach BSI IT-Grundschutz ORP.4 und NIST SP 800-63B. Regelt Komplexitaet, Rotation, MFA, Passwort-Manager und Service-Accounts.', + $template$# Passwortrichtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert die Anforderungen an die Erstellung, Verwaltung und den Schutz von Passwoertern bei {{COMPANY_NAME}}. Sie gilt fuer alle Benutzerkonten, Service-Accounts und technischen Zugaenge. + +Normative Grundlagen: BSI IT-Grundschutz ORP.4, NIST SP 800-63B, ISO 27001 Annex A.9. + +--- + +## 2. Passwortanforderungen + +### 2.1 Benutzerpasswoerter + +| Kriterium | Anforderung | +|-----------|-------------| +| Mindestlaenge | 12 Zeichen | +| Komplexitaet | Gross-/Kleinbuchstaben, Ziffern, Sonderzeichen | +| Maximalalter | 365 Tage (bei MFA), 90 Tage (ohne MFA) | +| Passworthistorie | Letzte 12 Passwoerter duerfen nicht wiederverwendet werden | +| Sperrung | Nach 5 fehlgeschlagenen Versuchen fuer 15 Minuten | + +### 2.2 Administratorpasswoerter + +| Kriterium | Anforderung | +|-----------|-------------| +| Mindestlaenge | 16 Zeichen | +| Maximalalter | 90 Tage | +| MFA | Verpflichtend (FIDO2 oder TOTP) | +| Speicherung | Ausschliesslich im freigegebenen Passwort-Manager | + +### 2.3 Service-Accounts + +- Mindestlaenge 24 Zeichen, automatisch generiert +- Rotation alle 90 Tage oder bei Personalwechsel +- Speicherung ausschliesslich in Secrets-Management-Systemen (z.B. HashiCorp Vault) +- Keine interaktive Anmeldung zulaessig + +--- + +## 3. Passwort-Manager + +{{COMPANY_NAME}} stellt einen zentral verwalteten Passwort-Manager bereit. Dessen Nutzung ist fuer alle dienstlichen Passwoerter verpflichtend. + +Verboten sind: +- Speicherung von Passwoertern in Klartext (Dateien, E-Mails, Tickets) +- Speicherung im Browser ohne Master-Passwort +- Weitergabe von Passwoertern per E-Mail, Chat oder Telefon + +--- + +## 4. Multi-Faktor-Authentifizierung + +MFA ist verpflichtend fuer alle Konten. Akzeptierte Verfahren: + +| Verfahren | Sicherheitsstufe | Zulaessig | +|-----------|-----------------|-----------| +| FIDO2 / U2F Hardware-Token | Hoch | Ja (empfohlen) | +| TOTP-App (Authenticator) | Mittel | Ja | +| Push-Benachrichtigung | Mittel | Ja | +| SMS-OTP | Niedrig | Nein | + +--- + +## 5. Verbotene Praktiken + +- Verwendung desselben Passworts fuer dienstliche und private Konten +- Weitergabe von Passwoertern an Dritte, auch innerhalb des Teams +- Hardcodierung von Passwoertern in Quellcode oder Konfigurationsdateien +- Nutzung von Standardpasswoertern oder trivialen Mustern (z.B. „Firma2024!") + +--- + +## 6. Revision + +Jaehrliche Pruefung durch den ISB. Anpassung bei neuen Bedrohungslagen oder technologischen Aenderungen. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'password_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 4: Verschluesselungsrichtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'encryption_policy', + 'Verschluesselungsrichtlinie', + 'Richtlinie zur Verschluesselung nach ISO 27001 Annex A.10 und BSI TR-02102. Regelt Verschluesselung at-rest und in-transit, Schluesselmanagement, TLS-Versionen und zulaessige Algorithmen.', + $template$# Verschluesselungsrichtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert verbindliche Anforderungen an den Einsatz kryptographischer Verfahren bei {{COMPANY_NAME}}. Sie gilt fuer alle Systeme, die personenbezogene Daten, Geschaeftsgeheimnisse oder vertrauliche Informationen verarbeiten, speichern oder uebertragen. + +Normative Grundlagen: ISO/IEC 27001:2022 Annex A.10, BSI TR-02102 (Kryptographische Verfahren), DSGVO Art. 32. + +--- + +## 2. Verschluesselung in Transit + +### 2.1 TLS-Anforderungen + +| Parameter | Anforderung | +|-----------|-------------| +| Mindestversion | TLS 1.2 (TLS 1.3 bevorzugt) | +| Cipher Suites | Nur AEAD-basierte Suites (AES-GCM, ChaCha20-Poly1305) | +| Zertifikate | Oeffentlich signiert (Let's Encrypt oder kommerzielle CA) | +| HSTS | Aktiviert mit min-age >= 31536000 | +| Certificate Pinning | Fuer mobile Apps und kritische APIs empfohlen | + +### 2.2 Weitere Protokolle + +- E-Mail: TLS-Verschluesselung (STARTTLS) verpflichtend; S/MIME oder PGP fuer vertrauliche Inhalte +- VPN: IPSec oder WireGuard; kein PPTP oder L2TP ohne IPSec +- SSH: Version 2, Ed25519-Schluessel bevorzugt, RSA >= 4096 Bit + +--- + +## 3. Verschluesselung at Rest + +| Bereich | Methode | Mindeststandard | +|---------|---------|-----------------| +| Datenbanken | Transparent Data Encryption (TDE) oder Spalten-Verschluesselung | AES-256 | +| Dateisysteme | LUKS/dm-crypt (Linux), FileVault (macOS), BitLocker (Windows) | AES-256 | +| Backups | Verschluesselung vor Uebertragung an Offsite-Speicher | AES-256-GCM | +| Object Storage | Server-Side Encryption (SSE) mit kundenverwalteten Schluesseln | AES-256 | + +--- + +## 4. Schluesselmanagement + +- Schluessel werden ausschliesslich in einem zertifizierten Key-Management-System (KMS) oder Hardware-Security-Module (HSM) gespeichert +- Rotation: Symmetrische Schluessel mindestens jaehrlich; asymmetrische Schluessel alle 2 Jahre +- Schluessellaenge: RSA >= 4096 Bit, ECC >= 256 Bit (P-256 oder Ed25519), AES >= 256 Bit +- Getrennte Schluessel fuer Entwicklung, Test und Produktion +- Notfallzugriff: Dokumentiertes Key-Recovery-Verfahren mit Vier-Augen-Prinzip + +--- + +## 5. Verbotene Verfahren + +- SSL 2.0/3.0, TLS 1.0/1.1 +- DES, 3DES, RC4, MD5, SHA-1 (fuer kryptographische Zwecke) +- Selbstentwickelte kryptographische Algorithmen +- Hardcodierte Schluessel in Quellcode oder Konfigurationsdateien + +--- + +## 6. Revision + +Jaehrliche Pruefung durch den ISB. Sofortige Pruefung bei Bekanntwerden neuer Schwachstellen in eingesetzten Algorithmen. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'encryption_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 5: Protokollierungsrichtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'logging_policy', + 'Protokollierungsrichtlinie', + 'Richtlinie zur Protokollierung und Ueberwachung nach ISO 27001 Annex A.12.4 und BSI IT-Grundschutz OPS.1.1.5. Regelt Protokollierungspflichten, Aufbewahrung, SIEM-Anbindung und Integritaetsschutz.', + $template$# Protokollierungsrichtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert die Anforderungen an die Protokollierung sicherheitsrelevanter Ereignisse bei {{COMPANY_NAME}}. Ziel ist die Erkennung von Sicherheitsvorfaellen, die Unterstuetzung forensischer Analysen und die Erfuellung regulatorischer Nachweispflichten. + +Geltungsbereich: Alle IT-Systeme, Netzwerkkomponenten, Anwendungen, Datenbanken und Cloud-Dienste. + +Normative Grundlagen: ISO/IEC 27001:2022 Annex A.8.15/A.8.16, BSI IT-Grundschutz OPS.1.1.5, DSGVO Art. 5 Abs. 2. + +--- + +## 2. Protokollierungspflichtige Ereignisse + +| Kategorie | Ereignisse | +|-----------|-----------| +| Authentifizierung | Anmeldung (Erfolg/Fehlschlag), Abmeldung, MFA-Nutzung | +| Autorisierung | Zugriffsverweigerung, Rechteaenderungen, Rollenverlaengerung | +| Datenzugriff | Zugriff auf vertrauliche Daten, Massenexporte, API-Aufrufe | +| Systemereignisse | Start/Stopp von Diensten, Konfigurationsaenderungen | +| Netzwerk | Firewall-Regeln (deny), VPN-Verbindungen, DNS-Anomalien | +| Sicherheit | Malware-Erkennung, IDS/IPS-Alarme, Schwachstellen-Scans | + +### 2.1 Mindestinhalt eines Logeintrags + +Jeder Logeintrag muss enthalten: Zeitstempel (UTC, ISO 8601), Quellsystem, Benutzerkennung (falls zutreffend), Ereignistyp, Ergebnis (Erfolg/Fehlschlag), Quell-IP und Zielressource. + +--- + +## 3. Aufbewahrungsfristen + +| Logtyp | Aufbewahrungsfrist | +|--------|--------------------| +| Sicherheitslogs | 12 Monate (Minimum) | +| Zugriffslogs | 6 Monate | +| Anwendungslogs | 3 Monate | +| Debug-Logs | 30 Tage | +| Compliance-Audit-Logs | 36 Monate | + +Nach Ablauf der Frist werden Logs sicher geloescht (DSGVO Art. 5 Abs. 1e). + +--- + +## 4. SIEM und zentrale Logsammlung + +- Alle Systeme leiten Logs an das zentrale SIEM-System weiter +- Korrelationsregeln fuer typische Angriffsszenarien (Brute-Force, Lateral Movement, Privilege Escalation) +- Alerting: Kritische Ereignisse loesen innerhalb von 15 Minuten eine Benachrichtigung aus +- Dashboards fuer SOC und ISB mit taeglicher Ueberpruefung + +--- + +## 5. Zugriffskontrolle und Integritaet + +- Zugriff auf Logdaten nur fuer ISB, SOC-Analysten und berechtigte Administratoren +- Schreibschutz: Logs duerfen nachtraeglich nicht veraendert oder geloescht werden +- Integritaetssicherung durch kryptographische Hashwerte oder Write-Once-Speicher +- Trennung der Log-Infrastruktur von produktiven Systemen + +--- + +## 6. Datenschutz bei der Protokollierung + +- Personenbezogene Daten in Logs werden auf das Notwendige beschraenkt (Datenminimierung) +- IP-Adressen und Benutzerkennungen gelten als personenbezogene Daten (DSGVO) +- Zugriff auf Logs mit personenbezogenen Daten nur mit dienstlicher Begruendung +- Betriebsrat ist ueber Umfang der Protokollierung informiert (BetrVG §87 Abs. 1 Nr. 6) + +--- + +## 7. Revision + +Jaehrliche Pruefung durch den ISB. Anpassung bei Einfuehrung neuer Systeme oder Aenderung regulatorischer Anforderungen. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'logging_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 6: Datensicherungsrichtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'backup_policy', + 'Datensicherungsrichtlinie', + 'Richtlinie zur Datensicherung nach ISO 27001 Annex A.12.3 und BSI IT-Grundschutz CON.3. Regelt 3-2-1-Regel, RPO/RTO, Wiederherstellungstests, Offsite-Sicherung und Backup-Verschluesselung.', + $template$# Datensicherungsrichtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert die Anforderungen an die Datensicherung bei {{COMPANY_NAME}}. Ziel ist der Schutz vor Datenverlust durch technische Stoerungen, menschliche Fehler, Cyberangriffe oder Naturereignisse. + +Geltungsbereich: Alle produktiven Systeme, Datenbanken, Konfigurationen und geschaeftskritischen Daten. + +Normative Grundlagen: ISO/IEC 27001:2022 Annex A.8.13, BSI IT-Grundschutz CON.3. + +--- + +## 2. Backup-Strategie (3-2-1-Regel) + +{{COMPANY_NAME}} wendet die 3-2-1-Regel an: + +- **3** Kopien jeder kritischen Datei (1 Produktiv + 2 Backups) +- **2** verschiedene Speichermedien (z.B. SSD + Object Storage) +- **1** Kopie an einem geografisch getrennten Standort (Offsite) + +--- + +## 3. Backup-Klassifizierung und Zyklen + +| Datenklasse | Backup-Typ | Frequenz | Aufbewahrung | +|-------------|-----------|----------|-------------| +| Geschaeftskritisch (Tier 1) | Vollbackup + inkrementell | Taeglich + stuendliche Snapshots | 90 Tage | +| Wichtig (Tier 2) | Vollbackup + inkrementell | Taeglich | 30 Tage | +| Standard (Tier 3) | Vollbackup | Woechentlich | 14 Tage | +| Konfigurationen | Vollbackup | Bei jeder Aenderung | 12 Monate | + +--- + +## 4. RPO und RTO + +| Datenklasse | RPO (max. Datenverlust) | RTO (max. Ausfallzeit) | +|-------------|------------------------|------------------------| +| Tier 1 | 1 Stunde | 4 Stunden | +| Tier 2 | 24 Stunden | 8 Stunden | +| Tier 3 | 7 Tage | 24 Stunden | + +--- + +## 5. Verschluesselung und Integritaet + +- Alle Backups werden vor der Uebertragung verschluesselt (AES-256-GCM) +- Verschluesselungsschluessel werden getrennt von den Backups aufbewahrt +- Integritaetspruefung durch SHA-256-Hashwerte bei jedem Backup-Lauf +- Automatische Alertierung bei fehlgeschlagenen Backups oder Integritaetsverletzungen + +--- + +## 6. Wiederherstellungstests + +| Testtyp | Frequenz | Verantwortlich | +|---------|----------|----------------| +| Einzelne Dateien/Tabellen | Monatlich | IT-Administration | +| Vollstaendiges System | Quartalsweise | IT-Leitung + ISB | +| Disaster-Recovery-Uebung | Jaehrlich | Geschaeftsfuehrung + IT | + +Testergebnisse werden dokumentiert und Abweichungen von RPO/RTO als Risiken behandelt. + +--- + +## 7. Verantwortlichkeiten + +| Rolle | Aufgabe | +|-------|---------| +| IT-Administration | Durchfuehrung und Ueberwachung der Backups | +| ISB ({{ISB_NAME}}) | Pruefung der Backup-Strategie, Risikobewertung | +| Fachabteilungen | Klassifizierung ihrer Daten (Tier 1-3) | +| Geschaeftsfuehrung | Freigabe der RPO/RTO-Ziele | + +--- + +## 8. Revision + +Jaehrliche Pruefung durch den ISB. Sofortige Anpassung nach Wiederherstellungstests mit Abweichungen oder nach Sicherheitsvorfaellen. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'backup_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 7: Incident-Response-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'incident_response_policy', + 'Incident-Response-Richtlinie', + 'Richtlinie zur Behandlung von Sicherheitsvorfaellen nach ISO 27001 Annex A.16 und BSI IT-Grundschutz DER.2.1. Regelt Erkennung, Triage, Eskalation, Kommunikation, Post-Mortem und DSGVO Art. 33/34 Meldepflichten.', + $template$# Incident-Response-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert den strukturierten Umgang mit Sicherheitsvorfaellen bei {{COMPANY_NAME}}. Sie stellt sicher, dass Vorfaelle schnell erkannt, eingedaemmt, behoben und nachbereitet werden. + +Geltungsbereich: Alle IT-Systeme, Daten und Prozesse. Alle Mitarbeiter sind zur Meldung von Verdachtsfaellen verpflichtet. + +Normative Grundlagen: ISO/IEC 27001:2022 Annex A.5.24-A.5.28, BSI IT-Grundschutz DER.2.1, DSGVO Art. 33/34. + +--- + +## 2. Incident-Klassifizierung + +| Schweregrad | Beschreibung | Reaktionszeit | +|-------------|-------------|---------------| +| Kritisch (P1) | Datenverlust, Ransomware, Datenschutzverletzung mit hohem Risiko | Sofort (< 1 Stunde) | +| Hoch (P2) | Kompromittiertes System, erfolgreicher Angriff ohne Datenabfluss | < 4 Stunden | +| Mittel (P3) | Verdaechtiges Verhalten, Malware-Fund auf Einzelsystem | < 8 Stunden | +| Niedrig (P4) | Fehlkonfiguration, Policy-Verstoss ohne Schaden | < 24 Stunden | + +--- + +## 3. Incident-Response-Phasen + +### 3.1 Erkennung und Meldung + +- Automatische Erkennung durch SIEM, IDS/IPS, EDR +- Manuelle Meldung durch Mitarbeiter an: security@{{COMPANY_NAME}}.de oder ISB direkt +- Jeder Verdachtsfall wird erfasst — auch bei Fehlalarm + +### 3.2 Triage und Bewertung + +- ISB bewertet Schweregrad innerhalb von 30 Minuten nach Meldung +- Feststellung: Welche Systeme und Daten sind betroffen? +- Bei personenbezogenen Daten: Sofortige Einbindung des DSB + +### 3.3 Eindaemmung + +- Kurzfristig: Isolation betroffener Systeme, Sperrung kompromittierter Konten +- Mittelfristig: Sicherung forensischer Beweise, temporaere Workarounds + +### 3.4 Behebung und Wiederherstellung + +- Beseitigung der Ursache (Patching, Konfigurationsaenderung, Neuinstallation) +- Wiederherstellung aus verifizierten Backups +- Validierung der Systeme vor Produktivnahme + +### 3.5 Post-Mortem + +- Innerhalb von 5 Arbeitstagen nach Abschluss +- Root-Cause-Analyse, Lessons Learned, Massnahmenplan +- Dokumentation im Incident-Management-System + +--- + +## 4. Meldepflichten (DSGVO) + +### Art. 33 — Meldung an die Aufsichtsbehoerde + +Bei Verletzung des Schutzes personenbezogener Daten: Meldung innerhalb von **72 Stunden** nach Bekanntwerden, es sei denn, die Verletzung fuehrt voraussichtlich nicht zu einem Risiko. + +### Art. 34 — Benachrichtigung der Betroffenen + +Bei **hohem Risiko** fuer die Rechte und Freiheiten: Unverzuegliche Benachrichtigung der betroffenen Personen in klarer, einfacher Sprache. + +--- + +## 5. Eskalationsmatrix + +| Schweregrad | Benachrichtigung | +|-------------|-----------------| +| P1 (Kritisch) | ISB + Geschaeftsfuehrung + DSB + Rechtsabteilung + externe Forensik | +| P2 (Hoch) | ISB + IT-Leitung + DSB | +| P3 (Mittel) | ISB + IT-Administration | +| P4 (Niedrig) | IT-Administration | + +--- + +## 6. Revision + +Jaehrliche Pruefung durch den ISB. Aktualisierung nach jedem P1/P2-Vorfall. Jaehrliche Incident-Response-Uebung (Tabletop oder Simulation). + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'incident_response_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 8: Change-Management-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'change_management_policy', + 'Change-Management-Richtlinie', + 'Richtlinie zum Change Management nach ISO 27001 Annex A.12.1.2 und ITIL v4. Regelt Change Advisory Board, Genehmigungs-Workflow, Risikobewertung, Rollback-Verfahren und Dokumentation.', + $template$# Change-Management-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie stellt sicher, dass alle Aenderungen an IT-Systemen, Anwendungen und Infrastruktur bei {{COMPANY_NAME}} kontrolliert, bewertet und dokumentiert durchgefuehrt werden. Ziel ist die Minimierung von Stoerungen und Sicherheitsrisiken durch ungeplante oder ungetestete Aenderungen. + +Geltungsbereich: Produktivsysteme, Netzwerkinfrastruktur, Datenbanken, Cloud-Konfigurationen und sicherheitsrelevante Software. + +Normative Grundlagen: ISO/IEC 27001:2022 Annex A.8.32, ITIL v4 Change Enablement, BSI IT-Grundschutz OPS.1.1.3. + +--- + +## 2. Change-Klassifizierung + +| Kategorie | Beschreibung | Genehmigung | +|-----------|-------------|-------------| +| Standard-Change | Vordefinierter, risikoarmer Change (z.B. Patch, User-Anlage) | Vorab genehmigt | +| Normaler Change | Geplante Aenderung mit Risikobewertung | CAB-Genehmigung | +| Emergency Change | Dringend zur Behebung eines Vorfalls oder kritischer Schwachstelle | ISB + IT-Leitung (nachtraegliches CAB-Review) | + +--- + +## 3. Change Advisory Board (CAB) + +Das CAB besteht aus: + +- ISB ({{ISB_NAME}}) — Vorsitz +- IT-Leitung +- Betroffene Fachabteilung(en) +- Bei Bedarf: DSB, Entwicklungsleitung, externe Berater + +Das CAB tritt woechentlich zusammen. Emergency Changes werden ausserplanmaessig per Umlaufverfahren genehmigt. + +--- + +## 4. Change-Prozess + +| Phase | Aktivitaet | Verantwortlich | +|-------|-----------|----------------| +| 1. Antrag | Change-Request im Ticketsystem erstellen | Antragsteller | +| 2. Bewertung | Risikobewertung, Impact-Analyse, Ressourcenplanung | CAB | +| 3. Genehmigung | Freigabe oder Ablehnung mit Begruendung | CAB / ISB | +| 4. Implementierung | Durchfuehrung im geplanten Wartungsfenster | IT-Team | +| 5. Validierung | Funktions- und Sicherheitstests nach Implementierung | QA / IT-Team | +| 6. Abschluss | Dokumentation, Lessons Learned, Ticket schliessen | Antragsteller + IT | + +--- + +## 5. Risikobewertung fuer Changes + +Jeder normale Change wird nach folgenden Kriterien bewertet: + +| Kriterium | Niedrig | Mittel | Hoch | +|-----------|---------|--------|------| +| Betroffene Nutzer | < 10 | 10-100 | > 100 | +| Ausfallrisiko | Kein Ausfall | Kurzzeitig | Laengerer Ausfall moeglich | +| Sicherheitsrelevanz | Keine | Indirekt | Direkt sicherheitsrelevant | +| Reversibilitaet | Sofort rueckgaengig | Mit Aufwand | Nicht rueckgaengig | + +--- + +## 6. Rollback-Verfahren + +- Fuer jeden Change muss ein Rollback-Plan dokumentiert sein +- Rollback-Kriterien: Definition klarer Metriken fuer Abbruch +- Backup vor Implementierung: Snapshot oder Datensicherung verpflichtend +- Maximale Rollback-Zeit: Muss innerhalb des Wartungsfensters liegen + +--- + +## 7. Revision + +Jaehrliche Pruefung durch den ISB. Nachbereitung bei jedem gescheiterten Change. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'change_management_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 9: Patch-Management-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'patch_management_policy', + 'Patch-Management-Richtlinie', + 'Richtlinie zum Patch-Management nach ISO 27001 Annex A.12.6 und BSI IT-Grundschutz OPS.1.1.3. Regelt Scan-Zyklen, Kritikalitaetsklassifizierung, SLAs pro Schweregrad und Ausnahmebehandlung.', + $template$# Patch-Management-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie stellt sicher, dass Sicherheitsupdates und Patches zeitnah und kontrolliert auf allen Systemen von {{COMPANY_NAME}} eingespielt werden. Ziel ist die Reduzierung der Angriffsflaeche durch bekannte Schwachstellen. + +Geltungsbereich: Betriebssysteme, Anwendungen, Firmware, Container-Images und Bibliotheken auf allen Produktiv-, Test- und Entwicklungssystemen. + +Normative Grundlagen: ISO/IEC 27001:2022 Annex A.8.8, BSI IT-Grundschutz OPS.1.1.3, NIST SP 800-40. + +--- + +## 2. Scan-Zyklus + +| Systemkategorie | Scan-Frequenz | Tool | +|----------------|---------------|------| +| Server (Produktion) | Woechentlich | Vulnerability Scanner | +| Endgeraete | 14-taegig | Endpoint-Management | +| Container-Images | Bei jedem Build + woechentlich | Container-Security-Scanner | +| Netzwerkkomponenten | Monatlich | Netzwerk-Scanner | +| Drittanbieter-Software | Woechentlich | Dependency-Scanner (SCA) | + +--- + +## 3. Kritikalitaetsklassifizierung und SLAs + +Die Klassifizierung erfolgt nach CVSS v3.1: + +| CVSS-Score | Schweregrad | Patch-SLA | Testanforderung | +|-----------|-------------|-----------|----------------| +| 9.0 - 10.0 | Kritisch | 72 Stunden | Smoke-Test ausreichend | +| 7.0 - 8.9 | Hoch | 7 Tage | Standardtest | +| 4.0 - 6.9 | Mittel | 30 Tage | Standardtest | +| 0.1 - 3.9 | Niedrig | 90 Tage | Im naechsten Release-Zyklus | + +Bei aktiver Ausnutzung (Known Exploited Vulnerability): Patch-SLA wird auf **24 Stunden** verkuerzt, unabhaengig vom CVSS-Score. + +--- + +## 4. Patch-Prozess + +1. **Identifikation**: Automatischer Scan erkennt fehlende Patches +2. **Bewertung**: ISB klassifiziert Kritikalitaet und bewertet Risiko +3. **Test**: Patch wird in Testumgebung validiert (ausser bei kritischen Emergency-Patches) +4. **Genehmigung**: Freigabe durch IT-Leitung (Standard) oder ISB (Emergency) +5. **Deployment**: Rollout in definiertem Wartungsfenster oder via Auto-Update-Policy +6. **Verifizierung**: Erneuter Scan bestaetigt erfolgreiche Installation + +--- + +## 5. Ausnahmen und Kompensationsmassnahmen + +Falls ein Patch nicht innerhalb des SLA eingespielt werden kann: + +- Schriftliche Begruendung durch den Systemverantwortlichen +- Genehmigung durch ISB ({{ISB_NAME}}) +- Dokumentation von Kompensationsmassnahmen (z.B. Network Segmentation, WAF-Regel, IPS-Signatur) +- Maximale Ausnahmedauer: 90 Tage, danach erneute Bewertung +- Tracking aller Ausnahmen im Risikomanagement-System + +--- + +## 6. Automatisierung + +- Betriebssystem-Patches: Automatisches Deployment nach Freigabe (WSUS, apt-unattended-upgrades, o.Ae.) +- Container: Base-Image-Updates triggern automatischen Rebuild in CI/CD-Pipeline +- Dependency-Updates: Automatische Pull Requests durch Dependency-Bot + +--- + +## 7. Revision + +Jaehrliche Pruefung durch den ISB. Anpassung der SLAs bei veraenderter Bedrohungslage. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'patch_management_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 10: Asset-Management-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'asset_management_policy', + 'Asset-Management-Richtlinie', + 'Richtlinie zum IT-Asset-Management nach ISO 27001 Annex A.8 und BSI IT-Grundschutz. Regelt CMDB, Lebenszyklus, Eigentuemer, Klassifizierung und sichere Entsorgung.', + $template$# Asset-Management-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert die Anforderungen an die Erfassung, Verwaltung und sichere Entsorgung aller IT-Assets bei {{COMPANY_NAME}}. Ziel ist die vollstaendige Transparenz ueber alle Informationswerte als Grundlage fuer Risikomanagement und Sicherheitsmassnahmen. + +Geltungsbereich: Hardware, Software, Cloud-Dienste, Datenbestaende und Netzwerkkomponenten. + +Normative Grundlagen: ISO/IEC 27001:2022 Annex A.5.9-A.5.13, BSI IT-Grundschutz ORP.1. + +--- + +## 2. Configuration Management Database (CMDB) + +Alle IT-Assets werden in der zentralen CMDB erfasst. Pflichtfelder: + +| Feld | Beschreibung | +|------|-------------| +| Asset-ID | Eindeutige Kennzeichnung | +| Asset-Typ | Hardware / Software / Cloud / Daten | +| Eigentuemer (Owner) | Verantwortliche Person oder Abteilung | +| Standort | Physisch oder Cloud-Region | +| Klassifizierung | Schutzbedarf (normal/hoch/sehr hoch) | +| Status | Aktiv / Wartung / Ausgemustert | +| Beschaffungsdatum | Datum der Inbetriebnahme | +| End-of-Life | Geplantes oder herstellerseitiges EOL | + +Die CMDB wird bei jeder Aenderung aktualisiert. Quartalsweise Inventur durch IT-Administration. + +--- + +## 3. Lebenszyklus-Management + +| Phase | Aktivitaet | Verantwortlich | +|-------|-----------|----------------| +| Beschaffung | Bedarfspruefung, Sicherheitsbewertung, Lizenzpruefung | Fachbereich + IT | +| Inbetriebnahme | CMDB-Eintrag, Haertung, Erstinstallation | IT-Administration | +| Betrieb | Patch-Management, Monitoring, regelmaessige Pruefung | IT-Administration | +| Wartung | Updates, Hardware-Refresh, Lizenzverlaengerung | IT-Administration | +| Ausmusterung | Datenlöschung, Deregistrierung, Entsorgung | IT + ISB | + +--- + +## 4. Klassifizierung und Schutzbedarf + +| Schutzbedarf | Kriterien | Beispiele | +|-------------|-----------|-----------| +| Normal | Ausfall < 24h tolerierbar, keine pers. Daten | Drucker, interne Wiki | +| Hoch | Ausfall geschaeftskritisch, personenbezogene Daten | ERP, Datenbanken, E-Mail | +| Sehr hoch | Existenzbedrohend bei Kompromittierung | Finanzsysteme, HSM, Backup-Server | + +Die Klassifizierung bestimmt die erforderlichen Sicherheitsmassnahmen (TOM). + +--- + +## 5. Sichere Entsorgung + +| Medientyp | Methode | Standard | +|-----------|---------|----------| +| Festplatten (HDD) | Physische Zerstoerung oder 3-faches Ueberschreiben | DIN 66399, Sicherheitsstufe H-4 | +| SSDs | Secure Erase (herstellerspezifisch) + physische Zerstoerung | DIN 66399, Sicherheitsstufe H-5 | +| Papier | Schredder Sicherheitsstufe P-4 (vertraulich) oder P-6 (streng vertraulich) | DIN 66399 | +| Cloud-Ressourcen | Kryptographische Schluesselvernichtung + Deregistrierung | CSA Guidance | + +Entsorgung wird im Entsorgungsprotokoll dokumentiert (Datum, Methode, Verantwortlicher). + +--- + +## 6. Revision + +Jaehrliche Pruefung durch den ISB. Quartalsweise CMDB-Inventur. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'asset_management_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 11: Cloud-Security-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'cloud_security_policy', + 'Cloud-Security-Richtlinie', + 'Richtlinie zur Cloud-Sicherheit nach ISO 27017, BSI C5 und DSGVO. Regelt Shared Responsibility, Anbieterbewertung, Datenresidenz, Verschluesselung und Exit-Strategie.', + $template$# Cloud-Security-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert die Sicherheitsanforderungen fuer die Nutzung von Cloud-Diensten bei {{COMPANY_NAME}}. Sie stellt sicher, dass Cloud-Services den gleichen Sicherheitsstandards unterliegen wie On-Premises-Systeme. + +Geltungsbereich: Alle IaaS-, PaaS- und SaaS-Dienste, die von {{COMPANY_NAME}} genutzt oder betrieben werden. + +Normative Grundlagen: ISO/IEC 27017:2015, ISO/IEC 27018:2019, BSI C5:2020, DSGVO Art. 28/32. + +--- + +## 2. Shared-Responsibility-Modell + +| Verantwortung | IaaS | PaaS | SaaS | +|--------------|------|------|------| +| Physische Sicherheit | Anbieter | Anbieter | Anbieter | +| Netzwerk-Infrastruktur | Anbieter | Anbieter | Anbieter | +| Betriebssystem | {{COMPANY_NAME}} | Anbieter | Anbieter | +| Anwendung | {{COMPANY_NAME}} | {{COMPANY_NAME}} | Anbieter | +| Datenklassifizierung | {{COMPANY_NAME}} | {{COMPANY_NAME}} | {{COMPANY_NAME}} | +| Zugriffskontrolle | {{COMPANY_NAME}} | {{COMPANY_NAME}} | {{COMPANY_NAME}} | +| Datensicherung | {{COMPANY_NAME}} | Geteilt | Geteilt | + +--- + +## 3. Anbieterbewertung + +Vor Nutzung eines Cloud-Dienstes ist eine Sicherheitsbewertung durch den ISB erforderlich: + +| Kriterium | Anforderung | +|-----------|-------------| +| Zertifizierungen | ISO 27001, BSI C5 oder SOC 2 Type II | +| Datenstandort | EU/EWR (bei personenbezogenen Daten verpflichtend) | +| Auftragsverarbeitung | AVV nach Art. 28 DSGVO | +| Verschluesselung | At-rest + in-transit, kundenverwaltete Schluessel bei vertraulichen Daten | +| SLA | Verfuegbarkeit >= 99.9%, definierte Reaktionszeiten | +| Audit-Rechte | Nachweisrecht fuer {{COMPANY_NAME}} oder durch Dritte | + +Cloud-Dienste ohne positive Bewertung duerfen nicht genutzt werden (Shadow-IT-Verbot). + +--- + +## 4. Datenresidenz und Datenschutz + +- Personenbezogene Daten: Speicherung und Verarbeitung ausschliesslich in EU/EWR +- Drittland-Transfer nur mit Angemessenheitsbeschluss oder Standardvertragsklauseln (SCC) + TIA +- Vertrauliche und streng vertrauliche Daten: Verschluesselung mit kundenverwalteten Schluesseln (BYOK/HYOK) +- Datentrennung: Mandantenfahige Isolation sichergestellt (logisch oder physisch) + +--- + +## 5. Cloud-Sicherheitsmassnahmen + +- **Identity & Access Management**: Zentrales IAM, SSO, MFA fuer alle Cloud-Konsolen +- **Network Security**: VPC/VNet-Segmentierung, Private Endpoints fuer Datenbankzugriffe +- **Monitoring**: Cloud-native Logging + Weiterleitung an zentrales SIEM +- **Infrastructure as Code**: Alle Cloud-Ressourcen werden per IaC verwaltet (Terraform, Pulumi) +- **Drift Detection**: Automatische Erkennung von Konfigurationsabweichungen + +--- + +## 6. Exit-Strategie + +{{COMPANY_NAME}} haelt fuer jeden Cloud-Dienst eine Exit-Strategie vor: + +- Dokumentiertes Verfahren zur Datenmigration (Export-Formate, APIs) +- Maximale Kuendigungsfrist und Datenherausgabefrist vertraglich vereinbart +- Jaehrlicher Test der Datenportabilitaet fuer kritische Dienste +- Rueckfalloptionen: Alternativer Anbieter oder On-Premises-Betrieb + +--- + +## 7. Revision + +Jaehrliche Pruefung durch den ISB. Neubewertung bei Anbieterwechsel oder wesentlichen Vertragsaenderungen. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'cloud_security_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 12: DevSecOps-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'devsecops_policy', + 'DevSecOps-Richtlinie', + 'Richtlinie zur sicheren Softwareentwicklung nach ISO 27001 Annex A.14, OWASP und BSI IT-Grundschutz. Regelt SAST/DAST, Dependency Scanning, Container Security und CI/CD-Sicherheitsgates.', + $template$# DevSecOps-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie integriert Sicherheitsmassnahmen in den gesamten Software-Entwicklungslebenszyklus (SDLC) bei {{COMPANY_NAME}}. Ziel ist die fruehzeitige Erkennung und Behebung von Sicherheitsschwachstellen nach dem Shift-Left-Prinzip. + +Geltungsbereich: Alle intern entwickelten Anwendungen, Bibliotheken, Container-Images und CI/CD-Pipelines. + +Normative Grundlagen: ISO/IEC 27001:2022 Annex A.8.25-A.8.31, OWASP SAMM, BSI IT-Grundschutz CON.8. + +--- + +## 2. Sichere Entwicklungsprinzipien + +- **Secure by Design**: Sicherheitsanforderungen werden in der Entwurfsphase definiert +- **Secure by Default**: Standardkonfigurationen sind restriktiv (kein offener Zugriff, keine Default-Passwoerter) +- **Defense in Depth**: Mehrschichtige Absicherung auf Anwendungsebene +- **Least Privilege**: Anwendungen laufen mit minimalen Rechten +- **Input Validation**: Alle Eingaben werden serverseitig validiert und bereinigt + +--- + +## 3. CI/CD-Sicherheitsgates + +Jede Pipeline muss folgende Gates enthalten: + +| Gate | Tool-Kategorie | Blockierend bei | +|------|---------------|----------------| +| SAST (Static Analysis) | SonarQube, Semgrep, o.Ae. | High/Critical Findings | +| SCA (Dependency Scan) | Trivy, Snyk, Dependabot | Known Exploited Vulnerabilities | +| Secret Detection | GitLeaks, TruffleHog | Jeder Fund | +| Container Scan | Trivy, Grype | Critical CVEs | +| DAST (Dynamic Analysis) | OWASP ZAP (Staging) | High Findings | +| License Check | FOSSA, license-checker | GPL/AGPL-Abhaengigkeiten | + +Pipeline-Builds mit blockierenden Findings werden automatisch abgelehnt. + +--- + +## 4. Code-Review und Merge-Anforderungen + +| Kriterium | Anforderung | +|-----------|-------------| +| Review | Mindestens 1 Reviewer (2 bei sicherheitskritischen Aenderungen) | +| Branching | Feature-Branches, kein direkter Push auf main/production | +| Signierung | Commits muessen signiert sein (GPG oder SSH) | +| Tests | Alle Unit- und Integrationstests muessen bestehen | +| Coverage | Mindestens 80% Code-Coverage fuer neue Module | + +--- + +## 5. Container-Sicherheit + +- Base-Images: Nur freigegebene, gehaertete Base-Images verwenden +- Non-Root: Container laufen als non-root User +- Read-Only Filesystem: Wo moeglich, schreibgeschuetztes Root-Filesystem +- Image Signing: Alle Produktiv-Images werden signiert (Cosign/Notary) +- Kein SSH in Containern, keine Package-Manager in Produktiv-Images + +--- + +## 6. Secrets in der Entwicklung + +- Keine Secrets in Quellcode, Konfigurationsdateien oder Container-Images +- Secrets werden ausschliesslich ueber Secrets-Management-Systeme bereitgestellt +- Lokale Entwicklung: `.env`-Dateien in `.gitignore`, niemals committet +- Pre-Commit-Hooks pruefen auf versehentlich eingecheckte Secrets + +--- + +## 7. Sicherheitsschulungen fuer Entwickler + +- Jaehrliche sichere Entwicklungsschulung (OWASP Top 10, Secure Coding) +- Onboarding: Sicherheitseinweisung fuer neue Entwickler in der ersten Woche +- Threat Modelling: Fuer neue Features und Architekturentscheidungen + +--- + +## 8. Revision + +Jaehrliche Pruefung durch den ISB. Anpassung bei neuen Angriffsszenarien oder Tool-Aenderungen. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'devsecops_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 13: Secrets-Management-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'secrets_management_policy', + 'Secrets-Management-Richtlinie', + 'Richtlinie zum Secrets-Management nach ISO 27001 und BSI IT-Grundschutz. Regelt Vault-Nutzung, Rotation, Verbot hardcodierter Secrets, Audit-Protokollierung und Notfallzugriff.', + $template$# Secrets-Management-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert den sicheren Umgang mit Secrets (Passwoerter, API-Schluessel, Zertifikate, Tokens, kryptographische Schluessel) bei {{COMPANY_NAME}}. Sie stellt sicher, dass Secrets zu keinem Zeitpunkt im Klartext offengelegt, in Code eingebettet oder unkontrolliert weitergegeben werden. + +Geltungsbereich: Alle Systeme, Anwendungen, CI/CD-Pipelines und Mitarbeiter von {{COMPANY_NAME}}. + +Normative Grundlagen: ISO/IEC 27001:2022 Annex A.5.33, BSI IT-Grundschutz ORP.4, NIST SP 800-57. + +--- + +## 2. Secrets-Management-System + +{{COMPANY_NAME}} betreibt ein zentrales Secrets-Management-System (z.B. HashiCorp Vault) als einzige autorisierte Quelle fuer Secrets. + +| Anforderung | Umsetzung | +|-------------|-----------| +| Zentrale Speicherung | Alle Secrets im Vault, nicht in Dateien oder Datenbanken | +| Zugriffskontrolle | Policy-basiert, Least Privilege, MFA fuer Admin-Zugriff | +| Verschluesselung | At-rest (AES-256) und in-transit (TLS 1.2+) | +| Audit-Log | Jeder Zugriff wird protokolliert (wer, wann, welches Secret) | +| Hochverfuegbarkeit | Cluster-Betrieb mit automatischem Failover | + +--- + +## 3. Rotation + +| Secret-Typ | Rotationsintervall | Methode | +|-----------|-------------------|---------| +| Datenbank-Passwoerter | 90 Tage | Automatisch via Vault Dynamic Secrets | +| API-Schluessel | 180 Tage | Automatisch oder manuell mit Uebergangsphase | +| TLS-Zertifikate | 90 Tage (ACME/Let's Encrypt) | Automatisch | +| Service-Account-Tokens | 90 Tage | Automatisch via Token-Renewal | +| SSH-Schluessel | Einmalig (Signed SSH) | Vault SSH Secrets Engine | + +Sofortige Rotation bei: Verdacht auf Kompromittierung, Mitarbeiteraustritt, Sicherheitsvorfall. + +--- + +## 4. Verbotene Praktiken + +Folgende Praktiken sind strengstens untersagt: + +- Hardcodierte Secrets in Quellcode, Dockerfiles oder Konfigurationsdateien +- Secrets in Umgebungsvariablen auf Produktivsystemen (ausser via Vault Agent Injection) +- Versand von Secrets per E-Mail, Chat, Ticket oder unverschluesselten Kanaelen +- Speicherung in persoenlichen Notizen, Wikis oder Shared Drives +- Wiederverwendung von Secrets ueber Umgebungen hinweg (Dev/Staging/Prod) +- Nutzung von Secrets ohne Ablaufdatum + +--- + +## 5. CI/CD-Integration + +- Pipelines beziehen Secrets ausschliesslich zur Laufzeit aus dem Vault +- Keine Secrets in Pipeline-Konfigurationen (Jenkinsfile, .gitlab-ci.yml, GitHub Actions) +- Pre-Commit-Hooks (GitLeaks, TruffleHog) verhindern versehentliches Einchecken +- Build-Artefakte werden auf eingebettete Secrets gescannt + +--- + +## 6. Notfallzugriff (Break Glass) + +Fuer den Fall, dass der regulaere Vault-Zugriff nicht verfuegbar ist: + +- Versiegelte Notfallzugaenge werden physisch sicher aufbewahrt (Tresor, Vier-Augen-Prinzip) +- Nutzung wird automatisch protokolliert und loest sofortige Benachrichtigung an ISB aus +- Nach Nutzung: Sofortige Rotation aller betroffenen Secrets +- Quartalsweise Pruefung der Notfallzugaenge auf Funktionsfaehigkeit + +--- + +## 7. Revision + +Jaehrliche Pruefung durch den ISB. Sofortige Pruefung nach jedem Incident mit Secret-Kompromittierung. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'secrets_management_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- Template 14: Schwachstellenmanagement-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'vulnerability_management_policy', + 'Schwachstellenmanagement-Richtlinie', + 'Richtlinie zum Schwachstellenmanagement nach ISO 27001 Annex A.12.6 und BSI IT-Grundschutz. Regelt Scanning-Zeitplaene, CVSS-Klassifizierung, Behebungs-SLAs, Ausnahmen und Disclosure-Verfahren.', + $template$# Schwachstellenmanagement-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert den strukturierten Umgang mit technischen Schwachstellen bei {{COMPANY_NAME}}. Ziel ist die systematische Identifikation, Bewertung und Behebung von Schwachstellen, um die Angriffsflaeche zu minimieren. + +Geltungsbereich: Alle IT-Systeme, Anwendungen, Container, Cloud-Ressourcen und Netzwerkkomponenten. + +Normative Grundlagen: ISO/IEC 27001:2022 Annex A.8.8, BSI IT-Grundschutz OPS.1.1.3, NIST SP 800-40, CIS Controls v8. + +--- + +## 2. Scanning-Zeitplan + +| Scan-Typ | Frequenz | Ziel | +|----------|----------|------| +| Netzwerk-Schwachstellenscan | Woechentlich | Alle erreichbaren IP-Adressen und Ports | +| Webanwendungsscan (DAST) | 14-taegig | Alle externen Webanwendungen und APIs | +| Container-Image-Scan | Bei jedem Build + woechentlich | Alle Container-Images in Registry | +| Dependency-Scan (SCA) | Taeglich (automatisch) | Alle Softwareprojekte | +| Konfigurationsaudit | Monatlich | Cloud-Accounts, Server, Netzwerkgeraete | +| Penetrationstest | Jaehrlich (extern) | Gesamte externe Angriffsflaeche | + +--- + +## 3. CVSS-Klassifizierung und Behebungs-SLAs + +Schwachstellen werden nach CVSS v3.1 klassifiziert: + +| CVSS-Score | Schweregrad | Behebungs-SLA | Eskalation bei Ueberschreitung | +|-----------|-------------|--------------|-------------------------------| +| 9.0 - 10.0 | Kritisch | 72 Stunden | Geschaeftsfuehrung + ISB | +| 7.0 - 8.9 | Hoch | 7 Tage | IT-Leitung + ISB | +| 4.0 - 6.9 | Mittel | 30 Tage | ISB | +| 0.1 - 3.9 | Niedrig | 90 Tage | Regulaerer Patch-Zyklus | + +**Verschaerfung**: Bei aktiver Ausnutzung (KEV-Katalog) oder oeffentlichem Exploit-Code wird der SLA unabhaengig vom CVSS auf **24 Stunden** verkuerzt. + +--- + +## 4. Bewertungsprozess + +1. **Identifikation**: Automatischer Scan oder externe Meldung (Advisory, Bug Bounty) +2. **Triage**: ISB bewertet CVSS-Score, Exploitability und Kontext (erreichbar? exponiert?) +3. **Priorisierung**: Kontextuelle Risikobewertung unter Beruecksichtigung von Asset-Kritikalitaet +4. **Zuweisung**: Ticket im Vulnerability-Tracker mit Verantwortlichem und SLA-Deadline +5. **Behebung**: Patch, Konfigurationsaenderung oder Kompensationsmassnahme +6. **Verifizierung**: Erneuter Scan bestaetigt Schliessung der Schwachstelle +7. **Abschluss**: Dokumentation im Vulnerability-Tracker + +--- + +## 5. Ausnahmen und Risikoakzeptanz + +Falls eine Schwachstelle nicht innerhalb des SLA behoben werden kann: + +- Schriftlicher Antrag durch den Systemverantwortlichen mit Begruendung +- Dokumentation von Kompensationsmassnahmen (z.B. WAF-Regel, Network Segmentation, Monitoring) +- Genehmigung durch ISB ({{ISB_NAME}}); ab CVSS >= 9.0 zusaetzlich Geschaeftsfuehrung +- Maximale Ausnahmedauer: 90 Tage, danach Neubewertung +- Alle Ausnahmen werden im Risikomanagement-System nachverfolgt + +--- + +## 6. Responsible Disclosure + +{{COMPANY_NAME}} betreibt einen Responsible-Disclosure-Prozess: + +- Sicherheitsforscher koennen Schwachstellen an security@{{COMPANY_NAME}}.de melden +- Bestaetigung des Eingangs innerhalb von 2 Arbeitstagen +- Gemeinsame Abstimmung eines Zeitplans fuer die Behebung (max. 90 Tage) +- Keine rechtlichen Schritte gegen gutglaeubige Sicherheitsforscher +- Oeffentliche Anerkennung (Hall of Fame) nach Zustimmung des Meldenden + +--- + +## 7. Metriken und Reporting + +Der ISB berichtet quartalsweise an die Geschaeftsfuehrung: + +| Metrik | Beschreibung | +|--------|-------------| +| MTTR (Mean Time to Remediate) | Durchschnittliche Behebungszeit pro Schweregrad | +| Offene Schwachstellen | Anzahl offener Findings nach Schweregrad und Alter | +| SLA-Einhaltung | Prozentsatz innerhalb des SLA behobener Schwachstellen | +| Scan-Abdeckung | Anteil der gescannten Assets an Gesamtinventar | +| Risikoakzeptanzen | Anzahl und Alter aktiver Ausnahmen | + +--- + +## 8. Revision + +Jaehrliche Pruefung durch den ISB. Sofortige Anpassung nach groesseren Sicherheitsvorfaellen oder bei veraenderter Bedrohungslage. + +Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'vulnerability_management_policy' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); diff --git a/backend-compliance/migrations/072_policy_templates_data_hr_vendor_bcm.sql b/backend-compliance/migrations/072_policy_templates_data_hr_vendor_bcm.sql new file mode 100644 index 0000000..8f9303a --- /dev/null +++ b/backend-compliance/migrations/072_policy_templates_data_hr_vendor_bcm.sql @@ -0,0 +1,2203 @@ +-- Migration 072: Data, HR, Vendor & BCM Policy Templates +-- 15 policy templates: 5 data, 4 HR, 3 vendor, 3 BCM + +-- ============================================================================= +-- CATEGORY 1: Daten-Policies (5 templates) +-- ============================================================================= + +-- Template 1: Datenschutzrichtlinie (DSGVO) +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'data_protection_policy', + 'Datenschutzrichtlinie (DSGVO)', + 'Umfassende Datenschutzrichtlinie basierend auf der DSGVO. Definiert Grundsaetze nach Art. 5, Rechtsgrundlagen nach Art. 6, Betroffenenrechte, Rolle des DSB und das Verzeichnis von Verarbeitungstaetigkeiten.', + $template$# Datenschutzrichtlinie (DSGVO) + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie legt die Grundsaetze und Verfahren fest, mit denen {{COMPANY_NAME}} den Schutz personenbezogener Daten gemaess der Datenschutz-Grundverordnung (DSGVO) sicherstellt. + +**Geltungsbereich:** +- Alle Abteilungen und Standorte von {{COMPANY_NAME}} +- Alle Mitarbeiterinnen und Mitarbeiter, Auftragnehmer und Dienstleister +- Alle Verarbeitungstaetigkeiten mit personenbezogenen Daten +- Automatisierte und nicht-automatisierte Verarbeitungen + +--- + +## 2. Grundsaetze der Datenverarbeitung (Art. 5 DSGVO) + +{{COMPANY_NAME}} verpflichtet sich zur Einhaltung folgender Grundsaetze: + +| Grundsatz | Beschreibung | +|-----------|--------------| +| Rechtmaessigkeit | Verarbeitung nur auf gesetzlicher Grundlage | +| Zweckbindung | Erhebung nur fuer festgelegte, eindeutige Zwecke | +| Datenminimierung | Nur dem Zweck angemessene Daten erheben | +| Richtigkeit | Sachlich richtig und aktuell halten | +| Speicherbegrenzung | Loeschung nach Zweckerfuellung | +| Integritaet und Vertraulichkeit | Angemessene technische und organisatorische Massnahmen | +| Rechenschaftspflicht | Nachweis der Einhaltung aller Grundsaetze | + +--- + +## 3. Rechtsgrundlagen (Art. 6 DSGVO) + +Jede Verarbeitung personenbezogener Daten erfordert eine Rechtsgrundlage: + +- **Art. 6 Abs. 1 lit. a** — Einwilligung der betroffenen Person +- **Art. 6 Abs. 1 lit. b** — Erfuellung eines Vertrags +- **Art. 6 Abs. 1 lit. c** — Rechtliche Verpflichtung +- **Art. 6 Abs. 1 lit. d** — Schutz lebenswichtiger Interessen +- **Art. 6 Abs. 1 lit. e** — Oeffentliches Interesse +- **Art. 6 Abs. 1 lit. f** — Berechtigtes Interesse (mit Interessenabwaegung) + +Die Rechtsgrundlage ist vor Beginn der Verarbeitung zu dokumentieren und im Verzeichnis der Verarbeitungstaetigkeiten festzuhalten. + +--- + +## 4. Betroffenenrechte + +{{COMPANY_NAME}} gewaehrleistet die Ausuebung folgender Rechte: + +- **Auskunftsrecht (Art. 15)** — Betroffene erhalten innerhalb eines Monats Auskunft +- **Berichtigungsrecht (Art. 16)** — Unrichtige Daten werden unverzueglich korrigiert +- **Recht auf Loeschung (Art. 17)** — Loeschung bei Wegfall des Verarbeitungszwecks +- **Recht auf Einschraenkung (Art. 18)** — Einschraenkung bei Pruefung der Richtigkeit +- **Datenportabilitaet (Art. 20)** — Herausgabe in maschinenlesbarem Format +- **Widerspruchsrecht (Art. 21)** — Widerspruch bei berechtigtem Interesse + +Anfragen sind an den Datenschutzbeauftragten zu richten und innerhalb der gesetzlichen Fristen zu bearbeiten. + +--- + +## 5. Datenschutzbeauftragter (DSB) + +Der Datenschutzbeauftragte von {{COMPANY_NAME}}: +- Ueberwacht die Einhaltung der DSGVO und dieser Richtlinie +- Beraet die Geschaeftsfuehrung und Fachabteilungen +- Ist Ansprechpartner fuer Betroffene und Aufsichtsbehoerden +- Fuehrt Datenschutz-Folgenabschaetzungen durch (Art. 35 DSGVO) +- Pflegt das Verzeichnis von Verarbeitungstaetigkeiten +- Berichtet direkt an {{GF_NAME}} + +--- + +## 6. Verzeichnis von Verarbeitungstaetigkeiten (Art. 30 DSGVO) + +{{COMPANY_NAME}} fuehrt ein vollstaendiges Verzeichnis aller Verarbeitungstaetigkeiten mit folgenden Angaben: +- Zweck der Verarbeitung +- Kategorien betroffener Personen und personenbezogener Daten +- Empfaenger der Daten +- Uebermittlungen an Drittlaender +- Vorgesehene Loeschfristen +- Technische und organisatorische Massnahmen + +Das Verzeichnis wird mindestens jaehrlich aktualisiert und der Aufsichtsbehoerde auf Anfrage vorgelegt. + +--- + +## 7. Technische und organisatorische Massnahmen (Art. 32 DSGVO) + +{{COMPANY_NAME}} implementiert angemessene Schutzmassnahmen: +- Verschluesselung personenbezogener Daten (Transit und Rest) +- Zugangskontrollen und Berechtigungsmanagement +- Pseudonymisierung wo moeglich +- Regelmaessige Sicherheitstests und Audits +- Verfahren zur Wiederherstellung bei Zwischenfaellen +- Schulung aller Mitarbeiter im Datenschutz + +--- + +## 8. Meldung von Datenschutzverletzungen (Art. 33/34 DSGVO) + +Datenschutzverletzungen sind unverzueglich dem DSB zu melden. Die Meldung an die Aufsichtsbehoerde erfolgt innerhalb von 72 Stunden, sofern ein Risiko fuer die Rechte und Freiheiten natuerlicher Personen besteht. Betroffene werden informiert, wenn ein hohes Risiko vorliegt. + +--- + +## 9. Revision + +Jaehrliche Pruefung durch den DSB und {{ISB_NAME}}. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'data_protection_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- Template 2: Datenklassifizierungsrichtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'data_classification_policy', + 'Datenklassifizierungsrichtlinie', + 'Richtlinie zur Klassifizierung von Informationen und Daten in vier Schutzstufen. Definiert Kennzeichnungspflichten, Handhabungsvorschriften und Verantwortlichkeiten fuer jede Klassifizierungsstufe.', + $template$# Datenklassifizierungsrichtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie legt fest, wie Informationen und Daten bei {{COMPANY_NAME}} klassifiziert, gekennzeichnet und behandelt werden. Sie gilt fuer alle physischen und digitalen Informationswerte, unabhaengig vom Speicherort. + +**Ziele:** +- Schutz vertraulicher und sensibler Informationen +- Einheitliche Kennzeichnung und Handhabung +- Einhaltung regulatorischer Anforderungen (DSGVO, ISO 27001) +- Sensibilisierung der Mitarbeiter fuer den Wert von Informationen + +--- + +## 2. Klassifizierungsstufen + +{{COMPANY_NAME}} verwendet vier Klassifizierungsstufen: + +### 2.1 Stufe 1: Oeffentlich + +| Merkmal | Beschreibung | +|---------|--------------| +| Kennzeichnung | OEFFENTLICH | +| Risiko bei Offenlegung | Kein Schaden | +| Beispiele | Marketingmaterial, Pressemitteilungen, oeffentliche Webseiten | +| Zugriff | Keine Einschraenkung | + +### 2.2 Stufe 2: Intern + +| Merkmal | Beschreibung | +|---------|--------------| +| Kennzeichnung | INTERN | +| Risiko bei Offenlegung | Geringer Schaden | +| Beispiele | Interne Mitteilungen, Organigramme, allgemeine Prozessdokumentation | +| Zugriff | Nur Mitarbeiter von {{COMPANY_NAME}} | + +### 2.3 Stufe 3: Vertraulich + +| Merkmal | Beschreibung | +|---------|--------------| +| Kennzeichnung | VERTRAULICH | +| Risiko bei Offenlegung | Erheblicher Schaden | +| Beispiele | Personaldaten, Vertraege, Finanzdaten, Kundendaten | +| Zugriff | Need-to-know-Prinzip, definierter Personenkreis | + +### 2.4 Stufe 4: Streng Vertraulich + +| Merkmal | Beschreibung | +|---------|--------------| +| Kennzeichnung | STRENG VERTRAULICH | +| Risiko bei Offenlegung | Schwerwiegender Schaden | +| Beispiele | Geschaeftsgeheimnisse, Kryptoschluessel, M&A-Daten | +| Zugriff | Namentlich benannte Personen, Protokollierung jedes Zugriffs | + +--- + +## 3. Kennzeichnungspflichten + +- Alle Dokumente und Dateien sind mit der Klassifizierungsstufe zu kennzeichnen +- Digitale Dokumente: Kennzeichnung in Kopfzeile oder Metadaten +- E-Mails: Klassifizierung im Betreff (z.B. [VERTRAULICH]) +- Physische Dokumente: Stempel oder Aufdruck auf jeder Seite +- Nicht gekennzeichnete Informationen gelten als INTERN + +--- + +## 4. Handhabungsvorschriften + +### 4.1 Speicherung +- OEFFENTLICH/INTERN: Standard-Speicherorte +- VERTRAULICH: Verschluesselte Speicherung, Zugriffskontrolle +- STRENG VERTRAULICH: Verschluesselte Speicherung, Multi-Faktor-Authentifizierung + +### 4.2 Weitergabe +- OEFFENTLICH: Keine Einschraenkung +- INTERN: Nur intern, nicht an Externe ohne Genehmigung +- VERTRAULICH: Nur verschluesselt, NDA erforderlich +- STRENG VERTRAULICH: Nur mit Genehmigung von {{GF_NAME}}, verschluesselt, protokolliert + +### 4.3 Vernichtung +- OEFFENTLICH/INTERN: Standard-Loeschverfahren +- VERTRAULICH: Sichere Loeschung (Ueberschreiben, Schredder DIN 66399 Stufe P-4) +- STRENG VERTRAULICH: Zertifizierte Vernichtung (DIN 66399 Stufe P-5 oder hoeher) + +--- + +## 5. Verantwortlichkeiten + +- **Dateneigner**: Legt Klassifizierung fest, prueft regelmaessig +- **{{ISB_NAME}}**: Ueberwacht Einhaltung, beraten bei Einstufung +- **Alle Mitarbeiter**: Beachten Kennzeichnung, melden Verstoesse +- **{{GF_NAME}}**: Genehmigt Weitergabe streng vertraulicher Informationen + +--- + +## 6. Pruefung und Reklassifizierung + +Klassifizierungen werden mindestens jaehrlich geprueft. Bei Aenderung des Schutzbedarfs erfolgt eine Reklassifizierung durch den Dateneigner in Abstimmung mit {{ISB_NAME}}. + +--- + +## 7. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'data_classification_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- Template 3: Aufbewahrungsrichtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'data_retention_policy', + 'Aufbewahrungsrichtlinie', + 'Richtlinie zur Aufbewahrung und Loeschung von Daten unter Beruecksichtigung gesetzlicher Fristen (HGB, AO, DSGVO). Definiert Datenkategorien, Aufbewahrungsfristen, Loeschverfahren und Archivierungsregeln.', + $template$# Aufbewahrungsrichtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie regelt die Aufbewahrung, Archivierung und Loeschung von Daten bei {{COMPANY_NAME}}. Sie stellt sicher, dass gesetzliche Aufbewahrungsfristen eingehalten und Daten nach Fristablauf ordnungsgemaess geloescht werden. + +**Geltungsbereich:** +- Alle physischen und digitalen Unterlagen +- Alle Abteilungen und Standorte +- Personenbezogene und nicht-personenbezogene Daten + +--- + +## 2. Gesetzliche Grundlagen + +| Gesetz | Frist | Anwendungsbereich | +|--------|-------|-------------------| +| HGB § 257 | 6 Jahre | Handelsbriefe, Geschaeftskorrespondenz | +| HGB § 257 | 10 Jahre | Jahresabschluesse, Buchungsbelege, Bilanzen | +| AO § 147 | 6 Jahre | Sonstige steuerlich relevante Unterlagen | +| AO § 147 | 10 Jahre | Buchfuehrung, Rechnungen, Steuerbescheide | +| DSGVO Art. 17 | Nach Zweckerfuellung | Personenbezogene Daten (Loeschpflicht) | +| DSGVO Art. 5 Abs. 1 lit. e | Minimierung | Speicherbegrenzung auf das Notwendige | +| BetrVG | 3 Jahre | Betriebsvereinbarungen nach Kuendigung | +| ArbZG § 16 | 2 Jahre | Arbeitszeitaufzeichnungen | + +--- + +## 3. Datenkategorien und Fristen + +### 3.1 Finanzdaten +- Buchungsbelege, Rechnungen, Kontoauszuege: **10 Jahre** +- Geschaeftskorrespondenz: **6 Jahre** +- Fristbeginn: Ende des Kalenderjahres der Erstellung + +### 3.2 Personaldaten +- Personalakten: **3 Jahre nach Austritt** (Verjaehrungsfrist) +- Lohn- und Gehaltsabrechnungen: **6 Jahre** +- Lohnsteuerunterlagen: **6 Jahre** +- Sozialversicherungsnachweise: **5 Jahre nach Austritt** +- Bewerbungsunterlagen (abgelehnt): **6 Monate** (AGG-Frist) + +### 3.3 Vertragsdaten +- Vertraege: **10 Jahre nach Vertragsende** (Gewaehrleistung, Haftung) +- Handelsregisterunterlagen: **Dauerhafte Aufbewahrung** +- Notarielle Urkunden: **30 Jahre** + +### 3.4 IT- und Kommunikationsdaten +- E-Mails (geschaeftsrelevant): **6 Jahre** +- Logdaten (Sicherheit): **90 Tage** (sofern kein Vorfall) +- Backups: **90 Tage** (Rolling-Verfahren) + +### 3.5 DSGVO-spezifische Daten +- Einwilligungserklaerungen: **Dauer der Verarbeitung + 3 Jahre** +- Auskunftsanfragen: **3 Jahre** +- Datenschutz-Folgenabschaetzungen: **Dauer der Verarbeitung** + +--- + +## 4. Loeschverfahren + +### 4.1 Regelmaessige Loeschung +- Automatisierte Pruefung der Aufbewahrungsfristen (quartalsweise) +- Verantwortliche Fachabteilung bestaetigt Loeschfreigabe +- Dokumentation der Loeschung im Loeschprotokoll + +### 4.2 Sichere Loeschung +- Digitale Daten: Ueberschreiben nach BSI-Empfehlung oder zertifizierte Loeschsoftware +- Physische Datentraeger: Vernichtung nach DIN 66399 (Stufe abhaengig von Klassifizierung) +- Cloud-Daten: Verifikation der Loeschung beim Anbieter + +### 4.3 Loeschsperren +- Bei laufenden Rechtsstreitigkeiten (Legal Hold) +- Bei behoerdlichen Ermittlungen +- Sperren werden vom DSB und {{GF_NAME}} angeordnet und dokumentiert + +--- + +## 5. Archivierung + +- Langzeitarchivierung in revisionssicherem System +- Regelmaessige Pruefung der Lesbarkeit archivierter Daten +- Migrationsplaene fuer veraltete Formate +- Zugriff auf Archive nur fuer berechtigte Personen + +--- + +## 6. Verantwortlichkeiten + +- **Fachabteilungen**: Einhaltung der Fristen fuer eigene Daten +- **{{ISB_NAME}}**: Ueberwachung der technischen Loeschprozesse +- **DSB**: Beratung zu DSGVO-konformer Loeschung +- **{{GF_NAME}}**: Genehmigung von Loeschsperren + +--- + +## 7. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'data_retention_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- Template 4: Datenuebermittlungsrichtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'data_transfer_policy', + 'Datenuebermittlungsrichtlinie', + 'Richtlinie zur Uebermittlung personenbezogener Daten an Dritte und in Drittlaender gemaess Art. 44-49 DSGVO. Regelt Angemessenheitsbeschluesse, Standardvertragsklauseln (SCCs), Transfer Impact Assessments und Ausnahmen.', + $template$# Datenuebermittlungsrichtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie regelt die Uebermittlung personenbezogener Daten durch {{COMPANY_NAME}} an Dritte innerhalb und ausserhalb des Europaeischen Wirtschaftsraums (EWR). Sie stellt sicher, dass alle Datentransfers den Anforderungen der Art. 44-49 DSGVO entsprechen. + +**Geltungsbereich:** +- Alle Uebermittlungen personenbezogener Daten an externe Empfaenger +- Konzerninterne Datentransfers +- Cloud-Dienste und SaaS-Anbieter ausserhalb des EWR +- Subunternehmer und Auftragsverarbeiter + +--- + +## 2. Datentransfer innerhalb des EWR + +Uebermittlungen innerhalb des EWR erfordern: +- Rechtsgrundlage gemaess Art. 6 DSGVO +- Auftragsverarbeitungsvertrag (Art. 28 DSGVO) bei Auftragsverarbeitern +- Dokumentation im Verzeichnis der Verarbeitungstaetigkeiten +- Informationspflichten gegenueber Betroffenen (Art. 13/14 DSGVO) + +--- + +## 3. Datentransfer in Drittlaender (Art. 44-49 DSGVO) + +### 3.1 Angemessenheitsbeschluesse (Art. 45 DSGVO) + +Uebermittlungen sind zulaessig in Laender mit Angemessenheitsbeschluss der EU-Kommission. {{COMPANY_NAME}} fuehrt eine aktuelle Liste anerkannter Laender und prueft Aenderungen quartalsweise. + +### 3.2 Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c) + +Ohne Angemessenheitsbeschluss sind SCCs (Durchfuehrungsbeschluss 2021/914) abzuschliessen: +- Modul 1: Controller zu Controller +- Modul 2: Controller zu Processor +- Modul 3: Processor zu Processor +- Modul 4: Processor zu Controller + +### 3.3 Transfer Impact Assessment (TIA) + +Vor jeder Uebermittlung auf Basis von SCCs fuehrt {{COMPANY_NAME}} eine Bewertung durch: +- Rechtslage im Empfaengerland (Ueberwachungsgesetze, Zugriff durch Behoerden) +- Technische Zusatzmassnahmen (Verschluesselung, Pseudonymisierung) +- Vertragliche Zusatzmassnahmen +- Organisatorische Massnahmen +- Dokumentation der Risikoabwaegung + +### 3.4 Binding Corporate Rules (Art. 47 DSGVO) + +Fuer konzerninterne Uebermittlungen koennen verbindliche interne Datenschutzvorschriften eingesetzt werden, sofern von der zustaendigen Aufsichtsbehoerde genehmigt. + +### 3.5 Ausnahmen (Art. 49 DSGVO) + +Nur in Einzelfaellen zulaessig: +- Ausdrueckliche Einwilligung nach Aufklaerung ueber Risiken +- Vertragserfuellung +- Wichtige Gruende des oeffentlichen Interesses +- Geltendmachung von Rechtsanspruechen + +--- + +## 4. Genehmigungsverfahren + +Vor jeder neuen Drittlanduebermittlung: + +1. Fachabteilung stellt Antrag beim DSB +2. DSB prueft Rechtsgrundlage und Transfermechanismus +3. TIA wird durchgefuehrt und dokumentiert +4. {{ISB_NAME}} prueft technische Massnahmen +5. {{GF_NAME}} erteilt Freigabe +6. Eintrag im Verzeichnis der Verarbeitungstaetigkeiten + +--- + +## 5. Ueberwachung und Dokumentation + +- Zentrale Liste aller Drittlanduebermittlungen (Empfaenger, Land, Mechanismus) +- Quartalsweise Pruefung bestehender Transfers +- Sofortige Neubewertung bei Rechtsaenderungen im Empfaengerland +- Audit-Trail fuer alle Genehmigungen und Bewertungen + +--- + +## 6. Pflichten der Empfaenger + +Empfaenger personenbezogener Daten muessen: +- Datenschutzniveau gemaess DSGVO einhalten +- Weisungen von {{COMPANY_NAME}} befolgen +- Subunternehmer nur mit Genehmigung einsetzen +- Datenschutzverletzungen unverzueglich melden +- Daten nach Beendigung der Verarbeitung loeschen oder zurueckgeben + +--- + +## 7. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'data_transfer_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- Template 5: Datenschutzvorfall-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'privacy_incident_policy', + 'Datenschutzvorfall-Richtlinie (Art. 33/34 DSGVO)', + 'Richtlinie zur Erkennung, Meldung und Behandlung von Datenschutzvorfaellen gemaess Art. 33 und 34 DSGVO. Definiert die Meldekette, 72-Stunden-Frist, Dokumentationspflichten und Information der Betroffenen.', + $template$# Datenschutzvorfall-Richtlinie (Art. 33/34 DSGVO) + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert das Verfahren zur Erkennung, Meldung und Behandlung von Datenschutzvorfaellen bei {{COMPANY_NAME}} gemaess Art. 33 und Art. 34 DSGVO. Sie stellt sicher, dass Vorfaelle fristgerecht erkannt, dokumentiert und gemeldet werden. + +**Definition Datenschutzvorfall:** Eine Verletzung des Schutzes personenbezogener Daten, die zur unbeabsichtigten oder unrechtmaessigen Vernichtung, zum Verlust, zur Veraenderung, zur unbefugten Offenlegung oder zum unbefugten Zugang fuehrt. + +--- + +## 2. Erkennung von Datenschutzvorfaellen + +### 2.1 Typische Vorfaelle +- Verlust oder Diebstahl von Geraeten mit personenbezogenen Daten +- Unbefugter Zugriff auf IT-Systeme +- Fehlversand von E-Mails oder Dokumenten +- Cyberangriffe (Ransomware, Phishing, Datenlecks) +- Fehlkonfiguration von Cloud-Diensten +- Entsorgung ohne sichere Loeschung + +### 2.2 Erkennungsmassnahmen +- Monitoring von IT-Systemen und Zugriffen +- Intrusion-Detection-Systeme +- Regelmaessige Sicherheitsaudits +- Sensibilisierung der Mitarbeiter + +--- + +## 3. Meldekette + +### 3.1 Interne Meldung (sofort) + +| Schritt | Verantwortlich | Frist | +|---------|----------------|-------| +| Vorfall erkennen | Jeder Mitarbeiter | Sofort | +| Meldung an IT-Sicherheit | Mitarbeiter | Innerhalb 1 Stunde | +| Erstbewertung | {{ISB_NAME}} | Innerhalb 4 Stunden | +| Information DSB | {{ISB_NAME}} | Innerhalb 4 Stunden | +| Risikobewertung | DSB + {{ISB_NAME}} | Innerhalb 12 Stunden | +| Entscheidung Meldepflicht | DSB | Innerhalb 24 Stunden | +| Information {{GF_NAME}} | DSB | Innerhalb 24 Stunden | + +### 3.2 Meldung an Aufsichtsbehoerde (Art. 33 DSGVO) + +**Frist: 72 Stunden** nach Bekanntwerden, sofern der Vorfall voraussichtlich zu einem Risiko fuer die Rechte und Freiheiten natuerlicher Personen fuehrt. + +Inhalt der Meldung: +- Art der Verletzung, betroffene Datenkategorien und Personenzahl +- Name und Kontaktdaten des DSB +- Beschreibung der wahrscheinlichen Folgen +- Beschreibung der ergriffenen Massnahmen + +### 3.3 Benachrichtigung der Betroffenen (Art. 34 DSGVO) + +Bei **hohem Risiko** fuer die Rechte und Freiheiten sind Betroffene unverzueglich zu informieren. Die Benachrichtigung enthaelt: +- Beschreibung des Vorfalls in klarer, verstaendlicher Sprache +- Kontaktdaten des DSB +- Beschreibung der wahrscheinlichen Folgen +- Beschreibung der Massnahmen und Empfehlungen zum Selbstschutz + +--- + +## 4. Dokumentation + +Jeder Datenschutzvorfall wird dokumentiert mit: +- Datum und Uhrzeit der Entdeckung +- Art des Vorfalls und betroffene Daten +- Ursachenanalyse +- Ergriffene Sofortmassnahmen +- Risikobewertung (Eintrittswahrscheinlichkeit und Schwere) +- Entscheidung ueber Meldepflicht (mit Begruendung) +- Langfristige Abhilfemassnahmen +- Lessons Learned + +Die Dokumentation wird mindestens 3 Jahre aufbewahrt. + +--- + +## 5. Massnahmen nach dem Vorfall + +- Sofortige Eindaemmung und Schadensbegrenzung +- Forensische Analyse der Ursache +- Schliessung der Sicherheitsluecke +- Anpassung technischer und organisatorischer Massnahmen +- Nachschulung betroffener Mitarbeiter +- Aktualisierung der Risikoanalyse + +--- + +## 6. Uebungen und Tests + +- Jaehrliche Simulation eines Datenschutzvorfalls (Tabletop-Exercise) +- Pruefung der Meldekette und Erreichbarkeit +- Auswertung und Verbesserung der Prozesse + +--- + +## 7. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'privacy_incident_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- ============================================================================= +-- CATEGORY 2: Personal-Policies (4 templates) +-- ============================================================================= + +-- Template 6: Mitarbeiter-Sicherheitsrichtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'employee_security_policy', + 'Mitarbeiter-Sicherheitsrichtlinie', + 'Richtlinie zu Sicherheitsverantwortlichkeiten der Mitarbeiter. Regelt Geheimhaltungspflichten, Clean-Desk-Policy, Meldepflichten bei Sicherheitsvorfaellen und Konsequenzen bei Verstoessen.', + $template$# Mitarbeiter-Sicherheitsrichtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie legt die Sicherheitsverantwortlichkeiten aller Mitarbeiterinnen und Mitarbeiter von {{COMPANY_NAME}} fest. Sie gilt ab dem ersten Arbeitstag und endet erst nach vollstaendigem Offboarding. + +**Geltungsbereich:** +- Alle festangestellten Mitarbeiter +- Befristete Mitarbeiter und Werkstudenten +- Praktikanten und Auszubildende +- Externe Berater und Auftragnehmer mit Systemzugang + +--- + +## 2. Grundlegende Verantwortlichkeiten + +Jeder Mitarbeiter von {{COMPANY_NAME}} ist verpflichtet: +- Informationssicherheitsrichtlinien zu kennen und einzuhalten +- An vorgeschriebenen Sicherheitsschulungen teilzunehmen +- Sicherheitsvorfaelle unverzueglich zu melden +- Zugangsdaten vertraulich zu behandeln +- Betriebsmittel sachgemaess zu verwenden +- Bei Unsicherheiten den ISB ({{ISB_NAME}}) zu kontaktieren + +--- + +## 3. Geheimhaltungspflichten + +### 3.1 Vertrauliche Informationen +- Geschaeftsgeheimnisse, Kundendaten, Finanzdaten +- Personenbezogene Daten (DSGVO) +- Interne Prozesse und Strategien +- Zugangsdaten und Kryptoschluessel + +### 3.2 Pflichten +- Verschwiegenheitsvereinbarung wird bei Einstellung unterzeichnet +- Keine Weitergabe vertraulicher Informationen an Unbefugte +- Keine Nutzung fuer private Zwecke +- Pflicht besteht auch nach Beendigung des Arbeitsverhaeltnisses + +--- + +## 4. Clean-Desk-Policy + +### 4.1 Am Arbeitsplatz +- Vertrauliche Dokumente werden bei Abwesenheit eingeschlossen +- Bildschirm wird bei Verlassen des Platzes gesperrt (Windows+L / Ctrl+Cmd+Q) +- Whiteboards mit vertraulichen Inhalten werden nach Meetings geloescht +- Ausdrucke werden sofort abgeholt und nicht im Drucker belassen + +### 4.2 Im Homeoffice +- Separater, abschliessbarer Arbeitsbereich empfohlen +- Keine Familienmitglieder oder Dritte haben Zugang zu Arbeitsmaterialien +- Bildschirm nicht fuer Dritte einsehbar + +--- + +## 5. Passwort- und Zugangsrichtlinien + +- Mindestlaenge: 12 Zeichen (Gross-/Kleinbuchstaben, Zahlen, Sonderzeichen) +- Multi-Faktor-Authentifizierung fuer alle kritischen Systeme +- Passwoerter werden nicht geteilt, nicht aufgeschrieben, nicht im Browser gespeichert +- Passwort-Manager ist bereitzustellen und zu nutzen +- Sofortige Aenderung bei Verdacht auf Kompromittierung + +--- + +## 6. Meldepflichten + +Folgende Ereignisse sind unverzueglich an {{ISB_NAME}} zu melden: +- Verlust oder Diebstahl von Geraeten oder Datentraegern +- Verdacht auf Malware oder unbefugten Zugriff +- Empfang verdaechtiger E-Mails (Phishing) +- Fehlversand vertraulicher Informationen +- Auffaelligkeiten an Zugangskontrollen oder Systemen + +**Meldeweg:** E-Mail an ISB oder ueber das interne Meldesystem. + +--- + +## 7. Nutzung von IT-Ressourcen + +- Geschaeftliche IT-Geraete primaer fuer geschaeftliche Zwecke +- Installation von Software nur mit Genehmigung der IT-Abteilung +- Keine Nutzung oeffentlicher Cloud-Dienste fuer Unternehmensdaten +- USB-Speichermedien nur nach Genehmigung +- Keine Umgehung von Sicherheitsmassnahmen (VPN, Firewall, Proxy) + +--- + +## 8. Konsequenzen bei Verstoessen + +Verstoesse gegen diese Richtlinie koennen folgende Konsequenzen haben: +- Muendliche oder schriftliche Ermahnung +- Abmahnung +- Kuendigung (bei schwerwiegenden oder wiederholten Verstoessen) +- Schadensersatzforderungen +- Strafrechtliche Konsequenzen bei vorsaetzlichen Handlungen + +--- + +## 9. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'employee_security_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- Template 7: Security-Awareness-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'security_awareness_policy', + 'Security-Awareness-Richtlinie', + 'Richtlinie fuer das Security-Awareness-Programm. Definiert Schulungsplan, Pflichtschulungen, Phishing-Simulationen, Erfolgsmessung und jaehrliche Wiederholung.', + $template$# Security-Awareness-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie beschreibt das Security-Awareness-Programm von {{COMPANY_NAME}}. Ziel ist es, alle Mitarbeiter fuer Informationssicherheitsrisiken zu sensibilisieren und sicherheitsbewusstes Verhalten zu foerdern. + +**Geltungsbereich:** +- Alle Mitarbeiter inkl. Fuehrungskraefte +- Neue Mitarbeiter (Onboarding-Schulung) +- Externe mit Systemzugang (angepasstes Programm) + +--- + +## 2. Schulungsplan + +### 2.1 Onboarding-Schulung (innerhalb der ersten Woche) +- Einfuehrung in Informationssicherheit bei {{COMPANY_NAME}} +- Ueberblick ueber geltende Richtlinien +- Passwortsicherheit und Multi-Faktor-Authentifizierung +- Meldewege fuer Sicherheitsvorfaelle +- Unterzeichnung der Vertraulichkeitsvereinbarung + +### 2.2 Jaehrliche Pflichtschulung +- Aktuelle Bedrohungslandschaft und Trends +- Social Engineering und Phishing-Erkennung +- Datenschutz und DSGVO-Grundlagen +- Clean-Desk-Policy und physische Sicherheit +- Sicherer Umgang mit mobilen Geraeten und Cloud-Diensten +- Incident-Meldung und Eskalation + +### 2.3 Rollenspezifische Schulungen + +| Zielgruppe | Themen | Frequenz | +|------------|--------|----------| +| IT-Administration | Hardening, Patchmanagement, Logging | Halbjaehrlich | +| Entwicklung | Secure Coding, OWASP Top 10 | Halbjaehrlich | +| Management | Risikomanagement, Compliance, Haftung | Jaehrlich | +| Personalwesen | Datenschutz, Bewerberdaten, Offboarding | Jaehrlich | +| Vertrieb | Kundendatenschutz, Social Engineering | Jaehrlich | + +--- + +## 3. Phishing-Simulationen + +- **Frequenz:** Mindestens quartalsweise +- **Durchfuehrung:** Realistische Phishing-E-Mails an alle Mitarbeiter +- **Auswertung:** Klickrate, Melderate, Eingaberate +- **Nachschulung:** Mitarbeiter, die auf Simulationen hereinfallen, erhalten sofortige Lerneinheit +- **Zielvorgaben:** Klickrate unter 5 %, Melderate ueber 60 % +- **Berichterstattung:** Quartalsbericht an {{GF_NAME}} + +--- + +## 4. Erfolgsmessung und Tracking + +### 4.1 Kennzahlen (KPIs) +- Schulungsteilnahmequote (Ziel: 100 %) +- Phishing-Klickrate (Ziel: < 5 %) +- Anzahl gemeldeter Sicherheitsvorfaelle durch Mitarbeiter +- Ergebnis von Wissenstests nach Schulungen + +### 4.2 Tracking +- Zentrale Dokumentation aller Schulungsteilnahmen +- Automatische Erinnerungen bei ausstehenden Schulungen +- Eskalation an Vorgesetzte nach 14 Tagen ohne Teilnahme +- Jaehrlicher Awareness-Bericht fuer die Geschaeftsfuehrung + +--- + +## 5. Kommunikation und Materialien + +- Monatlicher Security-Newsletter +- Intranet-Bereich mit aktuellen Warnungen und Tipps +- Poster und Infografiken in Gemeinschaftsraeumen +- Kurze Video-Lerneinheiten (max. 5 Minuten) +- Anlassbezogene Sonderkommunikation bei akuten Bedrohungen + +--- + +## 6. Verantwortlichkeiten + +- **{{ISB_NAME}}**: Planung, Durchfuehrung und Auswertung des Programms +- **Fuehrungskraefte**: Sicherstellung der Teilnahme ihrer Teams +- **Personalabteilung**: Integration in Onboarding und Offboarding +- **{{GF_NAME}}**: Budget-Freigabe und Vorbildfunktion + +--- + +## 7. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'security_awareness_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- Template 8: Remote-Work-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'remote_work_policy', + 'Remote-Work-Richtlinie', + 'Richtlinie fuer sicheres Arbeiten im Homeoffice und von unterwegs. Regelt VPN-Pflicht, Geraetesicherheit, Arbeitsplatzanforderungen und Datenschutz beim mobilen Arbeiten.', + $template$# Remote-Work-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert die Sicherheitsanforderungen fuer das Arbeiten ausserhalb der Geschaeftsraeume von {{COMPANY_NAME}} — im Homeoffice, bei Kunden oder unterwegs. + +**Geltungsbereich:** +- Alle Mitarbeiter mit Remote-Work-Vereinbarung +- Mitarbeiter auf Dienstreisen +- Externe mit Remote-Zugriff auf Unternehmenssysteme + +--- + +## 2. Netzwerksicherheit und VPN + +### 2.1 VPN-Pflicht +- Zugriff auf Unternehmensnetzwerk ausschliesslich ueber VPN +- VPN-Client wird von der IT-Abteilung bereitgestellt und konfiguriert +- Split-Tunneling ist deaktiviert +- Automatische Verbindung bei Zugriff auf interne Ressourcen + +### 2.2 WLAN-Sicherheit +- Nutzung oeffentlicher WLANs (Cafe, Hotel, Bahn) nur mit aktivem VPN +- Heimnetzwerk: WPA3-Verschluesselung empfohlen, mindestens WPA2 +- Kein Zugriff auf Unternehmensdaten ueber ungesicherte Netzwerke + +--- + +## 3. Geraetesicherheit + +### 3.1 Unternehmensgeraete +- Vollverschluesselung der Festplatte (BitLocker/FileVault) +- Aktueller Virenschutz und Firewall +- Automatische Updates aktiviert +- Bildschirmsperre nach maximal 5 Minuten Inaktivitaet +- Keine Installation nicht genehmigter Software + +### 3.2 Private Geraete (BYOD) +- Nutzung privater Geraete nur mit Genehmigung der IT +- Mobile-Device-Management (MDM) muss installiert sein +- Trennung von privaten und geschaeftlichen Daten (Container-Loesung) +- IT behaelt Recht zur Fernloeschung geschaeftlicher Daten + +### 3.3 Physische Sicherheit +- Geraete nie unbeaufsichtigt lassen +- Notebook-Schloss bei Arbeit in oeffentlichen Raeumen +- Transport in verschlossener Tasche +- Sofortige Meldung bei Verlust oder Diebstahl + +--- + +## 4. Arbeitsplatz im Homeoffice + +### 4.1 Anforderungen an den Arbeitsplatz +- Separater Arbeitsbereich (idealerweise abschliessbarer Raum) +- Bildschirm nicht von Fenstern oder Tueren einsehbar +- Vertrauliche Telefonate ohne Mithoeranwesenheit +- Keine Nutzung von Smart-Speakern (Alexa, Google Home) im Arbeitsbereich + +### 4.2 Dokumente und Ausdrucke +- Ausdrucke auf das Minimum beschraenken +- Vertrauliche Ausdrucke im Schredder vernichten (keine Altpapiertonne) +- Keine Aufbewahrung von Firmendokumenten nach Arbeitsende auf dem Schreibtisch + +--- + +## 5. Datenschutz im Homeoffice + +- Bildschirm bei Abwesenheit immer sperren +- Keine Speicherung von Unternehmensdaten auf lokalen privaten Laufwerken +- Cloud-Speicher nur ueber genehmigte Unternehmens-Accounts +- Keine Weiterleitung geschaeftlicher E-Mails an private Adressen +- Videokonferenzen: Hintergrund unscharf stellen oder virtuellen Hintergrund nutzen + +--- + +## 6. Erreichbarkeit und Kommunikation + +- Erreichbarkeit waehrend der vereinbarten Arbeitszeiten +- Nutzung genehmigter Kommunikationstools (kein WhatsApp fuer Geschaeftsdaten) +- Regelmaessige Synchronisation mit Team und Vorgesetzten + +--- + +## 7. Kontrollrechte + +{{COMPANY_NAME}} behaelt sich vor: +- Technische Pruefung der Einhaltung (VPN-Logs, Geraetestatus) +- In begruendeten Faellen Pruefung des Heimarbeitsplatzes (mit Voranmeldung) +- Entzug der Remote-Work-Genehmigung bei Verstoessen + +--- + +## 8. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'remote_work_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- Template 9: Offboarding-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'offboarding_policy', + 'Offboarding-Richtlinie', + 'Richtlinie fuer das sichere Offboarding ausscheidender Mitarbeiter. Definiert Checkliste, Zugangsentzug, Geraeterueckgabe, Wissenstransfer und Fristen.', + $template$# Offboarding-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie stellt sicher, dass beim Ausscheiden von Mitarbeitern bei {{COMPANY_NAME}} alle sicherheitsrelevanten Massnahmen systematisch und zeitgerecht durchgefuehrt werden. + +**Geltungsbereich:** +- Kuendigung (arbeitgeber- und arbeitnehmerseitig) +- Auslaufen befristeter Vertraege +- Ende von Praktika und Werkstudentenvertraegen +- Beendigung externer Auftraege + +--- + +## 2. Offboarding-Checkliste + +### 2.1 Sofort bei Bekanntwerden (Personalabteilung) + +- [ ] Offboarding-Prozess im System anlegen +- [ ] IT-Abteilung informieren (geplantes Austrittsdatum) +- [ ] {{ISB_NAME}} informieren (bei Mitarbeitern mit privilegiertem Zugang) +- [ ] Vorgesetzten in den Prozess einbinden +- [ ] Wissenstransfer-Plan erstellen + +### 2.2 Letzte Arbeitswoche + +- [ ] Wissenstransfer abschliessen (Dokumentation, Uebergabe) +- [ ] Laufende Projekte uebergeben +- [ ] Stellvertretung fuer Postfach und Telefon einrichten +- [ ] Abwesenheitsnachricht konfigurieren +- [ ] Persoenliche Daten vom Geraet sichern (privat) + +### 2.3 Letzter Arbeitstag + +- [ ] Alle Zugangsmedien zurueckgeben (Ausweise, Schluessel, Token) +- [ ] Alle IT-Geraete zurueckgeben (Notebook, Smartphone, Headset) +- [ ] Firmenkreditkarten zurueckgeben +- [ ] Parkausweis zurueckgeben +- [ ] Austrittgespraech fuehren +- [ ] Geheimhaltungspflichten erinnern + +--- + +## 3. Zugangsentzug + +### 3.1 Zeitplan + +| Massnahme | Zeitpunkt | +|-----------|-----------| +| Deaktivierung VPN-Zugang | Letzter Arbeitstag, Geschaeftsschluss | +| Sperrung Active Directory / SSO | Letzter Arbeitstag, Geschaeftsschluss | +| E-Mail-Weiterleitung einrichten | Letzter Arbeitstag | +| Cloud-Zugaenge entziehen | Letzter Arbeitstag | +| Physische Zutrittskontrolle | Letzter Arbeitstag | +| Loeschung des Benutzerkontos | 30 Tage nach Austritt | +| Loeschung des E-Mail-Postfachs | 90 Tage nach Austritt | + +### 3.2 Privilegierte Zugaenge + +Bei Mitarbeitern mit administrativen Rechten: +- Sofortige Passwortaenderung aller Shared-Accounts +- Pruefung der Audit-Logs der letzten 30 Tage +- Entzug aller Zertifikate und API-Keys +- Information an betroffene Dienstleister + +### 3.3 Sonderfaelle: Fristlose Kuendigung + +Bei fristloser Kuendigung werden **alle Zugaenge sofort gesperrt** — noch waehrend des Kuendigungsgespraechs. Die IT-Abteilung ist vorab zu informieren. + +--- + +## 4. Geraeterueckgabe und Datenloesung + +- Inventarisierung aller zurueckgegebenen Geraete +- Pruefung auf Vollstaendigkeit (Ladegeraet, Zubehoer) +- Sichere Loeschung aller Daten auf zurueckgegebenen Geraeten +- Dokumentation im Inventarsystem +- Bei Verlust: Fernloeschung und Diebstahlmeldung + +--- + +## 5. Wissenstransfer + +- Uebergabedokumentation fuer alle laufenden Projekte +- Dokumentation von Passwoertern und Zugaengen (im Passwort-Manager) +- Kontaktuebergabe fuer externe Partner und Kunden +- Schulung des Nachfolgers oder Stellvertreters +- Frist: Abschluss bis spaetestens 3 Tage vor Austritt + +--- + +## 6. Verantwortlichkeiten + +| Rolle | Aufgaben | +|-------|----------| +| Personalabteilung | Prozesssteuerung, Checkliste, Austrittgespraech | +| Vorgesetzter | Wissenstransfer, Projektuebergabe | +| IT-Abteilung | Zugangsentzug, Geraeteruecknahme, Datenloesung | +| {{ISB_NAME}} | Pruefung bei privilegierten Zugaengen, Audit | + +--- + +## 7. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'offboarding_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- ============================================================================= +-- CATEGORY 3: Lieferanten-Policies (3 templates) +-- ============================================================================= + +-- Template 10: Lieferanten-Risikomanagement-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'vendor_risk_management_policy', + 'Lieferanten-Risikomanagement-Richtlinie', + 'Richtlinie zum systematischen Management von Lieferantenrisiken. Umfasst Bewertungsverfahren, Due Diligence, Risikokategorien, laufendes Monitoring und Exit-Strategien.', + $template$# Lieferanten-Risikomanagement-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert das Verfahren zur Bewertung und Steuerung von Risiken, die durch die Zusammenarbeit mit Lieferanten und Dienstleistern fuer {{COMPANY_NAME}} entstehen. + +**Geltungsbereich:** +- Alle externen Lieferanten und Dienstleister +- Cloud- und SaaS-Anbieter +- Auftragsverarbeiter im Sinne der DSGVO +- Subunternehmer und Unterauftragnehmer + +--- + +## 2. Risikokategorien + +| Kategorie | Beschreibung | Beispiele | +|-----------|--------------|-----------| +| Kritisch | Ausfall gefaehrdet Geschaeftsbetrieb | Cloud-Infrastruktur, ERP, Zahlungsdienstleister | +| Hoch | Erhebliche Auswirkungen bei Stoerung | IT-Dienstleister, Personalvermittler | +| Mittel | Eingeschraenkte Auswirkungen | Bueroausstattung, Beratungsleistungen | +| Niedrig | Minimale Auswirkungen | Reinigungsdienste, Buromaterial | + +--- + +## 3. Due Diligence bei Neuaufnahme + +### 3.1 Pflichtpruefungen + +| Pruefbereich | Kritisch/Hoch | Mittel | Niedrig | +|-------------|---------------|--------|---------| +| Finanzbonität | Pflicht | Pflicht | Optional | +| Informationssicherheit | Pflicht (Audit) | Fragebogen | — | +| Datenschutz (DSGVO) | Pflicht (AVV) | Pflicht (AVV) | Optional | +| Referenzen | Pflicht | Optional | — | +| Zertifizierungen | Pflicht | Empfohlen | — | +| Geschaeftskontinuitaet | Pflicht | Optional | — | + +### 3.2 Genehmigungsverfahren +- Fachabteilung stellt Antrag mit Begruendung +- {{ISB_NAME}} fuehrt Sicherheitsbewertung durch +- DSB prueft Datenschutzaspekte +- Ab Kategorie "Hoch": Freigabe durch {{GF_NAME}} + +--- + +## 4. Laufendes Monitoring + +### 4.1 Regelmaessige Bewertung + +| Risikokategorie | Bewertungsfrequenz | Methode | +|------------------|--------------------|---------| +| Kritisch | Quartalsweise | Vor-Ort-Audit oder Remote-Assessment | +| Hoch | Halbjaehrlich | Fragebogen + Dokumentenpruefung | +| Mittel | Jaehrlich | Selbstauskunft | +| Niedrig | Bei Bedarf | Anlassbezogen | + +### 4.2 Indikatoren fuer Neubewertung +- Sicherheitsvorfall beim Lieferanten +- Wesentliche organisatorische Aenderungen (Uebernahme, Insolvenz) +- Aenderung des Leistungsumfangs +- Negative Medienberichte +- Vertragsverlaengerung + +--- + +## 5. Exit-Strategie + +Fuer jeden kritischen und hochkritischen Lieferanten wird eine Exit-Strategie dokumentiert: +- Alternative Lieferanten identifiziert und bewertet +- Datenrueckfuehrungsplan (Formate, Fristen, Verantwortlichkeiten) +- Uebergangsfristen definiert +- Kommunikationsplan fuer betroffene Geschaeftsbereiche +- Regelmaessige Aktualisierung (jaehrlich) + +--- + +## 6. Vertragliche Anforderungen + +Alle Vertraege mit Lieferanten der Kategorien Kritisch und Hoch enthalten: +- Sicherheitsanforderungen und SLAs +- Audit-Rechte fuer {{COMPANY_NAME}} +- Meldepflicht bei Sicherheitsvorfaellen (innerhalb 24 Stunden) +- Vertraulichkeitsvereinbarung +- Datenschutzvereinbarung (AVV) bei Verarbeitung personenbezogener Daten +- Regelungen zur Unterbeauftragung +- Kuendigungsrechte bei Sicherheitsmaengeln + +--- + +## 7. Verantwortlichkeiten + +- **Fachabteilung**: Lieferantenauswahl, Leistungsueberwachung +- **{{ISB_NAME}}**: Sicherheitsbewertung und Monitoring +- **Einkauf**: Vertragliche Absicherung +- **DSB**: Datenschutzpruefung +- **{{GF_NAME}}**: Freigabe kritischer Lieferanten + +--- + +## 8. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'vendor_risk_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- Template 11: Drittanbieter-Sicherheitsrichtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'third_party_security_policy', + 'Drittanbieter-Sicherheitsrichtlinie', + 'Richtlinie zu Sicherheitsanforderungen an Drittanbieter. Definiert Audit-Rechte, geforderte Zertifizierungen, Vertragsklauseln und Massnahmen bei Nichterfuellung.', + $template$# Drittanbieter-Sicherheitsrichtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert die Sicherheitsanforderungen, die {{COMPANY_NAME}} an alle Drittanbieter stellt, die Zugang zu Unternehmenssystemen, -daten oder -netzwerken erhalten. + +**Geltungsbereich:** +- IT-Dienstleister und Systemintegratoren +- Cloud- und Hosting-Anbieter +- Software-Hersteller und SaaS-Anbieter +- Beratungsunternehmen mit Systemzugang +- Outsourcing-Partner + +--- + +## 2. Sicherheitsanforderungen + +### 2.1 Organisatorische Anforderungen +- Dokumentiertes Informationssicherheits-Managementsystem (ISMS) +- Benannter Sicherheitsverantwortlicher +- Regelmaessige Sicherheitsschulungen fuer Mitarbeiter +- Dokumentierte Incident-Response-Prozesse +- Business-Continuity-Plan + +### 2.2 Technische Anforderungen +- Verschluesselung von Daten in Transit (TLS 1.2+) und at Rest (AES-256) +- Multi-Faktor-Authentifizierung fuer administrative Zugaenge +- Regelmaessiges Patchmanagement (kritische Patches innerhalb 72 Stunden) +- Netzwerksegmentierung und Firewalls +- Logging und Monitoring aller sicherheitsrelevanten Ereignisse +- Sichere Softwareentwicklung (SDLC) bei Softwareanbietern + +### 2.3 Datenschutzanforderungen +- Auftragsverarbeitungsvertrag (Art. 28 DSGVO) wo erforderlich +- Datenverarbeitung ausschliesslich in genehmigten Regionen +- Loeschnachweis nach Vertragsende +- Unterstuetzung bei Betroffenenanfragen + +--- + +## 3. Geforderte Zertifizierungen + +| Risikokategorie | Geforderte Zertifizierung | +|-----------------|---------------------------| +| Kritisch | ISO 27001 oder SOC 2 Type II (Pflicht) | +| Hoch | ISO 27001 oder SOC 2 Type I (Pflicht), BSI C5 fuer Cloud | +| Mittel | ISO 27001 (empfohlen) oder gleichwertige Selbstauskunft | +| Niedrig | Keine spezifische Anforderung | + +Akzeptierte Standards: ISO/IEC 27001, SOC 2, BSI C5, CSA STAR, TISAX. + +--- + +## 4. Audit-Rechte + +{{COMPANY_NAME}} behaelt sich folgende Pruefrechte vor: +- **Jaehrliches Audit-Recht** fuer kritische Dienstleister +- **Anlassbezogene Pruefungen** bei Sicherheitsvorfaellen +- **Einsicht in Audit-Berichte** (SOC 2, Penetrationstests) +- **Fragebogen-basierte Assessments** (halbjaehrlich bis jaehrlich) +- Pruefungen koennen durch qualifizierte Dritte durchgefuehrt werden + +Kosten fuer anlassbezogene Audits traegt der Drittanbieter, wenn der Anlass in seiner Verantwortung liegt. + +--- + +## 5. Vertragsklauseln + +Folgende Klauseln sind in allen Vertraegen mit Drittanbietern aufzunehmen: +- Einhaltung der Sicherheitsanforderungen dieser Richtlinie +- Meldepflicht bei Sicherheitsvorfaellen (max. 24 Stunden) +- Audit- und Pruefrechte fuer {{COMPANY_NAME}} +- Vertraulichkeitsvereinbarung +- Haftungsregelungen bei Sicherheitsmaengeln +- Recht zur ausserordentlichen Kuendigung bei Sicherheitsverstoessen +- Unterbeauftragung nur mit vorheriger Genehmigung + +--- + +## 6. Massnahmen bei Nichterfuellung + +| Schweregrad | Massnahme | Frist | +|-------------|-----------|-------| +| Geringfuegig | Verbesserungsplan anfordern | 30 Tage | +| Erheblich | Einschraenkung der Zugaenge, Eskalation an {{GF_NAME}} | 14 Tage | +| Kritisch | Sofortige Sperrung, Kuendigungspruefung | Sofort | + +--- + +## 7. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'third_party_security_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- Template 12: Lieferanten-Sicherheitsanforderungen +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'supplier_security_policy', + 'Lieferanten-Sicherheitsanforderungen', + 'Mindestanforderungen an die Informationssicherheit von Lieferanten. Beinhaltet Sicherheitsfragebogen, Rezertifizierungsprozess und Massnahmen bei Verstoessen.', + $template$# Lieferanten-Sicherheitsanforderungen + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Dieses Dokument definiert die Mindestanforderungen an die Informationssicherheit, die Lieferanten von {{COMPANY_NAME}} erfuellen muessen, um eine Geschaeftsbeziehung aufzunehmen oder aufrechtzuerhalten. + +**Adressaten:** +- Bestehende Lieferanten von {{COMPANY_NAME}} +- Potenzielle neue Lieferanten +- Subunternehmer von Lieferanten + +--- + +## 2. Mindestanforderungen + +### 2.1 Governance +- Dokumentierte Informationssicherheitsrichtlinie +- Benannter Verantwortlicher fuer Informationssicherheit +- Regelmaessige Risikobewertungen +- Dokumentierte Prozesse fuer Aenderungsmanagement + +### 2.2 Zugangskontrolle +- Rollenbasierte Zugriffskontrolle (RBAC) +- Prinzip der minimalen Berechtigung (Least Privilege) +- Multi-Faktor-Authentifizierung fuer Fernzugriffe +- Regelmaessige Ueberpruefung von Berechtigungen (quartalsweise) +- Sofortige Deaktivierung bei Personalwechsel + +### 2.3 Datensicherheit +- Verschluesselung personenbezogener Daten in Transit und at Rest +- Sichere Loeschung von Daten nach Vertragsende +- Keine Speicherung auf privaten Geraeten +- Backup-Verfahren mit regelmaessigen Tests +- Klassifizierung der verarbeiteten Daten + +### 2.4 Vorfallmanagement +- Dokumentierter Incident-Response-Prozess +- Meldung von Sicherheitsvorfaellen an {{COMPANY_NAME}} innerhalb 24 Stunden +- Unterstuetzung bei der Ursachenanalyse +- Dokumentation und Lessons Learned + +### 2.5 Personalsicherheit +- Sicherheitsueberpruefung bei der Einstellung (Background Checks) +- Sicherheitsschulungen fuer alle Mitarbeiter +- Vertraulichkeitsvereinbarungen +- Definierter Offboarding-Prozess + +--- + +## 3. Sicherheitsfragebogen + +Bei Aufnahme der Geschaeftsbeziehung und zur Rezertifizierung ist der Sicherheitsfragebogen von {{COMPANY_NAME}} vollstaendig zu beantworten. Der Fragebogen umfasst: + +| Bereich | Fragen | Nachweise | +|---------|--------|-----------| +| Organisation & Governance | 8 | ISMS-Dokumentation, Organigramm | +| Zugangskontrolle | 10 | Screenshots, Richtlinien | +| Netzwerksicherheit | 8 | Netzwerkdiagramm, Firewall-Regeln | +| Datensicherheit | 12 | Verschluesselungsnachweise | +| Vorfallmanagement | 6 | IR-Plan, Kontaktliste | +| Business Continuity | 6 | BCP/DRP, Testergebnisse | +| Compliance | 5 | Zertifikate, Audit-Berichte | + +Schwellenwert fuer Bestehen: Mindestens 80 % der Pflichtfragen positiv beantwortet. + +--- + +## 4. Rezertifizierungsprozess + +| Risikokategorie | Rezertifizierung | Methode | +|-----------------|------------------|---------| +| Kritisch | Jaehrlich | Vollstaendiger Fragebogen + Vor-Ort-Audit | +| Hoch | Jaehrlich | Vollstaendiger Fragebogen + Dokumentenpruefung | +| Mittel | Alle 2 Jahre | Kurzfragebogen | +| Niedrig | Alle 3 Jahre | Selbstauskunft | + +Zusaetzliche Pruefung bei: +- Sicherheitsvorfaellen +- Wesentlichen Aenderungen beim Lieferanten +- Erweiterung des Leistungsumfangs + +--- + +## 5. Massnahmen bei Verstoessen + +### 5.1 Eskalationsstufen + +| Stufe | Situation | Massnahme | +|-------|-----------|-----------| +| 1 | Geringfuegige Abweichung | Verbesserungsplan mit Frist (30 Tage) | +| 2 | Wiederholte Abweichung | Einschraenkung des Datenzugangs, Eskalation | +| 3 | Schwerwiegender Verstoss | Aussetzung der Zusammenarbeit | +| 4 | Kritischer Sicherheitsvorfall | Sofortige Kuendigung, Datensicherung | + +### 5.2 Wiederaufnahme +Nach Aussetzung (Stufe 3) ist eine erneute vollstaendige Bewertung erforderlich. Die Wiederaufnahme bedarf der Genehmigung von {{ISB_NAME}} und {{GF_NAME}}. + +--- + +## 6. Verantwortlichkeiten + +- **Lieferant**: Einhaltung aller Anforderungen, proaktive Meldung +- **Einkauf {{COMPANY_NAME}}**: Vertragliche Verankerung, Frageversand +- **{{ISB_NAME}}**: Bewertung, Monitoring, Eskalation +- **{{GF_NAME}}**: Freigabe kritischer Entscheidungen + +--- + +## 7. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'supplier_security_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- ============================================================================= +-- CATEGORY 4: BCM/Notfall (3 templates) +-- ============================================================================= + +-- Template 13: Business-Continuity-Richtlinie (BCM) +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'business_continuity_policy', + 'Business-Continuity-Richtlinie (BCM)', + 'Richtlinie fuer das Business-Continuity-Management. Definiert Business-Impact-Analyse, kritische Prozesse, RTO/RPO-Vorgaben, Wiederanlaufplaene und Testverfahren.', + $template$# Business-Continuity-Richtlinie (BCM) + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert das Business-Continuity-Management (BCM) von {{COMPANY_NAME}}. Ziel ist die Aufrechterhaltung kritischer Geschaeftsprozesse bei Stoerungen und die schnellstmoegliche Wiederherstellung des Normalbetriebs. + +**Geltungsbereich:** +- Alle Geschaeftsprozesse und IT-Systeme +- Alle Standorte von {{COMPANY_NAME}} +- Alle Mitarbeiter und kritischen Dienstleister + +**Normative Grundlagen:** ISO 22301, BSI-Standard 200-4, DSGVO Art. 32 + +--- + +## 2. Business-Impact-Analyse (BIA) + +### 2.1 Zweck +Die BIA identifiziert kritische Geschaeftsprozesse und bewertet die Auswirkungen eines Ausfalls auf {{COMPANY_NAME}}. + +### 2.2 Bewertungskriterien + +| Kriterium | Beschreibung | +|-----------|--------------| +| Finanzielle Auswirkung | Umsatzverlust, Vertragsstrafen, Kosten | +| Reputationsschaden | Kundenvertrauen, Medienwahrnehmung | +| Rechtliche Konsequenzen | Vertragsverletzungen, behoerdliche Auflagen | +| Operative Auswirkung | Abhaengige Prozesse, Lieferkette | + +### 2.3 Kritikalitaetsstufen + +| Stufe | Maximale Ausfallzeit | Beispiele | +|-------|----------------------|-----------| +| Kritisch | < 4 Stunden | Kernapplikationen, Zahlungssysteme | +| Hoch | < 24 Stunden | E-Mail, CRM, Kundensupport | +| Mittel | < 72 Stunden | Interne Tools, Dokumentenmanagement | +| Niedrig | < 7 Tage | Archivierungssysteme, Reporting | + +Die BIA wird jaehrlich durchgefuehrt und bei wesentlichen Aenderungen aktualisiert. + +--- + +## 3. RTO und RPO + +| Parameter | Definition | Festlegung durch | +|-----------|------------|------------------| +| **RTO** (Recovery Time Objective) | Maximale tolerierbare Ausfallzeit | BIA + Geschaeftsfuehrung | +| **RPO** (Recovery Point Objective) | Maximaler tolerierbarer Datenverlust | BIA + IT-Leitung | + +### 3.1 Vorgaben nach Kritikalitaet + +| Stufe | RTO | RPO | +|-------|-----|-----| +| Kritisch | 4 Stunden | 1 Stunde | +| Hoch | 24 Stunden | 4 Stunden | +| Mittel | 72 Stunden | 24 Stunden | +| Niedrig | 7 Tage | 24 Stunden | + +--- + +## 4. Wiederanlaufplaene + +### 4.1 Inhalte pro kritischem Prozess +- Beschreibung des Prozesses und der Abhaengigkeiten +- Verantwortliche Personen (primaer und Stellvertretung) +- Ressourcenbedarf (Personal, IT, Raeume) +- Schritt-fuer-Schritt-Wiederanlaufprozedur +- Kommunikationsplan (intern und extern) +- Eskalationswege +- Alternativverfahren (Notbetrieb) + +### 4.2 Pflege +- Wiederanlaufplaene werden halbjaehrlich aktualisiert +- Kontaktdaten werden quartalsweise geprueft +- Aenderungen an IT-Systemen loesen Aktualisierung aus + +--- + +## 5. Notfallorganisation + +| Rolle | Verantwortung | +|-------|---------------| +| BCM-Beauftragter ({{ISB_NAME}}) | Gesamtverantwortung BCM, Planpflege | +| Krisenstabsleiter ({{GF_NAME}}) | Entscheidungen in der Krise | +| IT-Notfallteam | Wiederherstellung technischer Systeme | +| Kommunikationsteam | Interne und externe Kommunikation | +| Fachabteilungsleitungen | Wiederanlauf der Geschaeftsprozesse | + +--- + +## 6. Tests und Uebungen + +| Testart | Frequenz | Beschreibung | +|---------|----------|--------------| +| Planueberpruefung | Halbjaehrlich | Review der Dokumentation auf Aktualitaet | +| Tabletop-Exercise | Jaehrlich | Durchspielen von Szenarien am Tisch | +| Technischer Test | Jaehrlich | Failover-Test, Backup-Restore | +| Vollstaendige Uebung | Alle 2 Jahre | Simulation eines realen Ausfalls | + +Testergebnisse werden dokumentiert und Verbesserungen in die Plaene aufgenommen. + +--- + +## 7. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'business_continuity_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- Template 14: Disaster-Recovery-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'disaster_recovery_policy', + 'Disaster-Recovery-Richtlinie', + 'Richtlinie zur Wiederherstellung von IT-Systemen nach Katastrophen. Definiert DR-Szenarien, Failover-Verfahren, Recovery-Prozeduren, Kommunikationswege und Testplaene.', + $template$# Disaster-Recovery-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie definiert die Verfahren zur Wiederherstellung der IT-Infrastruktur und Daten von {{COMPANY_NAME}} nach einem schwerwiegenden Stoerungsereignis oder einer Katastrophe. + +**Geltungsbereich:** +- Alle produktiven IT-Systeme und Datenbanken +- Netzwerkinfrastruktur und Kommunikationssysteme +- Cloud-Dienste und SaaS-Anwendungen +- Backup-Systeme und Speicherinfrastruktur + +--- + +## 2. DR-Szenarien + +### 2.1 Szenarien-Katalog + +| Szenario | Beschreibung | Eintrittswahrscheinlichkeit | +|----------|--------------|----------------------------| +| Rechenzentrumsausfall | Totalausfall eines Standorts (Brand, Ueberschwemmung) | Niedrig | +| Cloud-Ausfall | Ausfall des primaeren Cloud-Providers | Mittel | +| Cyberangriff | Ransomware, DDoS, Datenverlust | Hoch | +| Hardwareausfall | Ausfall kritischer Server oder Storage | Mittel | +| Netzwerkausfall | Ausfall der Internetanbindung oder WAN | Mittel | +| Datenbankkorruption | Logische Fehler, fehlerhafte Migration | Mittel | + +### 2.2 Risikoeinschaetzung +Fuer jedes Szenario wird bewertet: +- Eintrittswahrscheinlichkeit (niedrig, mittel, hoch) +- Auswirkung auf den Geschaeftsbetrieb +- Maximale tolerierbare Ausfallzeit (RTO) +- Maximaler tolerierbarer Datenverlust (RPO) + +--- + +## 3. Failover-Verfahren + +### 3.1 Automatisches Failover +- Datenbankcluster: Automatischer Failover auf Standby-Instanz +- Load Balancer: Automatische Umleitung bei Serverausfall +- DNS-Failover: Automatische Umschaltung auf Sekundaersystem + +### 3.2 Manuelles Failover +- Cloud-Migration: Aktivierung der DR-Umgebung beim Sekundaer-Provider +- Standortwechsel: Umzug auf Ausweicharbeitsplaetze +- Kommunikation: Umschaltung auf alternative Kommunikationskanaele + +### 3.3 Failover-Reihenfolge + +| Prioritaet | System | Failover-Methode | Ziel-RTO | +|------------|--------|------------------|----------| +| 1 | Datenbanken | Automatisch (Replikation) | 15 Minuten | +| 2 | Applikationsserver | Automatisch (Container-Orchestrierung) | 30 Minuten | +| 3 | E-Mail und Kommunikation | Cloud-Failover | 1 Stunde | +| 4 | Dateisysteme | Backup-Restore | 4 Stunden | +| 5 | Sekundaere Systeme | Manuell | 24 Stunden | + +--- + +## 4. Recovery-Verfahren + +### 4.1 Backup-Strategie +- **Vollbackup**: Woechentlich (Sonntag) +- **Inkrementelles Backup**: Taeglich +- **Transaktionslogs**: Kontinuierlich (alle 15 Minuten) +- **Aufbewahrung**: 30 Tage online, 12 Monate Archiv +- **Speicherorte**: Primaerer Standort + geografisch getrennter Sekundaerstandort + +### 4.2 Restore-Prozeduren +1. Schadensanalyse und Umfang der Wiederherstellung bestimmen +2. Recovery-Umgebung vorbereiten +3. Restore aus Backup (juengster konsistenter Stand) +4. Integritaetspruefung der wiederhergestellten Daten +5. Applikationstests und Funktionspruefung +6. Freigabe durch {{ISB_NAME}} und Fachabteilung +7. Umschaltung auf wiederhergestelltes System +8. Monitoring der Stabilitaet (24 Stunden) + +--- + +## 5. Kommunikation im DR-Fall + +### 5.1 Interne Kommunikation + +| Empfaenger | Informationsinhalt | Kanal | Frist | +|------------|-------------------|-------|-------| +| Krisenstab | Lageeinschaetzung, Massnahmen | Telefon/Chat | Sofort | +| IT-Team | Technische Details, Aufgaben | Chat/Telefon | 15 Minuten | +| Alle Mitarbeiter | Status-Update | E-Mail/Intranet | 1 Stunde | +| {{GF_NAME}} | Entscheidungsvorlagen | Direkt | 30 Minuten | + +### 5.2 Externe Kommunikation +- Kunden: Statusseite aktualisieren, proaktive Information +- Dienstleister: Eskalation an Support-Teams +- Aufsichtsbehoerden: Bei Datenschutzvorfall (72-Stunden-Frist) +- Presse: Nur ueber Kommunikationsabteilung + +--- + +## 6. Testplan + +| Test | Frequenz | Verantwortlich | Beschreibung | +|------|----------|----------------|--------------| +| Backup-Restore-Test | Monatlich | IT-Betrieb | Restore einzelner Systeme | +| Failover-Test | Quartalsweise | {{ISB_NAME}} | Umschaltung auf Sekundaersystem | +| DR-Simulation | Jaehrlich | {{ISB_NAME}} + {{GF_NAME}} | Vollstaendige DR-Uebung | +| Kommunikationstest | Halbjaehrlich | Krisenstab | Erreichbarkeit aller Kontakte | + +Nach jedem Test: Dokumentation der Ergebnisse, Identifikation von Schwachstellen, Aktualisierung der Plaene. + +--- + +## 7. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'disaster_recovery_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- Template 15: Krisenmanagement-Richtlinie +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) +SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'crisis_management_policy', + 'Krisenmanagement-Richtlinie', + 'Richtlinie fuer das Krisenmanagement. Definiert Krisenstab, Eskalationsstufen, Kommunikationsplan und Entscheidungsketten fuer den Umgang mit Krisensituationen.', + $template$# Krisenmanagement-Richtlinie + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Autor | {{ISB_NAME}} | +| Freigabe | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie regelt den Umgang mit Krisensituationen bei {{COMPANY_NAME}}. Sie definiert Strukturen, Prozesse und Verantwortlichkeiten, um Krisen fruehzeitig zu erkennen, effektiv zu bewaeltigen und daraus zu lernen. + +**Definition Krise:** Ein Ereignis, das den normalen Geschaeftsbetrieb erheblich beeintraechtigt, die Reputation gefaehrdet oder die Sicherheit von Personen, Daten oder Systemen bedroht und nicht durch Standardprozesse bewaeltigt werden kann. + +**Geltungsbereich:** +- Alle Standorte und Geschaeftsbereiche +- Alle Mitarbeiter und Fuehrungskraefte +- Ereignisse mit erheblicher Tragweite (ueber Einzelvorfall hinaus) + +--- + +## 2. Krisenstab + +### 2.1 Zusammensetzung + +| Rolle | Person | Stellvertretung | Aufgabe | +|-------|--------|-----------------|---------| +| Krisenstabsleiter | {{GF_NAME}} | Stellv. Geschaeftsfuehrung | Gesamtleitung, Entscheidungen | +| ISB | {{ISB_NAME}} | Stellv. ISB | Technische Bewertung, IT-Massnahmen | +| Kommunikation | Leitung Kommunikation | Stellvertretung | Interne/externe Kommunikation | +| Recht | Rechtsabteilung/ext. Anwalt | — | Rechtliche Bewertung | +| Personal | Leitung HR | Stellvertretung | Mitarbeiterbezogene Massnahmen | +| Betroffene Fachabteilung | Abteilungsleitung | Stellvertretung | Fachliche Einschaetzung | + +### 2.2 Aktivierung +- Aktivierung durch {{GF_NAME}} oder {{ISB_NAME}} +- Jedes Krisenstabsmitglied kann die Einberufung empfehlen +- Erreichbarkeit aller Mitglieder 24/7 sichergestellt +- Krisenstabsraum: Definierter physischer Raum + virtueller Kanal (Fallback) + +--- + +## 3. Eskalationsstufen + +### 3.1 Stufe 1: Warnung (Gelb) + +| Merkmal | Beschreibung | +|---------|--------------| +| Situation | Potenzielle Bedrohung erkannt, normaler Betrieb noch moeglich | +| Massnahmen | Erhoehte Aufmerksamkeit, Lagebeobachtung, Information an ISB | +| Entscheidung | {{ISB_NAME}} | +| Kommunikation | Intern, betroffene Abteilung | + +### 3.2 Stufe 2: Eskalation (Orange) + +| Merkmal | Beschreibung | +|---------|--------------| +| Situation | Geschaeftsbetrieb eingeschraenkt, Auswirkung auf Kunden/Partner | +| Massnahmen | Krisenstab informiert, Notfallplaene aktiviert | +| Entscheidung | {{ISB_NAME}} + {{GF_NAME}} | +| Kommunikation | Intern breit, betroffene Kunden | + +### 3.3 Stufe 3: Krise (Rot) + +| Merkmal | Beschreibung | +|---------|--------------| +| Situation | Erhebliche Beeintraechtigung, Reputationsgefahr, Sicherheitsrisiko | +| Massnahmen | Krisenstab einberufen, vollstaendige Krisenbewaeltigung | +| Entscheidung | Krisenstab unter Leitung {{GF_NAME}} | +| Kommunikation | Alle Stakeholder, ggf. Presse und Behoerden | + +--- + +## 4. Kommunikationsplan + +### 4.1 Grundsaetze +- Einheitliche Sprachregelung durch den Krisenstab +- Keine oeffentlichen Statements ohne Freigabe +- Proaktive, ehrliche und zeitnahe Kommunikation +- Dokumentation aller Kommunikationsmassnahmen + +### 4.2 Kommunikationsmatrix + +| Zielgruppe | Kanal | Verantwortlich | Frequenz | +|------------|-------|----------------|----------| +| Krisenstab | Krisenchat / Telefon | Krisenstabsleiter | Kontinuierlich | +| Mitarbeiter | E-Mail / Intranet | Kommunikation | Bei Bedarf, mind. taeglich | +| Kunden | E-Mail / Statusseite | Kommunikation + Vertrieb | Bei Betroffenheit | +| Partner/Lieferanten | Direkte Information | Fachabteilung | Bei Betroffenheit | +| Aufsichtsbehoerden | Offizielles Schreiben | Recht + DSB | Gemaess Meldepflichten | +| Presse/Oeffentlichkeit | Pressemitteilung | Kommunikation + {{GF_NAME}} | Nach Freigabe | + +### 4.3 Vorbereitung +- Vorbereitete Statement-Templates fuer haeufige Szenarien +- Aktualisierte Kontaktlisten (quartalsweise Pruefung) +- Medientraining fuer Sprecher (jaehrlich) + +--- + +## 5. Entscheidungsketten + +### 5.1 Waehrend der Krise +1. Lagefeststellung durch den zustaendigen Fachbereich +2. Erstbewertung und Eskalationsempfehlung durch {{ISB_NAME}} +3. Entscheidung ueber Eskalationsstufe durch {{GF_NAME}} +4. Krisenstab erarbeitet Massnahmenplan +5. {{GF_NAME}} gibt Massnahmen frei +6. Umsetzung durch verantwortliche Teams +7. Laufende Lagebeurteilung und Anpassung + +### 5.2 Deeskalation +- Krisenstab stellt fest, dass die Krise bewaeltigt ist +- {{GF_NAME}} erklaert formell das Ende der Krisenlage +- Uebergang in den Normalbetrieb +- Information aller Stakeholder ueber Beendigung + +--- + +## 6. Nachbereitung + +### 6.1 Krisenauswertung (innerhalb 14 Tagen) +- Chronologische Aufarbeitung des Ereignisses +- Bewertung der Wirksamkeit der Massnahmen +- Identifikation von Verbesserungspotenzial +- Lessons-Learned-Bericht an {{GF_NAME}} + +### 6.2 Anpassung +- Aktualisierung der Krisenplaene basierend auf Erkenntnissen +- Nachschulung betroffener Mitarbeiter +- Anpassung technischer und organisatorischer Massnahmen + +--- + +## 7. Uebungen + +- **Tabletop-Exercise**: Jaehrlich (verschiedene Szenarien) +- **Kommunikationsuebung**: Halbjaehrlich (Erreichbarkeitstest) +- **Vollstaendige Krisenuebung**: Alle 2 Jahre +- Ergebnisse werden dokumentiert und fliessen in die Planung ein + +--- + +## 8. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'crisis_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); diff --git a/backend-compliance/migrations/073_module_document_templates.sql b/backend-compliance/migrations/073_module_document_templates.sql new file mode 100644 index 0000000..2356098 --- /dev/null +++ b/backend-compliance/migrations/073_module_document_templates.sql @@ -0,0 +1,873 @@ +-- Migration 073: Module Document Templates +-- Reference templates for VVT, TOM, Loeschfristen and Pflichten modules +-- These match the structure of the module-specific document generators +-- and enable versioning in the document-generator + +-- =========================================================================== +-- Template 1: VVT — Verarbeitungsverzeichnis (Art. 30 DSGVO) +-- =========================================================================== +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'vvt_register', + 'Verarbeitungsverzeichnis (Art. 30 DSGVO)', + 'Vollstaendiges Verzeichnis von Verarbeitungstaetigkeiten gemaess Art. 30 Abs. 1 DSGVO. Dokumentiert alle Verarbeitungen mit Rechtsgrundlagen, Datenkategorien, Empfaengern, Drittlandtransfers und Loeschfristen.', + $template$# Verarbeitungsverzeichnis (Art. 30 DSGVO) + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Dokumenttyp | Verzeichnis von Verarbeitungstaetigkeiten | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Klassifizierung | Vertraulich | +| Datenschutzbeauftragter | {{DPO_NAME}} | +| Kontakt DSB | {{DPO_CONTACT}} | +| Verantwortlicher | {{RESPONSIBLE_PERSON}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{DPO_NAME}} | Erstfassung | + +--- + +## 1. Ziel und Zweck + +Dieses Verarbeitungsverzeichnis dient der Dokumentation aller Verarbeitungstaetigkeiten von **{{COMPANY_NAME}}** gemaess Art. 30 Abs. 1 DSGVO. Es enthaelt saemtliche Pflichtangaben und wird regelmaessig auf Vollstaendigkeit und Aktualitaet geprueft. + +### Gesetzliche Grundlage + +| Rechtsgrundlage | Inhalt | +|-----------------|--------| +| **Art. 30 Abs. 1 DSGVO** | Pflicht des Verantwortlichen, ein Verzeichnis aller Verarbeitungstaetigkeiten zu fuehren | +| **Art. 30 Abs. 2 DSGVO** | Pflicht des Auftragsverarbeiters, ein Verzeichnis aller Kategorien von Verarbeitungstaetigkeiten zu fuehren | +| **Art. 30 Abs. 4 DSGVO** | Bereitstellungspflicht gegenueber der Aufsichtsbehoerde | +| **Art. 5 Abs. 2 DSGVO** | Rechenschaftspflicht — Nachweis der Einhaltung der DSGVO-Grundsaetze | + +--- + +## 2. Organisation und Verantwortlichkeiten + +| Rolle | Person / Abteilung | +|-------|--------------------| +| Verantwortlicher (Art. 4 Nr. 7) | {{RESPONSIBLE_PERSON}} | +| Datenschutzbeauftragter (Art. 37-39) | {{DPO_NAME}} ({{DPO_CONTACT}}) | +| VVT-Pflege | Fachabteilungen in Abstimmung mit DSB | + +**Hinweis:** Jede Fachabteilung ist verpflichtet, neue Verarbeitungstaetigkeiten vor deren Beginn beim DSB zu melden. Aenderungen an bestehenden Verarbeitungen sind unverzueglich zu kommunizieren. + +--- + +## 3. Verarbeitungstaetigkeiten (Art. 30 Abs. 1) + +### Pflichtangaben je Verarbeitungstaetigkeit + +Fuer jede Verarbeitungstaetigkeit werden folgende Pflichtfelder nach Art. 30 DSGVO dokumentiert: + +| Pflichtfeld (Art. 30) | Beschreibung | +|------------------------|-------------| +| **VVT-Nr.** | Eindeutige Kennung der Verarbeitungstaetigkeit | +| **Bezeichnung** | Bezeichnung der Verarbeitungstaetigkeit | +| **Verantwortlicher** | Name und Kontaktdaten des Verantwortlichen | +| **Geschaeftsbereich** | Zustaendige Organisationseinheit | +| **Zwecke der Verarbeitung** | Beschreibung aller Verarbeitungszwecke | +| **Rechtsgrundlage(n)** | Art. 6 Abs. 1 lit. a-f DSGVO; ggf. Art. 9 Abs. 2 DSGVO | +| **Kategorien betroffener Personen** | z.B. Mitarbeiter, Kunden, Lieferanten, Schueler | +| **Kategorien personenbezogener Daten** | z.B. Stammdaten, Kontaktdaten, Vertragsdaten; Art. 9-Kategorien gesondert kennzeichnen | +| **Empfaengerkategorien** | Intern, extern, Auftragsverarbeiter, Behoerden | +| **Uebermittlung an Drittlaender** | Zielland, Empfaenger, Transfermechanismus (Art. 44-49) | +| **Loeschfristen** | Vorgesehene Fristen fuer die Loeschung, Rechtsgrundlage, Verfahren | +| **TOM (Art. 32)** | Beschreibung der technischen und organisatorischen Massnahmen | + +### Verarbeitungsuebersicht + +*Die konkreten Verarbeitungstaetigkeiten werden vom VVT-Modul automatisch in das Dokument eingefuegt. Jede Verarbeitungstaetigkeit wird als separate Detailkarte mit allen Pflichtfeldern dargestellt.* + +| VVT-Nr. | Bezeichnung | Geschaeftsbereich | Rechtsgrundlage | Status | +|----------|-------------|-------------------|-----------------|--------| +| *Wird automatisch befuellt* | | | | | + +### Detailkarten + +Fuer jede Verarbeitungstaetigkeit wird eine Detailkarte erstellt mit: + +- Alle Pflichtangaben nach Art. 30 in tabellarischer Form +- Kennzeichnung besonderer Kategorien (Art. 9 DSGVO) +- Kennzeichnung DSFA-Pflicht (Art. 35 DSGVO) +- Kennzeichnung Drittlanduebermittlung (Art. 44-49 DSGVO) +- Strukturierte TOMs nach Kategorie (Zugriffskontrolle, Vertraulichkeit, Integritaet, Verfuegbarkeit, Trennbarkeit) +- Schutzniveau und Deployment-Modell + +--- + +## 4. Auftragsverarbeiter (Art. 30 Abs. 2) + +Sofern **{{COMPANY_NAME}}** als Auftragsverarbeiter taetig ist, wird ein separates Verzeichnis nach Art. 30 Abs. 2 DSGVO gefuehrt. Dieses enthaelt: + +| Pflichtfeld (Art. 30 Abs. 2) | Beschreibung | +|-------------------------------|-------------| +| Name und Kontaktdaten des Auftragsverarbeiters | {{COMPANY_NAME}} | +| Kategorien von Verarbeitungen | Art der im Auftrag durchgefuehrten Verarbeitungen | +| Name und Kontaktdaten des Verantwortlichen | Auftraggeber | +| Uebermittlungen in Drittlaender | Zielland, Empfaenger, Garantien | +| Technische und organisatorische Massnahmen | Art. 32 DSGVO | + +--- + +## 5. TOM-Beschreibung (Art. 32 DSGVO) + +Fuer jede Verarbeitungstaetigkeit werden die technischen und organisatorischen Massnahmen dokumentiert: + +| Kategorie | Beschreibung | +|-----------|-------------| +| **Zugriffskontrolle** | Massnahmen zur Steuerung des Zugriffs auf personenbezogene Daten | +| **Vertraulichkeit** | Verschluesselung, Pseudonymisierung, Zutrittskontrolle | +| **Integritaet** | Eingabekontrolle, Weitergabekontrolle, Protokollierung | +| **Verfuegbarkeit** | Backup, Redundanz, Disaster Recovery | +| **Trennbarkeit** | Mandantentrennung, Zweckbindung | + +**Verweis:** Die vollstaendige TOM-Dokumentation wird im separaten TOM-Modul gefuehrt und hier je Verarbeitungstaetigkeit referenziert. + +--- + +## 6. Pruefverfahren und Revision + +| Eigenschaft | Wert | +|-------------|------| +| Pruefintervall | Jaehrlich | +| Letzte Pruefung | {{VERSION_DATE}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | +| Aktuelle Version | {{DOCUMENT_VERSION}} | + +### Pruefpunkte + +Bei jeder Pruefung wird das VVT auf folgende Punkte ueberprueft: + +- Vollstaendigkeit: Sind alle Verarbeitungstaetigkeiten erfasst? +- Aktualitaet: Stimmen die Angaben noch mit der Praxis ueberein? +- Art. 30-Konformitaet: Enthalten alle Eintraege die Pflichtangaben? +- Art. 9-Kennzeichnung: Sind besondere Kategorien korrekt markiert? +- Drittlandtransfers: Sind Transfermechanismen dokumentiert? +- Loeschfristen: Sind Aufbewahrungsfristen definiert und aktuell? +- TOM-Verweise: Sind Massnahmen je Verarbeitung beschrieben? + +--- + +*Dieses Dokument wird automatisch vom VVT-Modul generiert und enthaelt alle erfassten Verarbeitungstaetigkeiten mit vollstaendigen Pflichtangaben nach Art. 30 DSGVO.* + +*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | Stand: {{VERSION_DATE}} | Version {{DOCUMENT_VERSION}}* +$template$, + '["COMPANY_NAME","DPO_NAME","DPO_CONTACT","RESPONSIBLE_PERSON","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'vvt_register' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- =========================================================================== +-- Template 2: TOM — TOM-Dokumentation (Art. 32 DSGVO) +-- =========================================================================== +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'tom_documentation', + 'TOM-Dokumentation (Art. 32 DSGVO)', + 'Dokumentation aller technischen und organisatorischen Massnahmen gemaess Art. 32 DSGVO. Umfasst Schutzbedarf, Risikoprofil, Massnahmenkatalog nach Kategorie, SDM-Gewaehrleistungsziele und Compliance-Status.', + $template$# TOM-Dokumentation (Art. 32 DSGVO) + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Dokumenttyp | Technische und Organisatorische Massnahmen | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Klassifizierung | Vertraulich | +| IT-Sicherheitsbeauftragter | {{ISB_NAME}} | +| Datenschutzbeauftragter | {{DPO_NAME}} | +| Geschaeftsfuehrung | {{GF_NAME}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | + +--- + +## 1. Ziel und Zweck + +Diese TOM-Dokumentation beschreibt die technischen und organisatorischen Massnahmen zum Schutz personenbezogener Daten bei **{{COMPANY_NAME}}**. Sie dient der Umsetzung folgender DSGVO-Anforderungen: + +| Rechtsgrundlage | Inhalt | +|-----------------|--------| +| **Art. 32 Abs. 1 lit. a DSGVO** | Pseudonymisierung und Verschluesselung personenbezogener Daten | +| **Art. 32 Abs. 1 lit. b DSGVO** | Vertraulichkeit, Integritaet, Verfuegbarkeit und Belastbarkeit der Systeme auf Dauer sicherstellen | +| **Art. 32 Abs. 1 lit. c DSGVO** | Rasche Wiederherstellung der Verfuegbarkeit bei physischem oder technischem Zwischenfall | +| **Art. 32 Abs. 1 lit. d DSGVO** | Regelmaessige Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit der Massnahmen | + +Die TOM-Dokumentation ist fester Bestandteil des Datenschutz-Managementsystems und wird regelmaessig ueberprueft und aktualisiert. + +--- + +## 2. Geltungsbereich + +Diese TOM-Dokumentation gilt fuer alle IT-Systeme, Anwendungen und Verarbeitungsprozesse von **{{COMPANY_NAME}}**. Die dokumentierten Massnahmen stammen aus zwei Quellen: + +- **Embedded Library (TOM-xxx):** Integrierte Kontrollbibliothek mit spezifischen Massnahmen fuer Art. 32 DSGVO +- **Canonical Control Library (CP-CLIB):** Uebergreifende Kontrollbibliothek mit framework-uebergreifenden Massnahmen + +--- + +## 3. Grundprinzipien Art. 32 + +- **Vertraulichkeit:** Schutz personenbezogener Daten vor unbefugter Kenntnisnahme durch Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle und Verschluesselung (Art. 32 Abs. 1 lit. b DSGVO). +- **Integritaet:** Sicherstellung, dass personenbezogene Daten nicht unbefugt oder unbeabsichtigt veraendert werden koennen, durch Eingabekontrolle, Weitergabekontrolle und Protokollierung (Art. 32 Abs. 1 lit. b DSGVO). +- **Verfuegbarkeit und Belastbarkeit:** Gewaehrleistung, dass Systeme und Dienste bei Lastspitzen und Stoerungen zuverlaessig funktionieren, durch Backup, Redundanz und Disaster Recovery (Art. 32 Abs. 1 lit. b DSGVO). +- **Rasche Wiederherstellbarkeit:** Faehigkeit, nach einem physischen oder technischen Zwischenfall Daten und Systeme schnell wiederherzustellen, durch getestete Recovery-Prozesse (Art. 32 Abs. 1 lit. c DSGVO). +- **Regelmaessige Wirksamkeitspruefung:** Verfahren zur regelmaessigen Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit aller technischen und organisatorischen Massnahmen (Art. 32 Abs. 1 lit. d DSGVO). + +--- + +## 4. Schutzbedarf und Risikoanalyse + +Die Schutzbedarfsanalyse bildet die Grundlage fuer die Auswahl und Priorisierung der Massnahmen. + +| Kriterium | Bewertung | +|-----------|-----------| +| Vertraulichkeit | *Wird vom TOM-Generator automatisch ermittelt* | +| Integritaet | *Wird vom TOM-Generator automatisch ermittelt* | +| Verfuegbarkeit | *Wird vom TOM-Generator automatisch ermittelt* | +| Schutzniveau | *Basiert auf CIA-Bewertung* | +| DSFA-Pflicht | *Wird automatisch berechnet* | + +**Hinweis:** Die detaillierte Schutzbedarfsanalyse wird im TOM-Modul ueber den Risiko-Wizard durchgefuehrt. Die Ergebnisse fliessen automatisch in die Massnahmenauswahl ein. + +--- + +## 5. Massnahmenkatalog + +### 5.1 Zutrittskontrolle + +Massnahmen zur Verhinderung des unbefugten Zutritts zu Datenverarbeitungsanlagen. + +| Massnahme | Typ | Status | Verantwortlich | +|-----------|-----|--------|----------------| +| *Wird automatisch aus dem TOM-Modul befuellt* | | | | + +### 5.2 Zugangskontrolle + +Massnahmen zur Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen. + +| Massnahme | Typ | Status | Verantwortlich | +|-----------|-----|--------|----------------| +| *Wird automatisch aus dem TOM-Modul befuellt* | | | | + +### 5.3 Zugriffskontrolle + +Massnahmen, die gewaehrleisten, dass ausschliesslich berechtigte Personen auf Daten zugreifen koennen. + +| Massnahme | Typ | Status | Verantwortlich | +|-----------|-----|--------|----------------| +| *Wird automatisch aus dem TOM-Modul befuellt* | | | | + +### 5.4 Weitergabekontrolle + +Massnahmen zum Schutz personenbezogener Daten bei elektronischer Uebertragung und Transport. + +| Massnahme | Typ | Status | Verantwortlich | +|-----------|-----|--------|----------------| +| *Wird automatisch aus dem TOM-Modul befuellt* | | | | + +### 5.5 Eingabekontrolle + +Massnahmen zur nachtraeglichen Ueberpruefung, ob und von wem Daten eingegeben, veraendert oder entfernt worden sind. + +| Massnahme | Typ | Status | Verantwortlich | +|-----------|-----|--------|----------------| +| *Wird automatisch aus dem TOM-Modul befuellt* | | | | + +### 5.6 Auftragskontrolle + +Massnahmen, die gewaehrleisten, dass personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. + +| Massnahme | Typ | Status | Verantwortlich | +|-----------|-----|--------|----------------| +| *Wird automatisch aus dem TOM-Modul befuellt* | | | | + +### 5.7 Verschluesselung und Pseudonymisierung + +Massnahmen zur Pseudonymisierung und Verschluesselung personenbezogener Daten (Art. 32 Abs. 1 lit. a DSGVO). + +| Massnahme | Typ | Status | Verantwortlich | +|-----------|-----|--------|----------------| +| *Wird automatisch aus dem TOM-Modul befuellt* | | | | + +### 5.8 Verfuegbarkeit und Belastbarkeit + +Massnahmen zur Gewaehrleistung der Verfuegbarkeit und Belastbarkeit der Systeme (Art. 32 Abs. 1 lit. b DSGVO). + +| Massnahme | Typ | Status | Verantwortlich | +|-----------|-----|--------|----------------| +| *Wird automatisch aus dem TOM-Modul befuellt* | | | | + +### 5.9 Wiederherstellbarkeit + +Massnahmen zur raschen Wiederherstellung der Verfuegbarkeit nach einem Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO). + +| Massnahme | Typ | Status | Verantwortlich | +|-----------|-----|--------|----------------| +| *Wird automatisch aus dem TOM-Modul befuellt* | | | | + +### 5.10 Ueberpruefung und Bewertung + +Verfahren zur regelmaessigen Ueberpruefung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO). + +| Massnahme | Typ | Status | Verantwortlich | +|-----------|-----|--------|----------------| +| *Wird automatisch aus dem TOM-Modul befuellt* | | | | + +--- + +## 6. SDM Gewaehrleistungsziele + +Das Standard-Datenschutzmodell (SDM) definiert sieben Gewaehrleistungsziele. Die implementierten Massnahmen decken folgende Ziele ab: + +| Gewaehrleistungsziel | Abgedeckt | Gesamt | Abdeckung (%) | +|----------------------|-----------|--------|---------------| +| Verfuegbarkeit | *automatisch* | | | +| Integritaet | *automatisch* | | | +| Vertraulichkeit | *automatisch* | | | +| Nichtverkettung | *automatisch* | | | +| Intervenierbarkeit | *automatisch* | | | +| Transparenz | *automatisch* | | | +| Datenminimierung | *automatisch* | | | + +--- + +## 7. Verantwortlichkeiten + +| Rolle | Aufgabe | +|-------|---------| +| Geschaeftsfuehrung ({{GF_NAME}}) | Gesamtverantwortung, Freigabe der TOM-Dokumentation | +| IT-Sicherheitsbeauftragter ({{ISB_NAME}}) | Pflege und Umsetzung technischer Massnahmen | +| Datenschutzbeauftragter ({{DPO_NAME}}) | Ueberwachung, Beratung, Compliance-Check | +| Fachabteilungen | Umsetzung organisatorischer Massnahmen, Meldepflicht | + +--- + +## 8. Compliance-Status + +*Der aktuelle Compliance-Score wird vom TOM-Modul automatisch berechnet und enthaelt Befunde nach Schweregrad (Kritisch, Hoch, Mittel, Niedrig).* + +| Kennzahl | Wert | +|----------|------| +| Gepruefte Massnahmen | *automatisch* | +| Bestanden | *automatisch* | +| Beanstandungen | *automatisch* | + +--- + +## 9. Pruef- und Revisionszyklus + +| Eigenschaft | Wert | +|-------------|------| +| Pruefintervall | Jaehrlich | +| Letzte Pruefung | {{VERSION_DATE}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | +| Aktuelle Version | {{DOCUMENT_VERSION}} | + +### Pruefpunkte + +- Vollstaendigkeit aller Massnahmen (neue Systeme oder Verarbeitungen erfasst?) +- Aktualitaet des Umsetzungsstatus (Aenderungen seit letzter Pruefung?) +- Wirksamkeit der technischen Massnahmen (Penetration-Tests, Audit-Ergebnisse) +- Angemessenheit der organisatorischen Massnahmen (Schulungen, Richtlinien aktuell?) +- Abdeckung aller SDM-Gewaehrleistungsziele +- Zuordnung von Verantwortlichkeiten zu allen Massnahmen + +--- + +*Dieses Dokument wird automatisch vom TOM-Modul generiert und enthaelt alle erfassten technischen und organisatorischen Massnahmen nach Art. 32 DSGVO.* + +*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | Stand: {{VERSION_DATE}} | Version {{DOCUMENT_VERSION}}* +$template$, + '["COMPANY_NAME","ISB_NAME","GF_NAME","DPO_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'tom_documentation' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- =========================================================================== +-- Template 3: Loeschkonzept (Art. 5/17 DSGVO) +-- =========================================================================== +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'loeschkonzept', + 'Loeschkonzept (Art. 5/17 DSGVO)', + 'Systematisches Loeschkonzept gemaess Art. 5 Abs. 1 lit. e und Art. 17 DSGVO. Dokumentiert Loeschregeln, Aufbewahrungstreiber, Loeschmethoden, Legal Holds und Auftragsverarbeiter-Verknuepfungen.', + $template$# Loeschkonzept (Art. 5/17 DSGVO) + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Dokumenttyp | Loeschkonzept | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Klassifizierung | Vertraulich | +| Datenschutzbeauftragter | {{DPO_NAME}} | +| Kontakt DSB | {{DPO_CONTACT}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{DPO_NAME}} | Erstfassung | + +--- + +## 1. Ziel und Zweck + +Dieses Loeschkonzept definiert die systematischen Regeln und Verfahren fuer die Loeschung personenbezogener Daten bei **{{COMPANY_NAME}}**. Es dient der Umsetzung folgender DSGVO-Anforderungen: + +| Rechtsgrundlage | Inhalt | +|-----------------|--------| +| **Art. 5 Abs. 1 lit. e DSGVO** | Grundsatz der Speicherbegrenzung — Daten nur so lange speichern, wie fuer den Zweck erforderlich | +| **Art. 17 DSGVO** | Recht auf Loeschung ("Recht auf Vergessenwerden") — Betroffene koennen Loeschung verlangen | +| **Art. 30 DSGVO** | Verzeichnis von Verarbeitungstaetigkeiten — Loeschfristen muessen dokumentiert werden | +| **Art. 25 DSGVO** | Datenschutz durch Technikgestaltung — Loeschmechanismen moeglichst automatisiert | + +Das Loeschkonzept ist fester Bestandteil des Datenschutz-Managementsystems und wird regelmaessig ueberprueft und aktualisiert. + +--- + +## 2. Rechtsgrundlagen und Aufbewahrungstreiber + +### Gesetzliche Aufbewahrungspflichten + +| Aufbewahrungstreiber | Gesetz / Vorschrift | Frist | +|----------------------|---------------------|-------| +| Handelsrechtliche Aufbewahrung | § 257 HGB | 6 Jahre (Handelsbriefe), 10 Jahre (Buchungsbelege) | +| Steuerrechtliche Aufbewahrung | § 147 AO | 6 Jahre (Geschaeftsbriefe), 10 Jahre (Buchungsbelege) | +| Arbeitsrechtliche Aufbewahrung | Diverse arbeitsrechtliche Vorschriften | 3-10 Jahre je nach Dokumenttyp | +| Sozialversicherungsrechtlich | §§ 28f, 110 SGB IV | 5 Jahre | +| Produkthaftung | § 10 ProdHaftG | 10 Jahre | +| Beweissicherung | §§ 195-199 BGB | 3 Jahre (regelmaessige Verjaehrung) | + +### 3-Level-Loeschlogik + +Die Loeschung folgt einer dreistufigen Priorisierung: + +1. **Zweckende:** Daten werden geloescht, sobald der Verarbeitungszweck entfaellt +2. **Gesetzliche Aufbewahrungspflichten:** Laengere Fristen aus HGB, AO etc. ueberschreiben Zweckende +3. **Legal Hold:** Aufbewahrungspflicht aufgrund rechtlicher Verfahren setzt alle anderen Fristen aus + +--- + +## 3. Datenkategorien und Fristen + +### Loeschregeln-Uebersicht + +| LF-Nr. | Datenobjekt | Loeschtrigger | Aufbewahrungsfrist | Loeschmethode | Status | +|--------|-------------|---------------|--------------------|--------------:|--------| +| *Wird automatisch vom Loeschfristen-Modul befuellt* | | | | | | + +### Detaillierte Loeschregeln + +Fuer jede Loeschregel werden folgende Informationen dokumentiert: + +| Feld | Beschreibung | +|------|-------------| +| Beschreibung | Detaillierte Beschreibung der betroffenen Daten | +| Betroffenengruppen | Kategorien betroffener Personen | +| Datenkategorien | Art der personenbezogenen Daten | +| Verarbeitungszweck | Primaerer Zweck der Datenverarbeitung | +| Loeschtrigger | Ereignis, das die Loeschfrist ausloest | +| Aufbewahrungstreiber | Gesetzliche Grundlage fuer die Aufbewahrung | +| Aufbewahrungsfrist | Dauer der Aufbewahrung mit Einheit | +| Startereignis | Beginn der Fristberechnung | +| Loeschmethode | Technisches Verfahren (Loeschung, Anonymisierung, Vernichtung) | +| Speicherorte | Betroffene Systeme und Datenbanken | +| Verantwortlich | Person oder Rolle | +| Pruefintervall | Frequenz der Kontrolle | + +--- + +## 4. Loeschmethoden + +| Methode | Beschreibung | Anwendung | +|---------|-------------|-----------| +| **Physische Loeschung** | Unwiderrufliches Entfernen der Daten aus allen Systemen | Standard fuer nicht mehr benoetigte Daten | +| **Anonymisierung** | Entfernen des Personenbezugs, sodass Daten nicht mehr zuordenbar sind | Statistik, Forschung, Archivierung | +| **Pseudonymisierung** | Ersetzen identifizierender Merkmale durch Pseudonyme | Zwischenschritt, kein Ersatz fuer Loeschung | +| **Physische Vernichtung** | Physische Zerstoerung der Datentraeger (Shredding, Degaussing) | Datentraeger-Entsorgung | +| **Kryptographische Loeschung** | Vernichtung der Schluessel bei verschluesselten Daten | Cloud-Umgebungen, verschluesselte Backups | + +--- + +## 5. Verantwortlichkeiten + +| Rolle | Aufgabe | +|-------|---------| +| Datenschutzbeauftragter ({{DPO_NAME}}) | Ueberwachung, Beratung, Compliance-Pruefung | +| Fachabteilungen | Definition der Zweckende, Meldung neuer Datenkategorien | +| IT-Abteilung | Technische Umsetzung der Loeschmechanismen | +| Rechtsabteilung | Bewertung gesetzlicher Aufbewahrungspflichten, Legal Hold | + +--- + +## 6. Legal Hold Verfahren + +Ein Legal Hold setzt die regulaere Loeschung aus. Betroffene Daten duerfen trotz abgelaufener Frist nicht geloescht werden, bis der Hold aufgehoben wird. + +### Verfahrensschritte + +1. Rechtsabteilung / DSB identifiziert betroffene Datenkategorien +2. Legal Hold wird im System aktiviert (Status: Aktiv) +3. Automatische Loeschung wird fuer betroffene Policies ausgesetzt +4. Regelmaessige Pruefung, ob der Legal Hold noch erforderlich ist +5. Nach Aufhebung: Regulaere Loeschfristen greifen wieder + +### Aktive Legal Holds + +*Wird automatisch vom Loeschfristen-Modul befuellt. Enthaelt: Datenobjekt, Grund, Rechtsgrundlage, Beginn, voraussichtliches Ende.* + +--- + +## 7. Auftragsverarbeiter mit Loeschpflichten + +Loeschregeln, die mit Auftragsverarbeitern verknuepft sind, stellen sicher, dass auch bei extern verarbeiteten Daten die Loeschpflichten eingehalten werden (Art. 28 DSGVO). + +| Loeschregel | LF-Nr. | Auftragsverarbeiter | Aufbewahrungsfrist | +|-------------|--------|--------------------|--------------------| +| *Wird automatisch vom Loeschfristen-Modul befuellt* | | | | + +**Hinweis:** Die vollstaendige Auftragsverarbeiter-Dokumentation wird im Vendor-Compliance-Modul gefuehrt. + +--- + +## 8. VVT-Verknuepfung + +Die Loeschregeln sind mit den Verarbeitungstaetigkeiten im Verarbeitungsverzeichnis (Art. 30 DSGVO) verknuepft: + +| Loeschregel | LF-Nr. | VVT-Nr. | Verarbeitungstaetigkeit | +|-------------|--------|---------|-------------------------| +| *Wird automatisch vom Loeschfristen-Modul befuellt* | | | | + +--- + +## 9. Compliance-Status + +*Der aktuelle Compliance-Score wird vom Loeschfristen-Modul automatisch berechnet und enthaelt Befunde nach Schweregrad (Kritisch, Hoch, Mittel, Niedrig).* + +| Kennzahl | Wert | +|----------|------| +| Gepruefte Policies | *automatisch* | +| Bestanden | *automatisch* | +| Beanstandungen | *automatisch* | + +--- + +## 10. Pruef- und Revisionszyklus + +| Eigenschaft | Wert | +|-------------|------| +| Pruefintervall | Jaehrlich | +| Letzte Pruefung | {{VERSION_DATE}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | +| Aktuelle Version | {{DOCUMENT_VERSION}} | + +### Pruefpunkte + +- Vollstaendigkeit aller Loeschregeln (neue Verarbeitungen erfasst?) +- Aktualitaet der gesetzlichen Aufbewahrungsfristen +- Wirksamkeit der technischen Loeschmechanismen +- Einhaltung der definierten Loeschfristen +- Angemessenheit der Verantwortlichkeiten +- VVT-Verknuepfung vollstaendig? + +--- + +*Dieses Dokument wird automatisch vom Loeschfristen-Modul generiert und enthaelt alle erfassten Loeschregeln mit Aufbewahrungstreibern, Fristen und Verantwortlichkeiten.* + +*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | Stand: {{VERSION_DATE}} | Version {{DOCUMENT_VERSION}}* +$template$, + '["COMPANY_NAME","DPO_NAME","DPO_CONTACT","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'loeschkonzept' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +); + +-- =========================================================================== +-- Template 4: Pflichtenregister (DSGVO/AI-Act) +-- =========================================================================== +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT + gen_random_uuid(), + '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'pflichtenregister', + 'Pflichtenregister (DSGVO/AI-Act)', + 'Vollstaendiges Pflichtenregister fuer alle regulatorischen Pflichten aus DSGVO, AI Act, NIS2 und BDSG. Dokumentiert Pflichten, Verantwortlichkeiten, Fristen, Nachweise und Compliance-Status.', + $template$# Pflichtenregister (DSGVO / AI Act / NIS2) + +## Dokumentenkontrolle + +| Feld | Wert | +|------|------| +| Unternehmen | {{COMPANY_NAME}} | +| Dokumenttyp | Pflichtenregister | +| Version | {{DOCUMENT_VERSION}} | +| Datum | {{VERSION_DATE}} | +| Klassifizierung | Vertraulich | +| Datenschutzbeauftragter | {{DPO_NAME}} | +| Kontakt DSB | {{DPO_CONTACT}} | +| Verantwortlicher | {{RESPONSIBLE_PERSON}} | +| Rechtsabteilung | {{LEGAL_DEPARTMENT}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | + +### Aenderungshistorie + +| Version | Datum | Autor | Aenderung | +|---------|-------|-------|-----------| +| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{DPO_NAME}} | Erstfassung | + +--- + +## 1. Ziel und Zweck + +Dieses Pflichtenregister dokumentiert alle regulatorischen Pflichten, denen **{{COMPANY_NAME}}** unterliegt. Es dient der systematischen Erfassung, Ueberwachung und Nachverfolgung aller Compliance-Anforderungen aus den anwendbaren Regulierungen. + +### Zwecke des Registers + +- Vollstaendige Erfassung aller anwendbaren regulatorischen Pflichten +- Zuordnung von Verantwortlichkeiten und Fristen +- Nachverfolgung des Umsetzungsstatus +- Dokumentation von Nachweisen fuer Audits +- Identifikation von Compliance-Luecken und Handlungsbedarf + +### Rechtsrahmen + +| Rechtsrahmen | Relevanz | +|-------------|----------| +| **DSGVO (EU) 2016/679** | Datenschutz-Grundverordnung — Kernregulierung fuer personenbezogene Daten | +| **AI Act (EU) 2024/1689** | KI-Verordnung — Anforderungen an KI-Systeme nach Risikoklasse | +| **NIS2 (EU) 2022/2555** | Netzwerk- und Informationssicherheit — Cybersicherheitspflichten | +| **BDSG** | Bundesdatenschutzgesetz — Nationale Ergaenzung zur DSGVO | + +--- + +## 2. Geltungsbereich + +Dieses Pflichtenregister gilt fuer alle Geschaeftsprozesse und IT-Systeme von **{{COMPANY_NAME}}**. Es umfasst Pflichten aus allen anwendbaren Regulierungen, gruppiert nach Rechtsquelle. + +### Anwendbare Regulierungen + +| Regulierung | Anzahl Pflichten | Status | +|-------------|-----------------|--------| +| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | + +--- + +## 3. Methodik + +Die Identifikation und Bewertung der Pflichten erfolgt in drei Schritten: + +1. **Pflicht-Identifikation:** Systematische Analyse aller anwendbaren Regulierungen und Extraktion der einzelnen Pflichten mit Artikel-Referenz, Beschreibung und Zielgruppe. +2. **Bewertung und Priorisierung:** Jede Pflicht wird nach Prioritaet (kritisch, hoch, mittel, niedrig) und Dringlichkeit (Frist) bewertet. Die Bewertung basiert auf dem Risikopotenzial bei Nichterfuellung. +3. **Ueberwachung und Nachverfolgung:** Regelmaessige Pruefung des Umsetzungsstatus, Aktualisierung der Fristen und Dokumentation von Nachweisen. + +Die Pflichten werden ueber einen automatisierten Compliance-Check geprueft, der 11 Kriterien umfasst (siehe Abschnitt 10: Compliance-Status). + +--- + +## 4. Regulatorische Grundlagen + +| Regulierung | Pflichten | Kritisch | Hoch | Mittel | Niedrig | Abgeschlossen | +|-------------|----------|----------|------|--------|---------|---------------| +| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | | | | | + +--- + +## 5. Pflichtenuebersicht + +Uebersicht aller Pflichten nach Regulierung und Status: + +| Regulierung | Gesamt | Ausstehend | In Bearbeitung | Abgeschlossen | Ueberfaellig | +|-------------|--------|------------|----------------|---------------|--------------| +| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | | | | + +--- + +## 6. Detaillierte Pflichten + +Fuer jede Pflicht werden folgende Informationen als Detailkarte dokumentiert: + +| Feld | Beschreibung | +|------|-------------| +| Rechtsquelle | Regulierung und Artikel-Referenz | +| Beschreibung | Detaillierte Beschreibung der Pflicht | +| Prioritaet | Kritisch / Hoch / Mittel / Niedrig | +| Status | Ausstehend / In Bearbeitung / Abgeschlossen / Ueberfaellig | +| Verantwortlich | Person oder Abteilung | +| Frist | Umsetzungsfrist | +| Nachweise | Dokumentierte Belege fuer die Umsetzung | +| Betroffene Systeme | IT-Systeme, die von der Pflicht betroffen sind | +| Notizen | Zusaetzliche Anmerkungen und Handlungsempfehlungen | + +### Pflichten nach Regulierung + +*Die einzelnen Pflichten werden vom Pflichtenregister-Modul automatisch nach Rechtsquelle gruppiert und als Detailkarten mit allen Feldern in das Dokument eingefuegt. Die Sortierung erfolgt nach Prioritaet (kritisch zuerst).* + +--- + +## 7. Verantwortlichkeiten + +| Verantwortlich | Pflichten | Anzahl | Davon offen | +|----------------|----------|--------|-------------| +| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | | + +### Rollenmatrix + +| Rolle | Aufgabe | +|-------|---------| +| Verantwortlicher ({{RESPONSIBLE_PERSON}}) | Gesamtverantwortung fuer Compliance | +| Datenschutzbeauftragter ({{DPO_NAME}}) | Ueberwachung DSGVO-Pflichten, Beratung | +| Rechtsabteilung ({{LEGAL_DEPARTMENT}}) | Bewertung regulatorischer Aenderungen, NIS2/AI-Act | +| Fachabteilungen | Umsetzung zugewiesener Pflichten | +| IT-Abteilung | Umsetzung technischer Anforderungen | + +--- + +## 8. Fristen-Uebersicht + +### Ueberfaellige Pflichten + +| Pflicht | Regulierung | Frist | Tage ueberfaellig | Prioritaet | +|---------|-------------|-------|--------------------:|-----------| +| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | | | + +### Anstehende Fristen + +| Pflicht | Regulierung | Frist | Verbleibend | Verantwortlich | +|---------|-------------|-------|-------------|----------------| +| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | | | + +--- + +## 9. Nachweisregister + +Dokumentation der Nachweise (Evidence) fuer die Umsetzung der Pflichten: + +| Pflicht | Regulierung | Nachweise | Status | +|---------|-------------|-----------|--------| +| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | | + +### Pflichten ohne Nachweise + +*Das Modul identifiziert automatisch alle Pflichten, fuer die noch keine Nachweise hinterlegt wurden, und listet diese als Handlungsbedarf auf.* + +--- + +## 10. Compliance-Status + +*Der aktuelle Compliance-Score wird vom Pflichtenregister-Modul automatisch berechnet. Der Check umfasst 11 Kriterien und bewertet Befunde nach Schweregrad (Kritisch, Hoch, Mittel, Niedrig).* + +| Kennzahl | Wert | +|----------|------| +| Compliance-Score | *automatisch (0-100)* | +| Befunde gesamt | *automatisch* | +| Kritisch | *automatisch* | +| Hoch | *automatisch* | +| Mittel | *automatisch* | +| Niedrig | *automatisch* | + +### Befunde und Empfehlungen + +| Schweregrad | Befund | Betroffene Pflichten | Empfehlung | +|-------------|--------|---------------------|------------| +| *Wird automatisch vom Compliance-Check befuellt* | | | | + +--- + +## 11. Pruef- und Revisionszyklus + +| Eigenschaft | Wert | +|-------------|------| +| Pruefintervall | Jaehrlich | +| Letzte Pruefung | {{VERSION_DATE}} | +| Naechste Pruefung | {{NEXT_REVIEW_DATE}} | +| Aktuelle Version | {{DOCUMENT_VERSION}} | + +### Pruefpunkte + +- Vollstaendigkeit: Sind alle anwendbaren Pflichten erfasst? +- Aktualitaet: Gibt es neue Regulierungen oder Gesetzesaenderungen? +- Umsetzungsstatus: Sind ueberfaellige Pflichten eskaliert? +- Nachweise: Sind fuer alle abgeschlossenen Pflichten Belege hinterlegt? +- Verantwortlichkeiten: Sind alle Pflichten zugewiesen? +- Fristen: Sind neue Fristen aus Gesetzesaenderungen beruecksichtigt? + +--- + +*Dieses Dokument wird automatisch vom Pflichtenregister-Modul generiert und enthaelt alle erfassten regulatorischen Pflichten mit Verantwortlichkeiten, Fristen und Nachweisen.* + +*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | Stand: {{VERSION_DATE}} | Version {{DOCUMENT_VERSION}}* +$template$, + '["COMPANY_NAME","DPO_NAME","DPO_CONTACT","RESPONSIBLE_PERSON","LEGAL_DEPARTMENT","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb, + 'de', 'DE', + 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', + NOW(), NOW() +WHERE NOT EXISTS ( + SELECT 1 FROM compliance_legal_templates + WHERE document_type = 'pflichtenregister' + AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e' +);