-- Migration 051: Security Document Templates -- 7 security/compliance document templates (German, jurisdiction DE) -- Normative: ISO 27001, BSI IT-Grundschutz, DSGVO Art. 32, NIS2, ISO 31000 -- Template 1: IT-Sicherheitskonzept INSERT INTO compliance_legal_templates ( id, tenant_id, document_type, title, description, content, placeholders, language, jurisdiction, license_id, license_name, source_name, attribution_required, is_complete_document, version, status, created_at, updated_at ) VALUES ( gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'it_security_concept', 'IT-Sicherheitskonzept (ISO 27001 / BSI IT-Grundschutz)', 'Umfassendes IT-Sicherheitskonzept nach ISO/IEC 27001:2022 und BSI IT-Grundschutz. Definiert Sicherheitsziele, Organisation, technische und organisatorische Massnahmen.', $template$# IT-Sicherheitskonzept ## Dokumentenkontrolle | Feld | Wert | |------|------| | Unternehmen | {{COMPANY_NAME}} | | Dokumenttyp | IT-Sicherheitskonzept | | Version | {{DOCUMENT_VERSION}} | | Datum | {{VERSION_DATE}} | | Klassifizierung | Vertraulich | | Autor | {{ISB_NAME}} | | Freigabe | {{GF_NAME}} | | Naechste Pruefung | {{NEXT_REVIEW_DATE}} | ### Aenderungshistorie | Version | Datum | Autor | Aenderung | |---------|-------|-------|-----------| | {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung | --- ## 1. Managementzusammenfassung Dieses IT-Sicherheitskonzept definiert den Rahmen fuer die Informationssicherheit bei {{COMPANY_NAME}}. Es legt Sicherheitsziele, organisatorische Strukturen, technische und organisatorische Massnahmen sowie Prozesse fest, die den Schutz der Vertraulichkeit, Integritaet und Verfuegbarkeit aller Informationswerte sicherstellen. Das Konzept orientiert sich an: - ISO/IEC 27001:2022 (Annex A Controls) - BSI IT-Grundschutz (Kompendium Edition 2023) - DSGVO Art. 32 (Sicherheit der Verarbeitung) - NIS2-Richtlinie Art. 21 (Risikomanagementmassnahmen) **Geltungsbereich**: {{SCOPE_DESCRIPTION}} --- ## 2. Geltungsbereich und Abgrenzung ### 2.1 Eingeschlossene Bereiche - Alle IT-Systeme, Netzwerke und Anwendungen der {{COMPANY_NAME}} - Cloud-Dienste und externe Hosting-Umgebungen - Mobile Endgeraete und Remote-Arbeitsplaetze - Entwicklungs-, Test- und Produktionsumgebungen ### 2.2 Ausgeschlossene Bereiche - _[Hier ausgeschlossene Bereiche definieren]_ ### 2.3 Schnittstellen - Auftragsverarbeiter gemaess Art. 28 DSGVO - Kunden-Schnittstellen (APIs, Portale) - Lieferanten und Dienstleister --- ## 3. Normative Referenzen | Standard | Relevanz | |----------|----------| | ISO/IEC 27001:2022 | ISMS-Anforderungen, Annex A Controls | | ISO/IEC 27002:2022 | Umsetzungsempfehlungen fuer Controls | | BSI IT-Grundschutz 200-1 | Managementsysteme fuer Informationssicherheit | | BSI IT-Grundschutz 200-2 | IT-Grundschutz-Methodik | | BSI IT-Grundschutz 200-3 | Risikoanalyse | | DSGVO | Datenschutz-Grundverordnung (EU) 2016/679 | | BDSG | Bundesdatenschutzgesetz | | NIS2-Richtlinie | (EU) 2022/2555 | --- ## 4. IT-Sicherheitsorganisation ### 4.1 Rollen und Verantwortlichkeiten | Rolle | Person | Verantwortung | |-------|--------|---------------| | Geschaeftsfuehrung | {{GF_NAME}} | Gesamtverantwortung, Budget, Freigabe | | ISB | {{ISB_NAME}} | Operative Steuerung, Konzepte, Audits | | DSB | {{DPO_NAME}} | Datenschutz-Compliance, Beratung | | IT-Leitung | _[Name]_ | Technische Umsetzung, Betrieb | | Alle Mitarbeiter | — | Einhaltung der Richtlinien, Meldung von Vorfaellen | ### 4.2 Berichtswege - ISB berichtet direkt an die Geschaeftsfuehrung (mind. quartalsweise) - Jaehrlicher Sicherheitsbericht an die Geschaeftsfuehrung - Ad-hoc-Meldungen bei Sicherheitsvorfaellen ### 4.3 Sicherheitsgremium - Zusammensetzung: GF, ISB, DSB, IT-Leitung - Sitzungsrhythmus: quartalsweise - Aufgaben: Risikobewertung, Massnahmenfreigabe, Budget --- ## 5. Informationsklassifizierung | Stufe | Kennzeichnung | Schutzbedarf | |-------|--------------|--------------| | Stufe 1 | OEFFENTLICH | Normal | | Stufe 2 | INTERN | Normal | | Stufe 3 | VERTRAULICH | Hoch | | Stufe 4 | STRENG VERTRAULICH | Sehr hoch | --- ## 6. Risikoanalyse und -bewertung Risikobewertung nach BSI-Standard 200-3 mit 5x5-Matrix. Risikoakzeptanzkriterium: Score <= 8 akzeptabel. Score 9-15 erfordert Massnahmen innerhalb 90 Tagen. Score >= 16 erfordert sofortige Massnahmen. --- ## 7. Technische Sicherheitsmassnahmen ### 7.1 Netzwerksicherheit - Netzwerksegmentierung (DMZ, internes Netz, Management-Netz) - Firewall-Regelwerk mit Default-Deny-Prinzip - IDS/IPS, VPN fuer Remote-Zugriffe ### 7.2 Systemsicherheit - Haertung aller Server und Endgeraete (CIS Benchmarks) - Patch-Management: Kritische Patches innerhalb 72h - EDR auf allen Endgeraeten - Festplattenverschluesselung auf allen mobilen Geraeten ### 7.3 Anwendungssicherheit - Secure Development Lifecycle (SDLC) - Code-Reviews, SAST/DAST-Scans in CI/CD - OWASP Top 10 als Mindeststandard ### 7.4 Datensicherheit - Verschluesselung at-rest (AES-256), TLS 1.2+ fuer alle Uebertragungen - Schluesselmanagement: Rotation alle 12 Monate ### 7.5 Kryptografie - Zugelassene Algorithmen: AES-256, RSA-2048+, SHA-256+ - Verbotene Algorithmen: MD5, SHA-1, DES, 3DES, RC4 --- ## 8. Organisatorische Massnahmen - IT-Nutzungsrichtlinie, Passwortrichtlinie (mind. 12 Zeichen, MFA) - Onboarding-Sicherheitsschulung, jaehrliche Auffrischung - Phishing-Simulationen quartalsweise - Geordnetes Offboarding: Entzug aller Berechtigungen innerhalb 24h --- ## 9. Physische Sicherheit - Zutrittskontrollsystem mit Protokollierung - Serverraum: Klimatisierung, USV, Brandmeldeanlage - Clean-Desk-Policy, Bildschirmsperre nach 5 Minuten --- ## 10. Business Continuity und Notfallmanagement - Business Impact Analyse (BIA) - RTO und RPO je System festgelegt - Jaehrliche Notfalluebung --- ## 11. Compliance-Anforderungen - DSGVO Art. 32: TOMs, Art. 33/34: Meldepflicht - NIS2 Art. 21: Risikomanagementmassnahmen - AI Act Art. 9/15 (falls zutreffend) --- ## 12. Kennzahlen und Berichtswesen | KPI | Zielwert | Erhebung | |-----|---------|----------| | Patch-Compliance (kritisch) | >= 95% innerhalb 72h | Monatlich | | Phishing-Klickrate | < 5% | Quartalsweise | | MFA-Abdeckung | 100% | Monatlich | | Schulungsquote | 100% | Jaehrlich | | MTTD | < 24h | Quartalsweise | | MTTR | < 4h (kritisch) | Quartalsweise | --- ## 13. Revision und Fortschreibung Regelmaessige Pruefung jaehrlich durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. $template$, CAST('["COMPANY_NAME","COMPANY_ADDRESS","COMPANY_LEGAL_FORM","COMPANY_INDUSTRY","COMPANY_SIZE","DPO_NAME","DPO_EMAIL","DPO_PHONE","ISB_NAME","ISB_EMAIL","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","SCOPE_DESCRIPTION","WEBSITE_URL","CLASSIFICATION_LEVELS"]' AS jsonb), 'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance', false, true, '1.0.0', 'published', NOW(), NOW() ) ON CONFLICT DO NOTHING; -- Template 2: Datenschutzkonzept INSERT INTO compliance_legal_templates ( id, tenant_id, document_type, title, description, content, placeholders, language, jurisdiction, license_id, license_name, source_name, attribution_required, is_complete_document, version, status, created_at, updated_at ) VALUES ( gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'data_protection_concept', 'Datenschutzkonzept (DSGVO)', 'Datenschutzkonzept gemaess DSGVO Art. 5, 6, 12-22, 24, 25, 28, 32-35. Beschreibt Datenschutzstrategie, Betroffenenrechte, TOMs und Auftragsverarbeitung.', $template$# Datenschutzkonzept ## Dokumentenkontrolle | Feld | Wert | |------|------| | Unternehmen | {{COMPANY_NAME}} | | Version | {{DOCUMENT_VERSION}} | | Datum | {{VERSION_DATE}} | | Autor | {{DPO_NAME}} | | Freigabe | {{GF_NAME}} | | Naechste Pruefung | {{NEXT_REVIEW_DATE}} | --- ## 1. Zweck und Geltungsbereich Dieses Datenschutzkonzept beschreibt die Strategie und Massnahmen der {{COMPANY_NAME}} zum Schutz personenbezogener Daten gemaess DSGVO und BDSG. **Geltungsbereich**: {{SCOPE_DESCRIPTION}} --- ## 2. Datenschutzorganisation ### 2.1 Datenschutzbeauftragter | Feld | Wert | |------|------| | Name | {{DPO_NAME}} | | E-Mail | {{DPO_EMAIL}} | | Telefon | {{DPO_PHONE}} | ### 2.2 Verantwortlicher {{COMPANY_NAME}}, {{COMPANY_ADDRESS}}, vertreten durch {{GF_NAME}}. --- ## 3. Grundsaetze der Verarbeitung (Art. 5 DSGVO) | Grundsatz | Umsetzung | |-----------|-----------| | Rechtmaessigkeit | Jede Verarbeitung hat eine Rechtsgrundlage (Art. 6) | | Zweckbindung | Daten nur fuer festgelegte Zwecke | | Datenminimierung | Nur erforderliche Daten erheben | | Richtigkeit | Regelmaessige Aktualisierung | | Speicherbegrenzung | Loeschfristen gemaess Loeschkonzept | | Integritaet/Vertraulichkeit | TOMs gemaess Art. 32 | | Rechenschaftspflicht | Dokumentation aller Massnahmen | --- ## 4. Rechtsgrundlagen (Art. 6 DSGVO) - **Einwilligung (Art. 6 Abs. 1 lit. a)**: Newsletter, Marketing, Cookies, Analytics - **Vertragserfullung (Art. 6 Abs. 1 lit. b)**: Kundenvertragsdaten, Support - **Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c)**: Steuerliche Aufbewahrung - **Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)**: IT-Sicherheit, Betrugspraevention --- ## 5. Verarbeitungstaetigkeiten Alle Verarbeitungen im VVT gemaess Art. 30 DSGVO dokumentiert. --- ## 6. Betroffenenrechte (Art. 12-22 DSGVO) | Recht | Artikel | Frist | |-------|---------|-------| | Auskunft | Art. 15 | 1 Monat | | Berichtigung | Art. 16 | Unverzueglich | | Loeschung | Art. 17 | 1 Monat | | Einschraenkung | Art. 18 | Unverzueglich | | Datenportabilitaet | Art. 20 | 1 Monat | | Widerspruch | Art. 21 | Unverzueglich | --- ## 7. Technisch-Organisatorische Massnahmen (Art. 32 DSGVO) | Bereich | Massnahme | |---------|-----------| | Zutrittskontrolle | Zutrittskontrollsystem, Besucherregelung | | Zugangskontrolle | MFA, Passwortrichtlinie, Bildschirmsperre | | Zugriffskontrolle | RBAC, Least Privilege | | Weitergabekontrolle | TLS 1.2+, VPN | | Eingabekontrolle | Audit-Logging | | Auftragskontrolle | AV-Vertraege, Lieferantenbewertung | | Verfuegbarkeitskontrolle | Backup, USV, Redundanz | | Trennungskontrolle | Mandantentrennung | --- ## 8. Auftragsverarbeitung (Art. 28 DSGVO) - Schriftlicher AV-Vertrag mit allen Inhalten gemaess Art. 28 Abs. 3 - Nachweis angemessener TOMs - Jaehrliche Neubewertung --- ## 9. Drittlandsuebermittlung (Art. 44-49 DSGVO) Uebermittlung nur bei Angemessenheitsbeschluss (Art. 45) oder SCC (Art. 46). Transfer Impact Assessment fuer jede Drittlandsuebermittlung ohne Angemessenheitsbeschluss. --- ## 10. DSFA (Art. 35 DSGVO) DSFA bei voraussichtlich hohem Risiko fuer Rechte und Freiheiten. Schwellwertanalyse mit 9 Pruefkriterien (mind. 2 zutreffend = DSFA erforderlich). --- ## 11. Datenpannenmanagement (Art. 33/34 DSGVO) 1. Erkennung und interne Meldung an DSB (unverzueglich) 2. Risikobewertung 3. Meldung an Aufsichtsbehoerde innerhalb 72h (Art. 33) 4. Benachrichtigung Betroffener bei hohem Risiko (Art. 34) 5. Dokumentation aller Vorfaelle --- ## 12. Loeschkonzept | Datenkategorie | Aufbewahrungsfrist | Rechtsgrundlage | |---------------|-------------------|----------------| | Vertragsdaten | 10 Jahre | § 257 HGB, § 147 AO | | Bewerberdaten | 6 Monate nach Absage | AGG-Frist | | Logdaten | 90 Tage | Berechtigtes Interesse | --- ## 13. Schulung und Sensibilisierung - Onboarding: Datenschutz-Grundschulung (Pflicht, innerhalb 30 Tagen) - Jaehrliche Auffrischungsschulung - Spezialschulungen fuer HR, IT, Vertrieb --- ## 14. Revision Jaehrliche Pruefung durch DSB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. $template$, CAST('["COMPANY_NAME","COMPANY_ADDRESS","DPO_NAME","DPO_EMAIL","DPO_PHONE","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","SCOPE_DESCRIPTION"]' AS jsonb), 'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance', false, true, '1.0.0', 'published', NOW(), NOW() ) ON CONFLICT DO NOTHING; -- Template 3: Backup- und Recovery-Konzept INSERT INTO compliance_legal_templates ( id, tenant_id, document_type, title, description, content, placeholders, language, jurisdiction, license_id, license_name, source_name, attribution_required, is_complete_document, version, status, created_at, updated_at ) VALUES ( gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'backup_recovery_concept', 'Backup- und Recovery-Konzept', 'Backup- und Recovery-Konzept nach BSI IT-Grundschutz CON.3 und ISO 27001. Definiert Backup-Strategie, RTO/RPO, Speicherorte und Testplan.', $template$# Backup- und Recovery-Konzept ## Dokumentenkontrolle | Feld | Wert | |------|------| | Unternehmen | {{COMPANY_NAME}} | | Version | {{DOCUMENT_VERSION}} | | Datum | {{VERSION_DATE}} | | Autor | {{ISB_NAME}} | | Freigabe | {{GF_NAME}} | | Naechste Pruefung | {{NEXT_REVIEW_DATE}} | --- ## 1. Ziele und Anforderungen ### 1.1 Schutzziele - **Verfuegbarkeit**: Wiederherstellung innerhalb definierter Zeiten - **Integritaet**: Datenkonsistenz nach Wiederherstellung - **Vertraulichkeit**: Schutz der Backup-Daten ### 1.2 Recovery-Ziele | Klasse | RTO | RPO | Beispiele | |--------|-----|-----|-----------| | Tier 1 | 4h | 1h | Produktions-DB, ERP, E-Mail | | Tier 2 | 24h | 4h | Intranet, File-Server, CRM | | Tier 3 | 72h | 24h | Entwicklungsumgebung, Archiv | --- ## 2. Backup-Strategie (3-2-1-Regel) - **3** Kopien jeder Datei - **2** unterschiedliche Speichermedien - **1** Kopie offsite ### 2.1 Backup-Typen | Typ | Haeufigkeit | Speicherdauer | |-----|-------------|---------------| | Voll-Backup | Woechentlich (So) | 90 Tage | | Inkrementelles Backup | Taeglich (Mo-Sa) | 30 Tage | | Snapshot | Stuendlich (Tier 1) | 7 Tage | | Datenbank-Dump | Taeglich | 30 Tage | --- ## 3. Speicherorte und Verschluesselung | Speicherort | Verschluesselung | Aufbewahrung | |-------------|-----------------|--------------| | Lokaler Storage | AES-256 at-rest | 30 Tage | | Offsite/Cloud | AES-256 + TLS | 90 Tage | | Langzeitarchiv | AES-256 | 10 Jahre | --- ## 4. Aufbewahrungsfristen | Datenkategorie | Frist | Grundlage | |---------------|-------|-----------| | Handelsbuecher | 10 Jahre | § 257 HGB | | Steuerunterlagen | 10 Jahre | § 147 AO | | Geschaeftskorrespondenz | 6 Jahre | § 257 HGB | | Logdaten | 90 Tage | Berechtigtes Interesse | --- ## 5. Recovery-Verfahren | Szenario | Verfahren | Dauer | |----------|-----------|-------| | Einzelne Datei | Granularer Restore | 15-60 Min | | Datenbank | Point-in-Time Recovery | 1-4h | | Server | VM-Snapshot + Inkr. | 2-8h | | Kompletter Standort | Disaster Recovery | 8-24h | --- ## 6. Testplan | Test | Haeufigkeit | Verantwortlich | |------|-------------|---------------| | Restore einzelne Datei | Monatlich | IT-Admin | | Datenbank-Restore | Quartalsweise | DBA | | Komplett-Restore | Halbjaehrlich | IT-Leitung | | Disaster-Recovery-Test | Jaehrlich | ISB | --- ## 7. Monitoring und Alerting - Automatische Ueberwachung aller Backup-Jobs - Alerting bei fehlgeschlagenen Backups, Speicherplatz < 20% - Woechentlicher Status-Report an IT-Leitung --- ## 8. Revision Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. $template$, CAST('["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]' AS jsonb), 'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance', false, true, '1.0.0', 'published', NOW(), NOW() ) ON CONFLICT DO NOTHING; -- Template 4: Logging-Konzept INSERT INTO compliance_legal_templates ( id, tenant_id, document_type, title, description, content, placeholders, language, jurisdiction, license_id, license_name, source_name, attribution_required, is_complete_document, version, status, created_at, updated_at ) VALUES ( gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'logging_concept', 'Logging-Konzept', 'Logging-Konzept nach BSI IT-Grundschutz OPS.1.1.5 und BSI TR-03161. Definiert zu protokollierende Ereignisse, Speicherung, SIEM-Integration.', $template$# Logging-Konzept ## Dokumentenkontrolle | Feld | Wert | |------|------| | Unternehmen | {{COMPANY_NAME}} | | Version | {{DOCUMENT_VERSION}} | | Datum | {{VERSION_DATE}} | | Autor | {{ISB_NAME}} | | Freigabe | {{GF_NAME}} | | Naechste Pruefung | {{NEXT_REVIEW_DATE}} | --- ## 1. Zweck und rechtliche Grundlagen ### 1.1 Zweck - Erkennung von Sicherheitsvorfaellen - Forensische Analyse und Nachverfolgbarkeit - Erfuellung gesetzlicher Nachweispflichten ### 1.2 Rechtliche Grundlagen | Norm | Anforderung | |------|------------| | DSGVO Art. 32 | Sicherheit der Verarbeitung | | DSGVO Art. 5 Abs. 2 | Rechenschaftspflicht | | BSI OPS.1.1.5 | Protokollierung | | ISO 27001 A.8.15 | Logging | ### 1.3 Datenschutzaspekte - Logdaten koennen personenbezogene Daten enthalten - Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO - Pseudonymisierung wo moeglich --- ## 2. Zu protokollierende Ereignisse ### 2.1 Pflicht-Ereignisse | Kategorie | Ereignisse | |-----------|-----------| | Authentifizierung | Login/Logout, Passwort-Aenderung, MFA-Events | | Autorisierung | Zugriffsverweigerung, Berechtigungsaenderung | | Datenzugriff | Lesen/Schreiben/Loeschen sensibler Daten | | Administration | Konfigurationsaenderungen, Benutzeranlage/-loeschung | | Sicherheit | Firewall-Events, IDS-Alarme, Malware-Erkennung | ### 2.2 Verbotene Protokollierung - Passwoerter im Klartext (NIEMALS) - Vollstaendige Kreditkartennummern - Gesundheitsdaten ohne Erforderlichkeit --- ## 3. Log-Format ### 3.1 Pflichtfelder | Feld | Beschreibung | |------|-------------| | timestamp | ISO 8601 mit Zeitzone | | severity | INFO, WARN, ERROR, CRITICAL | | source | System/Anwendung | | event_type | Ereigniskategorie | | user_id | Pseudonymisierter Benutzer | | ip_address | Quell-IP | | action | Durchgefuehrte Aktion | | resource | Betroffene Ressource | | result | Ergebnis | --- ## 4. Speicherung und Aufbewahrung | Log-Kategorie | Aufbewahrung | |--------------|-------------| | Sicherheits-Logs | 12 Monate | | Zugriffs-Logs | 6 Monate | | System-Logs | 90 Tage | | Debug-Logs | 30 Tage | | Audit-Logs | 10 Jahre | --- ## 5. Zugriff auf Logs | Rolle | Zugriff | Bedingung | |-------|---------|-----------| | IT-Admin | System-Logs, Debug-Logs | Dienstlich erforderlich | | ISB | Sicherheits-Logs | Anlassbezogen oder routinemaessig | | DSB | Audit-Logs (anonymisiert) | Datenschutzaudit | Zugriff wird selbst protokolliert (Meta-Logging). --- ## 6. Integritaetsschutz - Log-Dateien: Append-Only - Hashketten: Jeder Eintrag referenziert Hash des vorherigen - Zentrale Sammlung an Aggregator - 4-Augen-Prinzip fuer Loeschberechtigung --- ## 7. SIEM-Integration - Zentrales Log-Management - Log-Weiterleitung via Syslog (TLS) - Korrelation von Events aus verschiedenen Quellen - Echtzeit-Dashboards fuer ISB --- ## 8. Auswertung und Monitoring | Regel | Schwellwert | Aktion | |-------|-----------|--------| | Brute-Force | >5 fehlgeschlagene Logins/5min | Alert + Sperre | | Privilege Escalation | Jede Admin-Rollenaenderung | Alert an ISB | | Ungewoehnlicher Datenzugriff | >100 Records/min | Alert | --- ## 9. Revision Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. $template$, CAST('["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]' AS jsonb), 'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance', false, true, '1.0.0', 'published', NOW(), NOW() ) ON CONFLICT DO NOTHING; -- Template 5: Incident-Response-Plan INSERT INTO compliance_legal_templates ( id, tenant_id, document_type, title, description, content, placeholders, language, jurisdiction, license_id, license_name, source_name, attribution_required, is_complete_document, version, status, created_at, updated_at ) VALUES ( gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'incident_response_plan', 'Incident-Response-Plan (DSGVO Art. 33/34, NIS2)', 'Incident-Response-Plan fuer Sicherheitsvorfaelle und Datenpannen. Definiert Klassifizierung, Response-Team, Meldepflichten und Kommunikationsplan.', $template$# Incident-Response-Plan ## Dokumentenkontrolle | Feld | Wert | |------|------| | Unternehmen | {{COMPANY_NAME}} | | Version | {{DOCUMENT_VERSION}} | | Datum | {{VERSION_DATE}} | | Autor | {{ISB_NAME}} | | Freigabe | {{GF_NAME}} | | Naechste Pruefung | {{NEXT_REVIEW_DATE}} | **WICHTIG: Dieses Dokument muss auch offline verfuegbar sein!** --- ## 1. Zweck und Geltungsbereich Dieser Plan definiert das Vorgehen bei Informationssicherheitsvorfaellen und Datenschutzverletzungen bei {{COMPANY_NAME}}. **Ziel**: Schnelle Erkennung, Eindaemmung, Behebung und Nachbereitung bei gleichzeitiger Erfuellung gesetzlicher Meldepflichten (DSGVO Art. 33: 72h, NIS2 Art. 23: 24h). --- ## 2. Incident-Klassifizierung | Severity | Beschreibung | Reaktionszeit | |----------|-------------|---------------| | SEV-1 (Kritisch) | Existenzbedrohend, groesserer Datenverlust | Sofort (< 1h) | | SEV-2 (Hoch) | Erheblicher Schaden, begrenzte Datenpanne | < 4h | | SEV-3 (Mittel) | Begrenzter Schaden, keine Datenpanne | < 24h | | SEV-4 (Niedrig) | Geringes Risiko, Regelverstoesse | < 72h | --- ## 3. Incident-Response-Team | Rolle | Person | Aufgabe | |-------|--------|---------| | Incident Manager | {{ISB_NAME}} | Gesamtkoordination | | DSB | {{DPO_NAME}} | Datenschutz-Bewertung, Meldung | | Geschaeftsfuehrung | {{GF_NAME}} | Entscheidungen, Krisenkommunikation | --- ## 4. Meldewege und Eskalation Alle Mitarbeiter melden Sicherheitsvorfaelle an: security@{{COMPANY_NAME}} | Stufe | Ausloeser | Informierte Personen | |-------|-----------|---------------------| | 1 | Jeder Verdacht | IT-Support, ISB | | 2 | Bestaetigt SEV-3+ | ISB, IT-Security, DSB | | 3 | SEV-2 oder Datenpanne | + GF, Recht | | 4 | SEV-1 | + Krisenstab, ext. Partner | --- ## 5. Phase 1: Erkennung und Bewertung Innerhalb von 30 Minuten nach Meldung: - Was ist passiert? - Sind personenbezogene Daten betroffen? - Severity-Einstufung - Eskalation erforderlich? --- ## 6. Phase 2: Eindaemmung - Betroffenes System isolieren - Kompromittierte Accounts sperren - **WICHTIG**: Beweissicherung VOR Bereinigung! --- ## 7. Phase 3: Beseitigung - Root Cause Analysis - Schadsoftware entfernen, Schwachstelle patchen - Kompromittierte Credentials rotieren --- ## 8. Phase 4: Wiederherstellung - Systeme aus sauberen Backups wiederherstellen - Schrittweise Wiederinbetriebnahme - Erhoehtes Monitoring fuer 30 Tage --- ## 9. Phase 5: Nachbereitung Innerhalb von 14 Tagen: Post-Incident-Review mit Timeline, Lessons Learned, Massnahmenplan. --- ## 10. Gesetzliche Meldepflichten ### DSGVO Art. 33 — Aufsichtsbehoerde - Frist: 72 Stunden nach Kenntnis - Inhalt: Art der Verletzung, Kategorien/Anzahl Betroffene, Folgen, Gegenmassnahmen ### DSGVO Art. 34 — Betroffene - Erforderlich bei hohem Risiko fuer Rechte und Freiheiten ### NIS2 Art. 23 — BSI - Fruehwarnung: 24h, Erstbewertung: 72h, Abschlussbericht: 1 Monat --- ## 11. Kommunikationsplan | Zielgruppe | Kanal | Verantwortlich | |-----------|-------|----------------| | Mitarbeiter | E-Mail / Intranet | Kommunikation | | Kunden | E-Mail / Portal | GF | | Presse | Pressemitteilung | GF | | Behoerden | Meldeformular | DSB | --- ## 12. Testplan | Uebung | Haeufigkeit | Art | |--------|-------------|-----| | Tabletop-Uebung | Halbjaehrlich | Szenario-Durchsprache | | Technische Uebung | Jaehrlich | Simulierter Angriff | | Meldeprozess-Test | Jaehrlich | DSGVO-Meldung simulieren | --- ## 13. Revision Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. $template$, CAST('["COMPANY_NAME","ISB_NAME","ISB_EMAIL","DPO_NAME","DPO_EMAIL","DPO_PHONE","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]' AS jsonb), 'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance', false, true, '1.0.0', 'published', NOW(), NOW() ) ON CONFLICT DO NOTHING; -- Template 6: Zugriffskonzept INSERT INTO compliance_legal_templates ( id, tenant_id, document_type, title, description, content, placeholders, language, jurisdiction, license_id, license_name, source_name, attribution_required, is_complete_document, version, status, created_at, updated_at ) VALUES ( gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'access_control_concept', 'Zugriffskonzept (ISO 27001 / BSI IT-Grundschutz)', 'Zugriffskonzept nach ISO 27001 und BSI IT-Grundschutz ORP.4. Definiert RBAC, Benutzerlebenszyklus, Authentifizierung und privilegierten Zugriff.', $template$# Zugriffskonzept ## Dokumentenkontrolle | Feld | Wert | |------|------| | Unternehmen | {{COMPANY_NAME}} | | Version | {{DOCUMENT_VERSION}} | | Datum | {{VERSION_DATE}} | | Autor | {{ISB_NAME}} | | Freigabe | {{GF_NAME}} | | Naechste Pruefung | {{NEXT_REVIEW_DATE}} | --- ## 1. Grundsaetze - **Need-to-Know**: Zugriff nur bei Erforderlichkeit - **Least Privilege**: Minimal notwendige Berechtigungen - **Separation of Duties**: Kritische Vorgaenge erfordern mehrere Personen --- ## 2. Rollen und Berechtigungskonzept (RBAC) | Rolle | Berechtigungen | |-------|---------------| | Benutzer (Standard) | Lesen eigener Daten | | Fachadministrator | Lesen/Schreiben Fachdaten | | IT-Administrator | Systemkonfiguration, Benutzerverwaltung | | Privilegierter Admin | Root/Domain-Admin | | Auditor | Lesezugriff auf Logs | | Service-Account | API-Zugriff, automatisiert | --- ## 3. Benutzerlebenszyklus ### 3.1 Onboarding - Vorgesetzter beantragt Berechtigungen - IT richtet Zugang ein (innerhalb 2 Werktage) - Sicherheitsunterweisung innerhalb 30 Tage ### 3.2 Versetzung - Neue Berechtigungen beantragen - Alte Berechtigungen entziehen ### 3.3 Offboarding - Alle Accounts deaktivieren am letzten Arbeitstag - VPN/Remote sofort sperren - Account-Loeschung nach 30 Tagen --- ## 4. Authentifizierung ### 4.1 Passwortrichtlinie | Anforderung | Wert | |-------------|------| | Mindestlaenge | 12 Zeichen | | Komplexitaet | Mind. 3 von 4 Kategorien | | Sperrung | Nach 5 Fehlversuchen | ### 4.2 MFA | System | MFA Pflicht | Methode | |--------|------------|---------| | E-Mail | Ja | TOTP oder FIDO2 | | VPN | Ja | TOTP oder FIDO2 | | Admin-Zugaenge | Ja | FIDO2 (Hardware-Token) | --- ## 5. Privilegierter Zugriff (PAM) - Namentlich zugeordnete Admin-Accounts - Separater Account fuer Admin-Taetigkeiten - Vollstaendige Session-Protokollierung - Break-Glass-Verfahren fuer Notfallzugang (4-Augen-Prinzip) --- ## 6. Rezertifizierung | Pruefung | Haeufigkeit | Verantwortlich | |----------|-------------|---------------| | Standard-Berechtigungen | Halbjaehrlich | Fachabteilungsleitung | | Privilegierte Zugaenge | Quartalsweise | ISB + IT-Leitung | | Service-Accounts | Jaehrlich | IT-Leitung | | Externe Zugaenge | Quartalsweise | Account Manager | --- ## 7. Protokollierung Alle Zugriffsereignisse werden protokolliert (siehe Logging-Konzept): - Erfolgreiche und fehlgeschlagene Anmeldungen - Berechtigungsaenderungen - Zugriff auf sensible Daten - Break-Glass-Nutzung --- ## 8. Revision Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. $template$, CAST('["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]' AS jsonb), 'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance', false, true, '1.0.0', 'published', NOW(), NOW() ) ON CONFLICT DO NOTHING; -- Template 7: Risikomanagement-Konzept INSERT INTO compliance_legal_templates ( id, tenant_id, document_type, title, description, content, placeholders, language, jurisdiction, license_id, license_name, source_name, attribution_required, is_complete_document, version, status, created_at, updated_at ) VALUES ( gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'risk_management_concept', 'Risikomanagement-Konzept (ISO 31000)', 'Risikomanagement-Konzept nach ISO 31000:2018 und ISO 27005:2022. Definiert Risikoprozess, 5x5-Matrix, Behandlungsoptionen und KPIs.', $template$# Risikomanagement-Konzept ## Dokumentenkontrolle | Feld | Wert | |------|------| | Unternehmen | {{COMPANY_NAME}} | | Version | {{DOCUMENT_VERSION}} | | Datum | {{VERSION_DATE}} | | Autor | {{ISB_NAME}} | | Freigabe | {{GF_NAME}} | | Naechste Pruefung | {{NEXT_REVIEW_DATE}} | --- ## 1. Zweck und Geltungsbereich Systematischer Prozess zur Identifikation, Bewertung, Behandlung und Ueberwachung von Risiken bei {{COMPANY_NAME}}. Umfasst: - Informationssicherheitsrisiken (ISO 27001) - Datenschutzrisiken (DSGVO Art. 35) - KI-Risiken (AI Act Art. 9, falls zutreffend) - Operative IT-Risiken --- ## 2. Risikomanagement-Organisation | Rolle | Person | Aufgabe | |-------|--------|---------| | Risk Owner | {{GF_NAME}} | Gesamtverantwortung, Risikoakzeptanz | | Risikomanager | {{ISB_NAME}} | Prozesssteuerung, Methodik, Reporting | | DSB | {{DPO_NAME}} | Datenschutzrisiken, DSFA | Quartalsmaessiges Risiko-Review im Sicherheitsgremium. --- ## 3. Risikomanagement-Prozess (ISO 31000) Kontext festlegen → Risikoidentifikation → Risikoanalyse → Risikobewertung → Risikobehandlung → Ueberwachung & Review --- ## 4. Risikoidentifikation ### 4.1 Methoden - Asset-basierte Analyse - Szenario-basierte Analyse - Audit-Findings und Incident-Analyse - Bedrohungsintelligenz (BSI-Lageberichte) ### 4.2 Risikokategorien | Kategorie | Beispiele | |-----------|-----------| | Vertraulichkeit | Datenleck, unbefugter Zugriff | | Integritaet | Datenmanipulation, Malware | | Verfuegbarkeit | Systemausfall, Ransomware | | Compliance | DSGVO-Verstoss, Bussgeld | | Reputation | Datenskandal, Kundenvertrauen | --- ## 5. Risikoanalyse und -bewertung ### 5.1 Bewertungskriterien (5x5-Matrix) **Eintrittswahrscheinlichkeit**: 1 (sehr gering) bis 5 (sehr hoch) **Schadenshoehe**: 1 (vernachlaessigbar) bis 5 (existenzbedrohend) ### 5.2 Risikoklassen | Score | Klasse | Massnahme | |-------|--------|-----------| | 1-4 | Niedrig | Akzeptieren oder beobachten | | 5-9 | Mittel | Massnahmen innerhalb 6 Monaten | | 10-15 | Hoch | Massnahmen innerhalb 90 Tagen | | 16-25 | Kritisch | Sofortmassnahmen erforderlich | --- ## 6. Risikobehandlung | Option | Beschreibung | |--------|-------------| | Vermeiden | Risikoquelle beseitigen | | Vermindern | Wahrscheinlichkeit oder Schaden reduzieren | | Uebertragen | Cyberversicherung, Outsourcing | | Akzeptieren | Dokumentierte Entscheidung | ### Risikoakzeptanzkriterien | Bedingung | Entscheider | |-----------|-------------| | Score <= 4 | Risiko-Owner (Fachbereich) | | Score 5-9 | ISB | | Score 10-15 | Geschaeftsfuehrung | | Score >= 16 | Akzeptanz NICHT zulaessig | --- ## 7. KI-Risikobewertung (AI Act) | Risikoklasse | Anforderungen | |-------------|---------------| | Unakzeptabel (Art. 5) | Verboten | | Hochrisiko (Art. 6) | Risikomanagementsystem, Dokumentation, Human Oversight | | Begrenzt (Art. 50) | Transparenzpflicht | | Minimal | Keine besonderen Anforderungen | --- ## 8. Ueberwachung und Berichterstattung | Aktivitaet | Haeufigkeit | |-----------|-------------| | Risikoregister-Update | Quartalsweise | | Massnahmenwirksamkeit pruefen | Quartalsweise | | Risikobericht an GF | Quartalsweise | | Vollstaendige Risikobewertung | Jaehrlich | ### KPIs | KPI | Zielwert | |-----|---------| | Kritische Risiken (Score >= 16) | 0 | | Durchschnittliches Restrisiko | < 8 | | Massnahmen-Umsetzungsquote | >= 90% | | Ueberfallige Massnahmen | 0 | --- ## 9. Revision Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. $template$, CAST('["COMPANY_NAME","ISB_NAME","DPO_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]' AS jsonb), 'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance', false, true, '1.0.0', 'published', NOW(), NOW() ) ON CONFLICT DO NOTHING;