breakpilot-compliance/backend-compliance/migrations/051_security_templates.sql

-- Migration 051: Security Document Templates
-- 7 security/compliance document templates (German, jurisdiction DE)
-- Normative: ISO 27001, BSI IT-Grundschutz, DSGVO Art. 32, NIS2, ISO 31000

-- Template 1: IT-Sicherheitskonzept
INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) VALUES (
    gen_random_uuid(),
    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'it_security_concept',
    'IT-Sicherheitskonzept (ISO 27001 / BSI IT-Grundschutz)',
    'Umfassendes IT-Sicherheitskonzept nach ISO/IEC 27001:2022 und BSI IT-Grundschutz. Definiert Sicherheitsziele, Organisation, technische und organisatorische Massnahmen.',
    $template$# IT-Sicherheitskonzept

## Dokumentenkontrolle

| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Dokumenttyp | IT-Sicherheitskonzept |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Klassifizierung | Vertraulich |
| Autor | {{ISB_NAME}} |
| Freigabe | {{GF_NAME}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |

### Aenderungshistorie

| Version | Datum | Autor | Aenderung |
|---------|-------|-------|-----------|
| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung |

---

## 1. Managementzusammenfassung

Dieses IT-Sicherheitskonzept definiert den Rahmen fuer die Informationssicherheit bei {{COMPANY_NAME}}. Es legt Sicherheitsziele, organisatorische Strukturen, technische und organisatorische Massnahmen sowie Prozesse fest, die den Schutz der Vertraulichkeit, Integritaet und Verfuegbarkeit aller Informationswerte sicherstellen.

Das Konzept orientiert sich an:
- ISO/IEC 27001:2022 (Annex A Controls)
- BSI IT-Grundschutz (Kompendium Edition 2023)
- DSGVO Art. 32 (Sicherheit der Verarbeitung)
- NIS2-Richtlinie Art. 21 (Risikomanagementmassnahmen)

**Geltungsbereich**: {{SCOPE_DESCRIPTION}}

---

## 2. Geltungsbereich und Abgrenzung

### 2.1 Eingeschlossene Bereiche
- Alle IT-Systeme, Netzwerke und Anwendungen der {{COMPANY_NAME}}
- Cloud-Dienste und externe Hosting-Umgebungen
- Mobile Endgeraete und Remote-Arbeitsplaetze
- Entwicklungs-, Test- und Produktionsumgebungen

### 2.2 Ausgeschlossene Bereiche
- _[Hier ausgeschlossene Bereiche definieren]_

### 2.3 Schnittstellen
- Auftragsverarbeiter gemaess Art. 28 DSGVO
- Kunden-Schnittstellen (APIs, Portale)
- Lieferanten und Dienstleister

---

## 3. Normative Referenzen

| Standard | Relevanz |
|----------|----------|
| ISO/IEC 27001:2022 | ISMS-Anforderungen, Annex A Controls |
| ISO/IEC 27002:2022 | Umsetzungsempfehlungen fuer Controls |
| BSI IT-Grundschutz 200-1 | Managementsysteme fuer Informationssicherheit |
| BSI IT-Grundschutz 200-2 | IT-Grundschutz-Methodik |
| BSI IT-Grundschutz 200-3 | Risikoanalyse |
| DSGVO | Datenschutz-Grundverordnung (EU) 2016/679 |
| BDSG | Bundesdatenschutzgesetz |
| NIS2-Richtlinie | (EU) 2022/2555 |

---

## 4. IT-Sicherheitsorganisation

### 4.1 Rollen und Verantwortlichkeiten

| Rolle | Person | Verantwortung |
|-------|--------|---------------|
| Geschaeftsfuehrung | {{GF_NAME}} | Gesamtverantwortung, Budget, Freigabe |
| ISB | {{ISB_NAME}} | Operative Steuerung, Konzepte, Audits |
| DSB | {{DPO_NAME}} | Datenschutz-Compliance, Beratung |
| IT-Leitung | _[Name]_ | Technische Umsetzung, Betrieb |
| Alle Mitarbeiter | — | Einhaltung der Richtlinien, Meldung von Vorfaellen |

### 4.2 Berichtswege
- ISB berichtet direkt an die Geschaeftsfuehrung (mind. quartalsweise)
- Jaehrlicher Sicherheitsbericht an die Geschaeftsfuehrung
- Ad-hoc-Meldungen bei Sicherheitsvorfaellen

### 4.3 Sicherheitsgremium
- Zusammensetzung: GF, ISB, DSB, IT-Leitung
- Sitzungsrhythmus: quartalsweise
- Aufgaben: Risikobewertung, Massnahmenfreigabe, Budget

---

## 5. Informationsklassifizierung

| Stufe | Kennzeichnung | Schutzbedarf |
|-------|--------------|--------------|
| Stufe 1 | OEFFENTLICH | Normal |
| Stufe 2 | INTERN | Normal |
| Stufe 3 | VERTRAULICH | Hoch |
| Stufe 4 | STRENG VERTRAULICH | Sehr hoch |

---

## 6. Risikoanalyse und -bewertung

Risikobewertung nach BSI-Standard 200-3 mit 5x5-Matrix. Risikoakzeptanzkriterium: Score <= 8 akzeptabel. Score 9-15 erfordert Massnahmen innerhalb 90 Tagen. Score >= 16 erfordert sofortige Massnahmen.

---

## 7. Technische Sicherheitsmassnahmen

### 7.1 Netzwerksicherheit
- Netzwerksegmentierung (DMZ, internes Netz, Management-Netz)
- Firewall-Regelwerk mit Default-Deny-Prinzip
- IDS/IPS, VPN fuer Remote-Zugriffe

### 7.2 Systemsicherheit
- Haertung aller Server und Endgeraete (CIS Benchmarks)
- Patch-Management: Kritische Patches innerhalb 72h
- EDR auf allen Endgeraeten
- Festplattenverschluesselung auf allen mobilen Geraeten

### 7.3 Anwendungssicherheit
- Secure Development Lifecycle (SDLC)
- Code-Reviews, SAST/DAST-Scans in CI/CD
- OWASP Top 10 als Mindeststandard

### 7.4 Datensicherheit
- Verschluesselung at-rest (AES-256), TLS 1.2+ fuer alle Uebertragungen
- Schluesselmanagement: Rotation alle 12 Monate

### 7.5 Kryptografie
- Zugelassene Algorithmen: AES-256, RSA-2048+, SHA-256+
- Verbotene Algorithmen: MD5, SHA-1, DES, 3DES, RC4

---

## 8. Organisatorische Massnahmen

- IT-Nutzungsrichtlinie, Passwortrichtlinie (mind. 12 Zeichen, MFA)
- Onboarding-Sicherheitsschulung, jaehrliche Auffrischung
- Phishing-Simulationen quartalsweise
- Geordnetes Offboarding: Entzug aller Berechtigungen innerhalb 24h

---

## 9. Physische Sicherheit

- Zutrittskontrollsystem mit Protokollierung
- Serverraum: Klimatisierung, USV, Brandmeldeanlage
- Clean-Desk-Policy, Bildschirmsperre nach 5 Minuten

---

## 10. Business Continuity und Notfallmanagement

- Business Impact Analyse (BIA)
- RTO und RPO je System festgelegt
- Jaehrliche Notfalluebung

---

## 11. Compliance-Anforderungen

- DSGVO Art. 32: TOMs, Art. 33/34: Meldepflicht
- NIS2 Art. 21: Risikomanagementmassnahmen
- AI Act Art. 9/15 (falls zutreffend)

---

## 12. Kennzahlen und Berichtswesen

| KPI | Zielwert | Erhebung |
|-----|---------|----------|
| Patch-Compliance (kritisch) | >= 95% innerhalb 72h | Monatlich |
| Phishing-Klickrate | < 5% | Quartalsweise |
| MFA-Abdeckung | 100% | Monatlich |
| Schulungsquote | 100% | Jaehrlich |
| MTTD | < 24h | Quartalsweise |
| MTTR | < 4h (kritisch) | Quartalsweise |

---

## 13. Revision und Fortschreibung

Regelmaessige Pruefung jaehrlich durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
$template$,
    CAST('["COMPANY_NAME","COMPANY_ADDRESS","COMPANY_LEGAL_FORM","COMPANY_INDUSTRY","COMPANY_SIZE","DPO_NAME","DPO_EMAIL","DPO_PHONE","ISB_NAME","ISB_EMAIL","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","SCOPE_DESCRIPTION","WEBSITE_URL","CLASSIFICATION_LEVELS"]' AS jsonb),
    'de', 'DE',
    'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published',
    NOW(), NOW()
) ON CONFLICT DO NOTHING;

-- Template 2: Datenschutzkonzept
INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) VALUES (
    gen_random_uuid(),
    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'data_protection_concept',
    'Datenschutzkonzept (DSGVO)',
    'Datenschutzkonzept gemaess DSGVO Art. 5, 6, 12-22, 24, 25, 28, 32-35. Beschreibt Datenschutzstrategie, Betroffenenrechte, TOMs und Auftragsverarbeitung.',
    $template$# Datenschutzkonzept

## Dokumentenkontrolle

| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Autor | {{DPO_NAME}} |
| Freigabe | {{GF_NAME}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |

---

## 1. Zweck und Geltungsbereich

Dieses Datenschutzkonzept beschreibt die Strategie und Massnahmen der {{COMPANY_NAME}} zum Schutz personenbezogener Daten gemaess DSGVO und BDSG.

**Geltungsbereich**: {{SCOPE_DESCRIPTION}}

---

## 2. Datenschutzorganisation

### 2.1 Datenschutzbeauftragter

| Feld | Wert |
|------|------|
| Name | {{DPO_NAME}} |
| E-Mail | {{DPO_EMAIL}} |
| Telefon | {{DPO_PHONE}} |

### 2.2 Verantwortlicher
{{COMPANY_NAME}}, {{COMPANY_ADDRESS}}, vertreten durch {{GF_NAME}}.

---

## 3. Grundsaetze der Verarbeitung (Art. 5 DSGVO)

| Grundsatz | Umsetzung |
|-----------|-----------|
| Rechtmaessigkeit | Jede Verarbeitung hat eine Rechtsgrundlage (Art. 6) |
| Zweckbindung | Daten nur fuer festgelegte Zwecke |
| Datenminimierung | Nur erforderliche Daten erheben |
| Richtigkeit | Regelmaessige Aktualisierung |
| Speicherbegrenzung | Loeschfristen gemaess Loeschkonzept |
| Integritaet/Vertraulichkeit | TOMs gemaess Art. 32 |
| Rechenschaftspflicht | Dokumentation aller Massnahmen |

---

## 4. Rechtsgrundlagen (Art. 6 DSGVO)

- **Einwilligung (Art. 6 Abs. 1 lit. a)**: Newsletter, Marketing, Cookies, Analytics
- **Vertragserfullung (Art. 6 Abs. 1 lit. b)**: Kundenvertragsdaten, Support
- **Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c)**: Steuerliche Aufbewahrung
- **Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)**: IT-Sicherheit, Betrugspraevention

---

## 5. Verarbeitungstaetigkeiten

Alle Verarbeitungen im VVT gemaess Art. 30 DSGVO dokumentiert.

---

## 6. Betroffenenrechte (Art. 12-22 DSGVO)

| Recht | Artikel | Frist |
|-------|---------|-------|
| Auskunft | Art. 15 | 1 Monat |
| Berichtigung | Art. 16 | Unverzueglich |
| Loeschung | Art. 17 | 1 Monat |
| Einschraenkung | Art. 18 | Unverzueglich |
| Datenportabilitaet | Art. 20 | 1 Monat |
| Widerspruch | Art. 21 | Unverzueglich |

---

## 7. Technisch-Organisatorische Massnahmen (Art. 32 DSGVO)

| Bereich | Massnahme |
|---------|-----------|
| Zutrittskontrolle | Zutrittskontrollsystem, Besucherregelung |
| Zugangskontrolle | MFA, Passwortrichtlinie, Bildschirmsperre |
| Zugriffskontrolle | RBAC, Least Privilege |
| Weitergabekontrolle | TLS 1.2+, VPN |
| Eingabekontrolle | Audit-Logging |
| Auftragskontrolle | AV-Vertraege, Lieferantenbewertung |
| Verfuegbarkeitskontrolle | Backup, USV, Redundanz |
| Trennungskontrolle | Mandantentrennung |

---

## 8. Auftragsverarbeitung (Art. 28 DSGVO)

- Schriftlicher AV-Vertrag mit allen Inhalten gemaess Art. 28 Abs. 3
- Nachweis angemessener TOMs
- Jaehrliche Neubewertung

---

## 9. Drittlandsuebermittlung (Art. 44-49 DSGVO)

Uebermittlung nur bei Angemessenheitsbeschluss (Art. 45) oder SCC (Art. 46). Transfer Impact Assessment fuer jede Drittlandsuebermittlung ohne Angemessenheitsbeschluss.

---

## 10. DSFA (Art. 35 DSGVO)

DSFA bei voraussichtlich hohem Risiko fuer Rechte und Freiheiten. Schwellwertanalyse mit 9 Pruefkriterien (mind. 2 zutreffend = DSFA erforderlich).

---

## 11. Datenpannenmanagement (Art. 33/34 DSGVO)

1. Erkennung und interne Meldung an DSB (unverzueglich)
2. Risikobewertung
3. Meldung an Aufsichtsbehoerde innerhalb 72h (Art. 33)
4. Benachrichtigung Betroffener bei hohem Risiko (Art. 34)
5. Dokumentation aller Vorfaelle

---

## 12. Loeschkonzept

| Datenkategorie | Aufbewahrungsfrist | Rechtsgrundlage |
|---------------|-------------------|----------------|
| Vertragsdaten | 10 Jahre | § 257 HGB, § 147 AO |
| Bewerberdaten | 6 Monate nach Absage | AGG-Frist |
| Logdaten | 90 Tage | Berechtigtes Interesse |

---

## 13. Schulung und Sensibilisierung

- Onboarding: Datenschutz-Grundschulung (Pflicht, innerhalb 30 Tagen)
- Jaehrliche Auffrischungsschulung
- Spezialschulungen fuer HR, IT, Vertrieb

---

## 14. Revision

Jaehrliche Pruefung durch DSB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
$template$,
    CAST('["COMPANY_NAME","COMPANY_ADDRESS","DPO_NAME","DPO_EMAIL","DPO_PHONE","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","SCOPE_DESCRIPTION"]' AS jsonb),
    'de', 'DE',
    'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published',
    NOW(), NOW()
) ON CONFLICT DO NOTHING;

-- Template 3: Backup- und Recovery-Konzept
INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) VALUES (
    gen_random_uuid(),
    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'backup_recovery_concept',
    'Backup- und Recovery-Konzept',
    'Backup- und Recovery-Konzept nach BSI IT-Grundschutz CON.3 und ISO 27001. Definiert Backup-Strategie, RTO/RPO, Speicherorte und Testplan.',
    $template$# Backup- und Recovery-Konzept

## Dokumentenkontrolle

| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Autor | {{ISB_NAME}} |
| Freigabe | {{GF_NAME}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |

---

## 1. Ziele und Anforderungen

### 1.1 Schutzziele
- **Verfuegbarkeit**: Wiederherstellung innerhalb definierter Zeiten
- **Integritaet**: Datenkonsistenz nach Wiederherstellung
- **Vertraulichkeit**: Schutz der Backup-Daten

### 1.2 Recovery-Ziele

| Klasse | RTO | RPO | Beispiele |
|--------|-----|-----|-----------|
| Tier 1 | 4h | 1h | Produktions-DB, ERP, E-Mail |
| Tier 2 | 24h | 4h | Intranet, File-Server, CRM |
| Tier 3 | 72h | 24h | Entwicklungsumgebung, Archiv |

---

## 2. Backup-Strategie (3-2-1-Regel)

- **3** Kopien jeder Datei
- **2** unterschiedliche Speichermedien
- **1** Kopie offsite

### 2.1 Backup-Typen

| Typ | Haeufigkeit | Speicherdauer |
|-----|-------------|---------------|
| Voll-Backup | Woechentlich (So) | 90 Tage |
| Inkrementelles Backup | Taeglich (Mo-Sa) | 30 Tage |
| Snapshot | Stuendlich (Tier 1) | 7 Tage |
| Datenbank-Dump | Taeglich | 30 Tage |

---

## 3. Speicherorte und Verschluesselung

| Speicherort | Verschluesselung | Aufbewahrung |
|-------------|-----------------|--------------|
| Lokaler Storage | AES-256 at-rest | 30 Tage |
| Offsite/Cloud | AES-256 + TLS | 90 Tage |
| Langzeitarchiv | AES-256 | 10 Jahre |

---

## 4. Aufbewahrungsfristen

| Datenkategorie | Frist | Grundlage |
|---------------|-------|-----------|
| Handelsbuecher | 10 Jahre | § 257 HGB |
| Steuerunterlagen | 10 Jahre | § 147 AO |
| Geschaeftskorrespondenz | 6 Jahre | § 257 HGB |
| Logdaten | 90 Tage | Berechtigtes Interesse |

---

## 5. Recovery-Verfahren

| Szenario | Verfahren | Dauer |
|----------|-----------|-------|
| Einzelne Datei | Granularer Restore | 15-60 Min |
| Datenbank | Point-in-Time Recovery | 1-4h |
| Server | VM-Snapshot + Inkr. | 2-8h |
| Kompletter Standort | Disaster Recovery | 8-24h |

---

## 6. Testplan

| Test | Haeufigkeit | Verantwortlich |
|------|-------------|---------------|
| Restore einzelne Datei | Monatlich | IT-Admin |
| Datenbank-Restore | Quartalsweise | DBA |
| Komplett-Restore | Halbjaehrlich | IT-Leitung |
| Disaster-Recovery-Test | Jaehrlich | ISB |

---

## 7. Monitoring und Alerting

- Automatische Ueberwachung aller Backup-Jobs
- Alerting bei fehlgeschlagenen Backups, Speicherplatz < 20%
- Woechentlicher Status-Report an IT-Leitung

---

## 8. Revision

Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
$template$,
    CAST('["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]' AS jsonb),
    'de', 'DE',
    'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published',
    NOW(), NOW()
) ON CONFLICT DO NOTHING;

-- Template 4: Logging-Konzept
INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) VALUES (
    gen_random_uuid(),
    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'logging_concept',
    'Logging-Konzept',
    'Logging-Konzept nach BSI IT-Grundschutz OPS.1.1.5 und BSI TR-03161. Definiert zu protokollierende Ereignisse, Speicherung, SIEM-Integration.',
    $template$# Logging-Konzept

## Dokumentenkontrolle

| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Autor | {{ISB_NAME}} |
| Freigabe | {{GF_NAME}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |

---

## 1. Zweck und rechtliche Grundlagen

### 1.1 Zweck
- Erkennung von Sicherheitsvorfaellen
- Forensische Analyse und Nachverfolgbarkeit
- Erfuellung gesetzlicher Nachweispflichten

### 1.2 Rechtliche Grundlagen

| Norm | Anforderung |
|------|------------|
| DSGVO Art. 32 | Sicherheit der Verarbeitung |
| DSGVO Art. 5 Abs. 2 | Rechenschaftspflicht |
| BSI OPS.1.1.5 | Protokollierung |
| ISO 27001 A.8.15 | Logging |

### 1.3 Datenschutzaspekte
- Logdaten koennen personenbezogene Daten enthalten
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
- Pseudonymisierung wo moeglich

---

## 2. Zu protokollierende Ereignisse

### 2.1 Pflicht-Ereignisse

| Kategorie | Ereignisse |
|-----------|-----------|
| Authentifizierung | Login/Logout, Passwort-Aenderung, MFA-Events |
| Autorisierung | Zugriffsverweigerung, Berechtigungsaenderung |
| Datenzugriff | Lesen/Schreiben/Loeschen sensibler Daten |
| Administration | Konfigurationsaenderungen, Benutzeranlage/-loeschung |
| Sicherheit | Firewall-Events, IDS-Alarme, Malware-Erkennung |

### 2.2 Verbotene Protokollierung
- Passwoerter im Klartext (NIEMALS)
- Vollstaendige Kreditkartennummern
- Gesundheitsdaten ohne Erforderlichkeit

---

## 3. Log-Format

### 3.1 Pflichtfelder

| Feld | Beschreibung |
|------|-------------|
| timestamp | ISO 8601 mit Zeitzone |
| severity | INFO, WARN, ERROR, CRITICAL |
| source | System/Anwendung |
| event_type | Ereigniskategorie |
| user_id | Pseudonymisierter Benutzer |
| ip_address | Quell-IP |
| action | Durchgefuehrte Aktion |
| resource | Betroffene Ressource |
| result | Ergebnis |

---

## 4. Speicherung und Aufbewahrung

| Log-Kategorie | Aufbewahrung |
|--------------|-------------|
| Sicherheits-Logs | 12 Monate |
| Zugriffs-Logs | 6 Monate |
| System-Logs | 90 Tage |
| Debug-Logs | 30 Tage |
| Audit-Logs | 10 Jahre |

---

## 5. Zugriff auf Logs

| Rolle | Zugriff | Bedingung |
|-------|---------|-----------|
| IT-Admin | System-Logs, Debug-Logs | Dienstlich erforderlich |
| ISB | Sicherheits-Logs | Anlassbezogen oder routinemaessig |
| DSB | Audit-Logs (anonymisiert) | Datenschutzaudit |

Zugriff wird selbst protokolliert (Meta-Logging).

---

## 6. Integritaetsschutz

- Log-Dateien: Append-Only
- Hashketten: Jeder Eintrag referenziert Hash des vorherigen
- Zentrale Sammlung an Aggregator
- 4-Augen-Prinzip fuer Loeschberechtigung

---

## 7. SIEM-Integration

- Zentrales Log-Management
- Log-Weiterleitung via Syslog (TLS)
- Korrelation von Events aus verschiedenen Quellen
- Echtzeit-Dashboards fuer ISB

---

## 8. Auswertung und Monitoring

| Regel | Schwellwert | Aktion |
|-------|-----------|--------|
| Brute-Force | >5 fehlgeschlagene Logins/5min | Alert + Sperre |
| Privilege Escalation | Jede Admin-Rollenaenderung | Alert an ISB |
| Ungewoehnlicher Datenzugriff | >100 Records/min | Alert |

---

## 9. Revision

Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
$template$,
    CAST('["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]' AS jsonb),
    'de', 'DE',
    'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published',
    NOW(), NOW()
) ON CONFLICT DO NOTHING;

-- Template 5: Incident-Response-Plan
INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) VALUES (
    gen_random_uuid(),
    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'incident_response_plan',
    'Incident-Response-Plan (DSGVO Art. 33/34, NIS2)',
    'Incident-Response-Plan fuer Sicherheitsvorfaelle und Datenpannen. Definiert Klassifizierung, Response-Team, Meldepflichten und Kommunikationsplan.',
    $template$# Incident-Response-Plan

## Dokumentenkontrolle

| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Autor | {{ISB_NAME}} |
| Freigabe | {{GF_NAME}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |

**WICHTIG: Dieses Dokument muss auch offline verfuegbar sein!**

---

## 1. Zweck und Geltungsbereich

Dieser Plan definiert das Vorgehen bei Informationssicherheitsvorfaellen und Datenschutzverletzungen bei {{COMPANY_NAME}}.

**Ziel**: Schnelle Erkennung, Eindaemmung, Behebung und Nachbereitung bei gleichzeitiger Erfuellung gesetzlicher Meldepflichten (DSGVO Art. 33: 72h, NIS2 Art. 23: 24h).

---

## 2. Incident-Klassifizierung

| Severity | Beschreibung | Reaktionszeit |
|----------|-------------|---------------|
| SEV-1 (Kritisch) | Existenzbedrohend, groesserer Datenverlust | Sofort (< 1h) |
| SEV-2 (Hoch) | Erheblicher Schaden, begrenzte Datenpanne | < 4h |
| SEV-3 (Mittel) | Begrenzter Schaden, keine Datenpanne | < 24h |
| SEV-4 (Niedrig) | Geringes Risiko, Regelverstoesse | < 72h |

---

## 3. Incident-Response-Team

| Rolle | Person | Aufgabe |
|-------|--------|---------|
| Incident Manager | {{ISB_NAME}} | Gesamtkoordination |
| DSB | {{DPO_NAME}} | Datenschutz-Bewertung, Meldung |
| Geschaeftsfuehrung | {{GF_NAME}} | Entscheidungen, Krisenkommunikation |

---

## 4. Meldewege und Eskalation

Alle Mitarbeiter melden Sicherheitsvorfaelle an: security@{{COMPANY_NAME}}

| Stufe | Ausloeser | Informierte Personen |
|-------|-----------|---------------------|
| 1 | Jeder Verdacht | IT-Support, ISB |
| 2 | Bestaetigt SEV-3+ | ISB, IT-Security, DSB |
| 3 | SEV-2 oder Datenpanne | + GF, Recht |
| 4 | SEV-1 | + Krisenstab, ext. Partner |

---

## 5. Phase 1: Erkennung und Bewertung

Innerhalb von 30 Minuten nach Meldung:
- Was ist passiert?
- Sind personenbezogene Daten betroffen?
- Severity-Einstufung
- Eskalation erforderlich?

---

## 6. Phase 2: Eindaemmung

- Betroffenes System isolieren
- Kompromittierte Accounts sperren
- **WICHTIG**: Beweissicherung VOR Bereinigung!

---

## 7. Phase 3: Beseitigung

- Root Cause Analysis
- Schadsoftware entfernen, Schwachstelle patchen
- Kompromittierte Credentials rotieren

---

## 8. Phase 4: Wiederherstellung

- Systeme aus sauberen Backups wiederherstellen
- Schrittweise Wiederinbetriebnahme
- Erhoehtes Monitoring fuer 30 Tage

---

## 9. Phase 5: Nachbereitung

Innerhalb von 14 Tagen: Post-Incident-Review mit Timeline, Lessons Learned, Massnahmenplan.

---

## 10. Gesetzliche Meldepflichten

### DSGVO Art. 33 — Aufsichtsbehoerde
- Frist: 72 Stunden nach Kenntnis
- Inhalt: Art der Verletzung, Kategorien/Anzahl Betroffene, Folgen, Gegenmassnahmen

### DSGVO Art. 34 — Betroffene
- Erforderlich bei hohem Risiko fuer Rechte und Freiheiten

### NIS2 Art. 23 — BSI
- Fruehwarnung: 24h, Erstbewertung: 72h, Abschlussbericht: 1 Monat

---

## 11. Kommunikationsplan

| Zielgruppe | Kanal | Verantwortlich |
|-----------|-------|----------------|
| Mitarbeiter | E-Mail / Intranet | Kommunikation |
| Kunden | E-Mail / Portal | GF |
| Presse | Pressemitteilung | GF |
| Behoerden | Meldeformular | DSB |

---

## 12. Testplan

| Uebung | Haeufigkeit | Art |
|--------|-------------|-----|
| Tabletop-Uebung | Halbjaehrlich | Szenario-Durchsprache |
| Technische Uebung | Jaehrlich | Simulierter Angriff |
| Meldeprozess-Test | Jaehrlich | DSGVO-Meldung simulieren |

---

## 13. Revision

Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
$template$,
    CAST('["COMPANY_NAME","ISB_NAME","ISB_EMAIL","DPO_NAME","DPO_EMAIL","DPO_PHONE","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]' AS jsonb),
    'de', 'DE',
    'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published',
    NOW(), NOW()
) ON CONFLICT DO NOTHING;

-- Template 6: Zugriffskonzept
INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) VALUES (
    gen_random_uuid(),
    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'access_control_concept',
    'Zugriffskonzept (ISO 27001 / BSI IT-Grundschutz)',
    'Zugriffskonzept nach ISO 27001 und BSI IT-Grundschutz ORP.4. Definiert RBAC, Benutzerlebenszyklus, Authentifizierung und privilegierten Zugriff.',
    $template$# Zugriffskonzept

## Dokumentenkontrolle

| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Autor | {{ISB_NAME}} |
| Freigabe | {{GF_NAME}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |

---

## 1. Grundsaetze

- **Need-to-Know**: Zugriff nur bei Erforderlichkeit
- **Least Privilege**: Minimal notwendige Berechtigungen
- **Separation of Duties**: Kritische Vorgaenge erfordern mehrere Personen

---

## 2. Rollen und Berechtigungskonzept (RBAC)

| Rolle | Berechtigungen |
|-------|---------------|
| Benutzer (Standard) | Lesen eigener Daten |
| Fachadministrator | Lesen/Schreiben Fachdaten |
| IT-Administrator | Systemkonfiguration, Benutzerverwaltung |
| Privilegierter Admin | Root/Domain-Admin |
| Auditor | Lesezugriff auf Logs |
| Service-Account | API-Zugriff, automatisiert |

---

## 3. Benutzerlebenszyklus

### 3.1 Onboarding
- Vorgesetzter beantragt Berechtigungen
- IT richtet Zugang ein (innerhalb 2 Werktage)
- Sicherheitsunterweisung innerhalb 30 Tage

### 3.2 Versetzung
- Neue Berechtigungen beantragen
- Alte Berechtigungen entziehen

### 3.3 Offboarding
- Alle Accounts deaktivieren am letzten Arbeitstag
- VPN/Remote sofort sperren
- Account-Loeschung nach 30 Tagen

---

## 4. Authentifizierung

### 4.1 Passwortrichtlinie

| Anforderung | Wert |
|-------------|------|
| Mindestlaenge | 12 Zeichen |
| Komplexitaet | Mind. 3 von 4 Kategorien |
| Sperrung | Nach 5 Fehlversuchen |

### 4.2 MFA

| System | MFA Pflicht | Methode |
|--------|------------|---------|
| E-Mail | Ja | TOTP oder FIDO2 |
| VPN | Ja | TOTP oder FIDO2 |
| Admin-Zugaenge | Ja | FIDO2 (Hardware-Token) |

---

## 5. Privilegierter Zugriff (PAM)

- Namentlich zugeordnete Admin-Accounts
- Separater Account fuer Admin-Taetigkeiten
- Vollstaendige Session-Protokollierung
- Break-Glass-Verfahren fuer Notfallzugang (4-Augen-Prinzip)

---

## 6. Rezertifizierung

| Pruefung | Haeufigkeit | Verantwortlich |
|----------|-------------|---------------|
| Standard-Berechtigungen | Halbjaehrlich | Fachabteilungsleitung |
| Privilegierte Zugaenge | Quartalsweise | ISB + IT-Leitung |
| Service-Accounts | Jaehrlich | IT-Leitung |
| Externe Zugaenge | Quartalsweise | Account Manager |

---

## 7. Protokollierung

Alle Zugriffsereignisse werden protokolliert (siehe Logging-Konzept):
- Erfolgreiche und fehlgeschlagene Anmeldungen
- Berechtigungsaenderungen
- Zugriff auf sensible Daten
- Break-Glass-Nutzung

---

## 8. Revision

Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
$template$,
    CAST('["COMPANY_NAME","ISB_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]' AS jsonb),
    'de', 'DE',
    'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published',
    NOW(), NOW()
) ON CONFLICT DO NOTHING;

-- Template 7: Risikomanagement-Konzept
INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) VALUES (
    gen_random_uuid(),
    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'risk_management_concept',
    'Risikomanagement-Konzept (ISO 31000)',
    'Risikomanagement-Konzept nach ISO 31000:2018 und ISO 27005:2022. Definiert Risikoprozess, 5x5-Matrix, Behandlungsoptionen und KPIs.',
    $template$# Risikomanagement-Konzept

## Dokumentenkontrolle

| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Autor | {{ISB_NAME}} |
| Freigabe | {{GF_NAME}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |

---

## 1. Zweck und Geltungsbereich

Systematischer Prozess zur Identifikation, Bewertung, Behandlung und Ueberwachung von Risiken bei {{COMPANY_NAME}}.

Umfasst:
- Informationssicherheitsrisiken (ISO 27001)
- Datenschutzrisiken (DSGVO Art. 35)
- KI-Risiken (AI Act Art. 9, falls zutreffend)
- Operative IT-Risiken

---

## 2. Risikomanagement-Organisation

| Rolle | Person | Aufgabe |
|-------|--------|---------|
| Risk Owner | {{GF_NAME}} | Gesamtverantwortung, Risikoakzeptanz |
| Risikomanager | {{ISB_NAME}} | Prozesssteuerung, Methodik, Reporting |
| DSB | {{DPO_NAME}} | Datenschutzrisiken, DSFA |

Quartalsmaessiges Risiko-Review im Sicherheitsgremium.

---

## 3. Risikomanagement-Prozess (ISO 31000)

Kontext festlegen → Risikoidentifikation → Risikoanalyse → Risikobewertung → Risikobehandlung → Ueberwachung & Review

---

## 4. Risikoidentifikation

### 4.1 Methoden
- Asset-basierte Analyse
- Szenario-basierte Analyse
- Audit-Findings und Incident-Analyse
- Bedrohungsintelligenz (BSI-Lageberichte)

### 4.2 Risikokategorien

| Kategorie | Beispiele |
|-----------|-----------|
| Vertraulichkeit | Datenleck, unbefugter Zugriff |
| Integritaet | Datenmanipulation, Malware |
| Verfuegbarkeit | Systemausfall, Ransomware |
| Compliance | DSGVO-Verstoss, Bussgeld |
| Reputation | Datenskandal, Kundenvertrauen |

---

## 5. Risikoanalyse und -bewertung

### 5.1 Bewertungskriterien (5x5-Matrix)

**Eintrittswahrscheinlichkeit**: 1 (sehr gering) bis 5 (sehr hoch)
**Schadenshoehe**: 1 (vernachlaessigbar) bis 5 (existenzbedrohend)

### 5.2 Risikoklassen

| Score | Klasse | Massnahme |
|-------|--------|-----------|
| 1-4 | Niedrig | Akzeptieren oder beobachten |
| 5-9 | Mittel | Massnahmen innerhalb 6 Monaten |
| 10-15 | Hoch | Massnahmen innerhalb 90 Tagen |
| 16-25 | Kritisch | Sofortmassnahmen erforderlich |

---

## 6. Risikobehandlung

| Option | Beschreibung |
|--------|-------------|
| Vermeiden | Risikoquelle beseitigen |
| Vermindern | Wahrscheinlichkeit oder Schaden reduzieren |
| Uebertragen | Cyberversicherung, Outsourcing |
| Akzeptieren | Dokumentierte Entscheidung |

### Risikoakzeptanzkriterien

| Bedingung | Entscheider |
|-----------|-------------|
| Score <= 4 | Risiko-Owner (Fachbereich) |
| Score 5-9 | ISB |
| Score 10-15 | Geschaeftsfuehrung |
| Score >= 16 | Akzeptanz NICHT zulaessig |

---

## 7. KI-Risikobewertung (AI Act)

| Risikoklasse | Anforderungen |
|-------------|---------------|
| Unakzeptabel (Art. 5) | Verboten |
| Hochrisiko (Art. 6) | Risikomanagementsystem, Dokumentation, Human Oversight |
| Begrenzt (Art. 50) | Transparenzpflicht |
| Minimal | Keine besonderen Anforderungen |

---

## 8. Ueberwachung und Berichterstattung

| Aktivitaet | Haeufigkeit |
|-----------|-------------|
| Risikoregister-Update | Quartalsweise |
| Massnahmenwirksamkeit pruefen | Quartalsweise |
| Risikobericht an GF | Quartalsweise |
| Vollstaendige Risikobewertung | Jaehrlich |

### KPIs

| KPI | Zielwert |
|-----|---------|
| Kritische Risiken (Score >= 16) | 0 |
| Durchschnittliches Restrisiko | < 8 |
| Massnahmen-Umsetzungsquote | >= 90% |
| Ueberfallige Massnahmen | 0 |

---

## 9. Revision

Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
$template$,
    CAST('["COMPANY_NAME","ISB_NAME","DPO_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]' AS jsonb),
    'de', 'DE',
    'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published',
    NOW(), NOW()
) ON CONFLICT DO NOTHING;