Security Statement

Zuletzt aktualisiert am 6. Sept. 2025

Security Statement#

Dieses Security Statement dokumentiert die Grundprinzipien und Maßnahmen der Kopexa GmbH im Bereich Informationssicherheit. Es ist Teil unseres Information Security Management Systems (ISMS) und wird regelmäßig überprüft, um sicherzustellen, dass unsere Sicherheitsmaßnahmen den aktuellen Bedrohungen und regulatorischen Anforderungen entsprechen.

Verantwortung & Governance#

Die Verantwortung für Informationssicherheit liegt bei der Geschäftsführung. Die operative Umsetzung erfolgt durch das Security & Compliance Team, welches direkt an die Geschäftsführung berichtet.

  • Es existiert eine benannte Informationssicherheitsbeauftragte / ein ISB (CISO).
  • Das ISMS wird regelmäßig durch interne Audits und, sofern erforderlich, durch externe Prüfungen bewertet.
  • Management Reviews finden mindestens einmal jährlich statt.
  • Alle Mitarbeitenden sind verpflichtet, die Richtlinien zur Informationssicherheit einzuhalten.

Richtlinien & Standards#

Kopexa orientiert sich an anerkannten Standards und rechtlichen Rahmenwerken, darunter:

  • ISO/IEC 27001
  • BSI IT-Grundschutz
  • SOC 2 (Trust Services Criteria)
  • DSGVO (Datenschutz-Grundverordnung)

Das ISMS wird durch interne Policies unterstützt, u. a.:

  • Access Control Policy
  • Incident Response Policy
  • Change Management Policy
  • Acceptable Use Policy
  • Data Classification & Handling Policy

Security by Design & Architektur#

Unsere Plattform wurde nach dem Security-by-Design- und Security-First-Prinzip entwickelt.

  • Mandantentrennung: Daten sind strikt voneinander isoliert.
  • Granulare Zugriffskontrollen: Rollen- und Rechtemanagement nach dem Prinzip „Least Privilege“.
  • Produktions- und Entwicklungsumgebungen sind getrennt.
  • Änderungen erfolgen ausschließlich über einen kontrollierten Change-Management-Prozess.

Authentifizierung & Zugangskontrolle#

  • Multi-Faktor-Authentifizierung (MFA) ist verpflichtend für alle Accounts.
  • Single Sign-On (SSO) via SAML/OIDC ist standardmäßig verfügbar.
  • Zugriffsrechte werden regelmäßig rezertifiziert.
  • Protokolle für Onboarding und Offboarding stellen sicher, dass Zugänge zeitnah eingerichtet oder entzogen werden.

Datenverschlüsselung & Datenschutz#

  • Daten im Ruhezustand sind mit AES-256 verschlüsselt.
  • Daten in Übertragung werden ausschließlich über TLS 1.2 oder höher transportiert.
  • Kundendaten werden ausschließlich innerhalb der EU verarbeitet.
  • Backup-Daten sind verschlüsselt, werden mindestens einmal täglich erstellt und geo-redundant gespeichert.

Monitoring, Logging & Incident Response#

  • Zentrale Security Information & Event Management (SIEM)-Lösung zur Überwachung relevanter Systeme.
  • Alle administrativen Zugriffe und Änderungen werden in Audit-Logs erfasst.
  • Ein definierter Incident Response Prozess mit Eskalationsstufen und Reaktionszeiten liegt vor.
  • Sicherheitsvorfälle werden gemäß Meldepflichten (z. B. DSGVO Art. 33/34) behandelt.

Vulnerability Management & Security Testing#

  • Regelmäßige Vulnerability Scans und Patch Management-Prozesse sind etabliert.
  • Penetrationstests werden mindestens einmal jährlich durch unabhängige Dritte durchgeführt.
  • Ergebnisse werden dokumentiert, bewertet und in einem Remediation-Prozess zeitnah behoben.
  • Ein Responsible Disclosure Programm ermöglicht es, Schwachstellen sicher zu melden.

Business Continuity & Disaster Recovery#

  • Es existiert ein dokumentierter Business Continuity Plan (BCP) und Disaster Recovery Plan (DRP).
  • Backups werden regelmäßig getestet, um die Wiederherstellbarkeit sicherzustellen.
  • Notfallübungen (z. B. Simulation von Systemausfällen oder Ransomware-Angriffen) werden mindestens jährlich durchgeführt.

Lieferketten- & Drittanbieter-Sicherheit#

  • Vor der Einbindung von Subprozessoren erfolgt eine Risiko- und Compliance-Bewertung.
  • Verträge enthalten Sicherheits- und Datenschutzklauseln sowie Audit-Rechte.
  • Ein Lieferantenmanagementprozess überwacht die Einhaltung vereinbarter Standards.

Mitarbeiterschulung & Sensibilisierung#

  • Alle Mitarbeitenden durchlaufen ein verpflichtendes Security-Awareness-Training beim Eintritt und mindestens jährlich.
  • Spezialisierte Trainings für Rollen mit erhöhten Rechten (z. B. Admins, Entwickler).
  • Regelmäßige Phishing-Simulationen zur Sensibilisierung.

Kontinuierliche Verbesserung#

Das ISMS unterliegt dem Prinzip der kontinuierlichen Verbesserung (PDCA-Zyklus):

  1. Plan – Risikoanalysen und Definition von Maßnahmen.
  2. Do – Umsetzung der Maßnahmen in den Geschäftsprozessen.
  3. Check – Überprüfung durch interne Audits und Kennzahlen.
  4. Act – Anpassungen und Verbesserungen basierend auf den Ergebnissen.

Meldung von Sicherheitsvorfällen#

Sollten Sie eine Schwachstelle oder einen Sicherheitsvorfall feststellen, kontaktieren Sie uns bitte direkt unter:

📧 security@kopexa.com

Bitte geben Sie in Ihrer Meldung an:

  • Ihren Namen und Ihre Kontaktdaten
  • eine Beschreibung der Schwachstelle oder des Vorfalls
  • soweit möglich, Schritte zur Reproduktion

Wir bestätigen den Eingang jeder Meldung und informieren Sie über die weiteren Schritte.

Security Statement | Kopexa