Willkommen im Intric Support Center
Sicherheit & Compliance
DSFA
Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen

Um unseren Kunden die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) zu erleichtern, stellt Intric umfassendes Material basierend auf unserem ISO-27001-zertifizierten Informationssicherheitsmanagementsystem (ISMS) bereit. Intric AB ist nach ISO 27001:2022 zertifiziert, einem international anerkannten Standard für Informationssicherheitsmanagementsysteme.

Das Material unten enthält:

  • Auszüge aus Intrics internen technischen und organisatorischen Maßnahmen.
  • Eine Liste der Sicherheitsfunktionen, die in der Plattform verfügbar sind (z. B. Zugriffskontrolle, Protokollierung, Verschlüsselung), die du zum Schutz deiner Daten nutzen kannst.

Du kannst dieses Material als Grundlage für deine eigene Risikobewertung (DSFA) verwenden. Beachte, dass die konkreten Maßnahmen, die du ergreifen musst, von der Sensibilität der Informationen und personenbezogenen Daten abhängen, die du in der Plattform verarbeiten möchtest.

Informationssicherheit und Schutzmaßnahmen

Intric bietet eine KI-Plattform für Wissensmanagement und Automatisierung, bei der Informationssicherheit und Compliance im Mittelpunkt stehen. Die Plattform kann in einer dedizierten Cloud-Instanz bei europäischen Betreibern oder als On-Premises-Betrieb genutzt werden. Sie unterstützt sowohl globale KI-Modelle als auch europäische und in Schweden gehostete Sprachmodelle. Bei On-Premises-Betrieb können Sprachmodelle auch lokal laufen.

Informationssicherheitsmanagementsystem (ISO 27001 zertifiziert)

Das Informationssicherheitsmanagementsystem (ISMS) von Intric AB ist nach ISO 27001 zertifiziert und stellt sicher, dass unsere Plattform die strengen Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit erfüllt, die unsere Kunden im öffentlichen Sektor erwarten.

Unten findest du eine Übersicht der Richtlinien und Leitlinien, die Teil von Intrics ISMS sind.

  • Informationssicherheitsrichtlinie – Übergeordneter Rahmen für Vertraulichkeit, Integrität und Verfügbarkeit aller Systeme und Daten. Deckt Zugriffskontrolle, Datenschutz, Incident-Management und kontinuierliche Überwachung ab.
  • Zugriffskontroll- und Beendigungsrichtlinie – Das Prinzip der geringsten Berechtigung wird konsequent angewendet. Alle Zugriffe werden dokumentiert, vierteljährlich überprüft und innerhalb eines Arbeitstages bei Beendigung des Beschäftigungsverhältnisses widerrufen.
  • Richtlinie zur zulässigen Nutzung – Klare Leitlinien für die Nutzung von IT-Ressourcen, mit Anforderung an Multi-Faktor-Authentifizierung (MFA) für alle Produktions- und kritischen Systeme.
  • Datenklassifizierungsrichtlinie – Systematische Klassifizierung von Informationen in vier Stufen (Öffentlich, Intern, Vertraulich, Eingeschränkt) mit spezifischen Anforderungen für die Handhabung jeder Stufe.
  • Datenhandhabungsverfahren – Detaillierte Anforderungen für die sichere Handhabung von Daten im gesamten Lebenszyklus, von der Erfassung bis zur Löschung, mit Verschlüsselung sensibler Daten im Ruhezustand und während der Übertragung.
  • Richtlinie zu Aufbewahrung und Löschung von Aufzeichnungen – Sichere Speicherung und Löschung von Informationen gemäß rechtlichen Anforderungen und Geschäftsbedürfnissen, mit verifizierten Löschmethoden.
  • Incident-Response-Richtlinie – Strukturierter Prozess für Meldung, Handhabung und Kommunikation von Sicherheitsvorfällen, mit definierten Reaktionszeiten je nach Schweregrad.
  • Baseline-Härtungsrichtlinie – Konfigurationsstandards für alle Systeme umfassen Netzwerkhärtung, Patch-Management, Protokollierung, MFA und Verschlüsselung.
  • Änderungsmanagementrichtlinie – Alle Produktionsänderungen erfordern Genehmigung, Tests und Dokumentation. Änderungen am Quellcode werden protokolliert und benötigen eine Genehmigung vor dem Produktions-Deployment.
  • Risikobewertungs- und Behandlungsrichtlinie – Jährliche Risikobewertung identifiziert Bedrohungen und Schwachstellen. Kritische Risiken werden sofort mit dokumentierten Behandlungsplänen angegangen.
  • Geschäftskontinuität und Disaster Recovery – Getesteter Wiederherstellungsplan gewährleistet Betrieb während Vorfällen. Regelmäßige Backups mit verifizierter Wiederherstellungsfähigkeit.
  • Richtlinie zur Business-Impact-Analyse – Systematische Analyse kritischer Prozesse mit definierten Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO).
  • Personalsicherheitsrichtlinie – Hintergrundprüfungen, Vertraulichkeitsvereinbarungen und jährliche Sicherheitsschulungen für alle Mitarbeitenden. Klare Rollen und Verantwortlichkeiten für die Sicherheitsarbeit.
  • Board of Directors Charter & Oversight Committee Charter – Klare Governance und Verantwortung auf Managementebene für Informationssicherheit, Risikomanagement und Technologieüberwachung.
  • Lieferantenmanagementrichtlinie – Sicherheitsbewertung aller kritischen Lieferanten vor dem Onboarding und jährliche Nachverfolgung. Anforderungen an Vertraulichkeitsvereinbarungen und Sicherheitsverpflichtungen.
  • Physische Sicherheitsrichtlinie – Kontrollierter physischer Zugang zu Einrichtungen und Geräten nach dem Prinzip der geringsten Berechtigung, mit dokumentiertem Zugriffsmanagement.
  • Netzwerksicherheitsrichtlinie – Segmentierte Netzwerkarchitektur mit Firewalls, verschlüsselter Kommunikation (TLS 1.2+) und regelmäßiger Überwachung des Netzwerkverkehrs.

Auszüge aus internen technischen Schutzmaßnahmen

Unten findest du Beispiele der internen technischen Schutzmaßnahmen, die in den Richtlinien, Verfahren und Leitlinien festgelegt sind, die Intric AB in seinem ISO-27001-zertifizierten Informationssicherheitsmanagementsystem hat.

Verschlüsselung und Datenschutz

  • Verschlüsselung im Ruhezustand: Alle sensiblen Daten werden im Speicher mit branchenüblichen Algorithmen verschlüsselt.
  • Verschlüsselung während der Übertragung: TLS 1.2+ ist für alle Datenübertragungen über öffentliche Netzwerke erforderlich.
  • Schlüsselverwaltung: Zentrale Verwaltung von Verschlüsselungsschlüsseln über den Key-Management-Service des Cloud-Anbieters.

Zugriffskontrolle

  • Multi-Faktor-Authentifizierung (MFA): Obligatorisch für alle privilegierten Konten und Zugriffe auf Produktion, E-Mail, Versionskontrolle und Cloud-Infrastruktur.
  • Eindeutige Benutzeridentitäten: Allen Nutzern werden eindeutige Anmeldedaten zugewiesen, die nachverfolgt werden können.
  • Passwortanforderungen: Mindestens 8 Zeichen mit Komplexitätsanforderungen, eindeutig pro System.
  • Rollenbasierter Zugriff (RBAC): Geringstes Privileg basierend auf der Arbeitsrolle.
  • Passwort-Manager: Genehmigte Passwort-Manager sind für die Speicherung von Anmeldedaten erforderlich.

Netzwerksicherheit

  • Segmentierung: Produktion, Entwicklung/Test und Unternehmensnetzwerke werden getrennt gehalten.
  • Firewalls: Konfiguriert, um nur notwendige Ports und Protokolle zuzulassen.

Schwachstellenmanagement

  • Automatisches Schwachstellenscanning: Monatliche Scans von Infrastruktur und Anwendungen.
  • Patch-Management: Kritische Sicherheitspatches werden gemäß definiertem Zeitplan angewendet.
  • Penetrationstests: Regelmäßige Tests der Sicherheitskontrollen.
  • Schwachstellenpriorisierung: Kritische Schwachstellen werden sofort behoben.

Protokollierung und Überwachung

  • Protokollierung: Alle Systemaktivitäten, Administratoraktionen und Sicherheitsereignisse werden protokolliert.
  • Zeitsynchronisierung: NTP wird für genaue Zeitstempel verwendet.
  • Log-Schutz: Protokolle sind vor unbefugtem Zugriff und Änderungen geschützt.
  • Log-Aufbewahrung: Protokolle werden gemäß Vertrag/Kundenanweisungen aufbewahrt.

Backup und Wiederherstellung

  • Automatische Backups: Mindestens wöchentliche Sicherung von Nutzerdaten.
  • Geografische Redundanz: Backups werden in verschiedene Verfügbarkeitszonen repliziert.
  • Wiederherstellungstests: Periodische Überprüfung der Backup-Integrität.
  • Versionskontrolle: Quellcode wird mit Nachverfolgbarkeit versionskontrolliert.

Entwicklungssicherheit

  • Separate Entwicklungsumgebung: Entwicklung und Test sind von der Produktion getrennt.
  • Code-Review: Alle Änderungen an der Produktion erfordern eine Genehmigung.
  • Sichere Quellcode-Verwaltung: Zugriff auf Repositories ist mit MFA eingeschränkt.
  • Eingabevalidierung: Daten werden validiert, um Angriffe zu verhindern.

Geräteverwaltung

  • Mobile Device Management (MDM): Zentrale Verwaltung von Endpunkten.
  • Festplattenverschlüsselung: Verschlüsselung erforderlich für Arbeitsstationen und Laptops.
  • Automatische Updates: Betriebssysteme und Anwendungen werden aktuell gehalten.
  • Bildschirmsperre: Automatische Bildschirmsperre nach Inaktivität.

Auszüge aus organisatorischen Schutzmaßnahmen

Unten findest du Beispiele der internen organisatorischen Schutzmaßnahmen, die in den Richtlinien, Verfahren und Leitlinien festgelegt sind, die Intric AB in seinem ISO-27001-zertifizierten Informationssicherheitsmanagementsystem hat.

Richtlinienverwaltung und Compliance

  • Jährliche Richtlinienüberprüfung: Alle Richtlinien werden mindestens jährlich überprüft und aktualisiert.
  • ISO-27001:2022-Zertifizierung: Unabhängige Zertifizierung des Informationssicherheitsmanagementsystems.
  • Statement of Applicability (SoA): Dokumentierte Auswahl der Kontrollen mit Begründung.
  • Compliance-Überwachung: Regelmäßige Überwachung der Richtlinien-Compliance.

Risikomanagement

  • Jährliche Risikobewertung: Systematische Identifizierung und Bewertung von Risiken.
  • Risikoregister: Dokumentierte Risiken mit Eigentümern und Behandlungsplänen.
  • Risikoakzeptanz: Formeller Prozess für die Genehmigung verbleibender Risiken.
  • Kontinuierliche Überwachung: Laufende Nachverfolgung identifizierter Risiken.

Personal und Kompetenz

  • Hintergrundprüfungen: Werden vor der Beschäftigung gemäß lokalen Gesetzen durchgeführt.
  • Vertraulichkeitsvereinbarungen (NDA): Obligatorisch für alle Mitarbeitenden vor dem Zugriff.
  • Sicherheitsschulung: Jährliche obligatorische Schulung für alle Mitarbeitenden.
  • Rollenspezifische Schulung: Zusätzliche Schulung für sicherheitskritische Rollen.
  • Leistungsbewertung: Jährliche Überprüfung umfasst Sicherheitsverantwortlichkeiten.

Zugriffsverwaltung – Prozesse

  • Onboarding-Prozess: Strukturierter Prozess für die Zugriffsgewährung bei Eintritt.
  • Vierteljährliche Zugriffsüberprüfung: Regelmäßige Überprüfung der Berechtigungen für kritische Systeme.
  • Offboarding-Checkliste: Stellt sicher, dass alle Zugriffe innerhalb eines Arbeitstages widerrufen werden.
  • Rollenänderungsprozess: Dokumentierter Prozess bei geänderten Arbeitsaufgaben.

Incident-Management und Betrieb

  • 24/7-Überwachung und -Meldung: Klare Kanäle für die Meldung von Betriebs- und Sicherheitsvorfällen über status.intric.ai.
  • Definierte Reaktionszeiten: Kritische Vorfälle werden innerhalb von 48 Stunden behandelt.
  • Dokumentierter Prozess: Alle Vorfälle werden in einem Ticket-System verfolgt.
  • Post-Mortem-Analyse: Erkenntnisse werden dokumentiert und kommuniziert.
  • Kundenkommunikation: Strukturierter Kommunikationsplan bei Vorfällen.

Änderungsmanagement

  • Formeller Änderungsprozess: Alle Produktionsänderungen erfordern Tests und Genehmigung.
  • Rollback-Pläne: Dokumentierte Wiederherstellungspläne bei Problemen.
  • Notfalländerungen: Separate Verfahren für dringende Änderungen mit nachträglicher Genehmigung.
  • Kundenkommunikation: Informationen über geplante Änderungen.

Lieferanten- und Partnergovernance

  • Lieferanten-Risikobewertung: Sicherheitsbewertung vor dem Onboarding.
  • Jährliche Lieferantenüberprüfung: Überprüfung der Sicherheit kritischer Lieferanten (SOC-2-Berichte).
  • Vertragliche Anforderungen: Klare Sicherheitsverpflichtungen in Vereinbarungen.
  • Unterauftragsverarbeiterkontrolle: Überprüfung der Unterauftragsverarbeiter von Lieferanten.
  • Exit-Management: Strukturierter Prozess bei Beendigung inklusive Datenhandhabung.

Geschäftskontinuität

  • Business Impact Analysis (BIA): Identifizierung kritischer Prozesse.
  • Dokumentierte Wiederherstellungsziele: RTO und RPO definiert für kritische Systeme.
  • Disaster-Recovery-Plan: Getesteter Plan für die Wiederherstellung bei größeren Vorfällen.
  • Jährliche Tests: BCP/DRP-Pläne werden mindestens jährlich getestet.
  • Dokumentierte Redundanz: Systeme über verschiedene Zonen verteilt.

Plattformfunktionen für technische Schutzmaßnahmen

Die Intric-Plattform bietet umfassende und flexible Funktionalität, damit unsere Kunden volle Kontrolle haben, technische Schutzmaßnahmen umzusetzen – angepasst an die spezifischen Anforderungen der Organisation an Informationsklassifizierung und angemessenes Sicherheitsniveau.

Unten ist die Funktionalität beschrieben, die in die Plattform eingebaut ist, um das Sicherheitsniveau zu erhöhen und die Compliance zu unterstützen.

Zugriffskontrolle und Berechtigungsverwaltung

  • Rollenbasierter Zugriff (RBAC): Du kannst detaillierte Benutzerrollen definieren und den Zugriff auf spezifische Funktionen, Dokumente und KI-Modelle einschränken.
  • Single Sign-On (SSO): Integration mit deiner bestehenden Identitätsverwaltung (Azure AD, Google Workspace usw.) für zentrale Zugriffskontrolle.
  • Multi-Faktor-Authentifizierung (MFA): Option, MFA für alle Nutzer über die SSO-Integration zu verlangen.

Modellauswahl und Datenminimierung

  • Auswahl des KI-Modells: Du wählst zwischen globalen, europäischen, in Schweden gehosteten oder On-Premises-Sprachmodellen je nach Sicherheitsanforderungen.
  • On-Premises-Modelle: Option, KI-Modelle vollständig innerhalb deiner Infrastruktur ohne externe Datenübertragung zu betreiben.
  • Datenminimierung: Du konfigurierst, welche Daten verarbeitet werden sollen und kannst den Umfang einschränken.

Verschlüsselung und Datenschutz

  • End-to-End-Verschlüsselung: Alle Daten werden sowohl während der Übertragung als auch im Ruhezustand verschlüsselt.
  • Kundenverwaltete Schlüssel: Bei On-Premises-Betrieb hast du volle Kontrolle über Verschlüsselungsschlüssel.
  • Verschlüsselte Speicherung: Alle Dokumentation und Gesprächsverlauf werden verschlüsselt gespeichert.
  • Sichere API-Aufrufe: Alle Kommunikation zwischen Systemen erfolgt über verschlüsselte Kanäle (TLS 1.2+).

Protokollierung und Nachverfolgbarkeit

  • Audit-Logs: Du kannst alle Nutzeraktivitäten, Dokumentenzugriffe und Systemänderungen nachverfolgen.
  • Log-Export: Option, Protokolle zur Integration mit deinem SIEM-System zu exportieren.
  • Datenzugriffslog: Vollständige Protokollierung, wer Zugriff auf welche Informationen hat.
  • Nutzerverantwortung: Einblick, welcher Nutzer für sowohl KI-Tools/Assistenten als auch hochgeladene Informationen verantwortlich ist.

Datenverarbeitung, Löschung und Backup

  • Dateneigentum: Du behältst das volle Eigentum an allen Daten im System.
  • Selektive Löschung: Option, spezifische Dokumente, Konversationen oder Nutzer zu löschen.
  • Massenlöschung: Funktionalität zum Löschen aller Daten bei Dienstbeendigung.
  • Exportfunktion: Du kannst alle deine Daten in strukturierten Formaten exportieren.
  • Automatische Löschung: Konfigurierbare Aufbewahrungs- und Löschregeln für automatische Löschung nach einer festgelegten Frist.
  • Automatische Backups: Regelmäßige Backups deiner Daten (bei Cloud-Betrieb).
  • Wiederherstellungsfunktion: Du kannst gelöschte Daten innerhalb eines definierten Zeitraums (14 Tage) wiederherstellen.
  • Backup-Frequenz: Täglich.
  • Eigene Backups: Bei On-Premises bist du für Backups gemäß deiner eigenen Richtlinie verantwortlich.

Netzwerksicherheit

  • Netzwerkisolation: Bei On-Premises kann das System vollständig vom Internet isoliert werden.

Erweiterte Sicherheitskonfiguration

  • Sitzungstimeout: Tägliche Inaktivitätszeit für automatische Abmeldung.
  • Passwortrichtlinie: Du kannst Komplexitätsanforderungen und Rotationsregeln für Passwörter konfigurieren.