ISMS Copilot
Sicherheit

So sichern Sie Ihr ISMS Copilot-Konto

Übersicht

Die Sicherung Ihres ISMS Copilot-Kontos schützt Ihre sensiblen Compliance-Daten, Kundeninformationen und den Nachrichtenverlauf. Diese Anleitung zeigt Ihnen, wie Sie die richtige Authentifizierungsmethode wählen, Sicherheitseinstellungen konfigurieren und Best Practices befolgen, um Ihr Konto sicher zu halten.

Für wen dieser Artikel ist

Dieser Artikel richtet sich an:

  • Neue Benutzer, die ihr ISMS Copilot-Konto einrichten

  • Sicherheitsbewusste Fachkräfte, die mit sensiblen Daten arbeiten

  • Compliance-Berater, die mehrere Kundenprojekte verwalten

  • Alle, die ihre Kontosicherheit verbessern möchten

Bevor Sie beginnen

Was Sie benötigen

  • Eine aktive E-Mail-Adresse für Kontobenachrichtigungen

  • Zugriff auf einen starken Passwortmanager (empfohlen)

  • Optional: Google- oder Microsoft-Konto für die OAuth-Authentifizierung

Verwenden Sie für maximale Sicherheit einen Passwortmanager wie 1Password, Bitwarden oder LastPass, um für jeden von Ihnen genutzten Dienst eindeutige Passwörter zu generieren und zu speichern.

Wahl einer Authentifizierungsmethode

ISMS Copilot bietet drei Authentifizierungsmethoden an. Wählen Sie diejenige, die Ihren Sicherheitsanforderungen am besten entspricht:

Option 1: E-Mail & Passwort (Gute Sicherheit)

Ideal für:

  • Benutzer, die traditionelle Authentifizierung bevorzugen

  • Organisationen, die weder Google noch Microsoft verwenden

  • Benutzer, die die vollständige Kontrolle über ihre Zugangsdaten haben möchten

Sicherheitsniveau: Gut (bei Verwendung eines starken, eindeutigen Passworts)

Einrichtung:

  1. Rufen Sie die ISMS Copilot-Anmeldeseite auf

  2. Klicken Sie auf Registrieren

  3. Geben Sie Ihre E-Mail-Adresse ein

  4. Erstellen Sie ein starkes Passwort, das alle Anforderungen erfüllt:

    • Mindestens 8 Zeichen

    • Mindestens ein Großbuchstabe (A-Z)

    • Mindestens ein Kleinbuchstabe (a-z)

    • Mindestens eine Zahl (0-9)

    • Mindestens ein Sonderzeichen (!@#$%^&*()_+-=[]{}|;':"<>?,./`)

  5. Aktivieren Sie das Kontrollkästchen: Ich stimme den Allgemeinen Geschäftsbedingungen und der Datenverarbeitungsvereinbarung zu

  6. Klicken Sie auf Konto erstellen

Erwartetes Ergebnis: „Erfolg! Bitte prüfen Sie Ihre E-Mails, um Ihr Konto zu bestätigen.“

Verwenden Sie Passwörter niemals für verschiedene Dienste wieder. Wenn ein Dienst kompromittiert wird, könnten Angreifer mit demselben Passwort auf alle Ihre Konten zugreifen. Verwenden Sie für ISMS Copilot immer ein individuelles Passwort.

Option 2: Google OAuth (Bessere Sicherheit)

Ideal für:

  • Benutzer mit Google Workspace- oder Gmail-Konten

  • Organisationen, die Google bereits zur Authentifizierung nutzen

  • Benutzer, die Googles Bestätigung in zwei Schritten aktivieren möchten

Sicherheitsniveau: Besser (insbesondere wenn Google 2FA aktiviert ist)

Einrichtung:

  1. Rufen Sie die ISMS Copilot-Anmeldeseite auf

  2. Klicken Sie auf Weiter mit Google

  3. Wählen Sie Ihr Google-Konto aus

  4. Überprüfen Sie die Berechtigungsanfrage

  5. Klicken Sie auf Zulassen, um den Zugriff zu gewähren

Erwartetes Ergebnis: Sie werden automatisch angemeldet und zur ISMS Copilot-Startseite weitergeleitet.

Wenn Sie Google OAuth verwenden, sieht oder speichert ISMS Copilot niemals Ihr Google-Passwort. Die Authentifizierung erfolgt vollständig über Google, und Sie können den Zugriff jederzeit über Ihre Google-Kontoeinstellungen widerrufen.

Option 3: Microsoft/Azure OAuth (Bessere Sicherheit)

Ideal für:

  • Benutzer mit Microsoft 365- oder Azure AD-Konten

  • Unternehmen, die Microsoft-Authentifizierung einsetzen

  • Benutzer, die die Multi-Faktor-Authentifizierung von Microsoft nutzen möchten

Sicherheitsniveau: Besser (insbesondere wenn Microsoft MFA aktiviert ist)

Einrichtung:

  1. Rufen Sie die ISMS Copilot-Anmeldeseite auf

  2. Klicken Sie auf Weiter mit Microsoft

  3. Geben Sie Ihre Microsoft-E-Mail-Adresse ein

  4. Geben Sie Ihr Microsoft-Passwort ein

  5. Schließen Sie ggf. aktivierte MFA-Abfragen ab

  6. Überprüfen Sie die Berechtigungsanfrage

  7. Klicken Sie auf Akzeptieren, um den Zugriff zu gewähren

Erwartetes Ergebnis: Sie werden automatisch angemeldet und zur ISMS Copilot-Startseite weitergeleitet.

Sicherheitsvergleich

Methode

Sicherheitsniveau

MFA-Unterstützung

Bester Anwendungsfall

E-Mail & Passwort

Gut

Nein (nativ)

Bevorzugung traditioneller Authentifizierung

Google OAuth

Besser

Ja (über Google)

Google Workspace-Nutzer

Microsoft OAuth

Besser

Ja (über Microsoft)

Microsoft 365 / Azure AD-Nutzer

Multi-Faktor-Authentifizierung (MFA) aktivieren

ISMS Copilot verfügt nicht über natives MFA, aber Sie können diese Sicherheitsebene über OAuth-Anbieter hinzufügen.

Für Google OAuth-Benutzer

  1. Besuchen Sie https://myaccount.google.com/security

  2. Suchen Sie den Abschnitt Bestätigung in zwei Schritten

  3. Klicken Sie auf Jetzt starten

  4. Wählen Sie Ihre Verifizierungsmethode:

    • Google Authenticator App (am sichersten)

    • SMS-Textnachricht (weniger sicher, aber bequem)

    • Telefonanruf

    • Sicherheitsschlüssel (Hardware-Token – höchste Sicherheit)

  5. Folgen Sie den Einrichtungsanweisungen von Google

  6. Speichern Sie Backup-Codes an einem sicheren Ort

Erwartetes Ergebnis: Jedes Mal, wenn Sie sich über Google bei ISMS Copilot anmelden, müssen Sie Ihren zweiten Faktor angeben.

Für Microsoft OAuth-Benutzer

  1. Besuchen Sie https://account.microsoft.com/security

  2. Klicken Sie auf Erweiterte Sicherheitsoptionen

  3. Suchen Sie Prüfung in zwei Schritten

  4. Klicken Sie auf Prüfung in zwei Schritten einrichten

  5. Wählen Sie Ihre Verifizierungsmethode:

    • Microsoft Authenticator App (am sichersten)

    • SMS-Textnachricht

    • Telefonanruf

    • Sicherheitsschlüssel (FIDO2) (höchste Sicherheit)

  6. Folgen Sie den Einrichtungsanweisungen von Microsoft

  7. Speichern Sie Wiederherstellungscodes an einem sicheren Ort

Erwartetes Ergebnis: Jedes Mal, wenn Sie sich über Microsoft bei ISMS Copilot anmelden, müssen Sie Ihren zweiten Faktor angeben.

Die Aktivierung von MFA bei Ihrem OAuth-Anbieter fügt Ihrem ISMS Copilot-Konto eine kritische Sicherheitsebene hinzu. Selbst wenn jemand Ihr Passwort stiehlt, kann er ohne Ihren zweiten Faktor nicht auf Ihr Konto zugreifen.

Best Practices für die Passwortsicherheit

Ein starkes Passwort erstellen

Wenn Sie die E-Mail- und Passwort-Authentifizierung verwenden, befolgen Sie diese Richtlinien:

Tun Sie dies:

  • Verwenden Sie mindestens 12–16 Zeichen (länger ist besser)

  • Nutzen Sie einen Passwortmanager zur Erzeugung von Zufallspasswörtern

  • Erstellen Sie ein eindeutiges Passwort für ISMS Copilot (niemals wiederverwenden)

  • Verwenden Sie Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen

  • Nutzen Sie Passphrasen: „Compliance!Audit@2024#ISO27001“ (leicht zu merken, schwer zu knacken)

Unterlassen Sie dies:

  • Verwenden Sie keine persönlichen Informationen (Name, Geburtstag, Firmenname)

  • Verwenden Sie keine gängigen Wörter oder Muster („Passwort123!“)

  • Verwenden Sie keine Passwörter von anderen Diensten wieder

  • Geben Sie Ihr Passwort nicht an Kollegen weiter

  • Schreiben Sie Passwörter nicht auf Haftnotizen oder in unverschlüsselte Dateien

Gängige Passwortmuster wie „Passwort123!“ oder „Willkommen2024!“ sind die ersten Kombinationen, die Angreifer ausprobieren. Diese Passwörter können mit automatisierten Tools in Sekunden geknackt werden.

Passwort-Reset-Prozess

Wenn Sie Ihr Passwort vergessen haben oder vermuten, dass es kompromittiert wurde:

  1. Rufen Sie die ISMS Copilot-Anmeldeseite auf

  2. Klicken Sie auf Passwort vergessen?

  3. Geben Sie Ihre registrierte E-Mail-Adresse ein

  4. Klicken Sie auf Reset-Link senden

  5. Prüfen Sie Ihren Posteingang auf eine E-Mail zum Zurücksetzen des Passworts

  6. Klicken Sie auf den Reset-Link in der E-Mail (24 Stunden gültig)

  7. Geben Sie ein neues starkes Passwort ein

  8. Klicken Sie auf Passwort zurücksetzen

Erwartetes Ergebnis: „Passwort erfolgreich zurückgesetzt. Sie können sich jetzt mit Ihrem neuen Passwort anmelden.“

Die E-Mail-Zustellung für Passwort-Resets und Verifizierungen wurde deutlich verbessert. Sie sollten die E-Mail innerhalb weniger Minuten erhalten. Falls nicht, prüfen Sie Ihren Spam-Ordner.

Konfiguration der Datenaufbewahrung

Steuern Sie, wie lange Ihre Konversationsdaten gespeichert werden, um Sicherheit und Compliance-Anforderungen in Einklang zu bringen.

Festlegen des Aufbewahrungszeitraums

  1. Klicken Sie auf das Benutzermenü-Symbol (oben rechts)

  2. Wählen Sie Einstellungen

  3. Wählen Sie im Feld Datenaufbewahrungszeitraum:

    • Kurze Aufbewahrung (1-30 Tage): Für hochsensible temporäre Arbeiten

    • Mittlere Aufbewahrung (90-365 Tage): Für die meisten Compliance-Projekte

    • Lange Aufbewahrung (1-7 Jahre): Für Projekte, die langfristige Aufzeichnungen erfordern

    • Dauerhaft aufbewahren: Für eine permanente Wissensdatenbank der Organisation

  4. Klicken Sie auf Einstellungen speichern

Erwartetes Ergebnis: Der Einstellungsdialog schließt sich und der Aufbewahrungszeitraum wird gespeichert.

Daten, die älter als Ihr Aufbewahrungszeitraum sind, werden täglich automatisch gelöscht. Diese Löschung ist dauerhaft und kann nicht rückgängig gemacht werden. Legen Sie Aufbewahrungsfristen sorgfältig auf Basis Ihrer Compliance- und rechtlichen Anforderungen fest.

Empfehlungen zur Aufbewahrung nach Anwendungsfall

Anwendungsfall

Empfohlene Aufbewahrung

Begründung

Temporäre Beratungsprojekte

90-180 Tage

Daten bis zum Projektabschluss plus Puffer aufbewahren

Jährliche Compliance-Audits

365-730 Tage

Nachweise bis zum Audit des nächsten Jahres behalten

Hochvertrauliche Arbeiten

30-60 Tage

Zeitfenster für die Gefährdung sensibler Daten minimieren

Wissensdatenbank der Organisation

Dauerhaft aufbewahren

Institutionelles Wissen über die Zeit aufbauen

ISO 27001-Implementierung

2-3 Jahre

Abdeckung der Erstzertifizierung + erste Rezertifizierung

Sitzungssicherheit

Wie Sitzungen funktionieren

Wenn Sie sich bei ISMS Copilot anmelden:

  • Ein sicheres JWT (JSON Web Token) wird generiert

  • Das Token wird im Sitzungsspeicher Ihres Browsers abgelegt

  • Jede Anfrage an ISMS Copilot enthält dieses Token

  • Token laufen nach einer Zeit der Inaktivität automatisch ab

  • Das Schließen Ihres Browsers leert den Sitzungsspeicher

Sicheres Abmelden

  1. Klicken Sie auf das Benutzermenü-Symbol (oben rechts)

  2. Wählen Sie Abmelden aus dem Dropdown-Menü

  3. Sie werden zur Anmeldeseite weitergeleitet

Erwartetes Ergebnis: Ihr Sitzungstoken wird gelöscht und Sie müssen sich erneut anmelden, um auf ISMS Copilot zuzugreifen.

Melden Sie sich immer ab, wenn Sie gemeinsam genutzte oder öffentliche Computer verwenden. Jeder, der nach Ihnen auf den Computer zugreift, könnte sonst auf Ihr ISMS Copilot-Konto zugreifen.

Best Practices für Sitzungen

  • Lassen Sie ISMS Copilot an gemeinsam genutzten Rechnern nicht unbeaufsichtigt offen

  • Schließen Sie Ihren Browser, wenn Sie in öffentlichen WLAN-Netzwerken fertig sind

  • Leeren Sie regelmäßig Ihren Browser-Cache

  • Verwenden Sie den Privat-/Inkognito-Modus bei Zugriffen von fremden Geräten

Workspace-Sicherheit

Warum Workspaces für die Sicherheit wichtig sind

Workspaces bieten Datentrennung für verschiedene Projekte oder Kunden:

  • Jeder Workspace hat einen eigenen Konversationsverlauf

  • Hochgeladene Dateien sind an spezifische Workspaces gebunden

  • Benutzerdefinierte Anweisungen bleiben innerhalb des jeweiligen Workspaces

  • Das Löschen eines Workspaces entfernt alle damit verbundenen Daten

Praktiken für sichere Workspaces

Für Compliance-Berater:

  1. Erstellen Sie einen Workspace pro Kunde

  2. Benennen Sie Workspaces klar, aber vermeiden Sie sensible Kundenkennungen

  3. Legen Sie workspace-spezifische Aufbewahrungsfristen fest, die den Kundenverträgen entsprechen

  4. Löschen Sie Workspaces nach Projektabschluss

Für Organisationen:

  1. Erstellen Sie Workspaces nach Projekt, Abteilung oder Framework

  2. Beschränken Sie den Zugriff auf sensible Informationen im Workspace

  3. Dokumentieren Sie die Workspace-Struktur in Ihrem Dateninventar

  4. Archivieren oder löschen Sie abgeschlossene Projekte regelmäßig

Verwenden Sie beschreibende, aber nicht-sensible Workspace-Namen. Statt „Acme Corp - Finanz-Audit 2024“ nutzen Sie „Kunde A - ISO 27001 Projekt“, um die Gefährdung zu reduzieren, falls Ihr Bildschirm für Dritte sichtbar ist.

Löschen eines Workspaces

  1. Gehen Sie zur Seite Workspaces

  2. Suchen Sie den Workspace, den Sie löschen möchten

  3. Klicken Sie auf die Schaltfläche Löschen auf der Workspace-Karte

  4. Ein Bestätigungsdialog erscheint: „Sind Sie sicher?“

  5. Klicken Sie zur Bestätigung auf Löschen

Erwartetes Ergebnis: Der Workspace sowie alle zugehörigen Konversationen, Dateien und benutzerdefinierten Anweisungen werden dauerhaft gelöscht.

Das Löschen eines Workspaces erfolgt sofort und unwiderruflich. Exportieren Sie wichtige Daten, bevor Sie einen Workspace löschen.

Browser-Sicherheitseinstellungen

Empfohlene Browser-Konfiguration

Halten Sie Ihren Browser auf dem neuesten Stand:

  • Aktivieren Sie automatische Browser-Updates

  • Verwenden Sie aktuelle Versionen von Chrome, Firefox, Safari oder Edge

  • Vermeiden Sie veraltete Browser (Internet Explorer, alte Safari-Versionen)

Datenschutzeinstellungen:

  • Aktivieren Sie „Do Not Track“ in den Browsereinstellungen

  • Blockieren Sie Drittanbieter-Cookies

  • Löschen Sie regelmäßig Browserdaten

  • Nutzen Sie den reinen HTTPS-Modus, falls verfügbar

Erweiterungen & Add-ons:

  • Installieren Sie nur vertrauenswürdige Browser-Erweiterungen

  • Prüfen Sie Erweiterungsberechtigungen sorgfältig

  • Deaktivieren oder entfernen Sie ungenutzte Erweiterungen

  • Seien Sie vorsichtig bei Erweiterungen, die Webseiten verändern

Netzwerksicherheit

Sichere Netzwerke für ISMS Copilot

Empfohlene Netzwerke:

  • Das sichere WLAN Ihrer Organisation

  • Ihr heimisches WLAN (mit WPA3- oder WPA2-Verschlüsselung)

  • Mobile Datenverbindung (4G/5G)

  • Vertrauenswürdige VPN-Verbindung

Zu vermeidende Netzwerke:

  • Öffentliches WLAN in Cafés, Flughäfen oder Hotels (außer bei VPN-Nutzung)

  • Offene Netzwerke ohne Passwort

  • Netzwerke mit verdächtigen oder unbekannten Namen

  • Öffentliche Computer in Internetcafés oder Bibliotheken

Öffentliche WLAN-Netzwerke können von Angreifern überwacht werden. Obwohl ISMS Copilot HTTPS-Verschlüsselung nutzt, sollten Sie den Zugriff auf sensible Compliance-Daten in öffentlichen Netzwerken vermeiden, es sei denn, Sie nutzen ein vertrauenswürdiges VPN.

Verwendung eines VPN

Wenn Sie in öffentlichen Netzwerken auf ISMS Copilot zugreifen müssen:

  1. Nutzen Sie einen seriösen VPN-Dienst (NordVPN, ExpressVPN, ProtonVPN)

  2. Verbinden Sie sich mit dem VPN, bevor Sie ISMS Copilot öffnen

  3. Überprüfen Sie, ob die VPN-Verbindung aktiv ist (achten Sie auf das VPN-Symbol)

  4. Greifen Sie normal auf ISMS Copilot zu

  5. Melden Sie sich ab und trennen Sie das VPN, wenn Sie fertig sind

Sicherheitsbedrohungen erkennen

Phishing-Angriffe

Warnsignale für Phishing-E-Mails:

  • Absender-E-Mail passt nicht zur Domain @ismscopilot.com

  • Dringliche Sprache, die zu sofortigem Handeln drängt

  • Verdächtige Links (Hovern Sie über den URL, um ihn vor dem Klicken zu prüfen)

  • Anfragen nach Passwort oder Zahlungsinformationen

  • Schlechte Grammatik oder Rechtschreibfehler

  • Generische Anreden („Lieber Nutzer“ statt Ihres Namens)

ISMS Copilot wird Sie NIEMALS auffordern, Ihr Passwort per E-Mail, Telefon oder Chat preiszugeben. Jede derartige Anfrage ist ein Phishing-Versuch. Melden Sie dies sofort und antworten Sie nicht.

Was zu tun ist, wenn Sie Phishing vermuten

  1. Klicken Sie auf keine Links in der verdächtigen E-Mail

  2. Laden Sie keine Anhänge herunter

  3. Antworten Sie nicht auf die E-Mail

  4. Leiten Sie die E-Mail an den ISMS Copilot-Support weiter

  5. Löschen Sie die E-Mail aus Ihrem Posteingang

  6. Falls Sie auf einen Link geklickt haben, ändern Sie sofort Ihr Passwort

Kontoüberwachung

Regelmäßige Sicherheitschecks

Führen Sie diese Prüfungen monatlich durch:

  1. Überprüfen Sie Ihre Workspaces: Suchen Sie nach unbekannten Workspaces oder Konversationen

  2. Konversationsverlauf prüfen: Suchen Sie nach Nachrichten, die Sie nicht gesendet haben

  3. Kontoeinstellungen prüfen: Stellen Sie sicher, dass E-Mail-Adresse und Aufbewahrungsfrist nicht geändert wurden

  4. Rechnungsinformationen prüfen: Premium-Nutzer sollten den Abonnementstatus kontrollieren

Anzeichen für unbefugten Zugriff

Kontaktieren Sie sofort den Support, wenn Ihnen Folgendes auffällt:

  • Workspaces, die Sie nicht erstellt haben

  • Konversationen oder Nachrichten, die Sie nicht erkennen

  • Änderungen an Kontoeinstellungen, die Sie nicht vorgenommen haben

  • Unerwartete E-Mails zum Zurücksetzen des Passworts

  • Anmeldebenachrichtigungen von unbekannten Standorten (falls implementiert)

Reaktion auf Vorfälle (Incident Response)

Wenn Ihr Konto kompromittiert wurde

  1. Ändern Sie sofort Ihr Passwort

    • Nutzen Sie den Passwort-Reset-Prozess

    • Erstellen Sie ein neues, individuelles Passwort

  2. Überprüfen Sie die Kontoaktivität

    • Prüfen Sie alle Workspaces auf unbefugte Änderungen

    • Prüfen Sie den Konversationsverlauf

    • Prüfen Sie hochgeladene Dateien

  3. Kontaktieren Sie den ISMS Copilot-Support

    • Melden Sie den Sicherheitsvorfall

    • Fordern Sie Audit-Logs an, sofern verfügbar

    • Folgen Sie den Anweisungen des Supports zur Behebung

  4. Benachrichtigen Sie betroffene Parteien

    • Falls auf Kundendaten zugegriffen wurde, informieren Sie die Kunden

    • Dokumentieren Sie den Vorfall für Ihre Compliance-Aufzeichnungen

    • Befolgen Sie die Incident-Response-Verfahren Ihrer Organisation

Wenn Sie eine Datenschutzverletzung entdecken, die Kundendaten betrifft, haben Sie unter Umständen gesetzliche Meldepflichten gemäß DSGVO oder anderen Vorschriften. Konsultieren Sie umgehend Ihr Rechts- oder Compliance-Team.

Sicherheits-Checkliste

Ersteinrichtung

  • ✓ Authentifizierungsmethode wählen (OAuth mit MFA empfohlen)

  • ✓ Starkes, eindeutiges Passwort erstellen (bei E-Mail-Authentifizierung)

  • ✓ E-Mail-Adresse verifizieren

  • ✓ MFA beim OAuth-Anbieter aktivieren

  • ✓ Angemessenen Datenaufbewahrungszeitraum festlegen

  • ✓ Datenschutzrichtlinie lesen und akzeptieren

Laufende Sicherheit

  • ✓ An gemeinsam genutzten Computern abmelden

  • ✓ Öffentliches WLAN ohne VPN vermeiden

  • ✓ Browser aktuell halten

  • ✓ Kontoaktivität monatlich prüfen

  • ✓ Abgeschlossene Workspaces löschen

  • ✓ Passwörter quartalsweise aktualisieren (E-Mail-Authentifizierung)

  • ✓ Wachsam gegenüber Phishing-Versuchen bleiben

Einschränkungen

Derzeit nicht verfügbare Funktionen

  • Native Multi-Faktor-Authentifizierung (verwenden Sie stattdessen OAuth-Anbieter)

  • Dashboard zur Sitzungsverwaltung (aktive Sitzungen können nicht eingesehen werden)

  • Anmeldebenachrichtigungen für neue Geräte oder Standorte

  • IP-Adress-Whitelisting

  • Unterstützung für Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn)

  • Single Sign-On (SSO/SAML) für Unternehmen

Nächste Schritte

Hilfe erhalten

Wenn Sie Hilfe zum Thema Sicherheit benötigen:

  • Kontaktieren Sie den Support über das Hilfe-Menü

  • Markieren Sie Ihre Nachricht bei vermuteten Sicherheitsvorfällen als dringend

  • Nutzen Sie für Passwort-Resets den Link „Passwort vergessen?“

  • Prüfen Sie die Statusseite bei Serviceproblemen

War das hilfreich?