Wie wir ISMS Copilot sicher und präzise halten
ISMS Copilot unterstützt Compliance-Experten bei der Erstellung von Richtlinien, der Analyse von Audit-Anforderungen und der Navigation durch komplexe Frameworks wie ISO 27001 und SOC 2. Wir haben auf jeder Ebene der Plattform Schutzmaßnahmen integriert, um Ihre sensiblen Daten zu schützen und sicherzustellen, dass unsere KI zuverlässige, auditfähige Ergebnisse liefert – statt generischer Ratschläge, die Ihre Zertifizierung gefährden könnten.
Unser Ansatz kombiniert technische Schutzmaßnahmen, Genauigkeitskontrollen und betriebliche Sicherheitsvorkehrungen über den gesamten Lebenszyklus Ihrer Daten hinweg.
Datenschutz durch Technikgestaltung (Privacy by Design)
Compliance-Arbeit beinhaltet sensible Organisationsdaten. Wir schützen diese durch:
End-to-End-Verschlüsselung: TLS 1.3 während der Übertragung, AES-256 im Ruhezustand. Ihre Daten werden verschlüsselt, bevor sie unsere Server erreichen und während sie gespeichert sind.
EU-Hosting & DSGVO-Konformität: Die gesamte Infrastruktur wird in Frankfurt betrieben (AWS EU-Central-1). Wir agieren als Ihr DSGVO-Auftragsverarbeiter mit allen Verpflichtungen nach Artikel 28, Standardvertragsklauseln und Auftragsverarbeitungsvertrag (AVV).
Isolierung der Arbeitsbereiche: Sicherheit auf Zeilenebene (Row-level security) stellt sicher, dass sich Kunden und Projekte niemals vermischen. Jeder Arbeitsbereich ist eine separate Umgebung.
Kein Training mit Ihren Daten: Wir untersagen KI-Anbietern (Mistral AI, OpenAI, xAI) vertraglich, Ihre Ein- oder Ausgaben für das Modelltraining zu verwenden. Ihre Compliance-Daten bleiben Ihr Eigentum.
Benutzergesteuerte Aufbewahrung: Konfigurieren Sie die Aufbewahrung von 1 Tag bis zu 7 Jahren oder löschen Sie Daten sofort. Die automatische Löschung erfolgt täglich. Bei einer Kontolöschung werden alle Daten innerhalb von 30 Tagen entfernt.
Für maximale Privatsphäre aktivieren Sie den Erweiterten Datenschutz-Modus, um alle Abfragen über die rein EU-basierte Mistral AI ohne Datenspeicherung zu leiten.
Verhinderung von Halluzinationen und ungenauen Ratschlägen
Generische KI-Tools wie ChatGPT können fälschlicherweise Kontrollanforderungen erfinden oder Standards missverstehen. Wir verhindern dies durch:
Dynamische Framework-Wissensinjektion: Wenn Sie ein Framework erwähnen (ISO 27001, SOC 2, DSGVO usw.), speist unser System automatisch geprüftes Wissen aus unserer proprietären Datenbank ein, bevor die KI antwortet. Dies eliminiert Halluzinationen bezüglich Kontrollen und Anforderungen.
Proprietäre Wissensdatenbank: Erstellt aus Hunderten von realen Beratungsprojekten – kein Scraping von Webinhalten. Wir stellen die Genauigkeit durch Versionskontrolle und regelmäßige Aktualisierungen bei Standardänderungen sicher.
Unschärfe-Hinweise: Wenn die KI unsicher ist, teilt sie dies mit und fordert Sie auf, die Angaben gegen den offiziellen Standard zu prüfen. Wir beschränken die Antworten strikt auf Compliance-Themen – keine themenfremde Generierung.
ISMS Copilot beschleunigt Compliance-Workflows, ersetzt jedoch kein professionelles Urteilsvermögen. Prüfen Sie kritische Ergebnisse stets gegen offizielle Framework-Dokumentationen und konsultieren Sie qualifizierte Auditoren für Zertifizierungsentscheidungen.
Authentifizierung & Zugriffskontrollen
Wir erzwingen sicheren Zugriff durch:
Verpflichtende E-Mail-Verifizierung: Alle Konten erfordern eine verifizierte E-Mail-Adresse vor dem Zugriff.
OAuth mit MFA-Unterstützung: Anmeldung über Google oder Microsoft mit Multi-Faktor-Authentifizierung. Wir empfehlen, MFA bei Ihrem Identitätsanbieter zu aktivieren.
Passwort-Hashing: Passwörter werden mit bcrypt gehasht. Wir speichern niemals Anmeldedaten im Klartext.
Sitzungsverwaltung: JWT-Token laufen automatisch ab, um die Zeitfenster für unbefugten Zugriff zu begrenzen.
Missbrauchsprävention & Überwachung
Wir überwachen die Nutzung unter Wahrung der Privatsphäre:
Automatisierte Inhaltsmoderation: APIs der KI-Anbieter prüfen alle Nachrichten auf unzulässige Inhalte. Gemeldete Inhalte werden für 1 Jahr zur Überprüfung durch Administratoren aufbewahrt; nicht gemeldete Metadaten werden nach 30 Tagen gelöscht.
Rate Limiting: Nutzer der kostenlosen Version sind auf 10 Nachrichten pro 4 Stunden begrenzt, um Missbrauch zu verhindern. Bezahlte Pläne haben höhere Kontingente.
Fehlerüberwachung: Sentry verfolgt technische Fehler unter Verwendung anonymisierter UUIDs – es werden keine Nachrichteninhalte protokolliert.
Datenschutzfreundliche Analysen: Cookie-loses PostHog ohne personenbezogene Daten.
Schwärzung sensibler Daten
Aktivieren Sie den Modus zur Reduzierung personenbezogener Daten (PII), um Namen, E-Mail-Adressen und Telefonnummern automatisch zu schwärzen, bevor Daten an KI-Anbieter gesendet werden. Dies bietet eine zusätzliche Schutzebene beim Hochladen von Dokumenten oder Besprechen von Personalangelegenheiten.
Reaktion auf Vorfälle (Incident Response)
Sollte ein Sicherheitsproblem auftreten, gewährleistet unser Reaktionsprozess:
Bewertung innerhalb von 24 Stunden
Benachrichtigung betroffener Nutzer innerhalb von 72 Stunden bei Datenschutzverletzungen (DSGVO Artikel 33)
Nachverfolgung der Behebung und Überprüfung nach dem Vorfall
Melden Sie Sicherheitsbedenken an [email protected].
Was uns unterscheidet
Im Gegensatz zu allgemeinen KI-Tools ist ISMS Copilot speziell für Compliance entwickelt:
Keine Halluzinationen bei Kontrollen: Die Framework-Injektion gewährleistet Genauigkeit bei ISO 27001, SOC 2 und anderen Standards.
EU-Hosting ohne Training: Ihre Daten verlassen niemals die EU (mit dem Erweiterten Modus) und werden niemals zum Training von Modellen verwendet.
Audit-fähige Ergebnisse*: Strukturierte Richtlinien und Gap-Analysen – keine dialogorientierten Antworten, die Sie erst umformatieren müssen. *Trotzdem gilt: Immer prüfen, das gehört einfach dazu.
Organisation durch Arbeitsbereiche: Integrierte Trennung für mehrere Kunden und Projekte.
Detaillierte Informationen zur Datenverarbeitung finden Sie in unserer Datenschutzerklärung und unserem Auftragsverarbeitungsvertrag.