ISMS Copilot
Sicherheit

Übersicht zu Sicherheit & Datenschutz - Aktualisiert

Überblick

ISMS Copilot implementiert Sicherheitsmaßnahmen auf Enterprise-Niveau, um Ihre sensiblen Compliance-Daten zu schützen. Dieser Artikel erklärt, wie Ihre Daten gesichert werden, wo sie gespeichert sind und welche Kontrollmechanismen bestehen, um Vertraulichkeit und Datenschutz zu gewährleisten.

Für wen dies gedacht ist

Dieser Artikel richtet sich an:

  • Security-Teams, die ISMS Copilot evaluieren

  • Compliance-Experten, die mit sensiblen Kundendaten arbeiten

  • Administratoren, die für Entscheidungen zum Datenschutz verantwortlich sind

  • Nutzer, die verstehen möchten, wie ihre Daten geschützt werden

Zentrale Sicherheitsprinzipien

Die Sicherheitsarchitektur von ISMS Copilot folgt diesen Kernprinzipien:

  • Kein Training mit Nutzerdaten – Ihre Konversationen, Dokumente und Kundeninformationen werden niemals zum Trainieren von KI-Modellen verwendet

  • Datenresidenz in der EU – Alle Daten werden auf EU-basierten Servern gespeichert (Frankfurt, Deutschland)

  • Ende-zu-Ende-Verschlüsselung – Daten sind sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt

  • Vom Nutzer gesteuerte Aufbewahrung – Sie entscheiden, wie lange Ihre Daten aufbewahrt werden

  • DSGVO-Konformität – Volle Übereinstimmung mit den europäischen Datenschutzbestimmungen

Datenverschlüsselung

Verschlüsselung bei der Übertragung

Alle zwischen Ihrem Browser und den ISMS Copilot-Servern übertragenen Daten sind geschützt durch:

  • TLS 1.3-Verschlüsselung für alle HTTPS-Verbindungen

  • Strict Transport Security (HSTS), erzwungen für 1 Jahr inklusive Subdomains

  • Certificate Pinning, um Man-in-the-Middle-Angriffe zu verhindern

  • Automatisches HTTPS-Upgrade für alle unsicheren Anfragen

Jede Verbindung zu ISMS Copilot nutzt eine Verschlüsselung auf Bankenniveau. Ihre Daten können während der Übertragung nicht abgefangen oder gelesen werden.

Verschlüsselung im Ruhezustand (at rest)

Alle in den Datenbanken von ISMS Copilot gespeicherten Daten sind geschützt durch:

  • AES-256-Verschlüsselung für alle Produktionsdatenbanken

  • Verschlüsselte Backups mit denselben Verschlüsselungsstandards

  • Verschlüsselter Dateispeicher für hochgeladene Dokumente (PDF, DOCX, XLS)

  • Sicheres Schlüsselmanagement, bei dem die Schlüssel getrennt von den Daten gespeichert werden

Datenspeicherung & Residenz

Wo Ihre Daten gespeichert werden

Die gesamte Datenbankspeicherung von ISMS Copilot erfolgt in:

  • Standort: EU-basierte Server (Region AWS Frankfurt, Deutschland)

  • Anbieter: Supabase (aufgebaut auf AWS-Infrastruktur)

  • Konformität: DSGVO-konforme Rechenzentren mit Garantien zur EU-Datenresidenz

KI-Verarbeitungsstandort (Nutzer-konfigurierbar):

Während Ihre Datenbankspeicherung immer in der EU erfolgt, hängt der Standort der KI-Verarbeitung von Ihrer Einstellung für den Erweiterten Datenschutz-Modus ab:

  • Erweiterter Datenschutz AUS (Standard): Die KI-Verarbeitung erfolgt in den USA (xAI/OpenAI) mit Standardvertragsklauseln und ergänzenden Maßnahmen

  • Erweiterter Datenschutz EIN: Die KI-Verarbeitung erfolgt in der Europäischen Union (Mistral AI), wodurch internationale Übermittlungen und Anforderungen für Transfer Impact Assessments entfallen

Organisationen mit Anforderungen an die EU-Datenresidenz können den Erweiterten Datenschutz-Modus aktivieren, um Transfer Impact Assessments für die KI-Verarbeitung zu vermeiden. Details finden Sie in unserem Transfer Impact Assessment.

Ihre Datenbank für den Konversationsverlauf verbleibt immer in der EU (Frankfurt). Der Erweiterte Datenschutz-Modus steuert, wo die KI-Verarbeitung stattfindet und wie lange die KI-Anbieter Daten aufbewahren (30 Tage gegenüber Null).

Welche Daten gespeichert werden

ISMS Copilot speichert die folgenden Informationen:

  • Kontoinformationen: E-Mail-Adresse, Authentifizierungsdaten (gehashte Passwörter)

  • Konversationsverlauf: Ihre Fragen und KI-Antworten innerhalb jedes Workspaces

  • Hochgeladene Dokumente: Dateien, die Sie zur Analyse hochladen (PDF, DOCX, XLS)

  • Workspace-Daten: Workspace-Namen, benutzerdefinierte Anweisungen und Projektorganisation

  • Nutzungs-Metadaten: Zeitstempel, Nachrichtenanzahl und Funktionsnutzung für Abrechnungszwecke und Serviceverbesserung

Authentifizierung & Zugriffskontrolle

Unterstützte Authentifizierungsmethoden

ISMS Copilot unterstützt mehrere sichere Authentifizierungsoptionen:

E-Mail & Passwort

  • Starke Passwortanforderungen (mindestens 8 Zeichen mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen)

  • Passwörter werden mit dem branchenüblichen bcrypt-Algorithmus gehasht

  • Obligatorische E-Mail-Verifizierung: Sie müssen auf den Bestätigungslink in der E-Mail klicken, bevor Sie sich einloggen können. Dies stellt die Kontoinhaberschaft sicher und verhindert unbefugten Zugriff.

  • Sicheres Zurücksetzen des Passworts per E-Mail-Verifizierung

Google OAuth

  • Single Sign-On über Ihr Google-Konto

  • Kein Passwort in ISMS Copilot gespeichert

  • Authentifizierungs-Token werden von Google verwaltet

Microsoft/Azure OAuth

  • Single Sign-On über Ihr Microsoft- oder Azure-Konto

  • Enterprise-ready für Organisationen, die Microsoft 365 nutzen

  • Authentifizierungs-Token werden von Microsoft verwaltet

Für maximale Sicherheit nutzen Sie OAuth-Anbieter (Google oder Microsoft) in Kombination mit deren integrierten Multi-Faktor-Authentifizierungsfunktionen. Dies fügt Ihrem ISMS Copilot-Konto eine zusätzliche Schutzebene hinzu.

Sitzungsmanagement

Benutzersitzungen werden verwaltet durch:

  • JWT-Token mit automatischem Ablauf

  • Sicherer Sitzungsspeicher, der nach dem Schließen des Browsers nicht bestehen bleibt

  • Automatisches Logout, wenn Token ablaufen

  • Manuelles Logout, verfügbar über das Benutzermenü

Row-Level Security (RLS)

ISMS Copilot implementiert Zugriffskontrollen auf Datenbankebene:

  • Nutzer können nur auf ihre eigenen Konversationen, Workspaces und hochgeladenen Dateien zugreifen

  • Der Versuch, auf Daten anderer Nutzer zuzugreifen, liefert leere Ergebnisse (keine Fehlermeldungen)

  • Alle Datenbankabfragen filtern automatisch nach der authentifizierten Benutzer-ID

  • Admin-Zugriff erfordert eine separate Authentifizierung und Autorisierung

Datenaufbewahrung & Löschung

Vom Nutzer gesteuerte Aufbewahrung

Sie haben die volle Kontrolle darüber, wie lange Ihre Daten aufbewahrt werden:

  1. Klicken Sie auf das Benutzermenü-Icon (oben rechts)

  2. Wählen Sie Einstellungen

  3. Geben Sie im Feld "Aufbewahrungszeitraum" Ihren bevorzugten Zeitraum ein:

    • Minimum: 1 Tag

    • Maximum: 7 Jahre

    • Oder klicken Sie auf Für immer behalten, um sie unbegrenzt zu speichern

  4. Klicken Sie auf Einstellungen speichern

Erwartetes Ergebnis: Der Einstellungsdialog schließt sich und Ihre Präferenz für die Aufbewahrung wird gespeichert.

Daten, die älter als Ihr Aufbewahrungszeitraum sind, werden automatisch und dauerhaft gelöscht. Dieser Prozess läuft täglich und kann nicht rückgängig gemacht werden. Stellen Sie sicher, dass Sie alle benötigten Daten exportieren, bevor sie ablaufen.

Automatische Datenlöschung

ISMS Copilot löscht abgelaufene Daten automatisch:

  • Löschaufträge laufen täglich, um Daten zu entfernen, die älter als Ihr Aufbewahrungszeitraum sind

  • Gelöschte Daten umfassen Konversationsverläufe, hochgeladene Dateien und Workspace-Inhalte

  • Die Löschung ist dauerhaft und kann nicht wiederhergestellt werden

  • Kontoinformationen (E-Mail, Einstellungen) bleiben bis zur Kontolöschung erhalten

Kontolöschung

Um Ihr Konto und alle damit verbundenen Daten zu löschen:

  1. Kontaktieren Sie den ISMS Copilot-Support über das Help Center

  2. Beantragen Sie die vollständige Kontolöschung

  3. Der Support wird Ihre Identität bestätigen und die Löschung bearbeiten

  4. Alle Daten werden innerhalb von 30 Tagen endgültig entfernt

Datenschutz & Compliance

DSGVO-Konformität

ISMS Copilot entspricht vollumfänglich der Datenschutz-Grundverordnung (DSGVO):

  • Datenminimierung: Nur wesentliche Daten werden erhoben

  • Zweckbindung: Daten werden nur zur Bereitstellung des Dienstes verwendet

  • Speicherbegrenzung: Benutzergesteuerte Aufbewahrungsfristen

  • Recht auf Auskunft: Nutzer können ihre Daten exportieren

  • Recht auf Löschung: Nutzer können die vollständige Datenlöschung verlangen

  • Recht auf Übertragbarkeit: Daten können in Standardformaten exportiert werden

  • Datenschutz durch Technikgestaltung: Sicherheit ist in jede Funktion integriert

KI-Training & Ihre Daten

ISMS Copilot garantiert:

  • Kein Training mit Nutzerdaten: Ihre Konversationen, Dokumente und Kundeninformationen werden niemals für das Training von KI-Modellen verwendet

  • Isolierte Verarbeitung: Jede Konversation wird unabhängig verarbeitet

  • Kein kundenübergreifender Datenaustausch: Ihre Daten sind für andere Nutzer niemals sichtbar

  • Workspace-Isolierung: Verschiedene Workspaces behalten getrennte Datengrenzen bei

Im Gegensatz zu allgemeinen KI-Tools wie ChatGPT nutzt ISMS Copilot Ihre sensiblen Compliance-Daten niemals, um das KI-Modell zu verbessern. Ihre Kundeninformationen bleiben absolut vertraulich.

Verarbeitungsoptionen der KI-Anbieter:

Sie können über den Erweiterten Datenschutz-Modus zwischen zwei KI-Verarbeitungsmodi wählen:

  • Standard-Modus (AUS): USA-basierte Verarbeitung (xAI/OpenAI) mit 30-tägiger temporärer Aufbewahrung

  • Erweiterter Datenschutz (EIN): EU-basierte Verarbeitung (Mistral AI) ohne Aufbewahrung (Zero Retention)

Unabhängig davon, welchen Modus Sie wählen, werden Ihre Daten NIEMALS für KI-Training verwendet.

Anwendungssicherheit

Schutz gegen gängige Angriffe

ISMS Copilot implementiert mehrere Sicherheits-Header und Richtlinien:

Clickjacking-Schutz

  • X-Frame-Options: DENY verhindert die Einbettung in iFrames

  • Die frame-ancestors-Direktive der Content Security Policy blockiert Framing

Content Security Policy (CSP)

  • Beschränkt die Skriptausführung auf ausschließlich autorisierte Quellen

  • Blockiert Inline-Skripte, außer dort, wo sie ausdrücklich erforderlich sind

  • Verhindert object-src und base-uri Angriffe

  • Aktualisiert unsichere HTTP-Anfragen automatisch auf HTTPS

MIME-Type-Schutz

  • X-Content-Type-Options: nosniff verhindert MIME-Type-Confusion-Angriffe

Referrer Policy

  • strict-origin-when-cross-origin begrenzt den Informationsabfluss bei seitenübergreifenden Anfragen

Berechtigungsrichtlinie (Permissions Policy)

ISMS Copilot deaktiviert unnötige Browserfunktionen, um die Angriffsfläche zu verringern:

  • Kamera: Deaktiviert

  • Mikrofon: Deaktiviert

  • Geolokalisierung: Deaktiviert

  • Interest Cohort (FLoC Tracking): Blockiert

Dienstanbieter von Drittanbietern

KI-Verarbeitungsdienste

ISMS Copilot gibt Ihnen die Kontrolle darüber, welcher KI-Anbieter Ihre Konversationen verarbeitet.

Verfügbare KI-Anbieter (Nutzer-konfigurierbar über den Erweiterten Datenschutz-Modus):

  • xAI (Grok) und OpenAI:

    • Standort: Vereinigte Staaten

    • Aufbewahrung: 30 Tage (temporärer Cache)

    • Training: API-Daten werden NICHT für das Modelltraining verwendet

    • Aktiv wenn: Erweiterter Datenschutz AUS ist (Standard)

  • Mistral AI:

    • Standort: Europäische Union

    • Aufbewahrung: Keine (Zero Retention)

    • Training: Wird NICHT für das Modelltraining verwendet

    • Aktiv wenn: Erweiterter Datenschutz EIN ist

Organisationen mit Anforderungen an die EU-Datenresidenz sollten den Erweiterten Datenschutz-Modus aktivieren, um eine 100%ige EU-Verarbeitung ohne Aufbewahrung beim KI-Anbieter zu gewährleisten. Dies bietet die stärksten verfügbaren Datenschutzgarantien.

Analyse & Monitoring

ISMS Copilot nutzt die folgenden Drittanbieter-Dienste:

PostHog (Analytics)

  • Zweck: Anonyme Produktanalyse und Tracking der Funktionsnutzung

  • Geteilte Daten: Funktionsnutzung, Seitenaufrufe, anonymisierte Benutzer-IDs

  • Nicht geteilt: Konversationsinhalte, hochgeladene Dokumente, persönliche Informationen

Sentry (Fehlerüberwachung)

  • Zweck: Fehlerverfolgung und Leistungsüberwachung

  • Geteilte Daten: Fehlermeldungen, Stack-Traces, Browser-Informationen, Benutzer-IDs (nur UUID in Produktion)

  • Nicht geteilt: Konversationsinhalte, hochgeladene Dokumente, E-Mail-Adressen, Namen

Zahlungsabwicklung

Stripe

  • Zweck: Sichere Zahlungsabwicklung und Abonnementverwaltung

  • PCI DSS Level 1 zertifizierter Zahlungsanbieter

  • ISMS Copilot speichert niemals Kreditkarteninformationen

  • Alle Zahlungsdaten werden exklusiv von Stripe verarbeitet

Premium-Nutzer können ihr Abonnement und ihre Zahlungsmethoden sicher über das Stripe-Kundenportal verwalten, indem sie im Benutzermenü auf "Abonnement verwalten" klicken.

Einschränkungen & Überlegungen

Was ISMS Copilot derzeit NICHT anbietet

  • Zusätzliche MFA-Optionen: Der E-Mail-basierte Login beinhaltet eine obligatorische E-Mail-Verifizierung (eine Form von MFA). Für stärkeren Schutz können Sie OAuth-Anbieter (Google/Microsoft) mit deren aktivierter MFA nutzen. Unterstützung für TOTP/Authenticator-Apps ist noch nicht verfügbar.

  • Single Sign-On (SSO/SAML): Enterprise-SSO-Integration ist derzeit nicht verfügbar

  • Hardware-Sicherheitsschlüssel: FIDO2/WebAuthn-Authentifizierung wird nicht unterstützt

  • Dashboard für Sitzungsmanagement: Nutzer können aktive Sitzungen von mehreren Geräten nicht einsehen oder verwalten

  • IP-Whitelisting: Der Zugriff kann nicht auf bestimmte IP-Adressen beschränkt werden

Einschränkungen der Datenaufbewahrung

  • Mindestaufbewahrungsdauer: 1 Tag

  • Maximale Aufbewahrungsdauer: 7 Jahre

  • Kostenlose Nutzer haben dieselben Aufbewahrungskontrollen wie Premium-Nutzer

Reaktion auf Sicherheitsvorfälle

Uptime-Monitoring & Erkennung

ISMS Copilot überwacht die Produktionssysteme in Echtzeit, um die Verfügbarkeit sicherzustellen und schnell auf Vorfälle reagieren zu können:

  • BetterStack Uptime Monitoring: Kontinuierliche Echtzeit-Überwachung von chat.ismscopilot.com (Hauptanwendung) auf Verfügbarkeitsprobleme

  • Automatisierte Alarmierung: Sofortige Slack-Benachrichtigungen im Kanal #incident, wenn Verfügbarkeitsprobleme erkannt werden

  • Klassifizierung von Vorfällen: Teambewertung, ob Probleme Ereignisse oder Vorfälle darstellen, die eine Eskalation erfordern

  • Multi-Channel-Eskalation: Progressive Warnungen per E-Mail und SMS bei kritischen Vorfällen

  • Öffentliche Statusseite: Echtzeit-Servicestatus verfügbar unter https://status.ismscopilot.com/

Sie können den aktuellen Status aller ISMS Copilot-Dienste jederzeit auf unserer öffentlichen Statusseite überprüfen. Dies bietet Transparenz über die Systemverfügbarkeit und laufende Vorfälle.

Zusätzliche Sicherheitsüberwachung

Über das Uptime-Monitoring hinaus setzt ISMS Copilot folgendes ein:

  • Automatisierte Fehlerverfolgung und Alarmierung via Sentry

  • Datenbank-Audit-Logs für verdächtige Zugriffsmuster

  • Regelmäßige Sicherheitsüberprüfungen und Schwachstellenbewertungen

Meldung von Sicherheitsproblemen

Wenn Sie eine Sicherheitslücke entdecken:

  1. Kontaktieren Sie den ISMS Copilot-Support umgehend über das Help Center

  2. Geben Sie detaillierte Informationen über das Problem an (ohne es öffentlich zu machen)

  3. Versuchen Sie nicht, die Schwachstelle auszunutzen

  4. Geben Sie dem Security-Team Zeit, das Problem zu untersuchen und zu beheben

Best Practices für Nutzer

Kontosicherheit

  • Verwenden Sie ein starkes, einzigartiges Passwort (oder OAuth-Anbieter mit aktivierter MFA)

  • Teilen Sie Ihre Zugangsdaten nicht mit anderen

  • Melden Sie sich nach der Nutzung an gemeinsam genutzten oder öffentlichen Computern ab

  • Überprüfen Sie regelmäßig Ihre Workspaces und Konversationen auf unbefugte Aktivitäten

Datenschutz

  • Legen Sie angemessene Aufbewahrungsfristen für Ihre Compliance-Anforderungen fest

  • Anonymisieren Sie sensible Kundeninformationen nach Möglichkeit vor dem Hochladen

  • Nutzen Sie separate Workspaces für verschiedene Kunden, um Datenmischung zu verhindern

  • Exportieren Sie wichtige Daten regelmäßig, bevor sie gemäß den Aufbewahrungseinstellungen ablaufen

Erstellen Sie einen dedizierten Workspace für jeden Kunden oder jedes Compliance-Projekt. Dies stellt sicher, dass Kundendaten isoliert bleiben und erleichtert die Verwaltung von Aufbewahrungsrichtlinien und Zugriffskontrollen.

Compliance-Zertifizierungen

Aktueller Status

ISMS Copilot wahrt die Konformität mit:

  • DSGVO (Datenschutz-Grundverordnung)

  • Den Prinzipien des CCPA (California Consumer Privacy Act)

  • Anforderungen an die EU-Datenresidenz

Zertifizierungen der Infrastruktur-Anbieter

Die Infrastruktur-Anbieter von ISMS Copilot halten folgende Zertifizierungen:

  • AWS: ISO 27001, SOC 2 Type II, PCI DSS

  • Supabase: SOC 2 Type II, DSGVO-konform

  • Stripe: PCI DSS Level 1, SOC 2 Type II

Nächste Schritte

Hilfe erhalten

Wenn Sie Fragen zu Sicherheit oder Datenschutz haben:

  • Besuchen Sie unsere Security Collection für detaillierte Sicherheitsdokumentationen

  • Kontaktieren Sie den Support über das Menü im Help Center

  • Sicherheitslücken melden Sie bitte umgehend über die Support-Kanäle

ISMS Copilot setzt auf Transparenz bei Sicherheitspraktiken. Unsere Security Collection bietet detaillierte Informationen über Datenverarbeitung, Sicherheitsmaßnahmen und die Einhaltung von Datenschutzvorschriften.

War das hilfreich?