ISMS Copilot
Sicherheit

Sicherheits- und Datenschutzübersicht

Übersicht

ISMS Copilot implementiert Sicherheitsmaßnahmen auf Enterprise-Niveau, um Ihre sensiblen Compliance-Daten zu schützen. Dieser Artikel erklärt, wie Ihre Daten gesichert werden, wo sie gespeichert sind und welche Kontrollen vorhanden sind, um Vertraulichkeit und Privatsphäre zu gewährleisten.

Für wen dies gedacht ist

Dieser Artikel richtet sich an:

  • Security-Teams, die ISMS Copilot bewerten

  • Compliance-Experten, die mit sensiblen Kundendaten arbeiten

  • Administratoren, die für Entscheidungen zum Datenschutz verantwortlich sind

  • Benutzer, die verstehen möchten, wie ihre Daten geschützt werden

Wichtige Sicherheitsprinzipien

Die Sicherheitsarchitektur von ISMS Copilot folgt diesen Kernprinzipien:

  • Kein Training mit Benutzerdaten – Ihre Konversationen, Dokumente und Kundeninformationen werden niemals zum Trainieren von KI-Modellen verwendet

  • Datenresidenz in der EU – Alle Daten werden auf Servern in der EU gespeichert (Frankfurt, Deutschland)

  • Ende-zu-Ende-Verschlüsselung – Daten werden sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt

  • Vom Benutzer kontrollierte Aufbewahrung – Sie entscheiden, wie lange Ihre Daten aufbewahrt werden

  • DSGVO-Konformität – Volle Einhaltung der europäischen Datenschutzgrundverordnung

Datenverschlüsselung

Verschlüsselung bei der Übertragung

Alle Daten, die zwischen Ihrem Browser und den ISMS Copilot-Servern übertragen werden, sind geschützt durch:

  • TLS 1.3 Verschlüsselung bei allen HTTPS-Verbindungen

  • Strict Transport Security (HSTS) wird für 1 Jahr erzwungen, einschließlich Subdomains

  • Certificate Pinning, um Man-in-the-Middle-Angriffe zu verhindern

  • Automatisches HTTPS-Upgrade für alle unsicheren Anfragen

Jede Verbindung zu ISMS Copilot nutzt Verschlüsselung auf Bankenniveau. Ihre Daten können während der Übertragung weder abgefangen noch gelesen werden.

Verschlüsselung im Ruhezustand

Alle in den ISMS Copilot-Datenbanken gespeicherten Daten sind geschützt durch:

  • AES-256 Verschlüsselung für alle Produktionsdatenbanken

  • Verschlüsselte Backups mit denselben Verschlüsselungsstandards

  • Verschlüsselter Dateispeicher für hochgeladene Dokumente (PDF, DOCX, XLS)

  • Sicheres Schlüsselmanagement mit Schlüsseln, die getrennt von den Daten aufbewahrt werden

Datenspeicherung & Residenz

Wo Ihre Daten gespeichert werden

Die gesamte Datenbank-Speicherung von ISMS Copilot erfolgt in:

  • Standort: Server in der EU (Region AWS Frankfurt, Deutschland)

  • Anbieter: Supabase (basiert auf der AWS-Infrastruktur)

  • Compliance: DSGVO-konforme Rechenzentren mit Garantien zur EU-Datenresidenz

Standort der KI-Verarbeitung (Vom Benutzer konfigurierbar):

Während Ihre Datenbank-Speicherung immer in der EU verbleibt, hängt der Ort der KI-Verarbeitung von Ihrer Einstellung für den Erweiterten Datenschutz-Modus ab:

  • Erweiterter Datenschutz AUS (Standard): Die KI-Verarbeitung erfolgt in den Vereinigten Staaten (xAI, OpenAI, Anthropic) unter Verwendung von Standardvertragsklauseln und ergänzenden Maßnahmen

  • Erweiterter Datenschutz EIN: Die KI-Verarbeitung erfolgt in der Europäischen Union (Mistral AI), wodurch internationale Übermittlungen und die Notwendigkeit von Transfer Impact Assessments entfallen

Organisationen mit Anforderungen an die EU-Datenresidenz können den Erweiterten Datenschutz-Modus aktivieren, um Transfer Impact Assessments für die KI-Verarbeitung zu vermeiden. Weitere Details finden Sie in unserem Transfer Impact Assessment.

Ihre Datenbank für den Konversationsverlauf verbleibt immer in der EU (Frankfurt). Der Erweiterte Datenschutz-Modus steuert, wo die KI-Verarbeitung stattfindet und wie lange KI-Anbieter Daten aufbewahren (30 Tage gegenüber Null).

Welche Daten gespeichert werden

ISMS Copilot speichert die folgenden Informationen:

  • Kontoinformationen: E-Mail-Adresse, Authentifizierungsdaten (gehashte Passwörter)

  • Konversationsverlauf: Ihre Fragen und die KI-Antworten innerhalb jedes Workspaces

  • Hochgeladene Dokumente: Dateien, die Sie zur Analyse hochladen (PDF, DOCX, XLS)

  • Workspace-Daten: Workspace-Namen, benutzerdefinierte Anweisungen und Projektorganisation

  • Nutzungsmetadaten: Zeitstempel, Nachrichtenanzahl und Funktionsnutzung für die Abrechnung und Serviceverbesserung

Authentifizierung & Zugriffskontrolle

Unterstützte Authentifizierungsmethoden

ISMS Copilot unterstützt mehrere sichere Authentifizierungsoptionen:

E-Mail & Passwort

  • Starke Passwortanforderungen (mindestens 8 Zeichen mit Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen)

  • Passwörter werden mit dem Industriestandard-Algorithmus bcrypt gehasht

  • Zwingende E-Mail-Verifizierung: Sie müssen den Bestätigungslink in der E-Mail klicken, bevor Sie sich anmelden können. Dies stellt die Kontoinhaberschaft sicher und verhindert unbefugten Zugriff

  • Sicheres Zurücksetzen des Passworts via E-Mail-Verifizierung

Google OAuth

  • Single Sign-On mit Ihrem Google-Konto

  • Kein Passwort in ISMS Copilot gespeichert

  • Authentifizierungs-Token werden von Google verwaltet

Microsoft/Azure OAuth

  • Single Sign-On mit Ihrem Microsoft- oder Azure-Konto

  • Enterprise-ready für Organisationen, die Microsoft 365 nutzen

  • Authentifizierungs-Token werden von Microsoft verwaltet

Für maximale Sicherheit nutzen Sie OAuth-Anbieter (Google oder Microsoft) in Kombination mit deren integrierten Multi-Faktor-Authentifizierungsfunktionen. Dies fügt Ihrem ISMS Copilot-Konto eine zusätzliche Schutzebene hinzu.

Sitzungsmanagement

Benutzersitzungen werden verwaltet durch:

  • JWT-Token mit automatischem Ablauf

  • Sicherer Sitzungsspeicher, der nach dem Schließen des Browsers nicht bestehen bleibt

  • Automatischer Logout, wenn Token ablaufen

  • Manueller Logout über das Benutzermenü verfügbar

Row-Level Security (RLS)

ISMS Copilot implementiert Zugriffskontrollen auf Datenbankebene:

  • Benutzer können nur auf ihre eigenen Konversationen, Workspaces und hochgeladenen Dateien zugreifen

  • Der Versuch, auf Daten anderer Benutzer zuzugreifen, liefert leere Ergebnisse (keine Fehlermeldungen)

  • Alle Datenbankabfragen filtern automatisch nach der authentifizierten Benutzer-ID

  • Admin-Zugriff erfordert separate Authentifizierung und Autorisierung

Datenaufbewahrung & Löschung

Vom Benutzer kontrollierte Aufbewahrung

Sie haben die volle Kontrolle darüber, wie lange Ihre Daten aufbewahrt werden:

  1. Klicken Sie auf das Benutzermenü-Symbol (obere rechte Ecke)

  2. Wählen Sie Einstellungen

  3. Geben Sie im Feld für den Datenaufbewahrungszeitraum Ihre bevorzugte Dauer ein:

    • Minimum: 1 Tag

    • Maximum: 7 Jahre

    • Oder klicken Sie auf Ewig aufbewahren, um Daten unbefristet zu behalten

  4. Klicken Sie auf Einstellungen speichern

Erwartetes Ergebnis: Der Einstellungsdialog schließt sich und Ihre Aufbewahrungspräferenz wird gespeichert.

Daten, die älter als Ihr Aufbewahrungszeitraum sind, werden automatisch und unwiderruflich gelöscht. Dieser Prozess läuft täglich und kann nicht rückgängig gemacht werden. Stellen Sie sicher, dass Sie benötigte Daten exportieren, bevor sie ablaufen.

Automatische Datenlöschung

ISMS Copilot löscht abgelaufene Daten automatisch:

  • Der Löschjob läuft täglich, um Daten zu entfernen, die älter als Ihr Aufbewahrungszeitraum sind

  • Gelöschte Daten umfassen den Konversationsverlauf, hochgeladene Dateien und Workspace-Inhalte

  • Die Löschung ist dauerhaft und eine Wiederherstellung ist nicht möglich

  • Kontoinformationen (E-Mail, Einstellungen) bleiben bis zur Kontolöschung erhalten

Kontolöschung

Um Ihr Konto und alle zugehörigen Daten zu löschen:

  1. Kontaktieren Sie den ISMS Copilot Support über das Help Center

  2. Fordern Sie die vollständige Kontolöschung an

  3. Der Support wird Ihre Identität bestätigen und die Löschung bearbeiten

  4. Alle Daten werden innerhalb von 30 Tagen dauerhaft entfernt

Datenschutz & Compliance

DSGVO-Konformität

ISMS Copilot ist vollständig konform mit der Datenschutzgrundverordnung (DSGVO):

  • Datenminimierung: Nur wesentliche Daten werden erhoben

  • Zweckbindung: Daten werden nur zur Erbringung des Dienstes verwendet

  • Speicherbegrenzung: Benutzergesteuerte Aufbewahrungsfristen

  • Recht auf Auskunft: Benutzer können ihre Daten exportieren

  • Recht auf Löschung: Benutzer können die vollständige Kontolöschung beantragen

  • Recht auf Übertragbarkeit: Daten können in Standardformaten exportiert werden

  • Datenschutz durch Technikgestaltung: Sicherheit ist in jede Funktion integriert

KI-Training & Ihre Daten

ISMS Copilot garantiert:

  • Kein Training mit Benutzerdaten: Ihre Konversationen, Dokumente und Kundeninformationen werden niemals zum Trainieren von KI-Modellen verwendet

  • Isolierte Verarbeitung: Jede Konversation wird unabhängig verarbeitet

  • Keine kundenübergreifende Datennutzung: Ihre Daten sind für andere Benutzer niemals sichtbar

  • Workspace-Isolierung: Verschiedene Workspaces bewahren getrennte Datengrenzen

Im Gegensatz zu allgemeinen KI-Tools wie ChatGPT nutzt ISMS Copilot Ihre sensiblen Compliance-Daten niemals, um das KI-Modell zu verbessern. Ihre Kundeninformationen bleiben absolut vertraulich.

KI-Anbieter Verarbeitungsoptionen:

Sie können zwischen zwei KI-Verarbeitungsmodi über den Erweiterten Datenschutz-Modus wählen:

  • Standard-Modus (AUS): US-basierte Verarbeitung (xAI, OpenAI, Anthropic) mit 30-tägiger vorübergehender Aufbewahrung

  • Erweiterter Datenschutz (EIN): EU-basierte Verarbeitung (Mistral AI) ohne Aufbewahrung (Zero Retention)

Unabhängig vom gewählten Modus werden Ihre Daten NIEMALS für KI-Training verwendet.

Anwendungssicherheit

Schutz gegen gängige Angriffe

ISMS Copilot implementiert zahlreiche Sicherheitsheader und Richtlinien:

Clickjacking-Schutz

  • X-Frame-Options: DENY verhindert die Einbettung in Iframes

  • Content Security Policy frame-ancestors Direktive blockiert Framing

Content Security Policy (CSP)

  • Beschränkt die Skriptausführung ausschließlich auf genehmigte Quellen

  • Blockiert Inline-Skripte, außer wo sie explizit erforderlich sind

  • Verhindert object-src und base-uri Angriffe

  • Aktualisiert unsichere HTTP-Anfragen automatisch auf HTTPS

MIME-Type-Schutz

  • X-Content-Type-Options: nosniff verhindert MIME-Type-Confusion-Angriffe

Referrer-Policy

  • strict-origin-when-cross-origin begrenzt den Informationsabfluss bei seitenübergreifenden Anfragen

Berechtigungsrichtlinie (Permissions Policy)

ISMS Copilot deaktiviert unnötige Browserfunktionen, um die Angriffsfläche zu reduzieren:

  • Kamera: Deaktiviert

  • Mikrofon: Deaktiviert

  • Geolokalisierung: Deaktiviert

  • Interest Cohort (FLoC Tracking): Blockiert

Drittanbieter-Dienste

KI-Verarbeitungsdienste

ISMS Copilot gibt Ihnen die Kontrolle darüber, welcher KI-Anbieter Ihre Konversationen verarbeitet.

Verfügbare KI-Anbieter (Konfigurierbar via Erweiterter Datenschutz-Modus):

  • xAI (Grok), OpenAI und Anthropic (Claude):

    • Standort: Vereinigte Staaten

    • Aufbewahrung: 30 Tage (temporärer Cache)

    • Training: API-Daten werden NICHT für das Modelltraining verwendet

    • Aktiv wenn: Erweiterter Datenschutz AUS ist (Standard)

  • Mistral AI:

    • Standort: Europäische Union

    • Aufbewahrung: Null (keine Aufbewahrung)

    • Training: Wird NICHT für das Modelltraining verwendet

    • Aktiv wenn: Erweiterter Datenschutz EIN ist

Organisationen mit Anforderungen an die EU-Datenresidenz sollten den Erweiterten Datenschutz-Modus aktivieren, um eine 100%ige Verarbeitung in der EU ohne Aufbewahrung durch KI-Anbieter zu gewährleisten. Dies bietet die stärksten verfügbaren Datenschutzgarantien.

Analyse & Monitoring

ISMS Copilot nutzt die folgenden Drittanbieter-Dienste:

PostHog (Analyse)

  • Zweck: Anonyme Produktanalyse und Tracking der Funktionsnutzung

  • Geteilte Daten: Funktionsnutzung, Seitenaufrufe, anonymisierte Benutzer-IDs

  • Nicht geteilt: Konversationsinhalte, hochgeladene Dokumente, persönliche Informationen

Sentry (Fehlermonitoring)

  • Zweck: Fehlerverfolgung und Leistungsüberwachung

  • Geteilte Daten: Fehlermeldungen, Stack-Traces, Browserinformationen, Benutzer-IDs (nur UUID in Produktion)

  • Nicht geteilt: Konversationsinhalte, hochgeladene Dokumente, E-Mail-Adressen, Namen

Zahlungsabwicklung

Stripe

  • Zweck: Sichere Zahlungsabwicklung und Abonnementverwaltung

  • PCI DSS Level 1 zertifizierter Zahlungsanbieter

  • ISMS Copilot speichert niemals Kreditkarteninformationen

  • Alle Zahlungsdaten werden ausschließlich durch Stripe verarbeitet

Premium-Nutzer können ihr Abonnement und ihre Zahlungsmethoden sicher über das Stripe-Kundenportal verwalten, indem sie im Benutzermenü auf „Abonnement verwalten“ klicken.

Einschränkungen & Überlegungen

Was ISMS Copilot zurzeit NICHT anbietet

  • Zusätzliche MFA-Optionen: Der E-Mail-basierte Login beinhaltet eine zwingende E-Mail-Verifizierung (eine Form von MFA). Für stärkeren Schutz können Sie OAuth-Anbieter (Google/Microsoft) mit aktivierter MFA nutzen. TOTP/Authenticator-App-Support ist noch nicht verfügbar.

  • Single Sign-On (SSO/SAML): Enterprise SSO-Integration ist derzeit nicht verfügbar

  • Hardware-Sicherheitsschlüssel: FIDO2/WebAuthn-Authentifizierung wird nicht unterstützt

  • Sitzungsmanagement-Dashboard: Benutzer können aktive Sitzungen von mehreren Geräten nicht einsehen oder verwalten

  • IP-Whitelisting: Der Zugriff kann nicht auf bestimmte IP-Adressen beschränkt werden

Beschränkungen der Datenaufbewahrung

  • Mindestaufbewahrungsdauer: 1 Tag

  • Maximale Aufbewahrungsdauer: 7 Jahre

  • Kostenlose Nutzer haben dieselben Aufbewahrungskontrollen wie Premium-Nutzer

Reaktion auf Sicherheitsvorfälle

Uptime-Monitoring & Erkennung

ISMS Copilot betreibt ein Echtzeit-Monitoring der Produktionssysteme, um Verfügbarkeit und schnelle Reaktion auf Vorfälle zu gewährleisten:

  • BetterStack Uptime Monitoring: Kontinuierliche Echtzeit-Überwachung von chat.ismscopilot.com (Hauptanwendung) auf Verfügbarkeitsprobleme

  • Automatisierte Alarmierung: Sofortige Slack-Benachrichtigungen an den #incident Kanal, wenn Probleme erkannt werden

  • Klassifizierung von Vorfällen: Evaluierung durch das Team, um festzustellen, ob Probleme Ereignisse oder eskalationspflichtige Vorfälle darstellen

  • Multi-Channel-Eskalation: Progressive Warnungen via E-Mail und SMS bei kritischen Vorfällen

  • Öffentliche Statusseite: Echtzeit-Servicestatus verfügbar unter https://status.ismscopilot.com/

Sie können den aktuellen Status aller ISMS Copilot-Dienste jederzeit auf unserer öffentlichen Statusseite einsehen. Dies bietet Transparenz über die Systemverfügbarkeit und laufende Vorfälle.

Zusätzliches Sicherheits-Monitoring

Über das Uptime-Monitoring hinaus setzt ISMS Copilot ein:

  • Automatisierte Fehlerverfolgung und Alarmierung via Sentry

  • Datenbank-Audit-Logs für verdächtige Zugriffsmuster

  • Regelmäßige Sicherheitsüberprüfungen und Schwachstellenbewertungen

Meldung von Sicherheitsproblemen

Wenn Sie eine Sicherheitslücke entdecken:

  1. Kontaktieren Sie den ISMS Copilot Support sofort über das Help Center

  2. Geben Sie detaillierte Informationen zum Problem an (ohne es öffentlich zu machen)

  3. Versuchen Sie nicht, die Schwachstelle auszunutzen

  4. Geben Sie dem Security-Team Zeit, das Problem zu untersuchen und zu beheben

Best Practices für Benutzer

Kontosicherheit

  • Verwenden Sie ein starkes, einzigartiges Passwort (oder OAuth-Anbieter mit aktivierter MFA)

  • Teilen Sie Ihre Zugangsdaten nicht mit anderen

  • Melden Sie sich nach der Nutzung an gemeinsam genutzten oder öffentlichen Computern ab

  • Überprüfen Sie regelmäßig Ihre Workspaces und Konversationen auf unbefugte Aktivitäten

Datenschutz

  • Legen Sie angemessene Aufbewahrungsfristen für Ihre Compliance-Anforderungen fest

  • Anonymisieren Sie sensible Kundeninformationen wenn möglich vor dem Hochladen

  • Nutzen Sie separate Workspaces für verschiedene Kunden, um Datenmischung zu vermeiden

  • Exportieren Sie wichtige Daten regelmäßig, bevor sie gemäß den Aufbewahrungseinstellungen ablaufen

Erstellen Sie einen dedizierten Workspace für jeden Kunden oder jedes Compliance-Projekt. Dies stellt sicher, dass Kundendaten isoliert bleiben und erleichtert die Verwaltung von Aufbewahrungsrichtlinien und Zugriffskontrollen.

Compliance-Zertifizierungen

Aktueller Status

ISMS Copilot hält die Compliance ein mit:

  • DSGVO (Datenschutzgrundverordnung)

  • CCPA (California Consumer Privacy Act) Prinzipien

  • Anforderungen an die EU-Datenresidenz

Zertifizierungen der Infrastruktur-Anbieter

Die Infrastruktur-Anbieter von ISMS Copilot verfügen über:

  • AWS: ISO 27001, SOC 2 Type II, PCI DSS

  • Supabase: SOC 2 Type II, DSGVO-konform

  • Stripe: PCI DSS Level 1, SOC 2 Type II

Wie es weitergeht

Hilfe erhalten

Wenn Sie Fragen zu Sicherheit oder Datenschutz haben:

  • Besuchen Sie unsere Security-Sammlung für detaillierte Sicherheitsdokumentation

  • Kontaktieren Sie den Support über das Help Center Menü

  • Melden Sie Sicherheitslücken sofort über die Support-Kanäle

ISMS Copilot verpflichtet sich zur Transparenz über Sicherheitspraktiken. Unsere Security-Sammlung bietet detaillierte Informationen über den Umgang mit Daten, Sicherheitsmaßnahmen und die Einhaltung von Datenschutzvorschriften.

War das hilfreich?