1. Zugangskontrolle (physisch & digital)

• Die Systeme befinden sich in einem Rechenzentrum von IONOS in Frankfurt am Main (ISO 27001-zertifiziert).
• Der Zutritt wird in Eigenverantwortung des Dienstleisters kontrolliert und überwacht.

2. Zugriffskontrolle (Berechtigungen)

• Die Zugriffsberechtigungen werden nach konkreter Aufgabe rollenbezogen und nach dem Prinzip des Minimalzugriffs vergeben.
• Es werden keine weiteren Nutzerkonten an Dritte vergeben.
• Externe Entwickler erhalten ggf. künftig temporär eingeschränkten Zugriff ohne Zugang zu personenbezogenen Daten.
• Zugriff auf Server, Webhosting und WebDAV-Speicher (Scanberichte) erfolgt ausschließlich durch den Betreiber über personalisierte Zugangsdaten.
• Der Zugriff auf administrativen Systeme erfolgt über 2-Faktor-Authentifizierung, wo verfügbar.
• Die Systeme mit denen Schwachstellenscans durchgeführt werden sind nur über VPN erreichbar, arbeiten autark und können nicht direkt aus dem Internet erreicht werden.

3. Datenzugriffssicherung (Datenträger, Software, Netz)

• Die Datenübertragung erfolgt ausschließlich über verschlüsselte Verbindungen (HTTPS, SFTP, VPN).
• Die Webanwendung (WordPress) nutzt aktuelle Sicherheits-Plugins und wird regelmäßig aktualisiert.
• Verbindungen zwischen WordPress und den Systemen zur Prüfung erfolgen über abgesicherte Zugänge und APIs.
• IP-Adressen und Prüfdaten sind nur während des Prüfprozesses gespeichert und werden danach automatisch gelöscht.

4. Trennung von Daten

• Prüfberichte werden nicht im WordPress-System gespeichert, sondern in einem separaten WebDAV-Speicher.
• Systeme zur Prüfung und Analyse speichern Daten nur temporär bis zur Berichterstellung. Danach erfolgt automatische Löschung.
• Kundendaten (z. B. Buchungsdaten) und technische Ergebnisse sind logisch und physisch getrennt.

5. Pseudonymisierung / Verschlüsselung

• Der gemanagte WebDAV-Speicher bei IONOS basiert auf verschlüsselter Infrastruktur.
• Sensible Prüf- und Berichtsdateien sind auf diesem System gesichert abgelegt.
• Die Systeme zur Prüfung arbeiten unabhängig voneinander und kommunizieren nur in eine Richtung (Push-Modell).

6. Backup & Wiederherstellung

• Die WordPress-Datenbank wird täglich gesichert; 15 Backup-Versionen werden vorgehalten.
• Funktionalität der Webseite (WordPress-Dateien) werden wöchentlich gesichert, zusätzlich bei jedem Update; 3 Backup-Versionen werden vorgehalten.
• Prüfberichte werden täglich gesichert, jeweils 1 Version des Vortages ist verfügbar.
• Im Falle eines Datenverlust wird die Sicherheitsprüfung erneut durchgeführt.

7. Verfügbarkeit & Belastbarkeit

• Die Systeme sind redundant ausgelegt: bei Ausfall eines Systems zur Prüfung wird eine neue Instanz ausgerollt.
• Kritische Systemkomponenten befinden sich in hochverfügbarer Hosting-Umgebung von IONOS.

8. Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung

• Regelmäßige Updates und Sicherheitsprüfungen der Systeme durch den Betreiber.
• Bei Änderung von Verarbeitungstätigkeiten erfolgt eine Überprüfung und ggf. Anpassung der technisch-organisatorischen Maßnahmen.
• Sicherheitsrelevante Logs werden regelmäßig überprüft (z. B. Login-Versuche, API-Nutzung).
• Kritische Änderungen (z. B. Einbindung externer Entwickler) werden dokumentiert.

Diese technisch organisatorischen Maßnahmen orientieren sich am tatsächlichen Betrieb und können bei Veränderungen angepasst werden. Sie sind nicht Bestandteil einer ISO-Zertifizierung, sondern dienen der Erfüllung von Art. 32 DSGVO.