Technische & organisatorische Maßnahmen
Die OM-IT Systeme GmbH betreibt ein integriertes Informationssicherheits- und Datenschutzkonzept basierend auf Art. 32 DSGVO, der ISO/IEC 27001 sowie den BSI-Grundschutz-Bausteinen. Die wichtigsten TOMs im Überblick:
| Schutzbereich | Maßnahmen |
|---|---|
| Zutritts- und Zugangskontrolle | Büroflächen mit elektronischen Schließsystemen, Alarmanlage und Besucherbuch; M365- und Cloud-Zugänge ausschließlich per MFA (Conditional Access, Hardware-Token für Administratoren). |
| Zugriffskontrolle | Rollen- und berechtigungsbasierte Profile (least privilege). Regelmäßige Rezertifizierung, automatische Offboarding-Workflows, Protokollierung administrativer Aktionen. |
| Weitergabekontrolle | VPN mit IP-Restriktionen, TLS 1.2+, verschlüsselte Dateifreigaben (SharePoint, OneDrive). Exporte sind standardmäßig passwortgeschützt. AV-Verträge mit Subprozessoren. |
| Eingabekontrolle | Versionshistorie und Audit-Logs in Microsoft 365 sowie Logs der IONOS-Hosting-Infrastruktur. Matomo dient ausschließlich der Website-Nutzungsanalyse, nicht als Audit-Log. Änderungsaufträge werden im Ticketsystem dokumentiert. Zugriff auf Produktionssysteme nur via IaC/CI-Pipelines. |
| Auftragskontrolle | Standardisierte AVV nach Art. 28 DSGVO, Supplier-Rating, jährliche Überprüfung kritischer Dienstleister. Zugriff auf Kundendaten nur gemäß Ticket- oder Projektauftrag. |
| Verfügbarkeitskontrolle | Mehrstufiges Backup-Konzept (lokal & Azure), tägliche Offsite-Replikation, automatisiertes Verfügbarkeits-Monitoring via UptimeRobot, Notfallhandbuch inkl. Wiederanlaufplan für Kernsysteme. |
| Trennungsgebot | Mandantentrennung auf Daten- und Applikationsebene, getrennte Projektbereiche, Verschlüsselung ruhender Daten (AES-256) sowie pseudonymisierte Testdaten. |
| Incident Management | Definierter Security Incident Response Plan mit benannten Rollen, Eskalationsketten und werktäglicher Bereitschaft. Eine echte 24/7-Bereitschaft mit Personal-On-Call wird in dedizierten SLAs vereinbart. Dokumentation in Microsoft Sentinel / Defender. Schulungen und Phishing-Simulationen mindestens halbjährlich. |
Weitere Sicherheitsmaßnahmen
- Regelmäßige Web-Security-Reviews; externe Penetrationstests bei größeren Releases kritischer Web-Komponenten
- Security-Awareness-Trainings für alle Mitarbeitenden
- Patch- und Vulnerability-Management (Defender for Endpoint, Intune)
- Notfallübungen inkl. Wiederherstellungstests unserer Backups
- Verbindliche Clean-Desk- und Mobile-Device-Policies
Gern stellen wir Ihnen bei Projektstart ein individuelles Sicherheitsprofil zur Verfügung. Kontaktieren Sie uns unter [email protected].
Stand: 25.11.2025