Veröffentlichung: 04.09.2025
Version: 1.2.1
Software-Entwicklung, Support, Lizenzhandel, Beratung, Schulung, sonstige Dienstleistungen und unterstützende Prozesse im Bereich Kollaboration / Verbesserung der Zusammenarbeit.
Software-Entwicklung, Support, Beratung, Schulung und sonstige Dienstleistungen im Bereich Kollaboration / Verbesserung der Zusammenarbeit.
Support, Lizenzhandel, Beratung, Schulung, Managed Service, Sales, Marketing, sonstige Dienstleistungen und unterstützende Prozesse im Bereich Kollaboration / Verbesserung der Zusammenarbeit.
Informationsverarbeitung spielt eine Schlüsselrolle für die Erfüllung unserer Aufgaben. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden durch Informationstechnik (IT) maßgeblich unterstützt. Ein Ausfall von IT-Systemen muss insgesamt kurzfristig kompensiert werden können. Auch in Teilbereichen darf unser Geschäft nicht zusammenbrechen.
Insbesondere für uns als Unternehmen, das nicht nur Software herstellt, sondern auch Hosting und Cloud-Service anbietet, genießt die Informationssicherheit einen sehr hohen Stellenwert.
Alle Aktivitäten zur Aufrechterhaltung und Verbesserung der Informationssicherheit haben zum Ziel, die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – insbesondere unserer Kundendaten – zu gewährleisten.
Die konkreten Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Schutzbedarf der verarbeiteten Daten stehen. Als Kernaktivität zur Aufrechterhaltung und Verbesserung der Informationssicherheit werden kontinuierlich Risiken für die Informationssicherheit identifiziert, bewertet und behandelt. An die Informationssicherheit werden verschiedene gesetzliche, behördliche und vertragliche Anforderungen gestellt, welche fortlaufend identifiziert und für die Informationssicherheit berücksichtigt werden.
Abgeleitet von den Unternehmenszielen und dem aktuellen Stand unseres Informationssicherheitsniveaus haben wir uns folgende Ziele gesetzt:
Sensibilisierung zum Thema Informationssicherheit aller Beschäftigten intensivieren:
Ziel ist es, das Aufklärungs- und Schulungsangebot im Bereich IT-Security stetig auszubauen und dessen Wirksamkeit zu messen.
Sicherstellung der Erfüllung von individuellen, vertraglichen Kundenforderungen an die IT-Security:
Vertragliche Kundenanforderungen an die IT-Security, die über den Standard unserer eigenen Vertragsvorlagen hinaus gehen, sollen einheitlich geprüft und freigegeben, zentral erfasst, transparent dokumentiert, intern kommuniziert und die Einhaltung regelmäßig kontrolliert werden.
Verbesserung der Sicherheit unserer Softwareprodukte:
Als Software-Entwicklungsunternehmen und Cloud-Anbieter ist uns die konstante Verbesserung der IT-Sicherheit unserer Produkte sehr wichtig.
Ziel ist es, das Wissen zu IT-Sicherheit in den Entwicklungsteams systematisch zu stärken und eine teamübergreifende Gruppe aus Expert*innen zu etablieren, die zur sicheren Implementierung neuer Funktionen intern berät und regelmäßig Sicherheitstests (Pentests) unserer Softwareprodukte durchführt oder durch Dritte durchführen lässt.
Kontinuierliche Verbesserung des ISMS:
Mit dem Aufbau des ISMS gilt es, die Prozesse instand zu halten und die Wirksamkeit des Systems zu verbessern.
Diese Ziele werden im Rahmen des Management-Reviews geprüft und bewertet.
Zur Erreichung der Informationssicherheitsziele wurde ein unternehmensweites Informationssicherheitsmanagementsystem (ISMS) eingeführt. Die strategische und operative Steuerung obliegt einem dedizierten ISMS-Team. Um klare Zuständigkeiten und die Kontinuität der Abläufe zu gewährleisten, sind innerhalb dieses Teams für alle wichtigen ISMS-Prozesse konkrete Verantwortliche samt Stellvertretern benannt. Dieses Team-Modell verteilt die Verantwortung auf mehrere Fachexperten, was eine breitere Wissensbasis und eine höhere Resilienz sicherstellt.
Die Gesamtverantwortung für die Informationssicherheit verbleibt bei der Geschäftsführung (Topkreis), dem das ISMS-Team direkt unterstellt ist und regelmäßig berichtet. Die Unternehmensleitung stellt sicher, dass dem Team ausreichende Ressourcen und Fortbildungsmöglichkeiten zur Verfügung stehen. Um seine Aufgaben wirksam zu erfüllen, ist das ISMS-Team mit weitreichenden Befugnissen ausgestattet. Dazu gehören unter anderem das Recht zur Überprüfung und Auditierung der Sicherheitsrichtlinien, das Vorschlagsrecht bei der Budgetplanung sowie die Ermächtigung, bei akuten Gefahren in Abstimmung mit dem Topkreis notwendige Sofortmaßnahmen anzuordnen.
Die Mitglieder des ISMS-Teams sind im Rahmen des internen Strategie-Prozesses frühzeitig in IT-sicherheitsrelevante Projekte (z. B. neue Produkte/Dienstleistungen, Standorterschließung, größere IT-Infrastruktur-Anpassungen) einzubinden, um schon in der Planungsphase sicherheitsrelevante Aspekte zu berücksichtigen.
Es wurde ein Datenschutzbeauftragter bestellt. Der Datenschutzbeauftragte wurde sorgfältig ausgewählt und verfügt über die erforderliche Fachkunde. Es ist sichergestellt, dass der Datenschutzbeauftragte rechtzeitig und frühzeitig in alle relevanten Fragestellungen einbezogen wird. Dies wird durch den/die intern verantwortliche*n Datenschutzkoordinator*in sichergestellt. Diese*r dient auch als erste Ansprechperson für sämtliche Datenschutzfragen und ist zuständig für alle Themen rund um das Datenschutzmanagementsystem.
Für alle Kerngeschäftsprozesse, Informationen, IT-Anwendungen und IT-Systeme wird eine verantwortliche Person benannt, die den jeweiligen Schutzbedarf bestimmt.
Zugriffsberechtigungen werden bedarfsgerecht vergeben und zentral verwaltet.
Für alle verantwortlichen Funktionen sind Vertretungen einzurichten. Es muss durch Unterweisungen und ausreichende Dokumentationen sichergestellt werden, dass Vertreter*innen ihre Aufgaben erfüllen können. In agilen Teams, die so aufgestellt sind, dass prinzipiell jedes Mitglied alle Aufgaben übernehmen kann, gilt diese Anforderung durch die geteilte Verantwortung im Team als erfüllt.
Gebäude und Räumlichkeiten werden durch ausreichende Zutrittskontrollen geschützt. Der Zugang zu IT-Systemen wird durch angemessene Zugangskontrollen und der Zugriff auf die Daten durch ein restriktives Berechtigungskonzept geschützt.
Malware-Schutzprogramme werden überall dort, wo es sinnvoll ist, insbesondere auf Mail-Servern, Dokument-Speicherorten und Firmen-PCs mit Administrations-Zugriff auf Kunden-Systeme, eingesetzt. Alle Internetzugänge werden durch geeignete technische Filter- und Schutzmechanismen gesichert. Fernwartungszugriffe auf alle internen Systeme und Kunden-Server sind durch VPN-Verbindungen geschützt. Durch ein umfangreiches Monitoring-System werden Beeinträchtigungen der Sicherheitsziele von IT-Infrastruktur und Anwendungen erkannt und durch eingewiesene Mitarbeiter*innen zügig behoben. Des Weiteren unterstützen die IT-Benutzer*innen durch eine sicherheitsbewusste Arbeitsweise diese Sicherheitsmaßnahmen und informieren bei Auffälligkeiten die entsprechend festgelegten Stellen.
Datenverluste können nie vollkommen ausgeschlossen werden. Durch eine umfassende Datensicherung wird daher gewährleistet, dass der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen oder offensichtlich fehlerhaft sind. Informationen werden einheitlich gekennzeichnet und so aufbewahrt, dass sie schnell auffindbar sind.
Um größere Schäden in Folge von Notfällen zu begrenzen und diesen vorzubeugen, muss auf Sicherheitsvorfälle zügig und konsequent reagiert werden. Maßnahmen für den Notfall werden in einem separaten Notfall-Vorsorgekonzept zusammengestellt. Unser Ziel ist, auch bei einem Systemausfall kritische Geschäftsprozesse aufrechtzuerhalten und die Verfügbarkeit der ausgefallenen Systeme innerhalb einer tolerierbaren Zeitspanne wiederherzustellen.
IT-Benutzer*innen nehmen regelmäßig an Schulungen zur korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen teil. Die Unternehmensleitung unterstützt dabei die bedarfsgerechte Weiterbildung.
Das ISMS wird regelmäßig auf seine Aktualität und Wirksamkeit geprüft. Daneben werden auch die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen Mitarbeiter*innen bekannt sind, ob sie umsetzbar und in den Betriebsablauf integrierbar sind. Die Überwachung dieser Prüfung wird durch das ISMS-Team sichergestellt.
Mitarbeiter*innen sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben.
Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheits- und Datenschutz-Niveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnik zu halten.
Leitsatz
Wir unterscheiden zwischen Daten, die wir erheben und speichern, und Daten, welche Kunden auf den von uns für den Kunden betriebenen Systemen ablegen.
Wir unterscheiden zwischen Daten, die wir selbst im Rahmen unserer täglichen Arbeit erheben und speichern (eigene Daten), und den Daten, die im Rahmen einer Dienstleistungserbringung (Betrieb von Atlassian-Anwendungen) auf dedizierten Kunden-Systemen gehalten werden, mit denen wir aber ansonsten nicht arbeiten (Kundendaten). Alle eigenen Informationen, die über Kunden bei uns in CRM-, ERP-, Buchungs- und Abrechnungssystemen oder in E-Mails, Chats, Wikis oder Aufgabensoftware gespeichert werden, sind zwar im weiteren Sinne auch Daten, die Kundeninformationen enthalten. Trotzdem werden sie mit rein internen Daten gemeinsam verarbeitet und deshalb unter „eigene Daten“ eingeordnet.
Da wir Kundendaten mit einem höheren Schutzbedarf einstufen, ist auch das Sicherheitsniveau höher, wenn Kunden Informationen mit uns in den dedizierten Kunden-Systemen teilen, als wenn sie in unseren Systemen (z. B. E-Mails, Extranet, Jira-Aufgabenverwaltung) verarbeitet werden. Wir machen dabei den Unterschied für Kunden so deutlich und transparent wie möglich und respektieren, wenn Kunden uns bitten, auf den Kunden-Systemen zu arbeiten, auch wenn das für uns Einschränkungen mit sich bringt. Je nach Situation, Team und Zusammensetzung kann es sein, dass bestimmte Informationen für einen reibungslosen Ablauf auf unseren Systemen gespeichert werden müssen. Diese Situationen kündigen wir vorab an und erklären die Hintergründe.
Leitsatz
Eine zentrale Leitlinie unseres Handelns ist der bewusste Ausgleich zwischen praktisch und einfach (Usability) und hoher Sicherheit. Wir versuchen, Technologie zu nutzen, um Sicherheit und Usability gleichzeitig zu steigern.
Wir verstehen, dass Usability (Einfachheit für Anwender*innen) und IT-Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Diensten) oft in einem Gegensatz zueinander stehen. Gerade bei der Arbeit in Kundenumgebungen stellen wir häufig fest, dass hohe Sicherheitsanforderungen dazu führen, dass wir mehr damit beschäftigt sind, den Zugriff auf Informationen zu bekommen, als daran, an der Wertschöpfung für den Kunden zu arbeiten. Deshalb streben wir an, stets auch die Usability zu betrachten und im Zweifel abzuwägen, was im Anwendungsfall (Um welche Daten handelt es sich? Wie ist deren Sicherheitseinstufung?) adäquate Lösungen sind. Eine sinnvolle Lösung finden wir im Team im Gespräch und Diskurs und mittels einer für alle Mitarbeitenden transparenten Dokumentation in unseren zentralen Systemen. Beim Umgang mit eigenen Daten tendieren wir dabei Richtung Usability. Diese Tendenz gründen wir auf unseren Unternehmenswerten und auf das Vertrauen in unsere Mitarbeiter*innen.
Leitsatz
Die IT-Sicherheit der Daten unserer Kunden hat für uns höchste Priorität.
Die Sicherheit von Kundendaten ist die Grundlage unserer Integrität und des Vertrauens in der dauerhaften Zusammenarbeit. Wir schließen sämtliche Formen der Verarbeitung von Kundendaten außerhalb des vertraglich gesetzten Rahmens (insbesondere Auftragsverarbeitung) aus. Veränderungen in der Verarbeitung erfolgen allein auf Weisung oder in Abstimmung mit dem Kunden.
Im Zweifel werden Daten unserer Kunden immer sicherer und nicht einfacher gehalten. Dort geht Sicherheit vor Usability.
Leitsatz
Dokumente sollten primär nicht ausgedruckt, sondern digitalisiert werden und bleiben.
Wir sind davon überzeugt, dass wir alle Daten digital speichern möchten, da wir nur dann sinnvoll in der Lage sind, die IT-Sicherheit dieser Informationen zu gewährleisten. Wenn wir die Möglichkeit haben, versuchen wir vornehmlich digitale Daten und Informationen im Unternehmen vorzuhalten. Wenn wir Papier nutzen, dann um unsere Arbeitsabläufe zu beschleunigen. Papier dient dann als vorübergehendes Werkzeug, um die Sichtbarkeit, Präsenz oder Interaktion zu erhöhen. Wir arbeiten aktiv daran, auf Papier erfasste Informationen zu digitalisieren, und heben Papier nach Möglichkeit nicht auf, es sei denn, gesetzliche Anforderungen erfordern das. Papier wird entsprechend der Schutzklasse der Informationen auf diesem fachgerecht entsorgt.
Die Geschäftsführung bekennt sich zu ihrer Aufgabe, die in dieser Leitlinie beschriebenen Zielsetzungen zur Informationssicherheit zu unterstützen, und fordert alle Beschäftigten dazu auf, ebenfalls zur Aufrechterhaltung bzw. zur Verbesserung der Informationssicherheit beizutragen.
Diese Leitlinie gilt für alle Mitarbeitenden ohne Ausnahme. Es gibt keine Rechtfertigung für Abweichungen. Wir sorgen als Unternehmen dafür, dass Mitarbeitende diese Leitlinie lesen, verstehen und ihr Einverständnis dokumentieren. Wir kündigen Änderungen intern an und erklären sie.
Sie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Wistia. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen