Sicherheitsrichtlinie

Letzte Aktualisierung: 28. März 2025

Bei Kadefino nehmen wir die Sicherheit Ihrer Daten und unserer Plattform sehr ernst. Diese Sicherheitsrichtlinie beschreibt die Maßnahmen, die wir implementiert haben, um Ihre Informationen zu schützen und einen sicheren Zugang zu unseren Bildungsdiensten zu gewährleisten.

1. Überblick über unsere Sicherheitsverpflichtungen

Wir verpflichten uns zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit aller Daten, die über unsere Plattform verarbeitet werden. Unsere Sicherheitsmaßnahmen werden kontinuierlich überprüft und aktualisiert, um mit den sich entwickelnden Bedrohungen Schritt zu halten.

2. Datenverschlüsselung

2.1 Verschlüsselung bei der Übertragung

Alle Datenübertragungen zwischen Ihrem Browser und unseren Servern werden mit TLS-Verschlüsselung (Transport Layer Security) geschützt. Dies stellt sicher, dass Ihre Daten während der Übertragung nicht abgefangen oder manipuliert werden können.

TLS 1.2 oder höher für alle Verbindungen
Starke Verschlüsselungsalgorithmen und Cipher-Suites
Regelmäßige Aktualisierung der Sicherheitszertifikate
HSTS-Implementierung (HTTP Strict Transport Security)

2.2 Verschlüsselung im Ruhezustand

Sensible Daten werden in unseren Datenbanken verschlüsselt gespeichert:

Passwörter werden mit branchenüblichen Hashing-Algorithmen gespeichert
Persönliche Identifikationsdaten werden mit AES-256-Verschlüsselung geschützt
Verschlüsselte Backups aller kritischen Daten

3. Zugriffskontrolle und Authentifizierung

3.1 Benutzerauthentifizierung

Wir implementieren robuste Authentifizierungsmechanismen zum Schutz Ihrer Konten:

Sichere Passwortanforderungen mit Mindestlänge und Komplexität
Schutz vor Brute-Force-Angriffen durch Ratenbegrenzung
Automatische Abmeldung nach Inaktivität
Sitzungsverwaltung mit sicheren Token
Optionale Zwei-Faktor-Authentifizierung (2FA) verfügbar

3.2 Interne Zugriffskontrollen

Der Zugriff auf Systeme und Daten durch unsere Mitarbeiter ist streng reguliert:

Prinzip der geringsten Privilegien (Least Privilege)
Rollenbasierte Zugriffskontrolle (RBAC)
Regelmäßige Überprüfung von Zugriffsrechten
Protokollierung aller administrativen Zugriffe
Verpflichtende Schulungen zur Informationssicherheit

4. Infrastruktursicherheit

4.1 Netzwerksicherheit

Unsere Netzwerkinfrastruktur ist durch mehrere Sicherheitsebenen geschützt:

Firewall-Konfigurationen zur Begrenzung des Datenverkehrs
Intrusion Detection und Prevention Systeme (IDS/IPS)
DDoS-Schutzmaßnahmen
Segmentierung des Netzwerks für kritische Systeme
Regelmäßige Sicherheitsaudits der Infrastruktur

4.2 Serverumgebung

Unsere Server werden in sicheren Rechenzentren gehostet mit:

Physischen Sicherheitskontrollen und Zugangsbeschränkungen
Redundanten Systemen für hohe Verfügbarkeit
Regelmäßigen Sicherheitsupdates und Patches
Isolierung von Produktions- und Testumgebungen
Kontinuierlicher Überwachung der Systemleistung

5. Anwendungssicherheit

5.1 Sichere Entwicklungspraktiken

Wir folgen branchenüblichen Sicherheitsstandards bei der Entwicklung:

Secure Development Lifecycle (SDL)
Code-Reviews mit Fokus auf Sicherheit
Automatisierte Sicherheitstests und Schwachstellenscans
Regelmäßige Aktualisierung von Abhängigkeiten
Penetrationstests durch externe Sicherheitsexperten

5.2 Schutz vor häufigen Bedrohungen

Unsere Plattform ist gegen gängige Sicherheitsrisiken geschützt:

SQL-Injection-Prävention durch parametrisierte Abfragen
Cross-Site Scripting (XSS) Schutz durch Input-Validierung
Cross-Site Request Forgery (CSRF) Schutztoken
Sichere Session-Management-Mechanismen
Content Security Policy (CSP) Header

6. Datensicherung und Wiederherstellung

6.1 Backup-Strategien

Wir führen regelmäßige Datensicherungen durch, um Datenverluste zu verhindern:

Tägliche automatisierte Backups aller kritischen Daten
Verschlüsselte Speicherung der Backup-Dateien
Geografisch verteilte Backup-Standorte
Regelmäßige Tests der Wiederherstellungsprozesse
Aufbewahrung von Backups gemäß Aufbewahrungsrichtlinien

6.2 Notfallwiederherstellung

Wir haben einen umfassenden Notfallwiederherstellungsplan entwickelt:

Dokumentierte Verfahren für verschiedene Ausfallszenarien
Definierte Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO)
Regelmäßige Disaster-Recovery-Übungen
Redundante Systeme zur Minimierung von Ausfallzeiten

7. Überwachung und Protokollierung

7.1 Sicherheitsüberwachung

Unsere Systeme werden kontinuierlich überwacht:

Echtzeit-Überwachung auf verdächtige Aktivitäten
Automatisierte Benachrichtigungen bei Sicherheitsvorfällen
Analyse von Systemprotokollen zur Erkennung von Anomalien
Regelmäßige Überprüfung der Sicherheitsmetriken

7.2 Protokollierung

Wir führen umfassende Protokolle für Sicherheitszwecke:

Aufzeichnung von Authentifizierungsversuchen
Protokollierung von Änderungen an sensiblen Daten
Verfolgung von Systemzugriffen und -aktivitäten
Sichere Speicherung und Schutz der Protokolldateien
Aufbewahrung gemäß gesetzlicher Anforderungen

8. Reaktion auf Sicherheitsvorfälle

8.1 Incident Response Plan

Wir haben einen strukturierten Plan zur Reaktion auf Sicherheitsvorfälle:

Dediziertes Sicherheitsteam für schnelle Reaktion
Klare Eskalationsprozesse und Kommunikationswege
Dokumentierte Verfahren zur Eindämmung und Behebung
Analyse der Grundursachen nach jedem Vorfall
Kontinuierliche Verbesserung basierend auf Erkenntnissen

8.2 Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Datenschutzverletzung verpflichten wir uns zu:

Unverzüglicher Untersuchung des Vorfalls
Benachrichtigung betroffener Benutzer gemäß gesetzlichen Anforderungen
Transparenter Kommunikation über Art und Umfang der Verletzung
Ergreifung von Maßnahmen zur Minimierung der Auswirkungen
Meldung an zuständige Behörden, falls erforderlich

9. Drittanbieter und Lieferanten

9.1 Bewertung von Drittanbietern

Wir arbeiten nur mit vertrauenswürdigen Partnern zusammen:

Sorgfältige Prüfung der Sicherheitspraktiken von Drittanbietern
Vertragliche Verpflichtungen zum Datenschutz
Regelmäßige Überprüfung der Sicherheitsstandards
Minimierung der Datenweitergabe an Dritte

9.2 Cloud-Dienste und Hosting

Unsere Cloud-Infrastruktur erfüllt hohe Sicherheitsstandards:

Nutzung zertifizierter Cloud-Anbieter
Verschlüsselte Datenübertragung und -speicherung
Regelmäßige Sicherheitsaudits der Cloud-Umgebung
Compliance mit internationalen Sicherheitsstandards

10. Compliance und Zertifizierungen

Wir halten uns an relevante Sicherheitsstandards und arbeiten kontinuierlich an der Verbesserung unserer Sicherheitspraktiken:

Einhaltung branchenüblicher Sicherheitsstandards
Regelmäßige Sicherheitsaudits und Bewertungen
Dokumentation von Sicherheitsrichtlinien und -verfahren
Kontinuierliche Verbesserung basierend auf Best Practices

11. Sicherheit mobiler Anwendungen

Falls Sie unsere Plattform über mobile Geräte nutzen:

Sichere Verschlüsselung der Datenübertragung
Schutz vor unsicheren Datenablagespeicherorten
Sicherheitsüberprüfungen für mobile Anwendungen
Regelmäßige Updates zur Behebung von Sicherheitslücken

12. Sicherheitsbewusstsein und Schulung

12.1 Mitarbeiterschulungen

Unsere Mitarbeiter werden regelmäßig geschult:

Verpflichtende Sicherheitsschulungen für alle Mitarbeiter
Regelmäßige Updates zu neuen Bedrohungen
Sensibilisierung für Social Engineering und Phishing
Klare Sicherheitsrichtlinien und Best Practices

12.2 Benutzersicherheit

Wir ermutigen unsere Nutzer zu sicherheitsbewusstem Verhalten:

Verwendung starker, einzigartiger Passwörter
Aktivierung der Zwei-Faktor-Authentifizierung
Vorsicht bei verdächtigen E-Mails oder Links
Regelmäßige Überprüfung der Kontoaktivitäten
Sofortige Meldung verdächtiger Aktivitäten

13. Physische Sicherheit

Unsere physischen Büroräume sind ebenfalls geschützt:

Zugangskontrollsysteme für Büroräume
Überwachung sensibler Bereiche
Sichere Entsorgung von Datenträgern
Clean-Desk-Richtlinien für Mitarbeiter
Besucherverwaltung und Begleitpflicht

14. Ihre Rolle bei der Sicherheit

Sicherheit ist eine gemeinsame Verantwortung. Sie können zur Sicherheit beitragen durch:

Verwendung eines aktuellen Browsers mit Sicherheitsupdates
Schutz Ihrer Anmeldedaten und Nichtweitergabe an Dritte
Abmeldung nach Nutzung auf gemeinsam genutzten Geräten
Vorsicht beim Öffnen von Links oder Anhängen
Meldung verdächtiger Aktivitäten an unser Support-Team

15. Sicherheitsberichte und Schwachstellen

15.1 Meldung von Sicherheitsproblemen

Wenn Sie eine Sicherheitslücke entdecken, bitten wir Sie um verantwortungsvolle Offenlegung:

Kontaktieren Sie uns umgehend per E-Mail an info@kadefino.com
Beschreiben Sie das Problem so detailliert wie möglich
Geben Sie uns angemessene Zeit zur Behebung
Veröffentlichen Sie keine Details, bevor wir das Problem behoben haben

15.2 Anerkennung

Wir schätzen die Arbeit von Sicherheitsforschern und werden:

Jeden Bericht ernst nehmen und untersuchen
Zeitnah auf Meldungen antworten
Sie über den Fortschritt informieren
Auf Wunsch Ihre Beiträge anerkennen

16. Regelmäßige Sicherheitsüberprüfungen

Wir führen regelmäßig Sicherheitsbewertungen durch:

Vierteljährliche interne Sicherheitsaudits
Jährliche externe Penetrationstests
Kontinuierliche Schwachstellenscans
Überprüfung und Aktualisierung der Sicherheitsrichtlinien
Bewertung neuer Technologien und Bedrohungen

17. Aktualisierungen dieser Richtlinie

Diese Sicherheitsrichtlinie kann regelmäßig aktualisiert werden, um:

Neue Sicherheitsmaßnahmen zu reflektieren
Auf sich ändernde Bedrohungslandschaften zu reagieren
Gesetzliche Anforderungen zu erfüllen
Unsere Praktiken zu verbessern

Wesentliche Änderungen werden auf unserer Website bekannt gegeben. Wir empfehlen Ihnen, diese Richtlinie regelmäßig zu überprüfen.

18. Kontakt

Bei Fragen zur Sicherheit unserer Plattform oder dieser Richtlinie kontaktieren Sie uns bitte:

Kadefino
Kirchweg 3
29359 Eschede
Deutschland

E-Mail: info@kadefino.com
Telefon: +4945322744700

Unser Sicherheitsteam steht Ihnen für Fragen und Anliegen zur Verfügung.

Diese Sicherheitsrichtlinie beschreibt unsere Verpflichtung zum Schutz Ihrer Daten und zur Aufrechterhaltung einer sicheren Plattform. Vielen Dank für Ihr Vertrauen in Kadefino.