Sicherheit auf allen Ebenen
Informationssicherheit ist bei awork kein einmaliges Projekt, sondern Teil unseres täglichen Handelns.
Wir schützen Kundendaten durch eine Kombination aus technischen, organisatorischen und prozessualen Maßnahmen, die den Anforderungen der ISO 27001 entsprechen.
Alle Maßnahmen werden regelmäßig überprüft, dokumentiert und im Rahmen unseres Informationssicherheitsmanagementsystems (ISMS) weiterentwickelt.
Technische Maßnahmen
Bereich | Maßnahmen |
Zutrittskontrolle | Rechenzentren werden von Microsoft Azure in Deutschland (Frankfurt & Berlin) betrieben und erfüllen ISO 27001, SOC 2 und BSI C5. Physischer Zutritt ist streng reglementiert. |
Zugangskontrolle | Zugriff auf Systeme erfolgt ausschließlich über individuelle Accounts mit 2-Faktor-Authentifizierung. Zugriffsrechte sind rollenbasiert und werden regelmäßig überprüft. |
Zugriffskontrolle / Berechtigungsmanagement | Mitarbeitende erhalten nur Zugriff auf die Systeme und Daten, die sie für ihre Arbeit benötigen (Need-to-know-Prinzip). Änderungen werden protokolliert und freigegeben. |
Verschlüsselung | Alle Daten werden bei Speicherung und Übertragung verschlüsselt (AES-256 / TLS 1.2+). Kundendaten in awork sind logisch voneinander getrennt. |
Datensicherung & Wiederherstellung | Automatisierte, tägliche Backups in separaten Azure-Speicherbereichen; regelmäßige Restore-Tests; definierte Wiederanlaufzeiten. |
Netzwerksicherheit | Segmentierung durch Firewalls und Zugriffsbeschränkungen; kontinuierliche Überwachung auf unautorisierte Aktivitäten. |
Systemhärtung & Patchmanagement | Regelmäßige Updates, automatisierte Sicherheitsscans, Schwachstellenmanagement über zentrale Tools. |
Incident Response & Monitoring | 24/7-Monitoring kritischer Systeme; definierter Incident-Response-Prozess mit Eskalationskette und Dokumentation aller Vorfälle. |
Organisatorische Maßnahmen
Bereich | Maßnahmen |
Informationssicherheitsmanagement (ISMS) | Umsetzung und Dokumentation aller Sicherheitsrichtlinien nach ISO 27001; regelmäßige interne Audits. |
Datenschutzmanagement | externer Datenschutzbeauftragter (PROLIANCE GmbH) begleitet Prozesse; jährliche Reviews und Datenschutz-Folgenabschätzungen bei Bedarf. |
Awareness & Training | Alle Mitarbeitenden absolvieren verpflichtende Security-Trainings sowie Phishing-Simulationen; neues Team = Onboarding + Awareness-Modul. |
Zugriffs- & Rollenmanagement | Verknüpft mit HR-Prozessen (On- / Offboarding). Zugriffe werden beim Austritt sofort entzogen, halbjährlich geprüft. |
Lieferanten- & Sub-Prozessor-Kontrolle | Evaluierung aller Partner durch Privacy & Security Checks vor Einsatz; jährliche Re-Zertifizierung. |
Business Continuity & Disaster Recovery | Notfallkonzepte für Systemausfälle; regelmäßige Tests und Lessons-Learned-Runden. |
Kontinuierliche Verbesserung | Sicherheitsvorfälle, Findings und Kund*innenfeedback fließen in unser ISMS ein; Maßnahmen werden zentral verfolgt. |
Zertifizierungen & Rahmenwerke
ISO 27001 – awork sowie das Rechenzentrum, auf dem wir die App hosten, sind nach ISO-27001:2022 zertifiziert
BSI C5 / SOC 2 (Azure) – durch Microsoft abgedeckt
DSGVO-Konformität – laufend geprüft durch externen Datenschutzbeauftragten
Zusammengefasst
Sicherheit gehört für uns genauso zu awork wie gute Usability oder saubere Prozesse.
Wir kümmern uns im Hintergrund um all das Komplexe, damit du dich auf dein Team und deine Projekte konzentrieren kannst.
Verlässlich, pragmatisch und mit dem Anspruch, jeden Tag ein Stück besser zu werden.