← Startseite

Informationssicherheit

Self-Assessment nach BSI IT-Grundschutz Basis-Absicherung · Stand: 18. Mai 2026 · Version 1.0

Dieses Dokument ergänzt die technischen und organisatorischen Maßnahmen (TOM) um eine Selbstauskunft entlang ausgewählter Bausteine des BSI IT-Grundschutz-Kompendiums. Es ist nicht gleichbedeutend mit einer ISO 27001-Zertifizierung, wird aber durch interne und geplante externe Audits gestützt (siehe Roadmap).

Organisation & Personal

  • Sicherheitsleitlinie & Verantwortung

    BSI-Bezug: ISMS.1, ORP.1

    Erfüllt

    Schriftliche Leitlinie, benannter Sicherheits- und Datenschutzverantwortlicher.

  • Vertraulichkeitsverpflichtung Mitarbeitende

    BSI-Bezug: ORP.2

    Erfüllt

    Alle Mitarbeitenden mit Datenzugriff schriftlich nach Art. 28 Abs. 3 lit. b DSGVO verpflichtet.

  • Sensibilisierung & Schulung

    BSI-Bezug: ORP.3

    Teilweise

    Onboarding-Schulung erfolgt; jährliche Wiederholungsschulung in Vorbereitung.

  • Berechtigungsmanagement

    BSI-Bezug: ORP.4

    Erfüllt

    Rollenbasiert (RBAC), regelmäßige Prüfung administrativer Zugriffe.

Identitäts- & Zugriffsmanagement

  • Identitäts- und Berechtigungsverwaltung

    BSI-Bezug: ORP.4, APP.4.3

    Erfüllt

    Rollen: Lernende, Lehrkraft, Ausbilder, Admin — serverseitig über Row Level Security erzwungen.

  • Passwortregelung

    BSI-Bezug: ORP.4.A8

    Erfüllt

    Mindestlänge, Komplexität, bcrypt-Hashing, Rate-Limiting für Login.

  • Mehr-Faktor-Authentifizierung für Admins

    BSI-Bezug: ORP.4.A23

    Geplant

    TOTP-basierte 2FA für Admin- und Schulleitungs-Konten geplant Q3 2026.

  • Pseudonyme Nutzung

    BSI-Bezug: CON.2

    Erfüllt

    Schüler-Konten ohne Klarname / private E-Mail möglich (siehe Schul-Modus).

Kryptografie

  • Transportverschlüsselung

    BSI-Bezug: CON.1, NET.3.3

    Erfüllt

    TLS 1.2/1.3 erzwungen, HSTS aktiv, sichere Cipher-Suites.

  • Verschlüsselung gespeicherter Daten

    BSI-Bezug: CON.1

    Erfüllt

    Datenbank-Verschlüsselung at rest, Backups verschlüsselt.

  • Schlüsselmanagement

    BSI-Bezug: CON.1.A4

    Erfüllt

    Service-Role-Keys ausschließlich serverseitig, Secret-Rotation dokumentiert.

Betrieb

  • Patch- und Änderungsmanagement

    BSI-Bezug: OPS.1.1.3

    Erfüllt

    Automatisches Dependency-Scanning, zeitnahe Updates bei Sicherheitslücken.

  • Protokollierung

    BSI-Bezug: OPS.1.1.5

    Erfüllt

    Audit-Log für administrative Vorgänge, unveränderlich mit Zeitstempel.

  • Schutz vor Schadprogrammen

    BSI-Bezug: OPS.1.1.4

    Erfüllt

    Sandboxed Worker-Runtime, kein Filesystem-Zugriff für Anwendungscode.

  • Datensicherung

    BSI-Bezug: CON.3

    Erfüllt

    Tägliche verschlüsselte Backups, 30 Tage Aufbewahrung, Point-in-Time-Recovery 7 Tage.

  • Restore-Tests

    BSI-Bezug: CON.3.A8

    Teilweise

    Stichprobenartig durchgeführt — quartalsweise Tests werden ab Q3 2026 verpflichtend.

Anwendungssicherheit

  • Sichere Webanwendungs-Entwicklung

    BSI-Bezug: APP.3.1

    Erfüllt

    OWASP-Top-10-orientierte Entwicklung, serverseitige Input-Validierung (Zod), CSRF/XSS-Schutz.

  • Sichere Authentifizierung

    BSI-Bezug: APP.3.1.A14

    Erfüllt

    Session-Token mit kurzer Lebensdauer, sichere Cookie-Flags, Auto-Refresh.

  • Schutz vor Brute-Force

    BSI-Bezug: APP.3.1.A18

    Erfüllt

    Rate-Limiting für Login- und API-Endpoints.

  • Penetrationstest extern

    BSI-Bezug: APP.3.1.A22

    Geplant

    Jährlicher Pentest durch unabhängigen Anbieter geplant ab Q4 2026.

Infrastruktur & Netz

  • Hosting in der EU

    BSI-Bezug: INF.1

    Erfüllt

    Rechenzentrum Frankfurt am Main, ISO 27001-zertifiziert.

  • DDoS-Schutz

    BSI-Bezug: NET.1.1

    Erfüllt

    Edge-Layer mit automatischer DDoS-Mitigation.

  • KI-Routing EU-only

    BSI-Bezug: CON.10

    Erfüllt

    EU-Guard prüft Modell-Allowlist vor jedem KI-Aufruf — siehe /hosting-eu.

Notfall- & Vorfallmanagement

  • Notfallvorsorge

    BSI-Bezug: DER.4

    Teilweise

    Disaster-Recovery-Plan dokumentiert. RTO < 4h, RPO < 1h. Tabletop-Übungen ab Q3 2026.

  • Behandlung von Sicherheitsvorfällen

    BSI-Bezug: DER.2.1

    Erfüllt

    Meldekette an Verantwortliche innerhalb 24h, an Aufsichtsbehörde innerhalb 72h (Art. 33 DSGVO).

  • Forensik-Bereitschaft

    BSI-Bezug: DER.2.2

    Teilweise

    Logs ermöglichen Nachvollzug; formaler Forensik-Prozess in Vorbereitung.

Kontakt für Sicherheitsmeldungen

Sicherheitslücken oder Vorfälle bitte vertraulich melden an: security@agrar-trainer.de
Erste Rückmeldung in der Regel innerhalb von 24 Stunden. Verantwortungsvolle Offenlegung (Responsible Disclosure) wird ausdrücklich begrüßt.

Verwandte Dokumente: TOM · Datenschutz · Unterauftragsverarbeiter · EU-Hosting · Roadmap