Informationssicherheit
Self-Assessment nach BSI IT-Grundschutz Basis-Absicherung · Stand: 18. Mai 2026 · Version 1.0
Dieses Dokument ergänzt die technischen und organisatorischen Maßnahmen (TOM) um eine Selbstauskunft entlang ausgewählter Bausteine des BSI IT-Grundschutz-Kompendiums. Es ist nicht gleichbedeutend mit einer ISO 27001-Zertifizierung, wird aber durch interne und geplante externe Audits gestützt (siehe Roadmap).
Organisation & Personal
- Erfüllt
Sicherheitsleitlinie & Verantwortung
BSI-Bezug: ISMS.1, ORP.1
Schriftliche Leitlinie, benannter Sicherheits- und Datenschutzverantwortlicher.
- Erfüllt
Vertraulichkeitsverpflichtung Mitarbeitende
BSI-Bezug: ORP.2
Alle Mitarbeitenden mit Datenzugriff schriftlich nach Art. 28 Abs. 3 lit. b DSGVO verpflichtet.
- Teilweise
Sensibilisierung & Schulung
BSI-Bezug: ORP.3
Onboarding-Schulung erfolgt; jährliche Wiederholungsschulung in Vorbereitung.
- Erfüllt
Berechtigungsmanagement
BSI-Bezug: ORP.4
Rollenbasiert (RBAC), regelmäßige Prüfung administrativer Zugriffe.
Identitäts- & Zugriffsmanagement
- Erfüllt
Identitäts- und Berechtigungsverwaltung
BSI-Bezug: ORP.4, APP.4.3
Rollen: Lernende, Lehrkraft, Ausbilder, Admin — serverseitig über Row Level Security erzwungen.
- Erfüllt
Passwortregelung
BSI-Bezug: ORP.4.A8
Mindestlänge, Komplexität, bcrypt-Hashing, Rate-Limiting für Login.
- Geplant
Mehr-Faktor-Authentifizierung für Admins
BSI-Bezug: ORP.4.A23
TOTP-basierte 2FA für Admin- und Schulleitungs-Konten geplant Q3 2026.
- Erfüllt
Pseudonyme Nutzung
BSI-Bezug: CON.2
Schüler-Konten ohne Klarname / private E-Mail möglich (siehe Schul-Modus).
Kryptografie
- Erfüllt
Transportverschlüsselung
BSI-Bezug: CON.1, NET.3.3
TLS 1.2/1.3 erzwungen, HSTS aktiv, sichere Cipher-Suites.
- Erfüllt
Verschlüsselung gespeicherter Daten
BSI-Bezug: CON.1
Datenbank-Verschlüsselung at rest, Backups verschlüsselt.
- Erfüllt
Schlüsselmanagement
BSI-Bezug: CON.1.A4
Service-Role-Keys ausschließlich serverseitig, Secret-Rotation dokumentiert.
Betrieb
- Erfüllt
Patch- und Änderungsmanagement
BSI-Bezug: OPS.1.1.3
Automatisches Dependency-Scanning, zeitnahe Updates bei Sicherheitslücken.
- Erfüllt
Protokollierung
BSI-Bezug: OPS.1.1.5
Audit-Log für administrative Vorgänge, unveränderlich mit Zeitstempel.
- Erfüllt
Schutz vor Schadprogrammen
BSI-Bezug: OPS.1.1.4
Sandboxed Worker-Runtime, kein Filesystem-Zugriff für Anwendungscode.
- Erfüllt
Datensicherung
BSI-Bezug: CON.3
Tägliche verschlüsselte Backups, 30 Tage Aufbewahrung, Point-in-Time-Recovery 7 Tage.
- Teilweise
Restore-Tests
BSI-Bezug: CON.3.A8
Stichprobenartig durchgeführt — quartalsweise Tests werden ab Q3 2026 verpflichtend.
Anwendungssicherheit
- Erfüllt
Sichere Webanwendungs-Entwicklung
BSI-Bezug: APP.3.1
OWASP-Top-10-orientierte Entwicklung, serverseitige Input-Validierung (Zod), CSRF/XSS-Schutz.
- Erfüllt
Sichere Authentifizierung
BSI-Bezug: APP.3.1.A14
Session-Token mit kurzer Lebensdauer, sichere Cookie-Flags, Auto-Refresh.
- Erfüllt
Schutz vor Brute-Force
BSI-Bezug: APP.3.1.A18
Rate-Limiting für Login- und API-Endpoints.
- Geplant
Penetrationstest extern
BSI-Bezug: APP.3.1.A22
Jährlicher Pentest durch unabhängigen Anbieter geplant ab Q4 2026.
Infrastruktur & Netz
- Erfüllt
Hosting in der EU
BSI-Bezug: INF.1
Rechenzentrum Frankfurt am Main, ISO 27001-zertifiziert.
- Erfüllt
DDoS-Schutz
BSI-Bezug: NET.1.1
Edge-Layer mit automatischer DDoS-Mitigation.
- Erfüllt
KI-Routing EU-only
BSI-Bezug: CON.10
EU-Guard prüft Modell-Allowlist vor jedem KI-Aufruf — siehe /hosting-eu.
Notfall- & Vorfallmanagement
- Teilweise
Notfallvorsorge
BSI-Bezug: DER.4
Disaster-Recovery-Plan dokumentiert. RTO < 4h, RPO < 1h. Tabletop-Übungen ab Q3 2026.
- Erfüllt
Behandlung von Sicherheitsvorfällen
BSI-Bezug: DER.2.1
Meldekette an Verantwortliche innerhalb 24h, an Aufsichtsbehörde innerhalb 72h (Art. 33 DSGVO).
- Teilweise
Forensik-Bereitschaft
BSI-Bezug: DER.2.2
Logs ermöglichen Nachvollzug; formaler Forensik-Prozess in Vorbereitung.
Kontakt für Sicherheitsmeldungen
Sicherheitslücken oder Vorfälle bitte vertraulich melden an: security@agrar-trainer.de
Erste Rückmeldung in der Regel innerhalb von 24 Stunden. Verantwortungsvolle Offenlegung (Responsible Disclosure) wird ausdrücklich begrüßt.
Verwandte Dokumente: TOM · Datenschutz · Unterauftragsverarbeiter · EU-Hosting · Roadmap