Technische & organisatorische Maßnahmen
Die OM-IT Systeme GmbH betreibt ein integriertes Informationssicherheits- und Datenschutzkonzept basierend auf Art. 32 DSGVO, der ISO/IEC 27001 sowie den BSI-Grundschutz-Bausteinen. Die wichtigsten TOMs im Überblick:
| Schutzbereich | Maßnahmen |
|---|---|
| Zutritts- und Zugangskontrolle | Büroflächen mit elektronischen Schließsystemen, Alarmanlage und Besucherbuch; M365- und Cloud-Zugänge ausschließlich per MFA (Conditional Access, Hardware-Token für Administratoren). |
| Zugriffskontrolle | Rollen- und berechtigungsbasierte Profile (least privilege). Regelmäßige Rezertifizierung, automatische Offboarding-Workflows, Protokollierung administrativer Aktionen. |
| Weitergabekontrolle | VPN mit IP-Restriktionen, TLS 1.2+, verschlüsselte Dateifreigaben (SharePoint, OneDrive). Exporte sind standardmäßig passwortgeschützt. AV-Verträge mit Subprozessoren. |
| Eingabekontrolle | Versionshistorie und Audit-Logs in Microsoft 365, Matomo (self-hosted) sowie IONOS-Hosting-Infrastruktur. Änderungsaufträge werden im Ticketsystem dokumentiert. Zugriff auf Produktionssysteme nur via IaC/CI-Pipelines. |
| Auftragskontrolle | Standardisierte AVV nach Art. 28 DSGVO, Supplier-Rating, jährliche Überprüfung kritischer Dienstleister. Zugriff auf Kundendaten nur gemäß Ticket- oder Projektauftrag. |
| Verfügbarkeitskontrolle | Mehrstufiges Backup-Konzept (lokal & Azure), tägliche Offsite-Replikation, Monitoring via Matomo & UptimeRobot, Notfallhandbuch inkl. Wiederanlaufplan für Kernsysteme. |
| Trennungsgebot | Mandantentrennung auf Daten- und Applikationsebene, getrennte Projektbereiche, Verschlüsselung ruhender Daten (AES-256) sowie pseudonymisierte Testdaten. |
| Incident Management | Security Incident Response Plan mit 24/7-Rufbereitschaft, definierte Meldeketten, Dokumentation in Microsoft Sentinel / Defender. Schulungen und Phishing-Simulationen mindestens halbjährlich. |
Weitere Sicherheitsmaßnahmen
- Jährliche Penetrationstests für kritische Web-Komponenten
- Security-Awareness-Trainings für alle Mitarbeitenden
- Patch- und Vulnerability-Management (Defender for Endpoint, Intune)
- Notfallübungen inkl. Wiederherstellungstests unserer Backups
- Verbindliche Clean-Desk- und Mobile-Device-Policies
Gern stellen wir Ihnen bei Projektstart ein individuelles Sicherheitsprofil zur Verfügung. Kontaktieren Sie uns unter [email protected].
Stand: 25.11.2025