Wie Workheld Informationssicherheit lebt
Bei Workheld hat der Schutz von Kundendaten höchste Priorität. Im vergangenen Jahr haben wir intensiv daran gearbeitet, ein umfassendes Informationssicherheits-Managementsystem (ISMS) aufzubauen, das vollständig dem internationalen Standard ISO/IEC 27001:2022 entspricht.
Unser Zertifizierungsaudit läuft derzeit – und wir erwarten in Kürze die formelle Bestätigung. Schon heute setzen wir jedoch alle relevanten ISO-27001-Kontrollen konsequent um und optimieren unsere Sicherheitsprozesse kontinuierlich. So stellen wir sicher, dass unsere Plattform sowie unsere internen Abläufe stets den höchsten Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit entsprechen.
Mit diesem Überblick möchten wir transparent machen, welche Maßnahmen wir bereits implementiert haben, um das Vertrauen unserer Kunden langfristig abzusichern.
Informationssicherheitsrichtlinie: Unser Fundament
Unsere Informationssicherheitsrichtlinie bildet das Herzstück des Workheld-ISMS. Sie definiert unter anderem:
- Unser klares Bekenntnis zu ISO 27001, DSGVO und allen relevanten gesetzlichen Vorgaben
- Definierte Rollen & Verantwortlichkeiten (CISO, ISMS-Manager, Executive Management)
- Einen risikobasierten Ansatz für Governance & Sicherheitsentscheidungen
- Kontinuierliche Verbesserung durch Audits, Monitoring und Reviews
Datenschutz & Privatsphäre nach DSGVO
Workheld verarbeitet Kundendaten streng nach DSGVO sowie den einschlägigen nationalen Datenschutzgesetzen.
Wesentliche Punkte:
- Datenverantwortlicher: Unsere Kunden
- Datenverarbeiter: Workheld GmbH
- Datenverarbeitungsvereinbarung (DPA) für alle Kunden
- Datenminimierung & Zweckbindung
- Unterstützung der Rechte betroffener Personen
- Hosting ausschließlich in der EU
- Sorgfältige Auswahl und Prüfung aller Sub-Datenverarbeiter
Zugriffskontrolle & Identitätsmanagement
Um sensible Daten bestmöglich zu schützen, setzen wir auf moderne, streng regulierte Zugriffskontrollen:
- Rollenbasierte Zugriffssteuerung (RBAC)
- Prinzip der geringsten Privilegien
- Multi-Faktor-Authentifizierung für Admin-Zugriff
- Saubere Trennung kritischer Aufgaben
- Quartalsweise Zugriffsüberprüfungen
- Mandantenisolierung innerhalb der Plattform
Ein Zugriff auf Kundendaten erfolgt niemals ohne explizite Genehmigung und dokumentierte Begründung.
Verschlüsselung & kryptografische Sicherheit
Sicherheit beginnt bei der Verschlüsselung. Deshalb schützen wir Daten wie folgt:
- TLS 1.2+ für Datenübertragungen
- AES-256 für Daten im Ruhezustand
- Strenge Prozesse zur Schlüsselverwaltung
- Umsetzung aller kryptografischen ISO-27001-Anforderungen
Spezifische Verschlüsselungswünsche besprechen wir gerne individuell.
Backups & Disaster Recovery
Unsere Notfallstrategie stellt sicher, dass Daten jederzeit wiederhergestellt werden können:
- Verschlüsselte Backups
- Geografisch verteilte Speicherorte
- Rgelmäßige Recovery-Tests
- Dokumentierte Notfall- und BCM-Verfahren
Incident Management nach ISO 27035
Für den Ernstfall sind wir bestens vorbereitet:
- 24/7-Monitoring unserer Produktionssysteme
- Definierte Eskalations- & Kommunikationswege
- Sofortige Kundeninformation bei relevanten Sicherheitsvorfällen
- Strukturierte Post-Incident-Analysen
Sicherheitsvorfälle können an support@workheld.com gemeldet werden.
Strukturierter Change-Management-Prozess
Jede technische Änderung wird sorgfältig geprüft und dokumentiert:
- Risikobewertungen
- Trennung von Entwicklung, Test und Produktion
- Klar definierte Deploy-Fenster
- Automatisierte Tests & Peer Reviews
- Proaktive Kommunikation bei kundenseitigen Auswirkungen
Kontinuierliches Schwachstellenmanagement
Um Sicherheitsrisiken frühzeitig zu erkennen, setzen wir auf:
- Laufende automatisierte Scans
- Monatliche Patch-Zyklen (schneller bei kritischen Findings)
- Externe Penetrationstests durch unabhängige Experten geplant
- Responsible Disclosure Program
- Risikobasierte Behebung gemäß ISO 27001-Anhang A.12
Sichere Softwareentwicklung (Secure SDLC)
Security ist von Beginn an Teil unseres Entwicklungsprozesses:
- Statische Codeanalyse & automatisierte Security-Checks
- Pull-Request-Reviews mit Sicherheitskriterien
- Umfangreiche QA-Tests vor Produktivgang
- Dependency-Scanning
Lieferanten- & Sub-Processor-Management
Wir wählen alle Dienstleister nach strengen Sicherheitskriterien aus:
- Initiale Due-Diligence
- Vertragliche Sicherheitsanforderungen
- Jährliche Re-Assessments
- Validierung von ISO 27001 / SOC 2, sofern anwendbar
- Laufende Überwachung kritischer Lieferanten
Physische Sicherheit & Büro-Security
Unsere Sicherheitsmaßnahmen vor Ort umfassen:
- Kontrollierten Zutritt
- Geregelte Besucherprozesse
- Videoüberwachung, wo notwendig
- Sichere Entsorgung von Dokumenten & Geräten
- Geräteverschlüsselung
Business Continuity Management (BCM)
Unser BCM-Plan stellt sicher, dass Workheld auch in Krisensituationen einsatzbereit bleibt:
- Sicherstellung kritischer Services
- Notfall- und Wiederanlaufverfahren
- Strukturierte Krisenkommunikation
Compliance & Zertifizierungen
Workheld erfüllt bereits heute:
- Anforderungen der ISO/IEC 27001:2022 (Zertifizierung im Gang)
- DSGVO
Weitere Audits wie z. B. SOC 2 unterstützen wir gerne auf Anfrage.
Kontakt
Für Fragen zu Sicherheit, Datenschutz oder Compliance stehen wir gerne zur Verfügung:
Workheld GmbH
E-Mail: office@workheld.com
ISMS-Manager: Dmytro Kvashnin
CISO: Christine Geier