Sicherheit und Compliance bei Secfix

Gültig ab:9. Juni 2026

Der Schutz persönlicher und vertraulicher Kundeninformationen hat für uns oberste Priorität. Im Interesse unserer Kunden, unserer Geschäftsethik und unserer Werte gehen wir keine Kompromisse ein, wenn es um die Datensicherheit geht. Als Teil dieser Verpflichtung arbeiten wir mit einem Höchstmaß an Transparenz. Die folgende Übersicht bietet einen Überblick über unsere sich ständig weiterentwickelnden Sicherheitsmaßnahmen.

Diese Seite bietet einen Überblick darüber, wie wir Kundendaten schützen. Nachweise wie Zertifikate, Berichte, die Liste der Unterauftragsverarbeiter, Sicherheitsrichtlinien und den aktuellen Status von Sicherheitsmaßnahmen finden Sie in unserem Trust Center.

Zertifizierungen und Compliance

Rahmenwerk Status Nachweise
ISO/IEC 27001:2022 Zertifiziert Zertifikat im Trust Center verfügbar
SOC 2 Typ II Geprüft Der Bericht ist im Rahmen einer Geheimhaltungsvereinbarung über das Trust Center erhältlich
TISAX Zertifiziert (AL2) Teilnehmerdaten über das ENX-Portal
GDPR konform Verarbeitungsprotokolle, Datenschutzvereinbarung und Liste der Unterauftragsverarbeiter verfügbar

Unser DSGVO-Programm wird von einem internen Datenschutzbeauftragten verantwortet und regelmäßig im Rahmen unseres ISO-27001-Informationssicherheits-Managementsystems (ISMS) überprüft.

Für Auditberichte, ausgefüllte CAIQ- oder SIG-Fragebögen sowie Sicherheitsfragebögen von Lieferanten kontaktieren Sie bitte security@secfix.com oder nutzen Sie die Zugriffsanfrage-Funktion in unserem Trust Center.

Datenspeicherung und Hosting

Secfix wird in Deutschland entwickelt und ausschließlich auf europäischer Cloud-Infrastruktur betrieben. Kundendaten werden innerhalb der Europäischen Union gespeichert und verarbeitet. Eine Übermittlung von Kundendaten außerhalb des Europäischen Wirtschaftsraums (EWR) erfolgt nur auf Grundlage einer dokumentierten Rechtsgrundlage, beispielsweise Standardvertragsklauseln (SCCs) oder gleichwertiger Mechanismen. Entsprechende Informationen sind in unserer Liste der Unterauftragsverarbeiter dokumentiert.

Unsere Cloud-Anbieter verfügen über unabhängige Nachweise nach ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 1/2/3, PCI DSS und C5 (BSI). Wir betreiben keine eigenen Rechenzentren, Router, DNS-Dienste oder Load Balancer.

Verschlüsselung

  • Datenübertragung: Für die gesamte Kommunikation zwischen Clients und Services sowie zwischen einzelnen Services wird TLS 1.2 oder höher verwendet. HSTS ist für Web-Endpunkte aktiviert. Weitere Informationen finden Sie in unserem öffentlichen SSL-Labs-Bericht, der im Trust Center verlinkt ist.
  • Daten im Ruhezustand: Gespeicherte Daten werden mit AES-256 verschlüsselt. Die Verschlüsselung auf Speicher- und Datenbankebene ist standardmäßig aktiviert. Backups werden nach demselben Standard verschlüsselt.
  • Schlüsselmanagement: Kryptografische Schlüssel werden im Key Management System (KMS) unseres Cloud-Anbieters verwaltet. Dabei besteht eine klare Trennung der Verantwortlichkeiten zwischen Schlüsselverantwortlichen und Datenadministrator:innen. Kundenseitig verwaltete Schlüssel (Customer-Managed Keys) sind in Enterprise-Tarifen verfügbar.

Anwendungssicherheit

Wir betrachten die Anwendungsschicht als unseren Bereich mit dem höchsten Risiko.

  • Sicherer Softwareentwicklungszyklus (SDLC). Sicherheitsanforderungen werden bereits in der Designphase definiert, Code wird vor dem Merge per Peer Review geprüft und Deployments erfolgen erst nach erfolgreich bestandenen automatisierten Prüfungen. Für neue Services und wesentliche Änderungen wird Threat Modeling durchgeführt.
  • Statische und dynamische Analyse. Jeder Pull Request wird mittels SAST (Static Application Security Testing) und Software Composition Analysis (SCA) auf bekannte Schwachstellen in Abhängigkeiten geprüft. Produktionsendpunkte werden regelmäßig mit DAST (Dynamic Application Security Testing) gescannt.
  • Abhängigkeitsmanagement. Schwachstellen in Softwareabhängigkeiten werden gemäß festgelegten SLAs auf Basis des CVSS-Schweregrads behoben (Kritisch: 7 Tage, Hoch: 30 Tage, Mittel: 90 Tage).
  • Penetrationstests. Unabhängige Penetrationstests durch Drittanbieter werden mindestens jährlich in der Produktionsumgebung durchgeführt. Executive Summaries stehen unter Abschluss einer Vertraulichkeitsvereinbarung (NDA) über das Trust Center zur Verfügung.
  • Laufzeitschutz. Eine Web Application Firewall (WAF) sowie zusätzliche Runtime-Schutzmechanismen überwachen und blockieren gängige Angriffsmuster, darunter Risiken aus den OWASP Top 10 und Missbrauch von Geschäftslogik. Sicherheitsheader wie CSP, HSTS, X-Frame-Options und X-Content-Type-Options werden konsequent durchgesetzt.

Referenzierte Frameworks. Unser Application-Security-Programm orientiert sich an OWASP ASVS, OWASP Top 10, SANS Top 25 und MITRE ATT&CK.

Infrastruktur- und Netzwerksicherheit

  • Segmentierung. Produktions-, Staging- und Unternehmensnetzwerke sind voneinander getrennt. Der Zugriff auf Produktionssysteme erfordert SSO mit phishing-resistenter MFA und wird protokolliert.
  • Härtung. Infrastruktur wird als Code auf Basis geprüfter Vorlagen bereitgestellt. Abweichungen von der definierten Konfiguration werden kontinuierlich erkannt und überwacht.
  • Monitoring. Zentrale Protokollierung erfasst Authentifizierungs-, Zugriffs- und Administrationsereignisse. Sicherheitsrelevante Warnmeldungen werden an die zuständigen Bereitschaftsteams weitergeleitet. Protokolle werden gemäß Richtlinie aufbewahrt und gegen Manipulation geschützt.
  • DDoS-Schutz. Der Schutz vor DDoS-Angriffen wird durch unsere Cloud- und CDN-Anbieter bereitgestellt und ist standardmäßig aktiviert.
  • Schwachstellenmanagement. Unsere Infrastruktur wird kontinuierlich gescannt. Feststellungen werden priorisiert, klaren Verantwortlichen zugewiesen und gemäß den oben genannten SLAs behoben.

Identitäts- und Zugriffsmanagement

  • Interne Zugriffsrechte folgen dem Least-Privilege-Prinzip und werden mindestens vierteljährlich überprüft.
  • Alle internen Systeme erfordern SSO mit MFA.
  • Zugriffe auf Produktionssysteme erfolgen nach dem Just-in-Time-Prinzip, sind zeitlich begrenzt und werden revisionssicher protokolliert.
  • Änderungen von Zugriffsrechten im Rahmen von Onboarding- und Offboarding-Prozessen werden innerhalb eines Werktags umgesetzt.

Personalsicherheit

  • Für alle Neueinstellungen werden, soweit gesetzlich zulässig, Hintergrundprüfungen durchgeführt.
  • Alle Mitarbeitenden und Auftragnehmer:innen unterzeichnen Vertraulichkeitsvereinbarungen als Voraussetzung für ihre Tätigkeit bei Secfix.
  • Security-Awareness-Trainings sind beim Onboarding sowie anschließend jährlich verpflichtend. Rollenspezifische Schulungen, etwa zu Secure Coding, Datenverarbeitung und Incident Response, werden für Mitarbeitende in Engineering und Operations durchgeführt.
  • Richtlinien zur zulässigen Nutzung, Datenklassifizierung und Remote-Arbeit sind verbindlich und werden von allen Mitarbeitenden jährlich bestätigt.

Management von Dienstleistern und Unterauftragsverarbeitern

Wir bewerten jeden Dienstleister, der Kundendaten verarbeitet, vor der Beauftragung und überprüfen ihn anschließend in festgelegten Intervallen erneut. Unsere aktuelle Liste der Unterauftragsverarbeiter wird im Trust Center veröffentlicht und enthält Informationen zum Verarbeitungszweck sowie zum Speicherort der Daten. Über wesentliche Änderungen bei Unterauftragsverarbeitern informieren wir unsere Kunden gemäß unserer Vereinbarung zur Auftragsverarbeitung (Data Processing Agreement).

Reaktion auf Vorfälle

Wir unterhalten einen dokumentierten Incident-Response-Plan, der die Erkennung, Eindämmung, Beseitigung, Wiederherstellung und Nachbereitung von Sicherheitsvorfällen abdeckt. Der Plan wird mindestens einmal jährlich getestet.

Im Falle eines bestätigten Sicherheitsvorfalls mit Auswirkungen auf Kundendaten informieren wir betroffene Kunden unverzüglich und innerhalb der in der DSGVO sowie unserer Vereinbarung zur Auftragsverarbeitung festgelegten Fristen. Die Kommunikation erfolgt über den benannten Sicherheitskontakt sowie über unser Trust Center.

Melden Sie einen Sicherheitsvorfall oder einen vermuteten Sicherheitsverstoß: security@secfix.com

Geschäftskontinuität und Notfallwiederherstellung

  • Kundendaten werden täglich gesichert, verschlüsselt und in einer separaten Verfügbarkeitszone gespeichert.
  • Wiederherstellungsziele (RTO und RPO) werden je Service-Tier definiert und mindestens einmal jährlich getestet.
  • Unser Notfallplan deckt Ausfallszenarien in Bezug auf Personal, Lieferanten und Infrastruktur ab.

Aufbewahrung und Löschung von Daten

Kundendaten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Beendigung des Vertrags können Kunden ihre Daten für 60 Tage über die Plattform exportieren. Nach Ablauf von 60 Tagen werden die Daten dauerhaft aus den Produktionssystemen gelöscht. Die Aufbewahrung von Backups erfolgt gemäß unserem veröffentlichten Zeitplan und ist in unserer Vereinbarung zur Auftragsverarbeitung (Data Processing Agreement) dokumentiert.

Betroffene Personen können ihre Rechte gemäß DSGVO (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Einschränkung der Verarbeitung und Widerspruch) ausüben, indem sie privacy@secfix.com kontaktieren oder sich an den Verantwortlichen ihrer Daten wenden.

Verantwortungen des Kunden

Sicherheit ist eine gemeinsame Verantwortung. Die Kunden sind verantwortlich für:

  • Einrichtung einer starken Authentifizierung für ihre Nutzer:innen (wir empfehlen SSO mit MFA).
  • Angemessene Verwaltung von Rollen und Berechtigungen innerhalb ihres Workspaces.
  • Schutz von Anmeldedaten und API-Tokens.
  • Prüfung von Audit-Logs und Zugriffsanfragen für das Trust Center.
  • Pflege aktueller Kontaktdaten für Administrator:innen.

Zu allen genannten Themen stellen wir in unserem Help Center einen Leitfaden für Kundensicherheit zur Verfügung.

Verantwortungsvolle Offenlegung von Sicherheitslücken

Wir begrüßen Meldungen von Sicherheitsforscher:innen. Wenn Sie der Meinung sind, eine Schwachstelle in unserer Anwendung oder Infrastruktur entdeckt zu haben, senden Sie bitte eine E-Mail an security@secfix.com mit folgenden Informationen:

  • Eine klare Beschreibung des Problems und der betroffenen Komponente.
  • Schritte zur Reproduktion, einschließlich eines Proof of Concept (PoC), sofern möglich.
  • Ihre Kontaktdaten für die weitere Bearbeitung.

Geltungsbereich und Einsatzregeln:

  • Testen Sie nur mit Konten und Daten, die Ihnen gehören.
  • Führen Sie keine automatisierten Scans gegen Produktionssysteme durch, die über das zur Demonstration der Schwachstelle erforderliche Maß hinausgehen.
  • Greifen Sie nicht auf Daten anderer Nutzer:innen zu, verändern Sie diese nicht und leiten Sie sie nicht weiter.
  • Geben Sie das Problem nicht öffentlich bekannt, bis wir die Behebung bestätigt haben.

Wir bestätigen den Eingang Ihrer Meldung innerhalb von zwei Werktagen und leiten keine rechtlichen Schritte gegen Sicherheitsforscher:innen ein, die diesen Prozess in gutem Glauben einhalten. Derzeit betreiben wir kein bezahltes Bug-Bounty-Programm, würdigen Sicherheitsforscher:innen auf Wunsch jedoch in unserer Hall of Thanks.

Richtlinie zur Informationssicherheit

Unser Informationssicherheits-Managementsystem (ISMS) basiert auf einer formellen Informationssicherheitsrichtlinie, die von der Geschäftsleitung genehmigt und mindestens einmal jährlich überprüft wird. Mit dieser Richtlinie verpflichtet sich Secfix zu folgenden Grundsätzen:

  • Schutz der Vertraulichkeit von Kunden- und Unternehmensdaten vor unbefugter Weitergabe.
  • Die Integrität von Informationen vor unbefugten Änderungen schützen.
  • Sicherstellung der Verfügbarkeit von Informationen für autorisierte Nutzer:innen, wenn diese benötigt werden.
  • Vergabe von Zugriffsrechten nach dem Least-Privilege-Prinzip sowie strikte Kontrolle und regelmäßige Überprüfung privilegierter Zugriffe.
  • Einhaltung und, soweit sinnvoll und angemessen, Übererfüllung geltender gesetzlicher, regulatorischer und vertraglicher Anforderungen.
  • Entwicklung, Aufrechterhaltung und Prüfung von Notfallplänen.
  • Bereitstellung von Sicherheitsschulungen und Verankerung von Sicherheitsverantwortlichkeiten in Rollen- und Stellenbeschreibungen.
  • Schutz von Mitarbeitenden, die Sicherheitsbedenken in gutem Glauben melden, vor Benachteiligung oder Vergeltungsmaßnahmen.
  • Untersuchung und Bearbeitung aller gemeldeten oder vermuteten Informationssicherheitsvorfälle.

Die vollständige Richtlinie sowie die zugehörigen Standards stehen Kunden und Auditoren im Trust Center unter Abschluss einer Vertraulichkeitsvereinbarung (NDA) zur Verfügung.

Thema Kontakt
Sicherheitslücken und Vorfälle security@secfix.com
Datenschutz, DSGVO-Anfragen, Datenschutzbehörde privacy@secfix.com
Compliance-Nachweise und -Fragebögen Trust Center
Allgemeine Anfragen hello@secfix.com

Secfix GmbH, Salvatorplatz 3, 80333 München