Sicherheitsrichtlinie
Letzte Aktualisierung: 31. Oktober 2025
Uqenlas verpflichtet sich, die Sicherheit Ihrer Daten und die Integrität unserer Plattform zu gewährleisten. Diese Sicherheitsrichtlinie beschreibt unsere Maßnahmen zum Schutz Ihrer Informationen und zur Aufrechterhaltung einer sicheren Lernumgebung.
1. Informationssicherheit
1.1 Datenverschlüsselung
Wir implementieren branchenübliche Verschlüsselungsprotokolle zum Schutz Ihrer Daten:
- TLS 1.2 oder höher für alle Datenübertragungen
- AES-256-Verschlüsselung für gespeicherte sensible Daten
- Verschlüsselte Datenbanken für Benutzerinformationen
- Sichere Schlüsselverwaltungssysteme
1.2 Datenspeicherung
Ihre Daten werden in sicheren Rechenzentren gespeichert:
- Geografisch verteilte Server mit Redundanz
- Regelmäßige automatisierte Backups
- Physische Sicherheitsmaßnahmen in Rechenzentren
- Zugangskontrolle und Überwachung rund um die Uhr
1.3 Zugriffskontrolle
Wir beschränken den Zugriff auf Ihre Daten durch:
- Rollenbasierte Zugriffskontrollsysteme
- Multi-Faktor-Authentifizierung für Mitarbeiter
- Prinzip der minimalen Rechtevergabe
- Regelmäßige Überprüfung von Zugriffsrechten
2. Kontosicherheit
2.1 Passwortsicherheit
Zum Schutz Ihres Kontos verlangen wir:
- Mindestens 8 Zeichen für Passwörter
- Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen empfohlen
- Passwort-Hashing mit bcrypt oder vergleichbaren Algorithmen
- Sichere Passwort-Zurücksetzungsmechanismen
2.2 Authentifizierung
Wir bieten erweiterte Authentifizierungsoptionen:
- Optionale Zwei-Faktor-Authentifizierung
- Sitzungsverwaltung mit automatischer Abmeldung
- Erkennung verdächtiger Anmeldeaktivitäten
- Benachrichtigungen bei Kontozugriffen von neuen Geräten
2.3 Kontoüberwachung
Sie können Ihre Kontosicherheit überwachen durch:
- Aktivitätsprotokolle für Ihr Konto
- Übersicht aktiver Sitzungen
- Möglichkeit zur Beendigung einzelner Sitzungen
- Benachrichtigungen über Kontoänderungen
3. Plattformsicherheit
3.1 Anwendungssicherheit
Unsere Plattform wird kontinuierlich geschützt durch:
- Regelmäßige Sicherheitsaudits und Penetrationstests
- Automatisierte Schwachstellenscans
- Sichere Entwicklungspraktiken und Code-Reviews
- Web Application Firewall zum Schutz vor Angriffen
3.2 Netzwerksicherheit
Wir schützen unsere Infrastruktur durch:
- DDoS-Schutz und Lastverteilung
- Intrusion Detection und Prevention Systeme
- Netzwerksegmentierung und Isolierung
- Kontinuierliche Überwachung des Netzwerkverkehrs
3.3 Zahlungssicherheit
Finanzielle Transaktionen werden geschützt durch:
- PCI DSS-konforme Zahlungsverarbeitung
- Verwendung zertifizierter Zahlungsdienstleister
- Keine Speicherung vollständiger Kreditkartendaten
- Verschlüsselte Zahlungskommunikation
4. Mitarbeitersicherheit
4.1 Schulung und Bewusstsein
Alle Mitarbeiter durchlaufen:
- Regelmäßige Sicherheitsschulungen
- Sensibilisierung für Phishing und Social Engineering
- Schulungen zu Datenschutz und Compliance
- Regelmäßige Sicherheitsrichtlinien-Updates
4.2 Hintergrundprüfungen
Wir führen Sicherheitsprüfungen durch:
- Hintergrundüberprüfungen für Mitarbeiter mit Datenzugriff
- Vertraulichkeitsvereinbarungen für alle Mitarbeiter
- Klare Sicherheitsrichtlinien und Verhaltenskodex
- Sofortige Sperrung des Zugriffs bei Beendigung des Arbeitsverhältnisses
5. Incident Response
5.1 Erkennung und Überwachung
Wir überwachen unsere Systeme kontinuierlich:
- Echtzeit-Sicherheitsüberwachung rund um die Uhr
- Automatisierte Warnsysteme für Anomalien
- Protokollierung aller sicherheitsrelevanten Ereignisse
- Regelmäßige Überprüfung von Sicherheitslogs
5.2 Reaktionsverfahren
Im Falle eines Sicherheitsvorfalls:
- Sofortige Aktivierung des Incident Response Teams
- Isolierung betroffener Systeme zur Schadensbegrenzung
- Forensische Untersuchung zur Ursachenfindung
- Dokumentation aller Schritte und Erkenntnisse
5.3 Benachrichtigung
Wir verpflichten uns zu transparenter Kommunikation:
- Benachrichtigung betroffener Benutzer ohne unangemessene Verzögerung
- Klare Informationen über Art und Umfang des Vorfalls
- Empfehlungen für Schutzmaßnahmen
- Regelmäßige Updates während der Behebung
6. Drittanbieter und Partner
6.1 Anbieterauswahl
Wir wählen Drittanbieter sorgfältig aus:
- Gründliche Sicherheitsbewertung vor der Zusammenarbeit
- Überprüfung von Zertifizierungen und Compliance
- Vertragliche Sicherheitsanforderungen
- Regelmäßige Überprüfung der Anbieterleistung
6.2 Datenverarbeitung durch Dritte
Wenn Drittanbieter Daten verarbeiten:
- Datenschutzverträge mit allen Verarbeitern
- Beschränkung der Datenverarbeitung auf erforderliche Zwecke
- Sicherheitsanforderungen in Vereinbarungen festgelegt
- Recht auf Prüfung der Sicherheitsmaßnahmen
7. Compliance und Standards
7.1 Einhaltung von Standards
Wir orientieren uns an anerkannten Sicherheitsstandards:
- ISO 27001 Informationssicherheitsmanagement
- OWASP Top 10 Sicherheitsrichtlinien
- NIST Cybersecurity Framework
- Branchenspezifische Best Practices
7.2 Regelmäßige Audits
Unsere Sicherheitsmaßnahmen werden überprüft durch:
- Interne Sicherheitsaudits mindestens jährlich
- Externe unabhängige Sicherheitsbewertungen
- Penetrationstests durch qualifizierte Experten
- Kontinuierliche Verbesserung basierend auf Ergebnissen
8. Datensicherung und Wiederherstellung
8.1 Backup-Strategie
Wir schützen Ihre Daten durch:
- Automatisierte tägliche Backups aller kritischen Daten
- Geografisch verteilte Backup-Standorte
- Verschlüsselte Backup-Speicherung
- Regelmäßige Tests der Wiederherstellungsverfahren
8.2 Disaster Recovery
Unser Notfallwiederherstellungsplan umfasst:
- Dokumentierte Recovery Time Objectives
- Redundante Systeme für kritische Funktionen
- Regelmäßige Disaster Recovery Tests
- Klare Verantwortlichkeiten im Notfall
9. Physische Sicherheit
9.1 Büro- und Arbeitsplatzsicherheit
Unsere physischen Standorte sind geschützt durch:
- Zugangskontrollsysteme mit Kartenlesern
- Videoüberwachung in sensiblen Bereichen
- Besucherverwaltung und Begleitpflicht
- Clean Desk Policy für Arbeitsplätze
9.2 Hardware-Sicherheit
Zum Schutz physischer Geräte:
- Verschlüsselte Festplatten auf allen Arbeitsgeräten
- Sichere Entsorgung alter Hardware
- Diebstahlschutz für mobile Geräte
- Regelmäßige Wartung und Updates
10. Benutzersicherheit und Verantwortung
10.1 Best Practices für Benutzer
Wir empfehlen Ihnen:
- Verwendung starker, eindeutiger Passwörter
- Aktivierung der Zwei-Faktor-Authentifizierung
- Vorsicht bei verdächtigen E-Mails oder Links
- Regelmäßige Überprüfung Ihrer Kontoaktivitäten
- Sofortige Meldung verdächtiger Aktivitäten
10.2 Sichere Nutzung
Für maximale Sicherheit sollten Sie:
- Ihr Gerät und Ihren Browser aktuell halten
- Öffentliche WLAN-Netzwerke mit Vorsicht nutzen
- Sich immer abmelden, wenn Sie ein gemeinsam genutztes Gerät verwenden
- Keine Kontodaten an Dritte weitergeben
11. Datenschutz und Privatsphäre
11.1 Datenschutzprinzipien
Wir respektieren Ihre Privatsphäre durch:
- Datenminimierung – nur notwendige Daten werden erhoben
- Zweckbindung – Daten werden nur für angegebene Zwecke verwendet
- Transparenz über Datenverarbeitung
- Respektierung Ihrer Datenschutzrechte
11.2 Integration mit Datenschutzrichtlinie
Diese Sicherheitsrichtlinie ergänzt unsere Datenschutzrichtlinie. Weitere Informationen zur Datenverarbeitung finden Sie in unserer separaten Datenschutzrichtlinie.
12. Meldung von Sicherheitsproblemen
12.1 Responsible Disclosure
Wenn Sie eine Sicherheitslücke entdecken:
- Kontaktieren Sie uns umgehend unter [email protected]
- Geben Sie detaillierte Informationen zur Schwachstelle an
- Gewähren Sie uns angemessene Zeit zur Behebung
- Veröffentlichen Sie die Schwachstelle nicht öffentlich vor der Behebung
12.2 Unsere Verpflichtung
Bei gemeldeten Sicherheitsproblemen werden wir:
- Ihre Meldung innerhalb von 48 Stunden bestätigen
- Sie über den Fortschritt der Untersuchung informieren
- Die Schwachstelle mit Priorität behandeln
- Ihre Beiträge zur Verbesserung unserer Sicherheit anerkennen
13. Sicherheitsrichtlinien-Updates
13.1 Aktualisierungen
Diese Sicherheitsrichtlinie kann aktualisiert werden:
- Bei wesentlichen Änderungen unserer Sicherheitsmaßnahmen
- Bei neuen gesetzlichen Anforderungen
- Aufgrund von Technologieentwicklungen
- Nach Sicherheitsvorfällen oder Audits
13.2 Benachrichtigung über Änderungen
Bei wesentlichen Änderungen werden wir:
- Das Aktualisierungsdatum am Anfang der Richtlinie ändern
- Registrierte Benutzer per E-Mail informieren
- Hinweise auf der Plattform anzeigen
- Eine angemessene Übergangszeit gewähren
14. Kontakt
Bei Fragen zu dieser Sicherheitsrichtlinie oder zur Sicherheit unserer Plattform kontaktieren Sie uns bitte:
Uqenlas
Fasaneriestraße 17
5020 Salzburg
Österreich
E-Mail: [email protected]
Telefon: +436642642467
Signal: https://signal.me/#p/+436642642467
Unser Sicherheitsteam steht Ihnen für Fragen und Anliegen zur Verfügung.