Sicherheit
Sie erfassen Ihre Prozesse, Ihre Risiken und Ihre Kontrollen bei uns. Dann dürfen Sie auch wissen, wie wir selbst mit Sicherheit umgehen. Die meisten Anbieter zeigen ein Logo. Wir zeigen unsere Hausaufgaben — einschließlich dessen, was noch offen ist.
Geprüft anhand von OWASP ASVS 5.0 Level 2
ASVS ist der Standard von OWASP für Anwendungssicherheit. Level 2 ist die Stufe, die für Anwendungen gedacht ist, die sensible Daten verarbeiten. Wir haben alle 253 Anforderungen der Level 1 und 2 einzeln durchgearbeitet und pro Anforderung festgehalten, wie der Stand ist — und warum.
Dies ist eine Selbstbewertung, keine Zertifizierung
Es hat kein externer Auditor darauf geschaut. Deshalb nennen wir uns nicht ASVS-konform, ASVS-zertifiziert oder ASVS-ready: Das würde suggerieren, dass jemand anderes es geprüft hat. Was Sie hier sehen, ist unsere eigene Bewertung, pro Zeile begründet, mit den offenen Punkten einfach mit dabei.
Der Stand
222 von 253 sind abgeschlossen oder nicht anwendbar, mit Begründung. Die übrigen 31 stehen namentlich in unserem Register — einschließlich des Grundes.
Diese Zahlen werden aus dem Register abgeleitet und bei jedem Release überprüft. Sie können also nicht stillschweigend veralten, während sich das Register ändert.
Was das konkret bedeutet
Eine Norm ist abstrakt. Das steckt in der Praxis darin:
Trennung zwischen Organisationen
Alle Prozess-, Risiko- und Stammdaten-Abfragen laufen über eine Tenant-Grenze, die die Organisation erzwingt und dichtmacht, wenn der Kontext fehlt — eine vergessene Grenze führt zu einer Fehlermeldung, nie stillschweigend zu fremden Daten. Ein Nutzer der einen Organisation kann die Daten einer anderen nicht abrufen — auch nicht mit einer erratenen ID.
Rollen und Rechte auf dem Server
Wer was darf, wird auf dem Server entschieden und nicht im Browser. Ein Leser kann nichts am Inhalt ändern — auch nicht, indem er einen ausgeblendeten Button wieder sichtbar macht.
Zwei-Faktor-Authentifizierung
Verfügbar über eine Authenticator-App, mit Backup-Codes. Wir bieten sie an und schreiben sie nicht vor; diese Abwägung ist im Register begründet.
Geleakte Passwörter werden abgelehnt
Beim Festlegen eines Passworts prüfen wir gegen die Datenbank von Have I Been Pwned. Taucht es dort auf, wird es nicht akzeptiert.
Begrenzte Anmeldepfade
Die Pfade, über die Anmeldedaten laufen, sind limitiert — und dieses Limit liegt in der Datenbank, nicht im Speicher eines einzelnen Prozesses, sodass ein Neustart oder ein zweiter Container es nicht zurücksetzt.
Strikte Content-Security-Policy
Mit einem nonce pro Seite, sodass ein eingeschleustes Skript nicht zur Ausführung kommt.
Sitzungen
Das Sitzungscookie ist HttpOnly, Secure und SameSite. Es gilt eine absolute Höchstdauer, und sensible Aktionen fragen erneut nach Ihrem Passwort.
Audit-Trail und Security-Logging
Änderungen an Ihren Prozessen, Rollen, Risiken und Kontrollen werden mit Wer, Was und Wann festgehalten. Eine verweigerte Autorisierung wird gesondert protokolliert — eine fehlgeschlagene Anmeldung ist Rauschen, aber wer mit einer gültigen Sitzung etwas versucht, das nicht erlaubt ist, ist ein Signal.
Lieferkette
Wir führen eine SBOM über die Abhängigkeiten, die wir in der Produktion betreiben, und die Pipeline scannt jede Änderung automatisch auf versehentlich committete Secrets.
Pro Kapitel
Die 17 Kapitel der Norm, mit dem Stand pro Kapitel. Die Kapiteltitel sind die Namen aus der Norm selbst und bleiben unübersetzt — so sind sie wiederauffindbar.
| Kapitel | Anforderungen | Erfüllt | N/A | Teilweise | Offen |
|---|---|---|---|---|---|
| V1 Encoding and Sanitization | 27 | 12 | 15 | 0 | 0 |
| V2 Validation and Business Logic | 11 | 7 | 1 | 3 | 0 |
| V3 Web Frontend Security | 19 | 18 | 0 | 0 | 1 |
| V4 API and Web Service | 10 | 2 | 6 | 2 | 0 |
| V5 File Handling | 9 | 4 | 4 | 1 | 0 |
| V6 Authentication | 35 | 26 | 6 | 2 | 1 |
| V7 Session Management | 18 | 15 | 3 | 0 | 0 |
| V8 Authorization | 7 | 7 | 0 | 0 | 0 |
| V9 Self-contained Tokens | 7 | 0 | 7 | 0 | 0 |
| V10 OAuth and OIDC | 29 | 0 | 29 | 0 | 0 |
| V11 Cryptography | 14 | 12 | 1 | 1 | 0 |
| V12 Secure Communication | 9 | 3 | 1 | 2 | 3 |
| V13 Configuration | 13 | 6 | 0 | 4 | 3 |
| V14 Data Protection | 9 | 7 | 0 | 2 | 0 |
| V15 Secure Coding and Architecture | 13 | 10 | 0 | 3 | 0 |
| V16 Security Logging and Error Handling | 16 | 13 | 0 | 1 | 2 |
| V17 WebRTC | 7 | 0 | 7 | 0 | 0 |
Was noch offen ist
Wir veröffentlichen auch, was nicht fertig ist — sonst ist Transparenz nur ein Marketingwort. Derzeit sind 10 Anforderungen offen und 21 teilweise erfüllt. Der Schwerpunkt liegt bei Infrastruktur-Anforderungen, die wir auf Basis unseres Bedrohungsmodells bewusst akzeptiert haben, dazu einige Richtlinienentscheidungen, die noch eine Entscheidung erfordern, eine Abweichung, die in einer externen Bibliothek liegt, und ein Rest an Hardening, den wir selbst noch fertigstellen. Jeder Punkt steht mit Begründung im Register — einschließlich der Punkte, die wir als Erstes schließen wollen.
Warum nicht einfach alles abhaken?
Weil nicht jede Anforderung in dieser Anwendung gleich schwer wiegt. Wir haben pro Anforderung eine bewusste Abwägung getroffen und sie aufgeschrieben — einschließlich der Anforderungen, die wir (noch) nicht erfüllen, und warum wir dieses Risiko für vertretbar halten. Das macht uns an diesen Punkten nicht ASVS-konform; es macht die Entscheidung nachvollziehbar. Eine stillschweigende Lücke wäre das nicht.
Und NIS2?
Fällt Ihre Organisation unter NIS2, müssen Sie nachweislich Ihre Prozesse, Ihre Risiken und Ihre Lieferkette beherrschen. Genau das festzuhalten, ist der Zweck, für den Proceshuis gebaut wurde: Prozesse, Rollen über RASCI, Risiken und Kontrollen in einem System, mit Versionshistorie und einem Audit-Trail über diese Inhalte, der zeigt, wer was wann geändert hat.
Was wir hier nicht behaupten
Proceshuis macht Ihre Organisation nicht NIS2-konform, und wir nennen uns nicht NIS2-compliant. NIS2 ist eine organisatorische Richtlinie: Risikomanagement, Meldung von Vorfällen, Verantwortung für die Lieferkette, Haftung der Geschäftsleitung. Software deckt davon nur einen Teil ab. Wir unterstützen Sie bei Ihren Pflichten; wir nehmen sie Ihnen nicht ab.
Das vollständige Register
Alle 253 Anforderungen mit der Begründung pro Zeile, einschließlich der offenen Punkte und warum sie offen sind. Wir teilen es auf Anfrage: Es enthält Implementierungsdetails, die nicht auf eine öffentliche Seite gehören.
Register anfragen