Transparenz, kein Badge

Sicherheit

Sie erfassen Ihre Prozesse, Ihre Risiken und Ihre Kontrollen bei uns. Dann dürfen Sie auch wissen, wie wir selbst mit Sicherheit umgehen. Die meisten Anbieter zeigen ein Logo. Wir zeigen unsere Hausaufgaben — einschließlich dessen, was noch offen ist.

Geprüft anhand von OWASP ASVS 5.0 Level 2

ASVS ist der Standard von OWASP für Anwendungssicherheit. Level 2 ist die Stufe, die für Anwendungen gedacht ist, die sensible Daten verarbeiten. Wir haben alle 253 Anforderungen der Level 1 und 2 einzeln durchgearbeitet und pro Anforderung festgehalten, wie der Stand ist — und warum.

Dies ist eine Selbstbewertung, keine Zertifizierung

Es hat kein externer Auditor darauf geschaut. Deshalb nennen wir uns nicht ASVS-konform, ASVS-zertifiziert oder ASVS-ready: Das würde suggerieren, dass jemand anderes es geprüft hat. Was Sie hier sehen, ist unsere eigene Bewertung, pro Zeile begründet, mit den offenen Punkten einfach mit dabei.

Der Stand

142
erfüllt
80
nicht anwendbar, mit Begründung
21
teilweise
10
offen

222 von 253 sind abgeschlossen oder nicht anwendbar, mit Begründung. Die übrigen 31 stehen namentlich in unserem Register — einschließlich des Grundes.

Diese Zahlen werden aus dem Register abgeleitet und bei jedem Release überprüft. Sie können also nicht stillschweigend veralten, während sich das Register ändert.

Was das konkret bedeutet

Eine Norm ist abstrakt. Das steckt in der Praxis darin:

  • Trennung zwischen Organisationen

    Alle Prozess-, Risiko- und Stammdaten-Abfragen laufen über eine Tenant-Grenze, die die Organisation erzwingt und dichtmacht, wenn der Kontext fehlt — eine vergessene Grenze führt zu einer Fehlermeldung, nie stillschweigend zu fremden Daten. Ein Nutzer der einen Organisation kann die Daten einer anderen nicht abrufen — auch nicht mit einer erratenen ID.

  • Rollen und Rechte auf dem Server

    Wer was darf, wird auf dem Server entschieden und nicht im Browser. Ein Leser kann nichts am Inhalt ändern — auch nicht, indem er einen ausgeblendeten Button wieder sichtbar macht.

  • Zwei-Faktor-Authentifizierung

    Verfügbar über eine Authenticator-App, mit Backup-Codes. Wir bieten sie an und schreiben sie nicht vor; diese Abwägung ist im Register begründet.

  • Geleakte Passwörter werden abgelehnt

    Beim Festlegen eines Passworts prüfen wir gegen die Datenbank von Have I Been Pwned. Taucht es dort auf, wird es nicht akzeptiert.

  • Begrenzte Anmeldepfade

    Die Pfade, über die Anmeldedaten laufen, sind limitiert — und dieses Limit liegt in der Datenbank, nicht im Speicher eines einzelnen Prozesses, sodass ein Neustart oder ein zweiter Container es nicht zurücksetzt.

  • Strikte Content-Security-Policy

    Mit einem nonce pro Seite, sodass ein eingeschleustes Skript nicht zur Ausführung kommt.

  • Sitzungen

    Das Sitzungscookie ist HttpOnly, Secure und SameSite. Es gilt eine absolute Höchstdauer, und sensible Aktionen fragen erneut nach Ihrem Passwort.

  • Audit-Trail und Security-Logging

    Änderungen an Ihren Prozessen, Rollen, Risiken und Kontrollen werden mit Wer, Was und Wann festgehalten. Eine verweigerte Autorisierung wird gesondert protokolliert — eine fehlgeschlagene Anmeldung ist Rauschen, aber wer mit einer gültigen Sitzung etwas versucht, das nicht erlaubt ist, ist ein Signal.

  • Lieferkette

    Wir führen eine SBOM über die Abhängigkeiten, die wir in der Produktion betreiben, und die Pipeline scannt jede Änderung automatisch auf versehentlich committete Secrets.

Pro Kapitel

Die 17 Kapitel der Norm, mit dem Stand pro Kapitel. Die Kapiteltitel sind die Namen aus der Norm selbst und bleiben unübersetzt — so sind sie wiederauffindbar.

KapitelAnforderungenErfülltN/ATeilweiseOffen
V1 Encoding and Sanitization27121500
V2 Validation and Business Logic117130
V3 Web Frontend Security1918001
V4 API and Web Service102620
V5 File Handling94410
V6 Authentication3526621
V7 Session Management1815300
V8 Authorization77000
V9 Self-contained Tokens70700
V10 OAuth and OIDC2902900
V11 Cryptography1412110
V12 Secure Communication93123
V13 Configuration136043
V14 Data Protection97020
V15 Secure Coding and Architecture1310030
V16 Security Logging and Error Handling1613012
V17 WebRTC70700

Was noch offen ist

Wir veröffentlichen auch, was nicht fertig ist — sonst ist Transparenz nur ein Marketingwort. Derzeit sind 10 Anforderungen offen und 21 teilweise erfüllt. Der Schwerpunkt liegt bei Infrastruktur-Anforderungen, die wir auf Basis unseres Bedrohungsmodells bewusst akzeptiert haben, dazu einige Richtlinienentscheidungen, die noch eine Entscheidung erfordern, eine Abweichung, die in einer externen Bibliothek liegt, und ein Rest an Hardening, den wir selbst noch fertigstellen. Jeder Punkt steht mit Begründung im Register — einschließlich der Punkte, die wir als Erstes schließen wollen.

Warum nicht einfach alles abhaken?

Weil nicht jede Anforderung in dieser Anwendung gleich schwer wiegt. Wir haben pro Anforderung eine bewusste Abwägung getroffen und sie aufgeschrieben — einschließlich der Anforderungen, die wir (noch) nicht erfüllen, und warum wir dieses Risiko für vertretbar halten. Das macht uns an diesen Punkten nicht ASVS-konform; es macht die Entscheidung nachvollziehbar. Eine stillschweigende Lücke wäre das nicht.

Und NIS2?

Fällt Ihre Organisation unter NIS2, müssen Sie nachweislich Ihre Prozesse, Ihre Risiken und Ihre Lieferkette beherrschen. Genau das festzuhalten, ist der Zweck, für den Proceshuis gebaut wurde: Prozesse, Rollen über RASCI, Risiken und Kontrollen in einem System, mit Versionshistorie und einem Audit-Trail über diese Inhalte, der zeigt, wer was wann geändert hat.

Was wir hier nicht behaupten

Proceshuis macht Ihre Organisation nicht NIS2-konform, und wir nennen uns nicht NIS2-compliant. NIS2 ist eine organisatorische Richtlinie: Risikomanagement, Meldung von Vorfällen, Verantwortung für die Lieferkette, Haftung der Geschäftsleitung. Software deckt davon nur einen Teil ab. Wir unterstützen Sie bei Ihren Pflichten; wir nehmen sie Ihnen nicht ab.

Das vollständige Register

Alle 253 Anforderungen mit der Begründung pro Zeile, einschließlich der offenen Punkte und warum sie offen sind. Wir teilen es auf Anfrage: Es enthält Implementierungsdetails, die nicht auf eine öffentliche Seite gehören.

Register anfragen

Weiterlesen

Richten Sie Ihr Prozesshaus noch heute ein.

Sehen Sie sich die gefüllte Demo-Umgebung an oder buchen Sie eine maßgeschneiderte Demo — und sehen Sie, wie RASCI, Risk & Control und der APQC-Benchmark alle an einem einzigen Prozessschritt hängen.

Sicherheit — wie wir Proceshuis bauen und prüfen