IT-Sicherheit und Datenschutz
1 Allgemeine Informationen zur SPiNE-Plattform
1.1 Überblick zur SPiNE-Plattform
Die SPiNE-Plattform ist eine cloudbasierte Lösung zur Überwachung und Analyse von Kommunikationsverbindungen und Systemzuständen im Umfeld intelligenter Messsysteme (Smart Meter Gateways). Sie ermöglicht Messstellenbetreibern (MSB) und Dienstleistern eine zentrale, sichere und datenschutzkonforme Bereitstellung von Monitoring-, Diagnose- und Energiemanagementfunktionen.
Die Architektur der Plattform basiert auf modernen Microservice- und Container-Technologien und wird nach den Grundsätzen von Security by Design und Privacy by Default entwickelt und betrieben.
1.2 Hosting-Umgebung
Die SPiNE-Plattform wird ausschließlich in Cloud-Umgebungen betrieben, die den Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) sowie der C5-Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsprechen.
Aktuell nutzt die SPiNE GmbH folgende Cloud-Infrastrukturen:
Komponente | Anbieter | Region / Standort | Zertifizierungen |
|---|---|---|---|
SPiNE-Hauptplattform (Webportal, API, Datenverarbeitung) | Microsoft Azure | Region Germany West Central (Frankfurt/Main) | ISO 27001, ISO 27017, ISO 27018, SOC 2, BSI C5 |
Ergänzende Services (Monitoring, Messaging, Telemetrie) | Amazon Web Services (AWS) | Region Germany (Frankfurt/Main) | ISO 27001, ISO 27017, ISO 27018, SOC 2, BSI C5 |
Die Auswahl der Cloud-Regionen erfolgt nach dem Prinzip der Datenresidenz innerhalb der EU.
Eine Übertragung personenbezogener oder betrieblicher Daten in Drittländer findet nicht statt.
1.3 Systemarchitektur
Die SPiNE-Systemarchitektur besteht aus mehreren logisch getrennten Schichten:
Dateningest- und Gateway-Layer:
Verarbeitung eingehender Datenströme (z. B. Mobilfunk-Telemetrie von Smart Meter Gateways).
Sichere, TLS-verschlüsselte Kommunikation über standardisierte Schnittstellen (z.B. MQTTs, HTTPS, DTLS).
Skalierbarer Betrieb über Kubernetes-Cluster mit Lastverteilung und automatischem Failover.
Verarbeitungs- und Analyse-Layer:
Speicherung, Validierung und Aggregation der eingehenden Daten in hochverfügbaren Datenbanksystemen.
Verarbeitung mit Event-Streaming-Technologien und regelbasierten Analysemodulen.
Applikations- und Benutzer-Layer:
Webportal und REST-API für Monitoring, Auswertungen und Benachrichtigungen.
Benutzerverwaltung mit rollenbasierten Berechtigungskonzepten (RBAC).
Zugriff über HTTPS mit Multi-Faktor-Authentifizierung (MFA) für administrative Konten.
Management- und Logging-Layer:
Zentrale Überwachung von Systemzustand, Verfügbarkeit und Performance über ein internes Monitoring-System.
Ereignisprotokollierung (Audit Logs) aller administrativen Aktionen.
Nutzung von OpenTelemetry-basiertem Logging, Metrics und Tracing zur Qualitätssicherung und Fehleranalyse.
1.4 Datenhaltung und Backup
Sämtliche Datenbanken und Speichersysteme sind serverseitig mit AES-256 verschlüsselt. Backups erfolgen automatisiert, verschlüsselt und ausschließlich innerhalb derselben geografischen Region. Daten werden gemäß definierter Aufbewahrungsfristen und Löschrichtlinien regelmäßig bereinigt. Zugriff auf Backup-Daten ist nur autorisiertem Personal möglich (least privilege / need-to-know).
1.5 Compliance und Zertifizierungen
Die zugrundeliegenden Cloud-Dienste von Microsoft Azure und AWS sind durch unabhängige Stellen nach ISO 27001, ISO 27017, ISO 27018, SOC 2 und BSI C5 zertifiziert.
Die SPiNE GmbH betreibt ein eigenes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001-Standard, das sich derzeit im Zertifizierungsprozess befindet.
Die Zertifizierung wird voraussichtlich im 2. Quartal 2026 abgeschlossen. Der Zertifizierungsprozess wurde beim Bundesamt für Sicherheit in der Informationstechnik, Referat SZ 25, Postfach 20 03 63, 53133 Bonn beantragt.
Externe Penetrationstests und regelmäßige Schwachstellenanalysen ergänzen die internen Sicherheitsmaßnahmen.
Alle Datenschutzanforderungen werden gemäß Art. 28 DSGVO (Auftragsverarbeitung) umgesetzt; ein entsprechender AV-Vertrag wird Kunden auf Wunsch bereitgestellt (siehe Auftragsverarbeitungsvertrag (AVV)).
1.6 Ansprechpartner
Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO:
SPiNE GmbH, Metzstr. 2, 81667 München, DeutschlandDatenschutzbeauftragter:
E-Mail: data-protection@spine.energyInformationssicherheit:
Sicherheitsverantwortlicher (CISO): security@spine.energy
2 Betrieb, Verfügbarkeit, Wartung und Support
2.1 Systemverfügbarkeit und Betriebsumgebung
Die SPiNE-Plattform wird hochverfügbar und skalierbar in Cloud-Infrastrukturen von Microsoft Azure und Amazon Web Services (AWS) betrieben. Alle produktiven Systeme sind redundant ausgelegt und werden kontinuierlich überwacht.
Die Cloud-Anbieter gewährleisten eine Infrastrukturverfügbarkeit von mindestens 99,9 %.
SPiNE überwacht zusätzlich die eigene Anwendungs- und Schnittstellenverfügbarkeit über interne Monitoring- und Telemetriesysteme.
Diese Kennzahlen werden regelmäßig im Rahmen des internen ISMS ausgewertet, um Stabilität und Reaktionszeiten kontinuierlich zu optimieren.
2.2 Monitoring und Betriebsüberwachung
Die Plattform wird permanent auf Funktion, Performance und Sicherheit überwacht:
System- und Dienstüberwachung: automatisierte Checks auf Verfügbarkeit, Antwortzeiten, Fehlerraten und Latenzen.
Alerting: abgestufte Benachrichtigungsketten (Support → Engineering → Operations → CISO) bei kritischen Ereignissen.
Protokollierung: Ereignis- und Audit-Logs werden zentral gesammelt, gespeichert und regelmäßig ausgewertet.
Observability-Stack: Nutzung von OpenTelemetry-basiertem Logging, Metrics und Tracing mit Auswertung über Grafana/Prometheus/Loki.
Reporting: Auf Anfrage können Kunden aggregierte Verfügbarkeitsberichte erhalten.
2.3 Service Level Agreements (SLA)
SPiNE definiert standardisierte Service-Levels für Reaktions- und Bearbeitungszeiten.
Individuelle SLAs können bei Bedarf vertraglich vereinbart werden.
Priorität | Kriterium | Ziel-Reaktionszeit | Beispielhafte Ereignisse |
|---|---|---|---|
Kritisch (P1) | Gesamtsystem oder wesentliche Funktion nicht verfügbar | ≤ 1 h | Plattformausfall, Datenverarbeitung gestört, Sicherheitsvorfall |
Hoch (P2) | Starke Einschränkung ohne Workaround | ≤ 4 h | Störung in Monitoring-Funktion, massive Performanceprobleme |
Normal (P3) | Eingeschränkte Nutzung mit Workaround | ≤ 1 Werktag | Anzeige- oder UI-Fehler |
Niedrig (P4) | Allgemeine Anfrage oder Verbesserungsvorschlag | ≤ 3 Werktage | Informations- oder Feature-Anfragen |
Reaktionszeit: Zeitraum bis zur qualifizierten Rückmeldung durch den SPiNE-Support (nicht bis zur endgültigen Problemlösung).
2.4 Support und Kommunikation
Kanal | Adresse / Zugang | Bemerkung |
|---|---|---|
Kundenportal / Ticket-System | https://portal.spine.energy | Empfohlener Weg für Support- und Störungsmeldungen |
E-Mail-Support | support@spine.energy | Automatische Ticket-Erstellung im zentralen System |
Telefonischer Support | über den Kundenbetreuer | Für dringende Fälle oder Eskalationen |
Sicherheitsvorfälle | security@spine.energy | Direkter Kanal für sicherheitsrelevante Ereignisse |
Supportzeiten
Reguläre Zeiten: Montag–Freitag, 9:00–17:00 Uhr (MEZ, außer bundeseinheitliche Feiertage)
Erweiterte Bereitschaften: 24/7-Eskalations- oder Notfallbereitschaft kann bei kritischen Projekten individuell vereinbart werden.
Eskalationsstufen
1st Level: Support-Team
2nd Level: Engineering / Operations
3rd Level: CISO / Head of Operations
Geschäftsführung bei SLA-Verletzungen oder kritischen Incidents
Alle Supportvorgänge werden dokumentiert und im ISMS-Reporting berücksichtigt.
2.5 Wartungsfenster und Änderungsmanagement
Zur Sicherstellung von Stabilität, Sicherheit und Performance werden regelmäßig Wartungs- und Update-Arbeiten durchgeführt.
Art der Wartung | Zeitfenster | Vorankündigung | Bemerkung |
|---|---|---|---|
Regelmäßige Wartung | i. d. R. Donnerstags, 19:00 – 22:00 Uhr (MEZ) | ≥ 48 h | keine oder minimale Einschränkungen |
Geplante Updates | außerhalb der Hauptnutzungszeiten | ≥ 5 Werktage | funktionale oder sicherheitsrelevante Änderungen |
Notfallwartung (Security Patch) | jederzeit, falls erforderlich | nach Möglichkeit vorherige Information | nur bei akuter Sicherheitsbedrohung |
Benachrichtigungen zu Wartungen und Releases erfolgen per E-Mail oder Portal-Mitteilung.
Sicherheitskritische Hotfixes können ausnahmsweise ohne Vorankündigung eingespielt werden, werden aber nachträglich dokumentiert und kommuniziert.
2.6 Business Continuity und Incident Management
SPiNE verfügt über definierte Prozesse zur Aufrechterhaltung des Betriebs und zur Behandlung von Sicherheits- oder Systemvorfällen.
Business Continuity: Wiederanlaufzeiten (RTO/RPO) sind für alle geschäftskritischen Dienste festgelegt.
Backup & Recovery: Verschlüsselte Datensicherungen innerhalb derselben Region; regelmäßige Wiederherstellungstests.
Incident Management:
Erfassung und Bewertung nach ISO 27035
Eskalation nach Schweregrad und Benachrichtigung der betroffenen Kunden
Nachverfolgung und Dokumentation aller Maßnahmen im ISMS
Datenschutzvorfälle: Meldung gemäß Art. 33 DSGVO an betroffene Kunden; parallele Information an den Datenschutzbeauftragten.
2.7 Ansprechpartner
Bereich | Kontaktadresse |
|---|---|
Allgemeiner Support | support@spine.energy |
Sicherheitsvorfälle | security@spine.energy |
Datenschutz / AV-Verträge | data-protection@spine.energy |
Technische Projektkoordination | individueller Kundenkontakt (Account Manager) |
3 Datensicherheit (Verschlüsselung, Zugriffskontrollen, ISMS)
3.1 Grundprinzipien der Datensicherheit
Die SPiNE GmbH verpflichtet sich zur Einhaltung höchster Sicherheitsstandards bei der Entwicklung, Bereitstellung und dem Betrieb der SPiNE-Plattform.
Alle Technische und organisatorische Maßnahmen (TOM) orientieren sich an den Vorgaben der ISO 27001, des BSI-Grundschutzes sowie den Anforderungen der EU-DSGVO (Art. 32).
Die Sicherheitsstrategie folgt dem Prinzip:
Security by Design – Privacy by Default – Continuous Improvement
Das bedeutet, dass Sicherheitsanforderungen bereits in der Architektur, im Entwicklungsprozess und im täglichen Betrieb systematisch berücksichtigt und fortlaufend überprüft werden.
3.2 Verschlüsselung
Die SPiNE-Plattform nutzt durchgängig aktuelle und zertifizierte Verschlüsselungsverfahren, um die Vertraulichkeit, Integrität und Authentizität von Daten zu gewährleisten.
Bereich | Verfahren / Standard | Beschreibung |
|---|---|---|
Transport-verschlüsselung | TLS 1.2 oder höher | Sämtliche Kommunikationskanäle (Web-Portal, API, Gerätekommunikation, interne Services) sind TLS-verschlüsselt. |
Gerätekommunikation (LwM2M / DTLS) | DTLS 1.2 | Sichere, gegenseitig authentifizierte UDP-Verbindungen zwischen Smart Meter Gateways und Backend. |
Speicher-verschlüsselung | AES-256 (serverseitig) | Alle Datenbanken, Objekt- und Dateispeicher sind serverseitig verschlüsselt. |
Schlüsselmanagement | Azure Key Vault / AWS KMS | Zentrale Verwaltung kryptografischer Schlüssel mit rollenbasiertem Zugriff und Rotation. |
Backups | AES-256 (ruhende Daten) | Verschlüsselte Sicherungskopien innerhalb der gleichen Region; Zugriff nur für autorisiertes Personal. |
Die Auswahl und Konfiguration der Verschlüsselungsverfahren erfolgt nach aktuellen Empfehlungen des BSI („Technische Richtlinie TR-02102“).
3.3 Zugriffskontrollen und Authentifizierung
Der Zugriff auf Systeme, Daten und Administrationsoberflächen ist strikt reglementiert und wird technisch sowie organisatorisch abgesichert.
Rollenbasiertes Berechtigungskonzept (RBAC):
Benutzer erhalten ausschließlich die für ihre Tätigkeit notwendigen Rechte („Least Privilege“).
Standardrollen sind Administrator, Support und Read-Only.
Authentifizierungsverfahren:
Benutzerzugriffe erfolgen ausschließlich über namentlich zugewiesene Konten.
Administrative Zugänge erfordern obligatorisch Multi-Faktor-Authentifizierung (MFA).
API-Zugriffe werden Token-basiert autorisiert.
Zugriffsprotokollierung:
Sämtliche administrativen Aktionen und sicherheitsrelevanten Ereignisse werden protokolliert und regelmäßig ausgewertet.
Netzwerksegmentierung:
Produktions-, Test- und Entwicklungsumgebungen sind strikt voneinander getrennt.
Interne Verwaltungszugriffe erfolgen ausschließlich über gesicherte Management-Netzwerke.
3.4 Sicherheitsüberwachung und Schwachstellenmanagement
Automatisierte Sicherheitsüberwachung:
Laufende Analyse von System- und Sicherheitsmetriken (Log-Anomalien, Authentifizierungsfehler, Intrusion-Indikatoren).
Schwachstellenscans:
Regelmäßige automatisierte und manuelle Schwachstellenanalysen aller produktiven Systeme.
Patch-Management:
Kritische Sicherheitsupdates werden nach einem definierten Verfahren priorisiert und zeitnah eingespielt.
Externe Penetrationstests:
Mindestens jährlich durch unabhängige Sicherheitsdienstleister, inkl. Nachverfolgung und Dokumentation im ISMS.
3.5 Informationssicherheits-Managementsystem (ISMS)
Die SPiNE GmbH betreibt ein eigenes Informationssicherheits-Managementsystem gemäß den Anforderungen der ISO 27001.
Ziel des ISMS ist der systematische Schutz von Informationen, Assets und personenbezogenen Daten durch klare Prozesse, Verantwortlichkeiten und kontinuierliche Risikoanalysen.
Wesentliche Elemente:
Dokumentiertes Sicherheitskonzept mit Geltungsbereich, Zielen und Maßnahmen.
Regelmäßige Risiko- und Bedrohungsanalysen (jährlich bzw. bei wesentlichen Änderungen).
Interne und externe Audits zur Wirksamkeitsprüfung der Sicherheitsmaßnahmen.
Schulungen und Sensibilisierung aller Mitarbeitenden zur Informationssicherheit.
Incident- und Problem-Management nach ISO 27035.
Das ISMS befindet sich im formalen Zertifizierungsprozess nach ISO 27001; der Abschluss ist für Q2 2026 vorgesehen.
3.6 Verantwortlichkeiten und Kommunikation
Informationssicherheitsverantwortlicher (CISO):
security@spine.energyDatenschutzbeauftragter:
data-protection@spine.energyMeldewege für Sicherheitsvorfälle:
Kunden können sicherheitsrelevante Ereignisse über das Support-Portal oder direkt per E-Mail an security@spine.energy melden.
Eingehende Meldungen werden umgehend geprüft und nach einem definierten Incident-Management-Prozess bearbeitet.
4 Datenschutz & DSGVO-Compliance
4.1 Grundsätze der Datenverarbeitung
Die SPiNE GmbH verarbeitet personenbezogene Daten ausschließlich im Rahmen der geltenden Datenschutzgesetze, insbesondere der EU-Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
Die Verarbeitung erfolgt stets nach den Prinzipien:
Zweckbindung · Datenminimierung · Transparenz · Integrität und Vertraulichkeit
Ziel ist es, den Schutz personenbezogener Daten technisch und organisatorisch sicherzustellen und die Verarbeitung jederzeit nachvollziehbar zu gestalten.
4.2 Rollen und Verantwortlichkeiten
Rolle | Beschreibung |
|---|---|
Verantwortlicher | SPiNE GmbH, Metzstr. 2, 81667 München, Deutschland |
Datenschutzbeauftragter | E-Mail: data-protection@spine.energy |
Auftragsverarbeitung | Bei der Nutzung der SPiNE-Plattform agiert die SPiNE GmbH gegenüber ihren Kunden als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein individueller AV-Vertrag wird auf Wunsch bereitgestellt, siehe Auftragsverarbeitungsvertrag (AVV) |
4.3 Art und Zweck der Datenverarbeitung
Die SPiNE-Plattform verarbeitet im Rahmen des Betriebs folgende Kategorien personenbezogener Daten:
Datenkategorie | Beispiele | Zweck der Verarbeitung |
|---|---|---|
Benutzerdaten | Name, E-Mail, Unternehmenszugehörigkeit, Benutzerrolle | Registrierung, Authentifizierung und Zugriffsverwaltung im Portal |
Kontaktdaten | Ansprechpartner bei Messstellenbetreibern, Stadtwerken oder Partnerunternehmen | Kommunikation im Rahmen von Support, Betrieb und Vertragsabwicklung |
Nutzungs- und Protokolldaten | Login-Zeitpunkte, IP-Adressen, Systemereignisse | IT-Sicherheit, Nachvollziehbarkeit, Fehlersuche |
Support-Daten | Support-Tickets, E-Mail-Kommunikation | Bearbeitung von Kundenanfragen und Störungsmeldungen |
Personenbezogene Daten werden nicht für Werbe- oder Profiling-Zwecke verwendet.
Technische Gerätedaten (z. B. Messwerte, Status- oder Kommunikationsdaten von Smart-Meter-Gateways) werden ausschließlich in pseudonymisierter Form verarbeitet.
4.4 Ort der Datenverarbeitung
Die Verarbeitung sämtlicher personenbezogener Daten erfolgt ausschließlich innerhalb der Europäischen Union.
Alle Cloud-Ressourcen werden in deutschen Regionen von Microsoft Azure bzw. AWS betrieben. Eine Datenübertragung in Drittländer findet nicht statt.
Unterauftragnehmer (Sub-Processor) werden ausschließlich innerhalb der EU bzw. des EWR eingesetzt und nach Art. 28 Abs. 4 DSGVO vertraglich verpflichtet.
4.5 Technische und organisatorische Maßnahmen (TOM)
Zum Schutz personenbezogener Daten hat die SPiNE GmbH umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert.
Diese umfassen insbesondere:
Zutritts-, Zugangs- und Zugriffskontrollen
(z. B. MFA, Rollen- und Rechtekonzepte, Logging, VPN-Absicherung)Speicher- und Transportverschlüsselung (TLS 1.2+, AES-256)
Pseudonymisierung personenbezogener Systemdaten
Sicherung gegen Verlust und Beschädigung durch automatisierte Backups
Integrität und Verfügbarkeit durch redundante Cloud-Infrastruktur
Regelmäßige Schulungen der Mitarbeitenden zum Datenschutz und zur Informationssicherheit
Verpflichtung aller Beschäftigten auf Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO
Eine detaillierte Liste der Technische und organisatorische Maßnahmen (TOM) finden Sie auf der verlinkten Unterseite.
4.6 Auftragsverarbeitung und Verträge
Die SPiNE GmbH stellt ihren Kunden bei Nutzung der Plattform einen Auftragsverarbeitungsvertrag (AVV) (AV-Vertrag) gemäß Art. 28 DSGVO zur Verfügung. Dieser Vertrag regelt:
Gegenstand und Dauer der Verarbeitung
Art und Zweck der Datenverarbeitung
Kategorien betroffener Personen und Daten
Rechte und Pflichten von Auftraggeber und Auftragsverarbeiter
Regelungen zu Subunternehmern und Kontrollrechten
4.7 Rechte betroffener Personen
Die Rechte betroffener Personen (Art. 12 ff. DSGVO) – insbesondere auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit – werden von der SPiNE GmbH im Rahmen der Auftragsverarbeitung technisch und organisatorisch unterstützt.
Anfragen werden unverzüglich an den jeweiligen Verantwortlichen (Kunden) weitergeleitet und gemäß dessen Weisungen bearbeitet.
4.8 Datenschutz-Incident-Management
Erkennung und Bewertung: Sicherheits- oder Datenschutzvorfälle werden zentral im ISMS registriert und bewertet.
Meldung an Kunden: Bei Vorfällen mit potenziellen Auswirkungen auf personenbezogene Daten informiert die SPiNE GmbH betroffene Kunden unverzüglich, gemäß Art. 33 DSGVO.
Dokumentation: Alle Datenschutzvorfälle werden dokumentiert und im Rahmen des kontinuierlichen Verbesserungsprozesses ausgewertet.
4.9 Datenschutzorganisation
Funktion | Kontakt |
|---|---|
Datenschutzbeauftragter | data-protection@spine.energy |
Informationssicherheits-beauftragter (CISO) | security@spine.energy |
Ansprechpartner für AV-Verträge | security@spine.energy |
5. Zertifizierungen, Audits und Compliance-Nachweise
5.1 Informationssicherheits-Managementsystem (ISMS)
Die SPiNE GmbH betreibt ein eigenes Informationssicherheits-Managementsystem (ISMS) nach den Anforderungen der internationalen Norm ISO/IEC 27001. Das ISMS definiert verbindliche Richtlinien, Verfahren und Verantwortlichkeiten zum Schutz von Informationen, Systemen und personenbezogenen Daten.
Ziele und Geltungsbereich:
Schutz der Vertraulichkeit, Integrität und Verfügbarkeit aller informationsverarbeitenden Systeme
Risikobasierter Ansatz zur Identifikation, Bewertung und Behandlung von Sicherheitsrisiken
Regelmäßige Überprüfung und Verbesserung der Sicherheitsmaßnahmen
Anwendung auf alle produktiven Systeme, Mitarbeiter:innen und Dienstleister, die mit dem Betrieb der SPiNE-Plattform befasst sind
Das ISMS befindet sich derzeit im Zertifizierungsprozess; die ISO 27001-Zertifizierung wird voraussichtlich im 2. Quartal 2026 abgeschlossen.
Bis dahin wird das System bereits nach ISO-27001-konformen Prozessen geführt, inklusive interner Audits, Risikoanalysen und Managementreviews.
5.2 Zertifizierungen der Cloud-Infrastruktur
Die zugrunde liegenden Cloud-Plattformen erfüllen international anerkannte Sicherheits- und Datenschutzstandards und sind durch unabhängige Prüfstellen zertifiziert.
Cloud-Anbieter | Region / Standort | Zertifizierungen |
|---|---|---|
Microsoft Azure | Region Germany West Central (Frankfurt/Main) | ISO 27001, ISO 27017, ISO 27018, SOC 2, BSI C5 |
Amazon Web Services (AWS) | Region Germany (Frankfurt/Main) | ISO 27001, ISO 27017, ISO 27018, SOC 2, BSI C5 |
SPiNE nutzt ausschließlich Dienste aus diesen Regionen, um die Datenverarbeitung innerhalb Deutschlands und der EU sicherzustellen.
5.3 Externe Audits und Penetrationstests
Zur Überprüfung der technischen Sicherheit werden regelmäßig externe Sicherheitsanalysen durchgeführt:
Penetrationstests:
Jährlich durch unabhängige IT-Sicherheitsdienstleister. Die Ergebnisse werden dokumentiert, klassifiziert und im ISMS nachverfolgt. Kritische Findings werden innerhalb definierter Fristen behoben.Schwachstellenmanagement:
Ergänzend erfolgen kontinuierliche automatisierte Scans auf Sicherheitslücken in produktiven Systemen. Findings werden im Security-Backlog priorisiert und regelmäßig validiert.Compliance-Audits:
Interne ISMS-Audits halbjährlich, externe Vor-Audits jährlich zur Vorbereitung der Zertifizierung.
Auf Anfrage können Kunden Auditberichte, Penetrationstest-Zusammenfassungen oder Konformitätserklärungen im Rahmen eines NDA einsehen.
5.4 Datenschutz- und Compliance-Nachweise
Die Einhaltung datenschutzrechtlicher Vorgaben (EU-DSGVO, BDSG) wird regelmäßig überprüft:
DSGVO-Konformitätsprüfung: interne Evaluierungen aller Verarbeitungsprozesse
Datenschutz-Audit: jährliche Prüfung durch den externen Datenschutzbeauftragten
Auftragsverarbeitung: AV-Verträge gemäß Art. 28 DSGVO mit allen Kunden und Unterauftragnehmern, siehe Auftragsverarbeitungsvertrag (AVV)
Technische und organisatorische Maßnahmen (TOM): Dokumentation nach Art. 32 DSGVO, auf der verlinkten Unterseite Technische und organisatorische Maßnahmen (TOM)
5.5 Mitarbeiterschulung und Awareness
Informationssicherheit und Datenschutz sind feste Bestandteile der Unternehmenskultur bei SPiNE.
Alle Mitarbeitenden sind auf Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO verpflichtet.
Neue Mitarbeitende erhalten verpflichtende Sicherheitseinweisungen.
Jährliche Awareness-Schulungen zu Datenschutz, Phishing-Prävention und sicherem IT-Verhalten.
Schulungsnachweise werden zentral im ISMS geführt.
5.6 Kontinuierliche Verbesserung
Die SPiNE GmbH verfolgt das Ziel, die Informationssicherheit fortlaufend weiterzuentwickeln und auf neue regulatorische und technologische Anforderungen anzupassen. Verbesserungsmaßnahmen werden im Rahmen des PDCA-Zyklus (Plan – Do – Check – Act) gesteuert.
Rückmeldungen von Kunden, Auditergebnissen und Sicherheitsvorfällen fließen unmittelbar in diesen Prozess ein. Die Umsetzung von Verbesserungen wird durch die Geschäftsführung überwacht und im jährlichen Management-Review bewertet.
5.7 Ansprechpartner für Compliance-Themen
Themenbereich | Kontaktadresse |
|---|---|
Informationssicherheit / ISMS | security@spine.energy |
Datenschutz / DSGVO / AV-Verträge | data-protection@spine.energy |
Compliance & Audits | security@spine.energy |