Autonomi logo

Sicherheitsrichtlinie

Unternehmen:
AUTONOMi
Website:
goautonomi.com
Gültig ab:
March 10, 2026
Zuletzt aktualisiert:
March 10, 2026
Compliance: Diese Richtlinie entspricht den geltenden US-Sicherheitsanforderungen, den technischen und organisatorischen Sicherheitsmaßnahmen gemäß DSGVO Artikel 32 sowie den Best Practices nach ISO 27001 und SOC 2.

1. Einleitung

AUTONOMi verpflichtet sich, die Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit aller Daten zu schützen, die uns von unseren Kunden, Mitarbeitern und Nutzern anvertraut werden. Diese Sicherheitsrichtlinie beschreibt die technischen und organisatorischen Maßnahmen, die wir zum Schutz personenbezogener Daten und der Plattforminfrastruktur implementieren.

Diese Richtlinie gilt für:

  • Alle Systeme, Infrastrukturen und Anwendungen von AUTONOMi
  • Alle Mitarbeiter, Auftragnehmer und Dienstleister mit Zugang zu AUTONOMi-Systemen
  • Alle Kundendaten, die über die AUTONOMi-Plattform verarbeitet werden

2. Sicherheits-Governance

2.1 Verantwortlichkeit

Sicherheit ist eine gemeinsame Verantwortung bei AUTONOMi. Die Geschäftsleitung ist letztlich für die Informationssicherheit verantwortlich. Der tägliche Sicherheitsbetrieb wird von unserer zuständigen Sicherheitsfunktion mit Aufsicht der Geschäftsführung verwaltet.

2.2 Sicherheitsüberprüfungen

AUTONOMi führt durch:

  • Jährliche Überprüfung der Sicherheitsrichtlinien
  • Regelmäßige Risikobewertungen von Systemen und Verarbeitungstätigkeiten
  • Sicherheitsüberprüfungen für alle neuen Produkte, Funktionen und wesentlichen Infrastrukturänderungen

2.3 Bewertung von Anbietern und Dritten

Bevor Drittanbieter oder Auftragsverarbeiter mit Zugang zu Kunden- oder personenbezogenen Daten beauftragt werden, bewertet AUTONOMi deren Sicherheitslage und verlangt vertragliche Verpflichtungen zur Aufrechterhaltung angemessener Sicherheitsmaßnahmen.

3. Datenverschlüsselung

3.1 Verschlüsselung bei der Übertragung

Alle Daten, die zwischen Nutzern und AUTONOMi-Systemen übertragen werden, sind verschlüsselt mit:

  • TLS 1.2 oder höher für allen Web-Traffic und API-Kommunikation
  • TLS 1.3 für neue Verbindungen, sofern unterstützt
  • HSTS (HTTP Strict Transport Security) wird auf allen öffentlich zugänglichen Domains erzwungen
  • Alle Verbindungen zu Drittanbieter-Werbeplattformen (Google, Meta, TikTok, LinkedIn usw.) sind bei der Übertragung verschlüsselt

Unverschlüsselte HTTP-Verbindungen werden auf HTTPS umgeleitet und nicht akzeptiert.

3.2 Verschlüsselung im Ruhezustand

Personenbezogene Daten und Kundendaten, die auf der AUTONOMi-Infrastruktur gespeichert sind, werden im Ruhezustand verschlüsselt mit:

  • AES-256 oder gleichwertig für die Datenbankspeicherung
  • Verschlüsselten Sicherungskopien
  • Verschlüsselung sensibler Felder auf Anwendungsebene, sofern zutreffend

3.3 Schlüsselverwaltung

Verschlüsselungsschlüssel werden nach branchenüblichen Best Practices verwaltet:

  • Schlüssel werden nach einem definierten Zeitplan rotiert
  • Der Zugriff auf Verschlüsselungsschlüssel ist auf autorisierte Systeme und Personal beschränkt
  • Schlüsselmaterial wird niemals im Klartext neben den Daten gespeichert, die es schützt

4. Zugriffskontrollen

4.1 Prinzip der geringsten Rechte

Der Zugriff auf Systeme und Daten wird nach dem Need-to-know-Prinzip und dem Prinzip der geringsten Rechte gewährt. Mitarbeitern und Auftragnehmern werden nur die Berechtigungen erteilt, die für ihre Rolle erforderlich sind.

4.2 Authentifizierung

  • Multi-Faktor-Authentifizierung (MFA) ist für alle internen Systemzugriffe, Administratorkonten und Zugriffe auf Produktionsumgebungen erforderlich
  • Starke Passwortrichtlinien werden durchgesetzt (Mindestlänge, Komplexität, keine Wiederverwendung kürzlich verwendeter Passwörter)
  • Dienstkonten verwenden, sofern möglich, rotierende Schlüssel oder Zertifikate anstelle statischer Passwörter

4.3 Kundenkonto-Zugriff

  • Kundenplattform-Konten sind durch individuelle Anmeldedaten und MFA geschützt, sofern aktiviert
  • Kunden kontrollieren, welche Nutzer innerhalb ihrer Organisation Zugriff auf ihr AUTONOMi-Konto haben
  • Der Zugriff von AUTONOMi-Mitarbeitern auf Kundenkonten ist auf Support-Kontexte beschränkt, wird protokolliert und ist auf autorisiertes Personal begrenzt

4.4 Zugriffsüberprüfungen

Zugriffsrechte werden regelmäßig überprüft und umgehend widerrufen, wenn ein Mitarbeiter die Organisation verlässt oder die Rolle wechselt.

4.5 Privilegierter Zugriff

Privilegierter Zugriff auf Produktionssysteme ist:

  • Auf eine kleine Anzahl autorisierter Personen beschränkt
  • Protokolliert und auditiert
  • Regelmäßig überprüft

5. Netzwerksicherheit

5.1 Netzwerksegmentierung

Produktionssysteme sind von Entwicklungs- und Testumgebungen getrennt. Kundendaten sind durch logische und, wo anwendbar, physische Netzwerksegmentierung von internen AUTONOMi-Systemen isoliert.

5.2 Firewall und Perimeterkontrollen

  • Firewalls sind so konfiguriert, dass jeder nicht ausdrücklich erlaubte Datenverkehr abgelehnt wird
  • Öffentlich zugängliche Dienste legen nur notwendige Ports offen
  • Administrative Schnittstellen sind nicht dem öffentlichen Internet ausgesetzt

5.3 Erkennung und Prävention von Eindringversuchen

AUTONOMi setzt Überwachungstools ein, um ungewöhnliche oder unbefugte Aktivitäten in seinen Netzwerken und Systemen zu erkennen, einschließlich:

  • Anomalieerkennung bei Zugriffsprotokollen
  • Warnungen bei unerwarteten Authentifizierungsmustern
  • Überwachung des Netzwerkverkehrs

6. Anwendungssicherheit

6.1 Sichere Entwicklung

AUTONOMi befolgt sichere Entwicklungspraktiken, einschließlich:

  • Sicherheitsanforderungen, die in den Softwareentwicklungslebenszyklus (SDLC) integriert sind
  • Code-Review-Prozesse, die Sicherheitsaspekte berücksichtigen
  • Schutz gegen OWASP Top 10 Schwachstellen (Injection, XSS, CSRF, unsichere Deserialisierung usw.)
  • Scanning von Abhängigkeiten und Drittanbieterbibliotheken auf bekannte Schwachstellen

6.2 Sicherheitstests

AUTONOMi führt durch:

  • Schwachstellenbewertungen von internetfähigen Anwendungen in regelmäßigen Abständen
  • Penetrationstests, die von qualifizierten internen oder externen Sicherheitsfachleuten mindestens jährlich durchgeführt werden
  • Behebung identifizierter Schwachstellen basierend auf der Risikoschwere

6.3 Eingabevalidierung

Alle von externen Quellen empfangenen Daten werden vor der Verarbeitung validiert und bereinigt, um Injection- und andere eingabebasierte Angriffe zu verhindern.

7. Infrastruktursicherheit

7.1 Cloud-Infrastruktur

AUTONOMi nutzt führende Cloud-Infrastrukturanbieter mit SOC 2 Type II, ISO 27001 und PCI DSS Zertifizierungen. Die physische Sicherheit der zugrunde liegenden Infrastruktur (Rechenzentren, Hardware) liegt in der Verantwortung dieser Anbieter.

Zu den Verantwortlichkeiten von AUTONOMi gehören:

  • Konfiguration und Härtung von Cloud-Ressourcen
  • Identitäts- und Zugriffsverwaltung in Cloud-Umgebungen
  • Netzwerkkontrollen und Konfiguration von Sicherheitsgruppen
  • Protokollierung und Überwachung von Cloud-Aktivitäten

7.2 Systemhärtung

  • Server- und System-Images werden gehärtet, um unnötige Dienste und Standardanmeldedaten zu entfernen
  • Software- und Sicherheitspatches werden nach einem definierten Zeitplan angewendet; kritische Patches werden so schnell wie möglich nach der Veröffentlichung eingespielt
  • Systeme werden inventarisiert und nachverfolgt

7.3 Protokollierung und Überwachung

  • Sicherheitsrelevante Ereignisse werden protokolliert, einschließlich Authentifizierungsereignisse, Zugriff auf sensible Daten, administrative Aktionen und Systemfehler
  • Protokolle werden mindestens 12 Monate aufbewahrt und vor unbefugter Änderung geschützt
  • Warnungen sind für sicherheitsrelevante Ereignisse konfiguriert und werden von autorisiertem Personal überprüft

8. Datenhandhabung und Klassifizierung

8.1 Datenklassifizierung

AUTONOMi klassifiziert Daten in die folgenden Kategorien:

KlassifizierungBeschreibungBeispiele
VertraulichHöchste Sensibilität — eingeschränkter ZugriffKundendaten, Zahlungsdaten, Anmeldedaten, Verschlüsselungsschlüssel
InternBetriebsdaten — nur für den internen GebrauchMitarbeiterdaten, Geschäftsstrategie, Finanzdaten
ÖffentlichFür die öffentliche Veröffentlichung genehmigtMarketingmaterialien, veröffentlichte Dokumentation

8.2 Handhabung von Kundendaten

Kundendaten werden:

  • Ausschließlich für die Zwecke der Erbringung vertraglich vereinbarter Dienstleistungen verarbeitet
  • Niemals an Dritte verkauft, lizenziert oder zum Vorteil Dritter weitergegeben
  • Logisch von den Daten anderer Kunden getrennt
  • Für AUTONOMi-Mitarbeiter nur bei Bedarf für Support zugänglich, vorbehaltlich Protokollierung

8.3 Sichere Entsorgung

Daten, die nicht mehr benötigt werden, werden sicher gelöscht:

  • Digitale Daten werden mit Methoden gelöscht, die eine Wiederherstellung verhindern
  • Sicherungskopien werden gemäß dem Aufbewahrungszeitplan bereinigt
  • Physische Medien werden durch zertifizierte sichere Entsorgungsmethoden vernichtet

9. Vorfallreaktion

9.1 Vorfallreaktionsplan

AUTONOMi unterhält einen Vorfallreaktionsplan, der Verfahren definiert für:

  • Identifizierung und Klassifizierung von Sicherheitsvorfällen
  • Eindämmung und Beseitigung von Bedrohungen
  • Wiederherstellung betroffener Systeme
  • Nachbereitung des Vorfalls und gewonnene Erkenntnisse

9.2 Vorfallklassifizierung

SchweregradBeschreibungReaktionszeit
KritischAktiver Angriff, Datenexfiltration, RansomwareSofort — innerhalb von 1 Stunde
HochVerdacht auf Sicherheitsverletzung, unbefugter Zugriff, erhebliche SchwachstelleInnerhalb von 4 Stunden
MittelEingedämmter Vorfall, Schwachstelle mit begrenzter ExpositionInnerhalb von 24 Stunden
NiedrigGeringfügiger Richtlinienverstoß, Schwachstelle mit niedrigem RisikoInnerhalb von 72 Stunden

9.3 Meldung von Datenschutzverletzungen — EU (DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die betroffene Personen in der EU betrifft, wird AUTONOMi:

  • Die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen (Art. 33 DSGVO)
  • Betroffene Personen unverzüglich benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten darstellt (Art. 34 DSGVO)
  • Ein Register aller Verletzungen des Schutzes personenbezogener Daten führen, unabhängig davon, ob eine Meldepflicht besteht

Bei EU-Kundendaten, für die AUTONOMi als Auftragsverarbeiter handelt, werden wir den Verantwortlichen unverzüglich benachrichtigen, damit dieser seinen eigenen Meldepflichten nachkommen kann.

9.4 Meldung von Datenschutzverletzungen — Vereinigte Staaten

Im Falle einer Datenschutzverletzung, die US-Einwohner betrifft, wird AUTONOMi die geltenden einzelstaatlichen Benachrichtigungsgesetze einhalten, die eine Benachrichtigung erfordern können an:

  • Betroffene Personen (Fristen variieren je nach Bundesstaat, typischerweise 30–90 Tage)
  • Generalstaatsanwälte oder Aufsichtsbehörden der Bundesstaaten
  • Verbraucherauskunfteien (in bestimmten Bundesstaaten bei groß angelegten Verletzungen)

Kalifornien (CCPA/CPRA): Benachrichtigung an Einwohner Kaliforniens und den California Attorney General, sofern erforderlich.
Andere Bundesstaaten: Benachrichtigung gemäß den geltenden Benachrichtigungsgesetzen.

9.5 Interne Meldung

Mitarbeiter und Auftragnehmer, die einen vermuteten Sicherheitsvorfall oder eine Verletzung feststellen, müssen dies unverzüglich an security@goautonomi.com melden.

10. Geschäftskontinuität und Notfallwiederherstellung

10.1 Sicherungskopien

Kunden- und Betriebsdaten werden gesichert:

  • Automatisch nach einem definierten Zeitplan (mindestens tägliche Sicherungen)
  • Verschlüsselt an geografisch getrennten Standorten gespeichert
  • Regelmäßig getestet, um die Wiederherstellbarkeit zu überprüfen

10.2 Wiederherstellungsziele

AUTONOMi strebt an:

  • Recovery Time Objective (RTO): Systeme werden innerhalb eines definierten Wiederherstellungszeitraums nach einem erklärten Katastrophenfall in den Betriebszustand versetzt
  • Recovery Point Objective (RPO): Datenverlust begrenzt auf maximal 24 Stunden an Daten in einem schwerwiegenden Katastrophenszenario

Spezifische RTO- und RPO-Zusagen für Unternehmenskunden können in Service-Level-Agreements definiert werden.

10.3 Verfügbarkeit

AUTONOMi verwendet redundante Infrastruktur, um Ausfallzeiten zu minimieren:

  • Lastverteilung und automatische Skalierung in Produktionsumgebungen
  • Redundante Netzwerkpfade, sofern zutreffend
  • Überwachung mit automatischer Alarmierung bei Leistungsbeeinträchtigungen

11. Personalsicherheit

11.1 Vor der Einstellung

Für Mitarbeiter in Rollen mit Zugang zu sensiblen Daten oder Produktionssystemen werden, vorbehaltlich des geltenden Rechts, Hintergrundüberprüfungen durchgeführt.

11.2 Sicherheitsschulungen

  • Alle Mitarbeiter absolvieren bei der Einstellung und danach jährlich Sicherheitsbewusstseinsschulungen
  • Mitarbeiter mit erhöhtem Zugriff (Ingenieure, Betrieb) erhalten zusätzliche technische Sicherheitsschulungen
  • Regelmäßig werden Phishing-Simulationsübungen durchgeführt

11.3 Akzeptable Nutzung

Mitarbeiter sind an eine Richtlinie zur akzeptablen Nutzung gebunden, die die Nutzung von AUTONOMi-Systemen, Daten und Ressourcen regelt. Verstöße können zu Disziplinarmaßnahmen bis hin zur Kündigung führen.

11.4 Offboarding

Beim Ausscheiden wird der Zugang des Mitarbeiters zu allen AUTONOMi-Systemen umgehend widerrufen. Firmengeräte werden zurückgegeben und Daten gelöscht.

12. Physische Sicherheit

Der physische Zugang zu AUTONOMi-Büros und Rechenzentrumseinrichtungen (sofern zutreffend) wird kontrolliert durch:

  • Zugangskontrollen, die den physischen Zutritt auf autorisiertes Personal beschränken
  • Sichere Entsorgung von physischen Medien und Hardware
  • Besuchermanagement-Verfahren für sensible Bereiche

Die physische Sicherheit der Cloud-Infrastruktur liegt in der Verantwortung des jeweiligen Cloud-Anbieters (AWS, Google Cloud usw.) im Rahmen ihrer Sicherheitszertifizierungen.

13. Compliance und Zertifizierungen

13.1 Regulatorische Compliance

Das Sicherheitsprogramm von AUTONOMi ist darauf ausgelegt, die Einhaltung folgender Vorschriften zu unterstützen:

  • DSGVO (EU) — Art. 32 technische und organisatorische Sicherheitsmaßnahmen
  • BDSG (Deutschland) — Datenschutz- und Sicherheitsanforderungen
  • CCPA/CPRA (Kalifornien) — Angemessene Sicherheitsmaßnahmen
  • NIST Cybersecurity Framework — Leitlinien zum Risikomanagement

13.2 Ausrichtung an Sicherheitsstandards

AUTONOMi richtet seine Sicherheitspraktiken an Branchenrahmenwerken aus, einschließlich:

  • ISO/IEC 27001 — Informationssicherheitsmanagement
  • SOC 2 Type II — Sicherheit, Verfügbarkeit und Vertraulichkeit (Zielrahmenwerk)
  • OWASP — Anwendungssicherheitsstandards

13.3 Zertifizierungen

AUTONOMi arbeitet an einer formalen Zertifizierung und Drittanbieterprüfung. Kunden, die Zertifizierungsnachweise benötigen (SOC 2 Berichte, Zusammenfassungen von Penetrationstests oder Antworten auf Sicherheitsfragebögen), können sich an security@goautonomi.com wenden.

14. Offenlegung von Schwachstellen

AUTONOMi begrüßt die verantwortungsvolle Offenlegung von Sicherheitsschwachstellen. Wenn Sie glauben, eine Sicherheitsschwachstelle in unseren Systemen entdeckt zu haben, kontaktieren Sie uns bitte unter:

E-Mail: security@goautonomi.com

Bitte geben Sie an:

  • Eine Beschreibung der Schwachstelle und des betroffenen Systems
  • Schritte zur Reproduktion des Problems
  • Mögliche Auswirkungen

Wir werden den Eingang innerhalb von 3 Werktagen bestätigen und daran arbeiten, verifizierte Schwachstellen zu untersuchen und zu beheben. Wir bitten Sie, die Schwachstelle nicht öffentlich bekannt zu machen, bis wir eine angemessene Gelegenheit hatten, sie zu beheben.

15. Aktualisierungen der Richtlinie

Diese Sicherheitsrichtlinie wird mindestens jährlich überprüft und aktualisiert, oder nach einem bedeutenden Sicherheitsvorfall, einer wesentlichen Änderung unserer Infrastruktur oder Verarbeitungstätigkeiten, oder Änderungen des geltenden Rechts.

16. Kontakt

Für Sicherheitsbedenken, Vorfallmeldungen oder sicherheitsbezogene Anfragen:

AUTONOMi Sicherheit

E-Mail: security@goautonomi.com

Für DSGVO- und Datenschutzangelegenheiten:
E-Mail: gdpr@goautonomi.com

Allgemeine Datenschutzanfragen:
E-Mail: privacy@goautonomi.com

Webseite: goautonomi.com