Sicherheit ist kein Feature.
Sie ist unsere Grundlage.
Diese Seite beschreibt konkret, was wir bei FINLAI designs täglich tun, um die Sicherheit unserer Systeme, unseres Codes und der uns anvertrauten Daten zu gewährleisten. Keine Versprechen — sondern nachvollziehbare Maßnahmen.
Was wir konkret tun.
Informationssicherheit bedeutet bei uns nicht, ein Zertifikat an die Wand zu hängen. Sie bedeutet tägliche Praxis: technische Maßnahmen, klare Prozesse und eine Entwicklungsweise, die Sicherheit von Anfang an einschließt.
Zugriff & Authentifizierung
Wer auf welche Systeme zugreift, ist klar geregelt und technisch abgesichert. Kein Zugriff ohne Notwendigkeit, kein Account ohne starke Absicherung.
Starke, individuelle Passwörter für jeden Dienst. Kein Passwort-Recycling. Verwaltung über einen lokalen Passwortmanager.
Überall wo möglich aktiviert — Server, Repository-Zugang, Hosting-Panel, alle kritischen Dienste. Kein Single-Point-of-Failure-Account.
Zugriffsrechte werden nur in dem Umfang vergeben, der für die jeweilige Aufgabe erforderlich ist. Regelmäßige Bereinigung inaktiver Zugriffe.
Infrastruktur & Datenhaltung
Unsere Systeme laufen auf eigener Infrastruktur — keine Abhängigkeit von Drittanbieter-Clouds für betriebskritische Daten.
Vollverschlüsselung aller Arbeitsgeräte. Automatische Sicherheitsupdates aktiviert. Bildschirmsperre bei Inaktivität.
Ausschließlich vertrauenswürdige Anbieter. Trennung von Test- und Produktionsumgebungen. Keine sensiblen Daten in unkontrollierten Cloud-Diensten.
Sicherheitsupdates werden zeitnah eingespielt. Betriebssystem, Server-Software und Abhängigkeiten werden regelmäßig aktualisiert.
Secure Development
Sicherheit beginnt im Code, nicht danach. Unsere Entwicklungsprinzipien sind darauf ausgelegt, Schwachstellen gar nicht erst entstehen zu lassen.
Zugangsdaten, API-Keys und Tokens werden niemals im Klartext im Code gespeichert. Konfiguration erfolgt ausschließlich über Umgebungsvariablen oder sichere Vaults.
Alle Eingaben werden validiert, bevor sie verarbeitet werden. Kein blinder Verlass auf Nutzerdaten im Backend.
Ausschließlich aktiv gepflegte Libraries. Regelmäßige Dependency-Audits. Veraltete oder kompromittierte Pakete werden zeitnah ersetzt.
Logs enthalten keine sensiblen Daten. Fehlermeldungen geben Angreifern keine Rückschlüsse auf interne Strukturen.
Sicherheitsadvisories für eingesetzte Komponenten werden aktiv beobachtet. NoRisk (unser eigenes Tool) ist dabei im Einsatz.
Drittanbieter-Bibliotheken werden nach Vertrauenswürdigkeit ausgewählt. Unnötige Abhängigkeiten werden vermieden.
Backup & Wiederherstellung
Was passiert, wenn etwas schiefgeht — das ist genauso wichtig wie das Verhindern, dass es passiert.
Code-Backups auf drei unabhängigen Speicherorten: eigenem Server, GitHub und mehreren physischen Festplatten. Geografisch verteilt.
Backup-Wiederherstellung wird regelmäßig getestet. Ein Backup, das nie wiederhergestellt wurde, ist kein Backup.
Sicherer Umgang mit Kundendaten im Projektverlauf. Löschung oder Rückgabe nach Projektabschluss, wenn vertraglich vereinbart.
Was passiert, wenn etwas passiert.
Ein Sicherheitsvorfall ist ein Ereignis, das die Sicherheit von Systemen oder Daten beeinträchtigen könnte — Datenverlust, unbefugter Zugriff, eine entdeckte Schwachstelle. Unser Vorgehen ist klar geregelt und beginnt sofort.
„Wir informieren betroffene Auftraggeber über sicherheitsrelevante Vorfälle unverzüglich — und nicht erst, wenn wir alle Antworten haben. Transparenz im Krisenfall ist für uns nicht verhandelbar.“
Was du als Kunde von uns erwarten kannst.
Große Auftraggeber, die ihre Lieferkette prüfen, bekommen von uns klare Auskunft. Auf Wunsch stellen wir Informationen über unsere Sicherheitsmaßnahmen bereit — sowohl verbal als auch in dokumentierter Form.
Detaillierte Auskunft über eingesetzte technische und organisatorische Maßnahmen. Basis für eure Lieferantenprüfung nach NIS2.
Klarer Prozess, klare Fristen. Ihr erfahrt von uns, bevor ihr von anderer Stelle davon erfahrt.
Unsere Maßnahmen werden regelmäßig überprüft und angepasst — an neue Risiken, neue Technologien und an eure Anforderungen.
Security & Incident Handling
Der Auftragnehmer verpflichtet sich zur Einhaltung angemessener technischer und
organisatorischer Maßnahmen zur Informationssicherheit gemäß aktuellem Stand der
Technik. Sicherheitsrelevante Vorfälle, die Auswirkungen auf den Auftraggeber haben
könnten, werden unverzüglich, spätestens jedoch innerhalb von 24 Stunden, gemeldet.
Wir nutzen unsere eigenen Werkzeuge.
NoRisk — unser eigenes Cybersecurity-Tool — ist im täglichen Betrieb bei uns aktiv. CSAF Advisory Monitor, Netzwerk-Scanner, Dependency Auditor, Security Scoring. Was wir unseren Kunden empfehlen, setzen wir selbst ein. Kein anderer Anspruch wäre glaubwürdig.
Fragen zu unserer Sicherheitspraxis?
Als Auftraggeber hast du das Recht, die Sicherheitsmaßnahmen deiner Dienstleister zu kennen. Wir beantworten eure Fragen, stellen Dokumentation bereit und nehmen auf Wunsch einen Sicherheitsbaustein in den Vertrag auf.
Diese Seite beschreibt unsere internen Maßnahmen. Sie ist keine Rechtsberatung und ersetzt keine formale Zertifizierung (z. B. ISO 27001). Maßnahmen werden laufend angepasst. Stand: April 2026.
