Organisatorische Sicherheit

• ISO 27001:2022-Zertifizierung: Monta ist seit 2023 zertifiziert. Das Zertifikat ist am Ende dieser Seite verfügbar.
• SOC 2 Typ II-Attestierung: Wir haben eine SOC 2 Typ II-Attestierung erhalten, die bestätigt, dass unsere Sicherheitskontrollen gut konzipiert sind und über die Zeit effektiv funktionieren. Die Attestierung ist am Ende dieser Seite verfügbar.
• Information Security Board: Die organisatorische Sicherheit wird von einem dedizierten Gremium verwaltet, das die gesamte Organisation repräsentiert.
• Risikobewusstsein und Schulungen: Wir führen interne Onboarding-, Schulungs- und Sensibilisierungskampagnen durch, um menschenbezogene Sicherheitsrisiken zu reduzieren.
• Interne Richtlinien und Leitlinien: Unsere IT-Richtlinie umfasst Vertraulichkeitspflichten, akzeptable Nutzung, Clean-Desk- und Bildschirmsperrrichtlinien, interne Störungsmeldung sowie die Einhaltung von Cybersicherheitsrichtlinien.
• Proaktives Risikomanagement: Unser Vorstand hat einen Risikoausschuss eingerichtet, der einen proaktiven Risikomanagement-Rahmen überwacht.
• Governance-Rhythmus: Der Information Security Board führt monatliche ISMS-Überprüfungen, vierteljährliche interne Audits und eine jährliche Managementbewertung durch. Jährliche ISO-Audits werden von DNV durchgeführt.
• Kontinuierliche Compliance mit Drata: Wir nutzen Drata für continuous Kontrollüberwachung, automatisierte Beweiserhebung und zentralisierte Richtlinienbestätigungen im Rahmen unseres ISO 27001-Geltungsbereichs.

Zugriffsverwaltung

• Prinzip der minimalen Rechtevergabe: Der Zugriff wird auf Basis der Jobfunktion und des Need-to-know-Prinzips gewährt.
• Sichere Anmeldemethoden: Die Anmeldung erfolgt über SSO via JumpCloud oder durch Autorisierung über Google oder GitHub.
• Isolierte Cloud-Netzwerke: Alle Cloud-Netzwerke sind vollständig in privaten Netzwerken auf AWS isoliert und haben keinen externen Zugang. Autorisierter Zugriff erfolgt über Proxy-Verbindungen mit strengen Richtlinien.
• Kontinuierliche Überwachung und rollenbasierter Zugriff: Sensible Daten sind in Cloud-Umgebungen geschützt, die alle Zugriffe automatisch protokollieren. Protokolle werden isoliert aufbewahrt, um Manipulationen zu verhindern. Zugriffsrechte werden bewertet und manuell getestet, um die Übereinstimmung mit den Jobfunktionen sicherzustellen.
• Zugriffsüberprüfungen: Werden regelmäßig vom Information Security Board durchgeführt, um einen fortlaufenden Zugriff nach dem Prinzip der minimalen Rechtevergabe sicherzustellen.

Infrastruktur und Hosting

• Cloud-basiertes AWS-Hosting: Das gesamte Hosting erfolgt cloudbasiert auf AWS. Die Arbeit der Mitarbeiter wird in der Cloud gespeichert, nicht auf lokalen Geräten oder externer Hardware.
• Verschlüsselung und Schlüsselverwaltung: Für alle Speicher wird Verschlüsselung im Ruhezustand angewendet, wobei die Schlüssel über AWS KMS (Key Management Service) und AWS Managed Keys verwaltet werden.
• Softwarebasierte Nutzertrennung: Unsere Architektur nutzt eine robuste softwarebasierte Trennung zwischen Nutzern, die es uns ermöglicht, eine einzige, sichere Multi-Tenant-Plattform zu stärken.
• Kubernetes-Orchestrierung: Wir verwenden Kubernetes, um unsere Dienste auszuführen und zu skalieren.
• System-Hardening: Wir minimieren Schwachstellen, indem wir unnötige Dienste und Anwendungen entfernen und bewährte Sicherheitspraktiken anwenden. Wir nutzen GitOps, um Updates auszurollen, und ersetzen Server regelmäßig durch neuere Basis-Images.

Netzwerk- und Kommunikationssicherheit

• Private Netzwerke und Segmentierung: Anwendungs- und Datendienste laufen auf internen Netzwerken ohne direkte Internetexposition. Nur eng begrenzte HTTPS-Endpunkte sind öffentlich zugänglich. Vorproduktions- und Produktionsumgebungen sind voneinander isoliert.
• Büronetzwerke: Unternehmensbüros verwenden Netzwerkgeräte auf Enterprise-Niveau mit zentral verwaltetem Firewalling und Segmentierung.
• Informationsübertragung: Sensible Inhalte werden über sichere Kanäle gemäß unseren internen IT- und Cybersicherheitsrichtlinien ausgetauscht.

Datenverschlüsselung

• Standards: Wir verwenden TLS 1.2 oder höher für Daten während der Übertragung und AES-256 für Daten im Ruhezustand.
• Verschlüsselung während der Übertragung: Unsere primäre Methode ist HTTPS unter Verwendung der neuesten Verschlüsselungsverfahren. Zertifikate werden verwaltet über:
  • AWS Managed Certificates für Systeme wie unsere OCPP-Endpunkte.
  • Let's Encrypt innerhalb unseres Kubernetes-Clusters -- private Schlüssel sind gesichert und nur für unser SRE-Team zugänglich. Zertifikate werden automatisch alle 8 Monate erneuert.

Systemüberwachung

• Dashboards und Warnungen (Grafana): Plattformzustand und Sicherheitssignale werden in Grafana überwacht, mit in unsere Kollaborationstools integrierter Bereitschaftseskalation.
• Erkennung und Verwaltung von Schwachstellen: Automatisierte Scans decken Infrastruktur- und Laufzeitumgebungen ab. Befunde werden nach risikobasierten SLAs priorisiert und behoben.
• Zentralisiertes Logging und Audit: Anwendungs- und Sicherheitsereignisse werden in einem zentralen Audit-Logging-Dienst zusammengeführt. Der Zugriff auf Protokolle wird selbst auditiert und folgt dem Prinzip der minimalen Rechtevergabe.
• Durchsuchbare Aufbewahrung (verschlüsseltes S3): Protokolle werden mit Verschlüsselung im Ruhezustand und lifecycle-gesteuerter Aufbewahrung in AWS S3 archiviert.

Notfallwiederherstellung und Geschäftskontinuität

• Dokumentierte Pläne: Wir pflegen Business-Continuity- und Disaster-Recovery-Pläne (BCP/DR), die festlegen, wie wir die Verfügbarkeit unserer Dienste aufrechterhalten und Systeme bei Störungen wiederherstellen.
• Testrhythmus: Der BCP wird mindestens zweimal jährlich durchgeführt; der DR wird mindestens einmal jährlich mithilfe von Tabletop- und technischen Übungen getestet.
• Datenschutz und Backups: Backups werden verschlüsselt und regelmäßig auf Wiederherstellbarkeit getestet. Unsere Architektur nutzt Multi-Availability-Zones und regionale Ausfallsicherheit, um das Risiko eines Single Point of Failure zu minimieren.
• Kommunikation: Bei Störungen, die die Plattformleistung beeinträchtigen, werden Updates auf unserer öffentlichen Statusseite unter status.monta.app veröffentlicht.

Störungsmanagement

• Behördliche Meldepflichten: Wir prüfen Störungen auf Implikationen gemäß der DSGVO hinsichtlich der Verletzung personenbezogener Daten sowie auf erhebliche Cybersicherheitsvorfälle gemäß NIS2 und benachrichtigen die zuständigen Behörden, sofern dies erforderlich ist.
• Strukturierter Störungsmanagementplan: Verwaltet vom Information Security Board, mit Störungen, die über Grafana verfolgt und behoben werden.
• Kontinuierliche Verbesserung: Nach Störungen führen wir gründliche Post-mortem-Analysen durch, um Grundursachen zu identifizieren. Ein wöchentliches Störungsreview teilt gewonnene Erkenntnisse und verfolgt Maßnahmen zur Behebung.

Sichere Produktentwicklung

• Strukturierte Entwicklungszyklen: Die Entwicklung ist in 6-Wochen-Zyklen organisiert, die jeweils mit einer Planungssitzung zur Abstimmung der Prioritäten beginnen.
• Engineering und Deployment: Code durchläuft umfangreiche Tests und Reviews. Produktions-Deployments erfordern eine manuelle Genehmigung.
• Umgebungstrennung: Eine Staging-Umgebung spiegelt die Produktionsumgebung für abschließende Tests wider. Feature-Flags ermöglichen einen schrittweisen Rollout -- zunächst intern, dann für Alpha- und Beta-Nutzer, anschließend für alle Nutzer.
• Patch-Richtlinie: Kritische Patches werden sofort eingespielt. Alle anderen Patches folgen einem risikobasierten Zeitplan. Automatisierte Tools übernehmen das reguläre Patch-Deployment; kritische Patches werden manuell geprüft.

Endpunktsicherheit

• Geräteschutz: Firmenverwaltete Laptops und Mobilgeräte erzwingen vollständige Festplattenverschlüsselung, Bildschirmsperre, Fernlöschung und automatische Updates über unser Mobile Device Management (MDM)-System JumpCloud.
• Passwort-Richtlinie: Alle Mitarbeiterpasswörter müssen mindestens 15 Zeichen lang sein und werden über JumpCloud durchgesetzt.
• Remote-Arbeit: Eine Richtlinie für Remote-Arbeit legt Sicherheitsmaßnahmen für das Arbeiten außerhalb einer sicheren Büroumgebung fest.
• BYOD-Richtlinie: Private Mobilgeräte sind erlaubt, jedoch muss jeglicher Datenzugriff über Monta-Systeme erfolgen. Die Speicherung oder Verarbeitung von Daten auf privaten Geräten ist untersagt.

Lieferantenmanagement

• Lieferantengenehmigungsprozess: Alle Drittanbieter durchlaufen einen umfassenden Genehmigungsprozess, der Compliance, Sicherheit, Vertragsbedingungen und Datenschutz abdeckt.
• Lieferantenmanagement: Unser Lieferantenprozess prüft Sicherheit, Vertragsbedingungen und Datenschutz sorgfältig, um sicherzustellen, dass unsere Abläufe sicher bleiben und mit unseren Zielen übereinstimmen.

Kontinuierliche Verbesserung und Validierung

• Regelmäßige Überprüfungen und Audits: Das Information Security Board führt monatliche ISMS-Überprüfungen durch. Ein internes Auditprogramm wird vierteljährlich mit Stichprobenprüfungen durchgeführt.
• Externer Penetrationstest: Wir arbeiten mit Cobalt für jährliche Penetrationstests zusammen. Berichte sind auf Anfrage vertraulich erhältlich.
• ISO-Zertifizierungsaudits: Jährliche ISO-Audits werden von DNV durchgeführt. Nach dem Audit 2024 lobte unser Auditor Monta für sein „großes Engagement und seine Verpflichtung zur kontinuierlichen Verbesserung der Prozesse innerhalb des ISMS und in der gesamten Organisation.