CypSec Logo
CypSec

Sicherheitshinweis

Souveräne Sicherheitslage, Schwachstellen-Offenlegungsprogramme und betriebliche Transparenz für staatliche Einrichtungen, Verteidigung und kritische Infrastrukturkunden.

Sicherheitsübersicht

Die CypSec unterhält ein umfassendes Sicherheitsprogramm, das kryptographische Kontrollen, betriebliche Sicherheitsmaßnahmen und kontinuierliche Sicherstellungsaktivitäten integriert. Unsere defensive Lage ist darauf ausgelegt, sensible Kundendaten und betriebliche Integrität über alle Bereitstellungsmodelle hinweg zu schützen, von luftgekapselten Umgebungen mit Verschlusssachen bis hin zu souveräner Cloud-Infrastruktur.

Souveräne Lage

Kundenkontrollierte Infrastruktur mit gerichtsständiger Datenresidenz und null Abhängigkeiten von ausländischen Autoritäten.

Verantwortungsvolle Offenlegung

Aktives Schwachstellenmeldungsprogramm mit zeitnaher Bestätigung und angemessener Anerkennung.

Betriebliche Transparenz

Unabhängige Validierung, umfassende Audit-Trails und regulatorische Konformitätsdokumentation.

Verantwortungsvolle Offenlegung

Die CypSec unterhält ein aktives Schwachstellen-Offenlegungsprogramm und heißt Sicherheitsforscher, Penetrationstester sowie ethische Hacker willkommen, Sicherheitsschwächen in unserer Infrastruktur, unseren Produkten und Dienstleistungen zu identifizieren und zu melden. Wir verpflichten uns zu zeitnaher Bestätigung, transparenter Kommunikation und angemessener Anerkennung für verantwortungsvolle Offenlegungen.

Im Geltungsbereich

Alle von CypSec betriebenen Domains, APIs, Kundenportale, öffentlich zugängliche Infrastruktur und lizenzierte Softwareprodukte. Tests sind nur gegen Ressourcen gestattet, die ausdrücklich in der Geltungsbereichsdokumentation aufgeführt sind, die nach Registrierung bereitgestellt wird.

Außerhalb des Geltungsbereichs

Physische Sicherheitstests, Social Engineering gegen CypSec-Personal, Denial-of-Service-Angriffe ohne ausdrückliche schriftliche Genehmigung sowie Tests von Kundenumgebungen oder Partnerinfrastruktur.

Bericht einreichen

An unser Sicherheitsteam eingereichte Berichte erhalten innerhalb von 24 Stunden eine erste Antwort und innerhalb von 72 Stunden eine Triage-Bewertung. Wir bieten öffentliche Anerkennung in unserer Security Hall of Fame, finanzielle Belohnungen für kritische Erkenntnisse sowie bevorzugten Zugang zu Schulungsprogrammen der CypSec Academy.

security@cypsec.de

PGP-Schlüssel verfügbar auf authentifizierte Anfrage. Antwortzeiten schließen Wochenenden und europäische gesetzliche Feiertage aus.

Sicherheitsarchitektur

Unsere defensive Lage integriert automatisierte Überwachung, kryptographische Kontrollen und souveräne Infrastrukturisolierung zum Schutz von Kundendaten und betrieblicher Integrität über alle Bereitstellungsmodelle hinweg.

Kryptographische Standards

Post-Quanten-resistente Algorithmen (CRYSTALS-Dilithium, FALCON), AES-256-GCM für ruhende Daten, TLS 1.3 für Datenübertragung sowie Hardware-Security-Module (HSM) Schlüsselverwaltung mit FIPS-140-3-Level-4-Zertifizierung.

Infrastrukturisolierung

Luftgekapselte Bereitstellungsoptionen, souveräne Cloud-Residenz mit gerichtsständigen Datenkontrollen und Zero-Trust-Netzwerksegmentierung, die implizites Vertrauen über alle Systemgrenzen hinweg eliminiert.

Zugriffskontrollen

Multi-Faktor-Authentifizierung obligatorisch für alle administrativen Schnittstellen, rollenbasierte Zugriffskontrolle mit dem Prinzip der geringsten Berechtigung sowie kontinuierliche Sitzungsüberwachung mit Verhaltensanomalieerkennung.

Betriebliche Sicherheit

Kontinuierliche defensive Operationen zur Gewährleistung von Bedrohungserkennung, Vorfallreaktion und Resilienz gegen fortgeschrittene persistente Bedrohungen, die staatliche Einrichtungen und kritische Infrastruktursektoren ins Visier nehmen.

Threat Intelligence

Automatisierte OSINT-Sammlung, Dark-Web-Überwachung auf Anmeldeinformationsexposition sowie sektorspezifische Bedrohungsakteursverfolgung mit Indikatoren für Kompromittierung, die über Kundenumgebungen hinweg geteilt werden.

Aktive Verteidigung

Bereitgestellte Cyber-Deception-Ressourcen einschließlich Honeypots, Honeytokens und Köderdienste, die frühzeitige Warnung vor Aufklärungsaktivitäten und lateralen Bewegungsversuchen bieten.

Vorfallreaktion

24/7 Security Operations Center (SOC) mit gestaffelter Eskalation, automatisierten Eindämmungsprotokollen und forensischen Erhaltungsverfahren, die die Kette der Beweise für gerichtliche Verfahren aufrechterhalten.

Konformität und Sicherstellung

Unabhängige Validierung von Sicherheitskontrollen durch anerkannte Rahmenwerke und Drittparteibescheinigung, geeignet für regulatorische Einreichungen und vertragliche Due Diligence.

Kundenschutz

Datenschutz-Grundverordnung EU-DSGVO
Richtlinie über Netzwerk- und Informationssicherheit NIS2
NIST CSF und CIS Controls Ausgerichtet

Bewertungen

Externer Penetrationstest Jährlich
Internes Red Team Kontinuierlich
Kryptographisches Audit Vierteljährlich

Bewertungsberichte sind staatlichen Kunden im Allgemeinen unter angemessenen Geheimhaltungsvereinbarungen zugänglich. Audit-Trails und Sicherheitstelemetrie über souveräne SOC-Dashboards mit voller gerichtsständiger Kontrolle abrufbar.

Lieferkettensicherheit

In enger Partnerschaft mit ASGAARD führt CypSec umfassende Lieferantenbewertungen sowie Integritätsverifizierungen der Software-Lieferkette durch, um Kompromittierungen durch Dritte zu verhindern und deren Auswirkungen auf die Umgebungen des Mandanten abzuwehren.

Zuliefererprüfung

Sicherheitsüberprüfung für alle Personen mit administrativem Zugriff, Sicherheitsfragebögen für kritische Zulieferer sowie vertragliche Sicherheitsanforderungen mit Prüfrechten.

Softwareintegrität

Kryptographische Signierung aller verteilten Binärdateien, reproduzierbare Build-Verifizierung, Pflege von Software Bills of Materials (SBOM) sowie integrierte Abhängigkeitsschwachstellenüberprüfung in CI/CD-Pipelines.

Hardware-Herkunft

Verifizierung der Secure-Boot-Kette, Hardware-Root-of-Trust-Bescheinigung und manipulationssichere Verpackung für luftgekapselte Bereitstellungsgeräte.

Kontakt und Eskalation

Sicherheitsanfragen

security@cypsec.de

Antwort innerhalb von 24 Stunden

Vorfallmeldung

incident@cypsec.de

Sofortige Eskalation verfügbar

Strafverfolgungsbehörden

law.enforcement@cypsec.de

Durchsuchungs- oder Gerichtsbeschluss erforderlich

Alle Sicherheitskommunikationen werden unter strengen Vertraulichkeitsprotokollen aufrechterhalten. Verschlüsselte Übermittlungen werden akzeptiert und empfohlen. Antwortzeiten schließen Wochenenden und europäische gesetzliche Feiertage aus. Nicht authentifizierte oder unberechtigte Anfragen werden verworfen.