Information Security Policy

Unternehmen

GermanAI Defense GmbH

Version

1.0

Stand

01.03.2026

Genehmigt durch

General Manager

Dokumentenverantwortlich

Information Security Officer

Vertraulichkeitsstufe

Öffentlich

1. Zweck

Zweck dieser Information Security Policy ist es, die Grundsätze, Ziele und Managementausrichtung für die Informationssicherheit innerhalb der GermanAI Defense GmbH in Übereinstimmung mit ISO/IEC 27001:2022 Klausel 5.2 festzulegen. Diese Leitlinie zielt darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten zu schützen und die Einhaltung der geltenden rechtlichen, regulatorischen, vertraglichen und geschäftlichen Anforderungen sicherzustellen.

2. Geltungsbereich

Diese Leitlinie gilt für alle Informationswerte, Technologien, Systeme, Prozesse, Mitarbeitenden, Einrichtungen und Dritten, die in die Erbringung von Cybersecurity-Dienstleistungen, SOC-Betrieb, Penetration-Testing-Dienstleistungen, GRC-Beratung, ISO-27001-Beratung, DSGVO-Beratung, NIS2-Beratung und EU-AI-Act-Beratung eingebunden sind. Der ISMS-Geltungsbereich umfasst alle unterstützenden Informationswerte, Geschäftsprozesse, Mitarbeitenden, Technologien und physischen Umgebungen, die für die Erbringung dieser Leistungen genutzt werden.

3. Informationssicherheitsziele

Die GermanAI Defense GmbH verpflichtet sich, Informationswerte gegen unbefugten Zugriff, Offenlegung, Veränderung, Zerstörung oder Verlust zu schützen; die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu wahren; die Einhaltung gesetzlicher und regulatorischer Pflichten sicherzustellen; Informationssicherheitsrisiken zu steuern; das ISMS kontinuierlich zu verbessern; und das Sicherheitsbewusstsein zu fördern. Messbare Informationssicherheitsziele für die GermanAI Defense gemäß ISO/IEC 27001:2022 Klausel 6.2 sind im Verfahren zu den Informationssicherheitszielen definiert.

4. Verpflichtung der Geschäftsleitung

Die oberste Leitung zeigt ihre Verpflichtung zur Informationssicherheit durch die Aufstellung und Aufrechterhaltung dieser Leitlinie, durch die Integration der Sicherheit in die Geschäftsprozesse, durch die Bereitstellung der notwendigen Ressourcen, durch die Zuweisung von Verantwortlichkeiten und durch die Unterstützung kontinuierlicher Verbesserungsaktivitäten.

5. Rollen und Verantwortlichkeiten

5.1 General Manager

Der General Manager ist verantwortlich für:

• Genehmigung dieser Leitlinie
• Bereitstellung der strategischen Ausrichtung und Ressourcen
• Sicherstellung der organisatorischen Einhaltung der Anforderungen an die Informationssicherheit
• Unterstützung des Risikomanagements und der kontinuierlichen Verbesserungsaktivitäten

5.2 Information Security Officer

Der Information Security Officer ist verantwortlich für:

• Aufrechterhaltung und Überwachung des ISMS
• Steuerung von Informationssicherheitsrisiken
• Koordination der Sicherheitskontrollen und Compliance-Aktivitäten
• Berichterstattung zur Informationssicherheitsleistung an die Geschäftsleitung
• Durchführung von Bewusstseinsbildungs- und Überwachungsaktivitäten
• Unterstützung des Vorfallmanagements und korrektiver Maßnahmen

Alle Mitarbeitenden sind verpflichtet, diese Leitlinie und die zugehörigen Verfahren einzuhalten.

6. Interne und externe Themen

Interne Themen: Vision, Kultur, strategische Ausrichtung, Organisationsrollen, Betriebsverfahren, Ressourcen.

Externe Themen: Bedürfnisse und Erwartungen interessierter Parteien, vertragliche Verpflichtungen, politische Faktoren, Wettbewerb, Technologie, rechtliche und regulatorische Anforderungen.

6.1 Interessierte Parteien des ISMS

Die interessierten Parteien sind in der folgenden Tabelle dargestellt:

Interessierte Partei	Bedürfnisse und Erwartungen
Geschäftsleitung	Ausrichtung der Informationssicherheitsziele an den übergeordneten Geschäftszielen. Zeitnahe und korrekte Berichterstattung zur Sicherheitsleistung und zu Vorfällen. Verfügbarkeit der notwendigen Ressourcen zur Implementierung und Aufrechterhaltung der Informationssicherheit. Nachweis kontinuierlicher Verbesserung in der Informationssicherheit. Regelmäßige Risikobewertungen und -steuerung. Überwachung und Überprüfung der Wirksamkeit der Sicherheitskontrollen. Etablierung eines belastbaren Security-Governance-Rahmens. Erwartung, dass branchenübliche Zertifizierungen aufrechterhalten werden, um der Geschäftsleitung Sicherheit zu geben.
Geschäftspartner (extern)	Zusicherung sicherer Zusammenarbeit und Informationsweitergabe. Einhaltung gemeinsam vereinbarter Sicherheitsanforderungen. Transparente Kommunikation zu Sicherheitsvorfällen oder -verletzungen.
Mitarbeitende (intern)	Ein sicheres Arbeitsumfeld. Klare Richtlinien und Verfahren zur Informationssicherheit. Schulungs- und Sensibilisierungsprogramme zur Verbesserung des Verständnisses für Sicherheitsrisiken. Einbindung in Entscheidungsprozesse im Zusammenhang mit Informationssicherheit.
Kunden (extern)	Sichere Handhabung und Schutz ihrer sensiblen Informationen. Zusicherung, dass ihre Daten vertraulich behandelt und nicht an unbefugte Parteien weitergegeben werden. Erwartung, dass Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten jederzeit gewährleistet sind. Zuverlässige und unterbrechungsfreie Dienstverfügbarkeit. Klare Kommunikation zu den getroffenen Sicherheitsmaßnahmen, zeitnahe Reaktion auf Sicherheitsvorfälle, Schutz ihrer Daten vor unbefugtem Zugriff oder Offenlegung.
Lieferanten (extern)	Klar definierte Anforderungen an die Informationssicherheit für ihre Produkte und Dienstleistungen. Schutz aller mit ihnen geteilten sensiblen Informationen. Zeitnahe und korrekte Kommunikation zu Änderungen an Sicherheitsanforderungen oder Erwartungen. Klare Vorgaben zum Umgang mit sensiblen Informationen, sichere Speicherung und Übertragung von Daten, Einhaltung vereinbarter Sicherheitspraktiken. Pünktliche Bezahlung erbrachter Leistungen. Faire und ethische Geschäftspraktiken.
Wettbewerber (extern)	Faire Wettbewerbspraktiken. Schutz der Rechte am geistigen Eigentum. Einhaltung von Branchenstandards und Vorschriften.
Aufsichtsbehörden (extern)	Einhaltung geltender Gesetze, Vorschriften und Standards. Zeitnahe und korrekte Meldung von Sicherheitsvorfällen und -verletzungen. Kooperation und Transparenz bei Audits und Prüfungen.
Auditoren (extern)	Kooperation während Audits. Zugang zu notwendigen Informationen und Ressourcen. Einhaltung der Audit-Anforderungen und -Protokolle. Zeitnahe Behebung und Umsetzung korrektiver Maßnahmen auf Grundlage der Audit-Feststellungen. Zusicherung von Unabhängigkeit und Objektivität im Audit-Prozess. Zusicherung der Integrität und Verlässlichkeit der Audit-Feststellungen.
Allgemeine Öffentlichkeit (extern)	Einhaltung von Datenschutzvorschriften, transparente Datenverarbeitungspraktiken, klare Kommunikation zu Datenverletzungen oder Vorfällen, die die Öffentlichkeit betreffen.

7. Geltungsbereich des ISMS

Cybersecurity-Dienstleistungen, SOC-Betrieb, Penetration Testing, die Entwicklung und Bereitstellung von KI-gestützten Penetration-Testing- und Sicherheitsanalyse-Lösungen, GRC-Beratung, ISO-27001-Beratung, DSGVO-Beratung, NIS2-Beratung und EU-AI-Act-Beratungsdienstleistungen — zusammen mit allen unterstützenden Informationswerten, Technologien, Prozessen, Mitarbeitenden und Einrichtungen — fallen in den Geltungsbereich der Zertifizierung des Informationssicherheits-Managementsystems (ISMS).

8. Erklärung zur Anwendbarkeit (Statement of Applicability, SoA)

Die Erklärung zur Anwendbarkeit (SoA) definiert die Sicherheitskontrollziele und -kontrollen, die von der Geschäftsleitung auf Basis der geschäftlichen Bedürfnisse und Anforderungen der GermanAI Defense unter Berücksichtigung aller relevanten rechtlichen und regulatorischen Anforderungen sowie vertraglichen Verpflichtungen festgelegt wurden.

Die SoA wird durch die Geschäftsleitung der GermanAI Defense gemäß dem Verfahren zur Managementbewertung überprüft und freigegeben.

9. Risikomanagement

Informationssicherheitsrisiken werden mit einer definierten Risikomanagement-Methodik identifiziert, bewertet und behandelt, die mit den Anforderungen der ISO/IEC 27001:2022 konsistent ist. Zu diesem Zweck hat die oberste Leitung ein Risikomanagement-Verfahren genehmigt.

10. Verpflichtungen zur Einhaltung

Die Organisation verpflichtet sich zur Einhaltung der Anforderungen der DSGVO, NIS2, des EU AI Acts, vertraglicher Verpflichtungen sowie der geltenden deutschen und europäischen Vorschriften.

11. Vorfallmanagement

Informationssicherheitsvorfälle und Schwachstellen werden zeitnah gemeldet, untersucht, gesteuert und behoben. Korrektive Maßnahmen werden umgesetzt, um ein erneutes Auftreten zu verhindern. Die oberste Leitung hat eine Incident-Management-Policy genehmigt.

12. Kontinuierliche Verbesserung

Die GermanAI Defense GmbH verpflichtet sich zur kontinuierlichen Verbesserung des ISMS durch Überprüfungen, Audits, Risikobewertungen, korrektive Maßnahmen und Managementbewertungs-Aktivitäten.

13. Überprüfung der Leitlinie

Diese Leitlinie wird mindestens jährlich sowie bei wesentlichen organisatorischen, rechtlichen oder technologischen Änderungen überprüft.

14. Genehmigung

Rolle	Unterschrift	Datum
General Manager		01.03.2026
Information Security Officer		01.03.2026