Bei GermanAI Defense ist Sicherheit kein Feature, sondern Fundament. Hier sehen Sie konkret, woran wir uns messen lassen — geprüft, akkreditiert, dokumentiert.
Fünf Standards, an denen wir uns messen lassen. Bei einem davon (ISO 27001) sind wir formal zertifiziert. Bei den übrigen vier sind wir konform oder vorbereitet — wir behaupten nichts, was nicht prüfbar wäre.
Seit Mai 2026 formal nach ISO/IEC 27001:2022 zertifiziert. Auditor: A-Mark Ratings Limited, akkreditiert durch UAF und IAF. Zertifikat-Nr. 26052601, gültig bis 25.05.2029.
Vollständig DSGVO-konform mit dokumentiertem Verarbeitungsverzeichnis nach Art. 30, AVV-Vorlage für Auftragsverarbeitung, technisch-organisatorischen Maßnahmen (TOM) nach Art. 32 und benanntem Datenschutzbeauftragten.
Sämtliche produktiven Daten und Workloads verbleiben in deutschen Rechenzentren (Hetzner, Nürnberg). Kein US-Cloud-Provider, kein CLOUD-Act-Risiko, keine Datentransfers in Drittstaaten ohne ausdrückliche Vereinbarung.
Eigene Cyber-Resilienz-Maßnahmen erfüllen die NIS-2-Anforderungen: Risikomanagement, Vorfallsmeldungen, Lieferketten-Sicherheit, Business-Continuity und regelmäßige Wirksamkeitsprüfungen — beraten und gleichzeitig selbst gelebt.
Unsere KI-Systeme werden klassifiziert (Risikostufe), dokumentiert und auditfähig betrieben. Human-Oversight, Transparenzpflichten und technische Robustheit sind nach EU-AI-Act-Maßstab eingebaut — auch für unsere Kundenprojekte.
SOC 2 (US-amerikanischer Standard, für unsere Zielkunden in der EU nicht relevant). BSI C5 — haben wir aktuell nicht. ISO 27017 / 27018 — haben wir aktuell nicht. Wir kommunizieren Zertifizierungen transparent und ohne Pseudo-Siegel.
Unsere Architektur folgt dem Defense-in-Depth-Prinzip: Verschlüsselung, Zugriffskontrolle, Netzwerk-Segmentierung, Monitoring — auf jeder Ebene.
AES-256 für Daten at-rest. TLS 1.3 für Daten in-transit. Schlüssel-Management nach ISO-27001-Kontrollen, getrennt von Anwendungsdaten.
MFA verpflichtend für alle Mitarbeitenden. Rollenbasierte Berechtigungen (RBAC). Privileged-Access getrennt dokumentiert, regelmäßig auditiert.
Kein implizites Vertrauen — jede Anfrage wird verifiziert. Netzwerk-Segmentierung, Micro-Segmentation für kritische Workloads, Just-in-Time-Access.
Hetzner-Rechenzentrum Nürnberg. Redundante Stromversorgung, biometrische Zutrittskontrolle, ISO 27001 + DSGVO konformer Betreiber.
Eigene SOC-Mitarbeitende in Deutschland. Kontinuierliches Monitoring, SIEM-gestützte Detektion, dokumentierte Eskalations- und Incident-Response-Pläne.
Verschlüsselte Backups, geografisch getrennte Aufbewahrung innerhalb der EU. Regelmäßige Restore-Tests. Recovery-Time-Objectives dokumentiert.
Datenschutz ist bei uns kein Cookie-Banner-Theater, sondern ein dokumentiertes operatives Programm. Unsere DSGVO-Umsetzung deckt die kompletten Pflichten ab — vom Verarbeitungsverzeichnis bis zur Drittlandsprüfung.
Sicherheits-Monitoring ist kein Outsourcing-Thema bei uns — sondern Kerngeschäft. Eigene Analysten, eigene Tools, eigene Datenflüsse, vollständig in der EU.
Zentrale Aggregation aller sicherheitsrelevanten Logs. Korrelations-Regeln nach MITRE ATT&CK. Aufbewahrung nach gesetzlichen Anforderungen.
EDR auf allen Endpunkten. Dokumentierter Incident-Response-Plan mit klaren Eskalationsstufen und Eskalations-Zeiten.
Regelmäßige Schwachstellen-Scans. Risikobasierte Priorisierung. Patch-Management mit SLAs nach Kritikalität.
Sie benötigen unseren AVV, möchten ein TOM-Dokument einsehen oder haben Fragen zu unserer ISO-27001-Zertifizierung? Schreiben Sie uns — wir antworten in der Regel innerhalb von 2 Werktagen.
E-Mail an info@germanaidefense.com →
Vertiefung: Information Security Policy · Datenschutzerklärung · GRC & Compliance Consulting
