Sicherheit

Diese Sicherheitsrichtlinie beschreibt die umfassenden Maßnahmen von Packwise zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit aller Daten, die von unseren IoT-Geräten und der Cloud-Plattform verarbeitet werden.

1. Einführung & Selbstverpflichtung

Packwise betreibt IoT-Geräte und die cloudbasierte Plattform Packwise Flow, über die betriebliche und personenbezogene Daten verarbeitet werden. Der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit dieser Informationen ist ein zentrales Unternehmensziel.

Wir betreiben ein Managementsystem für Informationssicherheit (ISMS), das sich am BSI-„IT-Grundschutz“ orientiert und in unser zertifiziertes Qualitätsmanagementsystem integriert ist. Die Verantwortung liegt bei der Geschäftsführung und wird durch einen Informationssicherheitsbeauftragten sowie klar definierte Rollen und Zuständigkeiten unterstützt.

Alle Mitarbeitenden sind verpflichtet, die Sicherheitsrichtlinien einzuhalten und werden regelmäßig geschult und sensibilisiert. Vorsätzliche oder grob fahrlässige Verstöße können arbeitsrechtliche Konsequenzen haben.

2. Geltungsbereich

Diese Sicherheitsseite beschreibt, wie wir schützen:

  • Packwise Flow – unsere SaaS-Cloud-Plattform und zugehörige APIs
  • Packwise IoT-Geräte und Firmware (Packwise Smart Cap)
  • Cloud-Dienste und -Infrastrukturen, die zur Bereitstellung dieser Produkte genutzt werden
  • Interne Arbeitsplatz-IT-Systeme und Endgeräte der Mitarbeitenden

Sie ergänzt die vertragliche Leistungsbeschreibung für die Packwise-Dienste.

3. Sicherheitspraktiken & Standards

3.1 Governance, Rollen & Zugriffskontrolle

  • Rollen für Cloud-Dienste
    Für Cloud-Dienste sind Rollen und Zuständigkeiten (Mitarbeitende, externe Mitarbeitende, Praktikanten, Teamleiter, Administratoren, Informationssicherheitsbeauftragter) definiert. Zugriffe werden rollenbasiert vergeben und mindestens alle sechs Monate überprüft.
  • Prinzip der minimalen Rechte
    Für kritische und unkritische Cloud-Dienste wird je Dienst ein Superadmin benannt. Dieser vergibt Berechtigungen nach dem „Least-Privilege“-Prinzip, sodass Nutzer nur die Rechte erhalten, die sie zur Aufgabenerfüllung benötigen.
  • On- und Offboarding
    Ein strukturierter Einarbeitungsplan regelt die Anlage von Konten, die Vergabe von Rollen und Schulungen. Beim Austritt werden Zugriffsrechte entzogen und die Aufhebung dokumentiert.
  • Arbeitsplatz- und Privatgeräte
    Arbeitsplatzendgeräte dürfen nur gemäß der Endgeräte-Verfahrensanweisung genutzt werden. Private Geräte dürfen nicht im Firmennetz genutzt werden; Ausnahmen gelten ausschließlich für 2-Faktor-Authentifizierung über das Gästenetz und freigegebene Authenticator-Apps.

3.2 Authentifizierung & Multi-Faktor-Authentifizierung (MFA)

  • Zugänge zu Endgeräten, kritischen Cloud-Diensten und proprietären Diensten sind durch starke Authentifizierung und verbindliche Passwortregeln (Länge, Komplexität, keine Wiederverwendung) geschützt.
  • Für Systeme und Dienste mit sensiblen Daten sowie für Packwise Flow ist die Nutzung von Multi-Faktor-Authentifizierung verpflichtend vorgesehen.
  • MFA kann über freigegebene Authenticator-Apps auf privaten Geräten erfolgen, die ausschließlich zu diesem Zweck genutzt werden. Verlust oder Diebstahl solcher Geräte ist umgehend zu melden, damit Zugänge gesichert und auf unbefugte Nutzung geprüft werden können.

3.3 Verschlüsselung & sichere Kommunikation

  • Datenübertragung und -speicherung
    Für IoT-Geräte und Cloud-SaaS-Lösungen sind aktuelle kryptografische Algorithmen mit Schlüssellängen von mindestens 128 Bit vorgegeben; schwache oder veraltete Verfahren (u. a. MD5, SHA-1, DES, 3DES) sind ausgeschlossen.
    Schlüssel werden nach definierten Verfahren verwaltet und regelmäßig erneuert.
    Kryptografische Bibliotheken von Drittanbietern werden auf Sicherheitslücken geprüft und aktuell gehalten.
  • Web- & API-Kommunikation
    Der Datenaustausch zwischen Endpunkten erfolgt über HTTPS. Nur freigegebene Endpunkte mit gültigen Zertifikaten dürfen genutzt werden; Warnungen dürfen nicht ignoriert werden. Es sind nur freigegebene Browser zulässig, die aktuell gehalten werden müssen.
  • E-Mail
    E-Mail-Kommunikation wird über SMTPS/IMAPS mit SSL/TLS abgesichert. Eingehende E-Mails werden serverseitig auf Malware geprüft; Anhänge dürfen nur geöffnet werden, wenn Absender und Inhalt plausibel sind.
  • Transportschutz & Perimeter
    Übertragungswege außerhalb der internen privaten Netze von Packwise sind TLS/SSL-geschützt; sensible Netzwerkschnittstellen werden durch Web Application Firewalls abgesichert.

3.4 Endgeräte-, physische & Umgebungssicherheit

  • Arbeitsplatzendgeräte
    Alle Endgeräte müssen durch starke Authentifizierung geschützt sein, sperren sich nach kurzer Inaktivität automatisch und werden mit aktuellen Betriebssystemen und Anwendungen betrieben. Eine zentrale Antivirensoftware ist aktiv, persönliche Änderungen an Firewall- und AV-Konfiguration sind nicht zulässig. Wechseldatenträger sind am Arbeitsplatz untersagt.

Kritische Daten werden fortlaufend in die Unternehmens-Cloud (z. B. OneDrive) repliziert; regelmäßige Integritätsprüfungen und Wiederherstellungstests stellen die Wiederherstellbarkeit sicher.

  • Private Endgeräte
    Die geschäftliche Nutzung privater Endgeräte ist grundsätzlich verboten. Eine Ausnahme besteht nur für 2-Faktor-Authentifizierung unter den dort beschriebenen Bedingungen.
  • Zutritt zum Büro
    Der Zutritt zu den Büroräumen wird über abschließbare Türen und eine Transponder-Zugangskontrolle geregelt. Transponder sind personengebunden und werden in einer Liste dokumentiert; Besucher müssen sich anmelden und begleitet werden.

Ein Reaktionsplan regelt Meldung, Sicherung der Bereiche, Analyse und Verbesserungsmaßnahmen bei physischen Sicherheitsvorfällen.

3.5 Softwareentwicklung, Firmware & Updates

  • Software in Produkten und Kundenprojekten
    Eingesetzte Software wird nach Kriterien wie Sicherheit, Kompatibilität, Funktionalität, Kosteneffizienz und Lizenzanforderungen ausgewählt. Vor dem Einsatz wird sie getestet und validiert, dokumentiert und über den Lebenszyklus mit Updates, Fehlerbehebungen und Sicherheitspatches gewartet. Rechts- und Ethikvorgaben (insbesondere Datenschutz und Lizenzrecht) sind einzuhalten.
  • Software auf Arbeitsplatzrechnern
    Software auf Arbeitsplatzrechnern wird zentral freigegeben; Nutzer sind verpflichtet, Betriebssystem und Anwendungen aktuell zu halten. Die Einhaltung der Vorgaben wird regelmäßig überprüft.
  • Firmware-Releaseprozess
    Firmware-Versionen durchlaufen einen definierten Prozess mit Entwicklungs-, Test-, kontrollierter Rollout- und Rollout-Phase. Dazu gehören Testpläne, interne Testgeräte, Tests in internen und externen Testpools mit definierten Beobachtungszeiträumen sowie dokumentierte Reports und Freigaben. In dringenden Fällen kann der kontrollierte Rollout verkürzt werden.
  • Proprietärer Dienst Packwise Flow
    Der proprietäre Dienst Packwise Flow steht nur befugten Personen zur Verfügung. Admin-Zugänge sind auf bestimmte Rollen (z. B. Account Management, Support, Entwicklung) beschränkt. Es gelten starke Passwörter, verpflichtende 2-Faktor-Authentifizierung, automatische Abmeldung und definierte Backup-Verantwortlichkeiten.

3.6 Backups, Verfügbarkeit & Kontinuität

  • Die Packwise-Flow-Plattform wird als SaaS-Cloud-Lösung auf Infrastruktur spezialisierter Partner betrieben; ein ISO-27001-konformer Cloud-Datenbankdienst wird genutzt.
  • Datenbank-Backups erfolgen alle sechs Stunden sowie zusätzlich wöchentlich und monatlich mit definierten Aufbewahrungsfristen; Backups werden redundant und geografisch verteilt gespeichert. Bei Datenbeschädigungen erfolgt eine Wiederherstellung aus dem jüngsten Backup.
  • Kritische Daten auf Endgeräten werden dauerhaft in die Unternehmens-Cloud gespiegelt; Integritätsprüfungen und Wiederherstellungstests unterstützen die Notfallwiederherstellung.
  • Für kritische Cloud-Dienste Dritter ist eine Backup-Policy des Dienstleisters erforderlich, die vom Informationssicherheitsbeauftragten bewertet wird; bei weniger kritischen Diensten liegt das Backup beim Dienstleister.

Für die Packwise-Flow-Plattform ist eine monatliche Verfügbarkeitszielgröße von 98,74 % definiert; bei Unterschreitung sind Leistungsguthaben geregelt.

3.7 Datenschutz & Compliance

Die Maßnahmen der Informationssicherheit sind darauf ausgerichtet, die Einhaltung relevanter Gesetze, Vorschriften und vertraglicher Verpflichtungen – einschließlich der Datenschutz-Grundverordnung der EU – zu unterstützen. Das ISMS ist in das zertifizierte Qualitätsmanagementsystem integriert und verweist u. a. auf BSI-Standard 200-1 und einschlägige Normen.

3.8 Schulung, Audits & Umgang mit Sicherheitsvorfällen

Mitarbeitende werden regelmäßig geschult und sensibilisiert; neue Mitarbeitende erhalten im Rahmen der Einarbeitung eine Einführung in die relevanten Verfahrensanweisungen.

Interne Audits prüfen regelmäßig die Einhaltung der Sicherheitsrichtlinien für E-Mail, Endpunkte, Kommunikation, Cloud-Dienste und weitere Bereiche.

Für technische und physische Vorfälle existieren Aktions- bzw. Reaktionspläne, die u. a. das sofortige Trennen betroffener Systeme, Meldung an den Informationssicherheitsbeauftragten, Analyse, Wiederherstellung (z. B. aus Backups, Patches) sowie die Optimierung der Sicherheitsmaßnahmen vorsehen.

4. Meldung von Sicherheitslücken (Responsible Disclosure)

Wir freuen uns über verantwortungsvolle Hinweise zu potenziellen Sicherheitslücken in unseren Systemen.

Bitte melden Sie potenzielle Schwachstellen an: info@packwise.de (Betreff: „Security issue“).

Hilfreiche Angaben:

  • Beschreibung des betroffenen Systems (z. B. Packwise Flow, API, Gerät)
  • Technische Details und Schritte zur Reproduktion
  • Ggf. relevante Log-Ausschnitte oder Screenshots, soweit rechtlich zulässig

Unser Umgang mit Meldungen

  • Wir bestätigen den Eingang innerhalb von 72 Stunden.
  • Innerhalb von 7 Tagen geben wir eine erste Einschätzung und informieren über die weiteren Schritte, soweit möglich.

Was wir erwarten:

  • Führen Sie keine Tests durch, die den Betrieb stören (z. B. DDoS, massenhaftes Scanning).
  • Greifen Sie nicht auf Daten Dritter zu und verändern Sie keine produktiven Daten.
  • Nutzen Sie kein Social Engineering, keine Phishing-Mails und keinen physischen Zutritt.
  • Verwenden Sie ausschließlich Konten und Daten, zu deren Nutzung Sie berechtigt sind.

Wir veröffentlichen Namen von Forschenden nur mit deren ausdrücklicher Zustimmung. Auf Wunsch können wir nach erfolgreicher Behebung einer Schwachstelle eine namentliche Nennung auf der Seite mit den Acknowledgments vornehmen.

5. Acknowledgments

Wir danken allen Sicherheitsforschenden, Partnern und Kund:innen, die uns durch verantwortungsvolle Meldungen helfen, die Sicherheit unserer Produkte und Dienste kontinuierlich zu verbessern.

Etwaige Danksagungen veröffentlichen wir – nach Abstimmung mit den Meldern – hier:
https://packwise.de/security-acknowledgments

6. Versionshistorie
  • Version: 1.0
  • Letzte Aktualisierung: 24.11.2025