Compliance und Sicherheit

ISO 27001-Zertifizierung

Turbit befindet sich derzeit im Zertifizierungsprozess nach ISO/IEC 27001 , der voraussichtlich im ersten Quartal 2026 abgeschlossen sein wird. Interne Richtlinien, Kontrollen und Prüfungen sind bereits vorhanden, um diesem Standard zu entsprechen.

Kritische Infrastruktur

Nahezu alle Turbit-Kunden werden als Betreiber kritischer Infrastrukturen eingestuft. Die Verifizierung dieser Kunden wurde anhand detaillierter Infrastruktur- und Sicherheitspläne abgeschlossen. Turbit hat keinen direkten Zugriff auf die Steuerungssysteme von Wind- oder Solarparks, was das Sicherheitsrisiko begrenzt und die Verifizierungsprozesse vereinfacht.

Dokumentation für Kunden

Sicherheitsübersicht und Infrastrukturpläne sind auf Anfrage erhältlich.

Datenumfang

• Betriebsdaten wie SCADA-Daten, Statuscodes, Sensorsignale, Leistungs- und Wartungsinformationen
• Kundendaten: Es werden nur die unbedingt notwendigen geschäftlichen Kontaktdaten gespeichert.

Verschlüsselung

• Während der Übertragung: TLS für alle Schnittstellen.
• Im Ruhezustand: verschlüsselte Speicherung auf Infrastruktur innerhalb der EU.

Datenresidenz

• Die gesamte Lagerung und Verarbeitung erfolgt innerhalb der Europäischen Union.

MIT DOKUMENTEN CHATTEN

Unsere Server befinden sich in europäischen Bare-Metal-Servern in EU-Rechenzentren, die der ISO 27001-Norm entsprechen. Nur Turbit hat Zugriff darauf.

Architektur

Produktionsdienste und Datenbanken laufen redundant, mindestens drei Dienste sind in verschiedenen Rechenzentren verteilt. Private Netzwerke, Segmentierung und Firewalls schützen alle Schnittstellen.

• Strukturierter Softwareentwicklungszyklus mit Sicherheitsüberprüfungen bei Änderungen.
• Änderungen werden über RFCs und Architectural Decision Records nachverfolgt.
• Wöchentliche automatische Aktualisierungen von Diensten und Betriebssystemen.
• Nur vom Cybersicherheitsteam geprüfte Pakete werden zugelassen.
• Kontinuierliche Überwachung von Sicherheitswarnungen mit schneller Patch-Eingabe.

Kontolebenszyklus

• Manuelle Benutzererstellung, sofortiger Widerruf möglich.
• Halbautomatische, regelmäßige Zugriffsüberprüfungen.
• Geplante Kontrollmaßnahmen: automatische Deaktivierung inaktiver Konten und erzwungene Passwortrotation für kritische Dienste.

Authentifizierung und Schnittstellen

• Unterstützung für Multi-Faktor-Authentifizierung
• API-Zugriff über API-Schlüssel, OAuth 2.0 oder Zertifikate.
• Fernzugriff über 2FA, SSH-Schlüsselauthentifizierung, OpenVPN und OAuth.

Minimale Privilegien

• Rollenbasierte Zugriffskontrolle für Mitarbeiter, Kunden und Lieferanten.

• Verbindungen zu externen Einrichtungen werden über das Turbit-Support-Ticket-System bereitgestellt.
• Nur geschultes und autorisiertes Personal hat Zugang zu diesen Bereichen.
• Passwörter werden über ein sicheres Einmalübertragungssystem ausgetauscht (Geheimnis teilen – Einmalig).

Prävention und Erkennung

• Netzwerksegmentierung und Firewalls sind eingerichtet.
• WORM-Protokollspeicherung und -überwachung mit Betrugserkennungsanalysen, SIEM und IDS.

MIT DOKUMENTEN CHATTEN

• Kontinuierliche Überwachung von Cybersicherheitswarnungen.
• Die Schwachstellen werden im internen Ticketsystem priorisiert und je nach Kritikalität behoben.

• Mindestens wöchentliche Hot-Backups durchführen.
• Vierteljährliche Offline-Backups, extern gespeichert.
• Monatliche automatisierte Wiederherstellungstests und halbjährliche manuelle Übungen.

Umfassendes Audit-Logging wird für ISO-Konformität eingeführt und erfasst Anmeldungen, Zugriffe, Konfigurationsänderungen und Admin-Aktionen in WORM-Speicher.

Die KI von Turbit zur Überwachung ist als minimales/begrenztes Risiko ohne autonome sicherheitskritische Steuerung klassifiziert. Wir implementieren Transparenz, Erklärbarkeit und menschliche Aufsicht in all unseren KI-Produkten gemäß GDPR und EU AI Act.