FAQ — Sicherheit und Hosting

Diese Seite fasst die häufigsten Fragen zu Sicherheit und Hosting zusammen. Für eine erschöpfende Beschreibung stellt Omniscol auf Anfrage (oder je nach Fall unter NDA) die offiziellen Dokumente bereit:

  • SECURITY_OVERVIEW.md — öffentliche Übersicht,
  • SECURITY_ONE_PAGER.md — Zusammenfassung für CISOs,
  • SECURITY_FULL.md — vollständige Dokumentation (Governance, Infrastruktur, Kontrollen, Compliance, Incident Response),
  • ISO27001_MAPPING.md — Zuordnung zu den ISO-27001-Kontrollen,
  • SSI_QUESTIONNAIRE_STANDARD.md — Antworten auf den standardmäßigen Fragebogen zur Informationssicherheit.

Bei allen Sicherheitsfragen: security@omniscol.com.

Wo werden meine Daten gehostet?

Das Impressum gibt ein Hosting in der Europäischen Union an, auf AWS Paris und Scaleway. Die genauen Zusagen zu Redundanz, Sicherung, Aufbewahrung und Verfügbarkeit hängen vom vertraglichen Rahmen ab, der für Ihr Konto gilt.

Ist Omniscol DSGVO-konform?

Omniscol ist für einen DSGVO-konformen Einsatz konzipiert. Praktische Konsequenzen:

  • Hosting ausschließlich in der EU (Frankreich).
  • Logische Isolation pro Kunde: kein kontenübergreifender Zugriff ist möglich.
  • Kein Profiling, kein Weiterverkauf von Daten, keine Zweitverwendung der Inhalte Ihrer Schule.
  • Reversibilität: vollständiger JSON-Export über Herunterladen.
  • Bearbeitung der Anträge betroffener Personen gemäß dem geltenden vertraglichen und regulatorischen Rahmen.

Ist Omniscol nach ISO 27001 zertifiziert?

Bislang nicht zertifiziert, aber die Praktiken sind ausgerichtet an den Prinzipien des Referenzrahmens und folgen einem risikobasierten, fortlaufend überprüften Ansatz. Die Details der Kontrollen können im geeigneten vertraglichen oder sicherheitsbezogenen Rahmen bereitgestellt werden.

Wie werden Passwörter geschützt?

Omniscol schützt Passwörter auf folgende Weise:

  • Vorab-Hashing auf Client-Seite mit scrypt — Ihr Passwort im Klartext erreicht niemals die Server.
  • Serverseitige Speicherung als gesalteter Hash.
  • Kein Klartext-Passwort wird jemals übertragen oder gespeichert.
  • Kein Omniscol-Administrator kann ein Benutzerpasswort lesen, auffinden oder wiederherstellen.

Falls der Verdacht besteht, dass ein Konto kompromittiert wurde, macht die Änderung des Passworts alle abgeleiteten Zugänge ungültig, die von diesem Geheimnis abhängen, insbesondere die Freigabelinks, die an das Passwort des Erstellers gebunden sind.

Ist die Kommunikation verschlüsselt?

Der öffentliche Anwendungszugriff läuft über HTTPS. Die Konfiguration der Netzwerkexposition hängt vom gewählten Deployment ab und muss im sicherheitsbezogenen oder vertraglichen Rahmen des betreffenden Kontos geprüft werden.

Wie funktioniert die Authentifizierung?

Omniscol-Sitzungen verwenden signierte Token mit begrenzter Lebensdauer; der Zugriff wird erneuert, während der Benutzer in der Oberfläche arbeitet.

Freigabelinks und API-Token folgen getrennten Regeln:

  • ein Freigabelink kann ein Ablaufdatum haben und hängt außerdem vom Konto ab, das ihn erstellt hat; das Ändern des Passworts dieses Kontos oder dessen Deaktivierung macht die betreffenden Zugänge ungültig;
  • ein API-Token hängt von einem in der Oberfläche erstellten Schlüssel ab; das Löschen dieses Schlüssels oder das Erreichen seines Ablaufdatums macht die zugehörigen Token ungültig.

Siehe auch Freigabelink und Omniscol-API.

API: Schlüssel und Token

Der API-Zugriff wird über die Oberfläche mit zwei sichtbaren Objekten verwaltet:

  1. Schlüssel — erstellt mit einer Bezeichnung und bei Bedarf einem Ablaufdatum. Dieses Ablaufdatum kann später geändert werden.
  2. Token — aus einem Schlüssel generiert, mit einer Liste erlaubter API-Zugriffspunkte und einem eigenen Ablaufdatum. Dieses Ablaufdatum lässt sich nach der Generierung nicht mehr ändern; es muss ein neues Token erstellt werden.

Bewährte Praxis: ein Schlüssel pro Integration, mit einer aussagekräftigen Bezeichnung und einem dem Bedarf angemessenen Ablaufdatum. Im Zweifelsfall löschen Sie den Schlüssel und erstellen einen neuen.

Siehe Omniscol-API.

Können meine Benutzer ihr Unternehmenskonto (SSO) verwenden?

Ja, über OIDC / SSO, sofern die Konfiguration auf dem Konto aktiviert ist. Omniscol unterstützt Google Workspace, Microsoft Entra ID und generische OIDC-Anbieter.

Jeder Benutzer meldet sich dann mit seiner Unternehmensidentität an und behält die in Omniscol konfigurierten Berechtigungen.

Welche Schutzmaßnahmen gibt es gegen missbräuchliche Anmeldeversuche?

  • Antworten auf fehlgeschlagene Authentifizierungen werden bewusst verzögert.
  • Die Verwaltungsbildschirme profitieren von verstärkten Schutzmaßnahmen.
  • Omniscol gibt nicht an, ob die Kennung existiert oder nicht: die Meldung bleibt allgemein.

Lebenszyklus der Benutzerkonten

  • Deaktivierung ohne Löschung — ein deaktiviertes Konto kann sich nicht mehr anmelden, aber die zugehörigen Daten bleiben erhalten.
  • Pflichtänderung beim ersten Zugriff — wenn ein Passwort manuell festgelegt wird, muss der Benutzer es bei der ersten Anmeldung ändern.
  • Zurücksetzen — ein Administrator kann ein Zurücksetzen auslösen, ohne das bestehende Passwort zu kennen.

Netzwerksicherheit und Betrieb

Die auf Anfrage bereitgestellten Sicherheitsdokumente beschreiben im Detail das Hosting, die Netzwerktrennung, die Regeln für den Datenzugriff und die betrieblichen Verfahren, die für das betreffende Konto gelten.

Gibt es ein Audit-Protokoll?

Ja, wenn die Protokolloption und die entsprechende Aufbewahrung für das Konto aktiviert sind. Der sichtbare Umfang hängt von den protokollierten Vorgängen und der von Omniscol konfigurierten Tiefe ab. Siehe Aktivitätsprotokoll (Logs).

OWASP Top 10

Omniscol wendet Kontrollen an, die an den Risiken der OWASP Top 10 ausgerichtet sind: Zugriffskontrolle, Verschlüsselung, Validierung der Eingaben, sichere Konfiguration, Überwachung der Abhängigkeiten, Schutz der Sitzungen und Protokollierung. Der genaue Umfang kann in den auf Anfrage bereitgestellten Sicherheitsdokumenten beschrieben werden.

Automatisierte Sicherheitstests

Automatisierte Prüfungen sind in den Entwicklungs- und Bereitstellungsprozess von Omniscol integriert. Ihr Umfang entwickelt sich mit dem Produkt; die detaillierten Elemente können im geeigneten sicherheitsbezogenen Rahmen bereitgestellt werden.

Wie führe ich eine manuelle Sicherung durch?

Die Schaltfläche Herunterladen lädt einen vollständigen Export des Kontos im JSON-Format herunter. Die Datei muss sorgfältig aufbewahrt werden: sie enthält die Passwort-Hashes und sämtliche personenbezogenen Daten.

Bei einem schwerwiegenden Zwischenfall kann diese Datei zur erneuten Einspielung an das Omniscol-Team zurückgesendet werden.

Wenn die Option Snapshots auf dem Konto aktiviert ist, können Sie außerdem die Erstellung wiederherstellbarer Sicherungspunkte automatisieren. Siehe Sicherungspunkte.

Vorfallshistorie

Zum letzten Stand der Erfassung (Februar 2026):

  • 0 Verletzungen von Kundendaten (kumulierte Historie).
  • 0 Sicherheitsvorfälle im Jahr 2025.

Diese Zahlen werden in SECURITY_ONE_PAGER.md veröffentlicht, einem vierteljährlich überprüften Dokument.

See also