PowerOn/wiki
3
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
wiki/e-compliance/security-overview.md
ValueOn AG b66bb51df5 DOcu updated
2026-04-06 00:46:32 +02:00

20 KiB
Raw Blame History

PowerOn Plattform -- Sicherheit und Compliance

Stand: Februar 2026 Zielgruppe: Entscheidungsträger, Einkauf, Rechtsabteilung, Datenschutzbeauftragte Klassifizierung: Kundeninformation

1. Management Summary

PowerOn ist eine Multi-Mandanten-KI-Plattform für Unternehmen, die es Organisationen ermöglicht, KI-gestützte Geschäftsprozesse sicher, datenschutzkonform und mandantengetrennt zu betreiben. Die Plattform richtet sich an mittlere bis grosse Unternehmen in datenschutzsensiblen Branchen wie Finanzwesen, Treuhand, Immobilien und Beratung.

Dieses Dokument beschreibt die in PowerOn implementierten Sicherheits- und Datenschutzmassnahmen, ordnet diese gängigen Standards zu und benennt transparent bestehende Einschränkungen.

Kernaussagen:

  • DSGVO-Betroffenenrechte (Auskunft, Löschung, Datenübertragbarkeit, Berichtigung) sind als Self-Service-Funktionen direkt in der Plattform implementiert.
  • Vollständige Mandantentrennung: Daten eines Mandanten sind unter keinen Umständen für andere Mandanten einsehbar oder zugänglich.
  • Rollenbasierte Zugriffskontrolle (RBAC): Jeder Datenzugriff wird gegen ein mehrstufiges Berechtigungssystem geprüft -- konfigurierbar pro Mandant und Funktionsmodul.
  • Verschlüsselung: Sensible Konfigurationsdaten sind nach Industriestandard verschlüsselt, sämtliche Kommunikation erfolgt über verschlüsselte Verbindungen.
  • Audit-Trail: Alle sicherheitsrelevanten Aktionen werden lückenlos protokolliert und stehen für Compliance-Nachweise zur Verfügung.
  • Transparenz bei KI-Nutzung: Die Plattform dokumentiert offen, welche Daten an KI-Dienste übermittelt werden, und bietet Konfigurationsoptionen für höchste Datenschutzanforderungen.

2. DSGVO-Konformität

PowerOn implementiert die zentralen Betroffenenrechte der Datenschutz-Grundverordnung (DSGVO/GDPR) direkt als Plattformfunktionen. Im Folgenden wird für jeden relevanten Artikel beschrieben, was implementiert ist und wo Einschränkungen bestehen.

2.1 Auskunftsrecht (Art. 15 DSGVO)

Nutzer können über eine Self-Service-Funktion sämtliche über sie gespeicherten Daten exportieren:

  • Persönliche Profildaten (Name, E-Mail, Spracheinstellungen)
  • Mandatszugehörigkeiten und zugewiesene Rollen
  • Zugriffsrechte auf Funktionsmodule
  • Erstellte und eingelöste Einladungen
  • Zeitpunkte der Kontoerstellung und letzten Anmeldung

Der Export umfasst alle auf Plattformebene gespeicherten Daten. Feature-spezifische Daten (z.B. Chat-Verläufe, Treuhandpositionen) können über die jeweiligen Funktionsmodule eingesehen werden.

Status: Implementiert.

2.2 Recht auf Löschung (Art. 17 DSGVO)

Nutzer können ihr Konto und alle zugehörigen Daten eigenständig und unwiderruflich löschen. Dabei gilt:

  • Das System durchsucht automatisch alle Datenbanken (Plattform, Verwaltung, Chat, alle Funktionsmodule) nach Einträgen, die dem Nutzer zugeordnet sind.
  • Nutzerbezogene Daten werden vollständig gelöscht.
  • Audit-Logs werden anonymisiert statt gelöscht -- dies gewährleistet die Einhaltung gesetzlicher Aufbewahrungspflichten bei gleichzeitiger Wahrung der Betroffenenrechte.
  • Die Löschung erfordert eine explizite Bestätigung durch den Nutzer.
  • Systemadministratoren sind von der Selbstlöschung ausgenommen (Vier-Augen-Prinzip).

Status: Implementiert.

2.3 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Nutzerdaten können in einem maschinenlesbaren, standardisierten Format (JSON-LD nach schema.org) exportiert werden. Dieses Format ermöglicht die Übertragung der Daten an einen anderen Dienstleister.

Status: Implementiert.

2.4 Berichtigungsrecht (Art. 16 DSGVO)

Nutzer können ihre Profildaten (Name, E-Mail, Spracheinstellungen) jederzeit selbst korrigieren.

Status: Implementiert.

2.5 Transparenz und Informationspflicht

Die Plattform stellt Nutzern aktiv Informationen über die Datenverarbeitung bereit:

  • Welche Daten erhoben werden
  • Zu welchem Zweck die Verarbeitung erfolgt
  • Auf welcher Rechtsgrundlage die Verarbeitung basiert
  • Welche Aufbewahrungsfristen gelten
  • Welche Betroffenenrechte bestehen und wie sie ausgeübt werden können

Status: Implementiert.

2.6 Bekannte Einschränkungen

Die folgenden Punkte sind transparent zu benennen:

  • Consent-Management: Die Plattform verfügt derzeit über kein granulares Einwilligungsmanagement mit individuellen Zustimmungs-Toggles. Die Einwilligung zur Datenverarbeitung erfolgt über die Nutzungsbedingungen und, bei Drittanbieter-Authentifizierung (Microsoft, Google), über die jeweiligen OAuth-Einwilligungsflüsse.
  • Datenschutz-Kontaktadresse: Die Kontaktadresse für Datenschutzanfragen ist pro Deployment konfigurierbar und muss vom jeweiligen Betreiber hinterlegt werden.

3. Mandantenmodell und Datenisolation

3.1 Grundprinzip

PowerOn ist als Multi-Mandanten-Plattform konzipiert. Jede Organisation, Abteilung oder jeder Kunde wird als eigenständiger Mandant abgebildet. Das zentrale Sicherheitsversprechen:

Daten eines Mandanten sind unter keinen Umständen für Nutzer anderer Mandanten sichtbar oder zugänglich.

3.2 Wie die Trennung funktioniert

  • Zugehörigkeitsprüfung bei jedem Zugriff: Bevor ein Nutzer auf Mandantendaten zugreifen kann, prüft die Plattform, ob eine aktive Mitgliedschaft des Nutzers in diesem Mandanten besteht. Ohne nachgewiesene Mitgliedschaft wird der Zugriff verweigert.
  • Kein mandantenübergreifender Datenfluss: Datenbankabfragen werden automatisch auf den Mandantenkontext gefiltert. Es gibt keinen Mechanismus, der Daten mandantenübergreifend zusammenführt oder exponiert.
  • Feature-Isolation: Innerhalb eines Mandanten werden Funktionsmodule (z.B. Chatbot, Treuhand, Immobilien) zusätzlich isoliert. Nutzer benötigen für jedes Funktionsmodul eine explizite Zugriffsberechtigung.

3.3 Mehrfachmandanten

Nutzer können gleichzeitig in mehreren Mandanten arbeiten -- ein häufiges Szenario bei Beratern, Treuhändern oder Dienstleistern mit mehreren Kunden. Die Plattform stellt sicher:

  • Der Mandantenkontext wird pro Anfrage bestimmt, nicht pro Sitzung. Ein Wechsel zwischen Mandanten ist jederzeit möglich, ohne dass Daten vermischt werden.
  • Es findet keine Übertragung von Daten, Berechtigungen oder Einstellungen zwischen Mandanten statt.

3.4 Schutz vor Manipulation

Auch bei technischem Wissen über die Plattformarchitektur ist ein unbefugter Zugriff auf fremde Mandantendaten nicht möglich: Die Zugehörigkeitsprüfung erfolgt serverseitig und kann nicht durch Manipulation von Anfrageparametern umgangen werden.

4. Rollenbasierte Zugriffskontrolle (RBAC)

4.1 Berechtigungsmodell

PowerOn verfügt über ein feingliedriges, rollenbasiertes Berechtigungssystem. Für jede Aktion (Lesen, Erstellen, Bearbeiten, Löschen) können individuelle Berechtigungsstufen vergeben werden:

Berechtigungsstufe Beschreibung
Kein Zugriff Funktion ist nicht verfügbar
Eigene Daten Zugriff nur auf selbst erstellte Einträge
Mandantendaten Zugriff auf alle Daten innerhalb des eigenen Mandanten
Alle Daten Vollzugriff (typischerweise für Administratoren)

4.2 Konfigurierbarkeit

  • Rollen können pro Mandant und pro Funktionsmodul definiert und zugewiesen werden.
  • Es gibt keine fest verdrahteten Berechtigungen -- jede Organisation kann das Rollenmodell an ihre Bedürfnisse anpassen.
  • Berechtigungsänderungen werden im Audit-Trail protokolliert.

4.3 Administratoren

Systemadministratoren verfügen über erweiterte Rechte, unterliegen jedoch ebenfalls dem RBAC-System. Alle Administratoraktionen werden gesondert im Audit-Log festgehalten. Es gibt kein unkontrolliertes "Superuser"-Konto ohne Nachvollziehbarkeit.

5. Verschlüsselung und Datensicherheit

5.1 Verschlüsselung ruhender Daten

Alle sensiblen Konfigurationsdaten werden verschlüsselt gespeichert:

  • Verschlüsselungsverfahren: AES-Verschlüsselung (Fernet)
  • Schlüsselableitung: PBKDF2-HMAC-SHA256 nach aktuellem Industriestandard
  • Umfang: Datenbankpasswörter, API-Schlüssel für KI-Dienste, OAuth-Geheimnisse, JWT-Schlüssel und alle weiteren als "SECRET" gekennzeichneten Konfigurationswerte

Sensible Konfigurationsdaten liegen zu keinem Zeitpunkt im Klartext in der Konfiguration oder im Quellcode vor.

5.2 Verschlüsselung in Übertragung

  • Sämtliche Kommunikation zwischen Client und Server erfolgt über HTTPS/TLS.
  • Verbindungen zu Drittdiensten (KI-Anbieter, Authentifizierungsdienste, E-Mail-Dienste) nutzen ebenfalls ausschliesslich verschlüsselte Verbindungen.
  • Die TLS-Konfiguration erfolgt auf Infrastruktur-Ebene (Azure / Reverse Proxy) -- dies entspricht dem Branchenstandard bei Cloud-Deployments und ermöglicht zentrale Verwaltung und Aktualisierung der Zertifikate.

5.3 Zugriffskontrolle auf Verschlüsselungsschlüssel

  • Der Zugriff auf Verschlüsselungsschlüssel ist auf das Minimum beschränkt.
  • Jeder Zugriff auf Verschlüsselungsfunktionen (Entschlüsselung, Neuverschlüsselung) wird im Audit-Trail protokolliert.
  • Eine Ratenbegrenzung schützt vor automatisierten Entschlüsselungsversuchen.

6. Schutzmassnahmen gegen Angriffe

PowerOn implementiert Schutzmassnahmen gegen die gängigsten Angriffsvektoren für Webanwendungen:

6.1 Cross-Site Request Forgery (CSRF)

Alle datenverändernden Operationen (POST, PUT, DELETE, PATCH) erfordern einen X-CSRF-Token Header. Die aktuelle Implementierung validiert das Tokenformat (16-64 Zeichen Hex-String); es gibt kein serverseitiges Session-Binding (kein klassisches Double-Submit oder Synchronizer Token). In Kombination mit SameSite=Strict Cookies und CORS bietet dies Basisschutz gegen CSRF.

6.2 Ratenbegrenzung (Rate Limiting)

Jede API-Funktion ist mit individuellen Zugriffslimits versehen, die automatisierte Angriffe und Missbrauch unterbinden:

Funktion Limit
Anmeldung 30 Versuche pro Minute
Datenexport (DSGVO) 5 Anfragen pro Minute
Kontolöschung 1 Anfrage pro Stunde
Chatbot-Nutzung 120 Anfragen pro Minute
Datei-Upload 10 Uploads pro Minute

6.3 Eingabebereinigung

Nutzereingaben werden bereinigt und validiert, bevor sie an KI-Modelle oder Datenbanken weitergeleitet werden. Dies schützt vor Prompt-Injection-Angriffen und anderen Manipulationsversuchen.

6.4 SQL-Injection-Schutz

  • Alle Datenbankabfragen der Plattform verwenden parametrisierte Abfragen -- der Industriestandard zur Vermeidung von SQL-Injection.
  • Der Chatbot-Datenbankzugriff ist zusätzlich auf reine Leseabfragen (SELECT) beschränkt. Schreibende, ändernde oder löschende Operationen sind auf Systemebene blockiert.

6.5 Cross-Origin Resource Sharing (CORS)

Nur definierte und verifizierte Quelldomains erhalten Zugriff auf die Plattform-API. Anfragen von nicht autorisierten Quellen werden automatisch abgelehnt.

7. KI-Dienste und Datenverarbeitung

Transparenz im Umgang mit KI-Diensten ist für datenschutzbewusste Organisationen entscheidend. PowerOn legt offen, wie Daten im Kontext der KI-Nutzung verarbeitet werden.

7.1 Welche Daten werden verarbeitet

Im Rahmen der KI-gestützten Funktionen (Chatbot, Workflow-Verarbeitung, Dokumentenanalyse) können folgende Daten an KI-Dienste übermittelt werden:

  • Nutzeranfragen und -eingaben
  • Dokumentinhalte (bei Dokumentenanalyse)
  • Gesprächsverläufe (bei Chat-Funktionen)

7.2 Welche KI-Anbieter werden genutzt

PowerOn unterstützt mehrere KI-Anbieter, die je nach Bedarf und Konfiguration eingesetzt werden:

  • OpenAI (GPT-4o und weitere Modelle)
  • Anthropic (Claude-Modelle)
  • Tavily (Websuche)
  • Private LLM (lokale/eigene Modelle -- kein externer Datenabfluss)

Die Auswahl des Anbieters ist konfigurierbar und kann an die Datenschutzanforderungen des Kunden angepasst werden.

7.3 Mandantentrennung bei KI-Anfragen

Jede KI-Anfrage erfolgt im Kontext des jeweiligen Mandanten. Es findet keine Vermischung von Daten verschiedener Mandanten in KI-Anfragen statt.

7.4 Kein Training mit Kundendaten

Bei Nutzung der Enterprise-API-Vereinbarungen der KI-Anbieter (OpenAI Enterprise API, Anthropic API) werden Kundendaten nicht für das Training der KI-Modelle verwendet. Dies ist vertraglich durch die Auftragsverarbeitungsvereinbarungen (AV-V / DPA) mit den jeweiligen Anbietern abgesichert.

7.5 Optionen für höchste Datenschutzanforderungen

Für Organisationen mit besonders hohen Datenschutzanforderungen bietet PowerOn:

  • Datenschutz-Neutralisierer: Optionales Modul, das personenbezogene Daten vor der Übermittlung an externe KI-Dienste entfernt oder pseudonymisiert.
  • Private-LLM-Anbindung: Möglichkeit, ein eigenes, lokal betriebenes Sprachmodell zu nutzen. In diesem Fall verlassen keine Daten die eigene Infrastruktur.

7.6 Bekannte Einschränkung

Die automatische Erkennung und Filterung personenbezogener Daten (PII) vor dem Versand an externe KI-Dienste ist nicht standardmässig aktiviert. Organisationen, die mit besonders sensiblen personenbezogenen Daten arbeiten, sollten den Datenschutz-Neutralisierer nutzen oder den Private-LLM-Connector einsetzen.

8. Audit-Trail und Nachvollziehbarkeit

8.1 Was wird protokolliert

Sämtliche sicherheitsrelevanten Aktionen werden automatisch und lückenlos in einem Audit-Log erfasst:

Kategorie Beispiele
Zugriff Anmeldungen, fehlgeschlagene Anmeldeversuche, Abmeldungen
Sicherheit Administratoraktionen, SysAdmin-Zugriffe, Sicherheitsereignisse
Datenschutz (DSGVO) Datenexporte, Kontolöschungen, Portabilitätsanfragen
Berechtigungen Rollenzuweisungen, Berechtigungsänderungen
Verschlüsselung Zugriffe auf Verschlüsselungsfunktionen
Datenoperationen Zugriffe auf sensible Geschäftsdaten

8.2 Aufbewahrung und Bereinigung

  • Standard-Aufbewahrungsdauer: 365 Tage (konfigurierbar)
  • Automatische Bereinigung: Veraltete Einträge werden durch einen täglichen Prozess entfernt -- dies stellt sicher, dass Audit-Daten nicht unbefristet aufbewahrt werden (DSGVO-Konformität).
  • Anonymisierung: Bei der Löschung eines Nutzerkontos werden zugehörige Audit-Einträge anonymisiert statt gelöscht. Die Nachvollziehbarkeit sicherheitsrelevanter Ereignisse bleibt gewahrt, ohne dass Rückschlüsse auf die gelöschte Person möglich sind.

8.3 Nutzung für Compliance-Nachweise

Die Audit-Daten können als Nachweis für interne und externe Audits herangezogen werden. Sie dokumentieren, wer wann welche sicherheitsrelevante Aktion durchgeführt hat, und unterstützen damit die Anforderungen an die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

9. Einordnung in gängige Standards

PowerOn orientiert sich an anerkannten Standards und Rahmenwerken. Die folgende Einordnung beschreibt transparent, welche Anforderungen die Plattform bereits abdeckt und wo Ergänzungen erforderlich sind.

9.1 DSGVO / GDPR

Anforderung Status Bemerkung
Betroffenenrechte (Art. 15--17, 20) Implementiert Auskunft, Löschung, Portabilität, Berichtigung als Self-Service
Rechenschaftspflicht (Art. 5 Abs. 2) Implementiert Lückenloser Audit-Trail
Verzeichnis der Verarbeitungstätigkeiten (Art. 30) Unterstützt Audit-Log liefert die Datenbasis; das formale Verzeichnis muss vom Betreiber geführt werden
Technische und organisatorische Massnahmen (Art. 32) Implementiert Verschlüsselung, Zugriffskontrolle, Mandantentrennung, Eingabevalidierung
Einwilligungsmanagement (Art. 7) Teilweise Über Nutzungsbedingungen und OAuth; kein granulares Consent-Tool

9.2 Schweizer Datenschutzgesetz (nDSG / revDSG)

Die Anforderungen des revidierten Schweizer Datenschutzgesetzes sind mit den DSGVO-Massnahmen kompatibel. Insbesondere:

  • Informationspflicht bei Datenerhebung: Transparenzfunktion implementiert
  • Recht auf Datenherausgabe und -löschung: Self-Service-Funktionen vorhanden
  • Pflicht zu angemessenen technischen Massnahmen: Verschlüsselung, RBAC, Mandantentrennung

9.3 OWASP Top 10

Die Plattform adressiert die häufigsten Web-Sicherheitsrisiken gemäss OWASP:

OWASP-Risiko Massnahme in PowerOn
Broken Access Control Rollenbasierte Zugriffskontrolle, Mandantenprüfung bei jedem Zugriff
Cryptographic Failures AES-Verschlüsselung, PBKDF2-Schlüsselableitung, HTTPS/TLS
Injection Parametrisierte Datenbankabfragen, Eingabebereinigung, SQL-Leseeinschränkung
Security Misconfiguration CORS-Einschränkungen, Rate Limiting, CSRF-Schutz
Identification and Authentication Failures JWT-basierte Authentifizierung, Token-Widerruf, Ratenbegrenzung bei Anmeldung

Es besteht keine formale OWASP-Zertifizierung. Die Massnahmen basieren auf den OWASP-Empfehlungen und sind als präventive Sicherheitsmassnahmen implementiert.

9.4 ISO 27001 / BSI IT-Grundschutz

Die implementierten technischen und organisatorischen Massnahmen (Zugriffskontrolle, Verschlüsselung, Audit-Logging, Eingabevalidierung, Mandantentrennung) bilden eine solide Grundlage für ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder BSI IT-Grundschutz.

Es besteht keine formale Zertifizierung. Die vorhandene Infrastruktur ermöglicht es jedoch, eine Zertifizierung auf dieser Basis gezielt anzustreben.

10. Authentifizierung und Identitätsmanagement

10.1 Anmeldemethoden

PowerOn unterstützt mehrere Authentifizierungsverfahren:

  • Lokale Anmeldung: Benutzername und Passwort mit JWT-basierter Sitzungsverwaltung
  • Microsoft-Anmeldung (Azure AD / Entra ID): Single Sign-On über bestehende Microsoft-Konten
  • Google-Anmeldung: Single Sign-On über Google Workspace

10.2 Sitzungssicherheit

  • Authentifizierungstoken werden in sicheren, HTTP-only Cookies gespeichert (nicht im Browser-Speicher zugänglich)
  • Tokens haben eine konfigurierbare Gültigkeitsdauer
  • Token-Widerruf ist jederzeit möglich (z.B. bei Verdacht auf Kompromittierung)
  • Bei lokaler Anmeldung wird die Gültigkeit des Tokens zusätzlich gegen die Datenbank geprüft

10.3 Automatische Token-Erneuerung

Authentifizierungstoken werden automatisch erneuert, bevor sie ablaufen. Dies gewährleistet eine unterbrechungsfreie Nutzung bei gleichzeitiger Begrenzung der Token-Gültigkeitsdauer.

11. Offene Punkte und Empfehlungen

Transparenz schafft Vertrauen. Die folgenden Punkte sind offen benannt, damit Kunden und Betreiber informierte Entscheidungen treffen können.

Thema Status Empfehlung
Granulares Consent-Management Nicht vorhanden Falls regulatorisch erforderlich, als separates Modul ergänzen
PII-Filterung vor KI-Versand Nicht standardmässig aktiv Datenschutz-Neutralisierer aktivieren oder Private LLM einsetzen
Security-Header (CSP, HSTS) Auf Infrastruktur-Ebene Konfiguration auf Reverse-Proxy-Ebene dokumentieren und prüfen
Datenschutz-Kontaktadresse Platzhalter Pro Deployment mit tatsächlicher DSB-Kontaktadresse konfigurieren
Formale Zertifizierungen Keine vorhanden ISO 27001 / BSI auf Basis der vorhandenen Massnahmen anstrebbar

12. Zusammenfassung

PowerOn vereint Enterprise-KI-Funktionalität mit einem umfassenden Sicherheits- und Datenschutzkonzept. Die Plattform bietet:

  • DSGVO-konforme Betroffenenrechte als Self-Service-Funktionen
  • Vollständige Mandantentrennung mit serverseitiger Zugehörigkeitsprüfung
  • Feingliedriges Berechtigungssystem mit individuell konfigurierbaren Rollen
  • Verschlüsselung nach Industriestandard für ruhende und übertragene Daten
  • Lückenlosen Audit-Trail für Compliance-Nachweise
  • Transparente KI-Datenverarbeitung mit Optionen für höchste Datenschutzanforderungen

Gleichzeitig werden bestehende Einschränkungen offen kommuniziert und Empfehlungen für ergänzende Massnahmen gegeben. Diese Kombination aus implementierter Sicherheit und transparenter Kommunikation bildet die Grundlage für eine vertrauensvolle Zusammenarbeit.

Dieses Dokument basiert auf einer Analyse der PowerOn-Plattform (Stand Februar 2026). Alle beschriebenen Massnahmen sind in der Plattform implementiert und wurden anhand der Codebasis verifiziert. Angaben ohne Gewähr -- für verbindliche Zusicherungen gelten die jeweiligen Vertragsvereinbarungen.