Sicherheit

Sicherheit & Compliance

Wie TakeOvr Kundenkonten, IoT-Telemetriedaten und Betriebsdaten schützt – auf jeder Ebene.

Zuletzt aktualisiert: 7. Juni 2026

Sicherheit ist bei TakeOvr ein fortlaufender Prozess, keine Checkliste. Diese Seite fasst die Kontrollen, Zertifizierungen und Praktiken zusammen, die Kundendaten und die über unsere Plattform fließenden IoT-Telemetriedaten schützen. Für einen vollständigen Sicherheitsfragebogen oder um unsere Liste der Subunternehmer anzufordern, kontaktieren Sie zee@novakhan.com.

Verschlüsselung

Bei der Übertragung. Alle Verbindungen zwischen Geräten, Browsern und TakeOvr-APIs verwenden TLS 1.2 oder höher mit modernen Cipher Suites. HTTP Strict Transport Security (HSTS) wird erzwungen, sobald SSL auf dem öffentlichen Host aktiv ist. Der MQTT-Gerätedatenverkehr wird je nach Hardwarefähigkeit mit TLS-PSK oder X.509-Client-Zertifikaten gesichert.

Im Ruhezustand. Kundendaten, Telemetriedaten und Backups werden mit AES-256 verschlüsselt. Datenbankspeicher und Objektspeicher-Volumes werden mit verwalteten Schlüsseln verschlüsselt, die von unseren Cloud-Anbietern gehalten werden.

Zugriffskontrolle

  • Rollenbasierte Zugriffskontrolle (RBAC) mit mandanten- und gruppenbezogenen Berechtigungen.
  • Verpflichtendes Single Sign-On (SSO/SAML) für Enterprise-Mandanten; unterstützt Google Workspace, Azure AD, Okta und jeden SAML-2.0-kompatiblen Identitätsanbieter.
  • Multi-Faktor-Authentifizierung für alle Konten verfügbar; pro Mandant erzwingbar.
  • Der interne Zugriff auf Produktionssysteme ist nach dem Prinzip der geringsten Rechte beschränkt, erfordert SSO plus Hardware-Key-MFA und wird lückenlos protokolliert.

Anwendungssicherheit

  • Mandantentrennung wird bei jeder Datenbankabfrage und jeder Serverfunktion durchgesetzt.
  • Eingabevalidierung mit typisierten Schemas (Zod) an jeder Grenze.
  • Strikte Content Security Policy und Sicherheits-Header (X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP) auf allen öffentlichen Oberflächen.
  • Noindex nach dem Defense-in-Depth-Prinzip auf privaten Routen (Meta-Tag und HTTP-Header).
  • Abhängigkeiten werden mit automatisiertem CVE-Scanning überwacht; Sicherheitspatches werden wöchentlich oder bei kritischen Hinweisen früher ausgerollt.

Compliance & Zertifizierungen

TakeOvr ist um ein SOC-2-Typ-II-Kontrollrahmenwerk herum aufgebaut. Konkrete Zertifizierungen und externe Audits sind auf Anfrage unter NDA verfügbar.

Wir richten unsere Datenverarbeitungspraktiken an der EU-Datenschutz-Grundverordnung (DSGVO), dem Datenschutzgesetz der VAE für personenbezogene Daten (Bundesdekretgesetz Nr. 45 von 2021), dem britischen Data Protection Act 2018 und vergleichbaren Regelwerken aus.

Infrastruktur

  • Produktions-Workloads laufen in geprüften, nach ISO 27001 / SOC 2 zertifizierten Cloud-Regionen.
  • Netzwerksegmentierung trennt Rechenleistung, Datenbank und Edge-Zugang.
  • Automatisierte tägliche Backups mit Point-in-Time-Recovery für primäre Datenbanken; Backups werden verschlüsselt und gemäß Richtlinie aufbewahrt.
  • Regionale Bereitstellungen sind im Rahmen von Enterprise-Verträgen für Anforderungen an den Datenstandort verfügbar.

Überwachung & Audit-Protokolle

  • Rund-um-die-Uhr-Plattformüberwachung mit Bereitschaftsdiensten.
  • Zentralisierte, manipulationssichere Audit-Protokollierung für Admin-Aktionen von Mandanten, Authentifizierungsereignisse, Änderungen an Asset-Konfigurationen und Alarmaktivitäten.
  • Anomalieerkennung bei Produktionszugriffsmustern und Infrastrukturmetriken.

Reaktion auf Vorfälle

Wir unterhalten einen dokumentierten Incident-Response-Plan mit definierten Schweregraden, RACI-Rollen und externen Kommunikationsverfahren. Von Sicherheitsvorfällen betroffene Kunden werden unverzüglich benachrichtigt, in jedem Fall innerhalb der 72-Stunden-Frist der DSGVO. Der öffentliche Status wird über Statusaktualisierungen kommuniziert, die per E-Mail und auf der Plattform bekanntgegeben werden.

Verantwortungsvolle Offenlegung

Wir begrüßen Meldungen aus der Sicherheitsforschungs-Community. Kontaktdetails finden Sie in unserer security.txt Meldungen in gutem Glauben führen zu keinen rechtlichen Schritten. Wir bestätigen den Eingang innerhalb von 2 Werktagen und beheben kritische Probleme innerhalb von 7 Tagen.

Verantwortlichkeiten des Kunden

Sicherheit ist ein gemeinsames Modell. Als Kunde sollten Sie:

  • SSO und MFA für alle Ihre Nutzer erzwingen;
  • Rollenzuweisungen nach dem Prinzip der geringsten Rechte einhalten und Zugriffe regelmäßig überprüfen;
  • API-Schlüssel und Webhook-Secrets rotieren und ungenutzte Zugangsdaten widerrufen;
  • die mandantenspezifische Datenaufbewahrung entsprechend Ihren Compliance-Anforderungen konfigurieren;
  • signierte Firmware auf verbundenen Geräten verwenden, sofern vom Hardwarehersteller unterstützt.

Kontakt

Sicherheitsfragebögen, Audit-Anfragen oder ein Sicherheitsanliegen? Schreiben Sie eine E-Mail an zee@novakhan.com oder erreichen Sie uns über das Kontaktformular.