Häufig gestellte Fragen

Phished hat eines der weltweit bekanntesten Informationssicherheits-Managementsysteme implementiert und ist vollständig nach ISO/IEC 27001 zertifiziert. Unsere Zertifikatsnummer lautet 30050399, gültig vom 27.09.2024 bis 26.09.2027, mit einer Geltungserklärung (Statement of Applicability) vom 13.08.2024, Version 2.0. Neben ISO 27001 verfügt Phished außerdem über:

- einen ISAE 3000 (SOC 2 Typ II)-Bericht,

- ein gültiges Cyber Essentials-Zertifikat,

- und erfüllt die Anforderungen von ISO/IEC 27701, NIS2 und DORA.

Phished ist darüber hinaus vollständig DSGVO-konform – alle Datenverarbeitungsprozesse entsprechen den strengen Vorgaben der Datenschutz-Grundverordnung. Wir orientieren uns zudem an den Best Practices der Branche in den Bereichen Datenverschlüsselung, Zugriffskontrolle und sichere Softwareentwicklung, um Kundendaten jederzeit bestmöglich zu schützen.

Mehr dazu auf unserer Compliance-Seite.

Datenschutz und Privatsphäre haben bei Phished höchste Priorität. Die Plattform ist vollständig DSGVO-konform und folgt den Grundsätzen der Datenminimierung und Zweckbindung. Phished erhebt nur jene personenbezogenen Daten, die für die Bereitstellung der Dienste erforderlich sind – z. B. für Phishing-Simulationen, Trainingsmodule und Berichte – und nutzt sie ausschließlich zu diesem Zweck. Dabei werden gewisse Nutzerattribute (z. B. Sprache, Region, Rolle) verwendet, um Simulationen und Trainingsinhalte zu personalisieren. Diese Prozesse erfolgen automatisiert, ohne rechtlich oder ähnlich erheblich wirkende Entscheidungen über Einzelpersonen. Ziel ist es, relevante und realitätsnahe Inhalte bereitzustellen – ohne aufdringliches Profiling.

Mehr dazu finden Sie in unserer Datenschutzerklärung.

Phished setzt auf mehrschichtige Sicherheitsmaßnahmen zum Schutz von Nutzerkonten und Plattformzugängen.

- TLS/SSL-Verschlüsselung sichert alle Nutzersitzungen und gewährleistet eine sichere Datenübertragung.

- Multi-Faktor-Authentifizierung (MFA) ist für Administratorenkonten verpflichtend, um unbefugten Zugriff zu verhindern.

- Single Sign-On (SSO) via SAML 2.0 wird unterstützt – so lässt sich Phished problemlos in bestehende Identity-Provider integrieren.

Zudem kommt rollenbasierte Zugriffskontrolle (RBAC) zum Einsatz: Nutzer erhalten nur Zugriff auf Inhalte und Daten, die für ihre Rolle relevant sind. Weitere Sicherheitsmaßnahmen umfassen Sitzungsverwaltung, Login-Überwachung, Aktivitätsprotokollierung, sowie regelmäßige Sicherheitsaudits und Penetrationstests zur frühzeitigen Erkennung potenzieller Schwachstellen.

Ja. Unsere Sicherheitsstrategie basiert auf einem umfassenden, proaktiven Ansatz. Durch eine priorisierte Patch-Strategie – abgestimmt auf Schweregrad und Risiko – stellen wir sicher, dass Schwachstellen zeitnah behoben werden. Zusätzlich führen wir kontinuierliches Monitoring und Risikobewertungen durch, um frühzeitig auf neue Bedrohungen zu reagieren und eine langfristige Resilienz aufzubauen. Unsere Maßnahmen im Detail:

- Automatisierte Schwachstellenscans
Unsere Systeme werden täglich auf Sicherheitslücken geprüft. Bei kritischen Bedrohungen erhalten wir sofortige Benachrichtigungen, um schnell reagieren und das Risiko minimieren zu können.

- Ethical Hacking
Phished betreibt ein professionelles Programm mit Ethical Hackern, die aktiv an der Identifizierung von Schwachstellen mitwirken. Diese Zusammenarbeit mit internationalen Sicherheitsexperten schafft Transparenz und unterstützt einen kontinuierlichen Verbesserungsprozess.

- Responsible Disclosure Policy
Wir fördern die verantwortungsvolle Offenlegung potenzieller Sicherheitslücken durch die Community. Unsere Responsible Disclosure Policy und die security.txt bieten klare Leitlinien für die Meldung von Schwachstellen.

- Physische Penetrationstests
Neben digitalen Schutzmaßnahmen führt Phished regelmäßig physische Penetrationstests durch, um die Sicherheit unserer Standorte und unserer internen Prozesse zu prüfen – inklusive Zugangskontrollen, Mitarbeitersensibilisierung und organisatorischer Resilienz.

Alle Nutzerdaten werden bei Phished in hochsicheren Rechenzentren in Europa gespeichert. Diese Infrastruktur erfüllt die höchsten internationalen Standards in Bezug auf Datenschutz, Sicherheit und rechtliche Anforderungen – einschließlich DSGVO.

Unsere Anwendungen werden als verteilte, containerbasierte Applikationen auf der Google Cloud Platform (GCP) in Belgien gehostet. Die Backend-Produktionsdatenbanken werden in derselben Region gehostet, während sich hochverfügbare Failover-Datenbankstandorte in derselben Region befinden, jedoch in einer anderen Zone.

Eine vollständige Liste der Unterauftragsverarbeiter ist in unserem Data Processing Agreement (DPA) einsehbar. Mit allen Unterauftragsverarbeitern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO, einschließlich Standardvertragsklauseln für Drittstaatenübermittlungen. Die primären Rechenzentren unserer Unterauftragsverarbeiter befinden sich im Europäischen Wirtschaftsraum (EWR), es kann jedoch zu Datentransfers in die USA kommen, wenn sich dort der Hauptsitz eines Unterauftragsverarbeiters befindet. In jedem Fall sind personenbezogene Daten stets verschlüsselt – sowohl im Ruhezustand als auch während der Übertragung. Für jeden Unterauftragsverarbeiter wurden Datenschutz-Folgenabschätzungen (DPIA) und Transfer Impact Assessments (DTIA) durchgeführt. Alle Partner sind ISO 27001- und SOC 2-konform.