CHAOS

Security Practices

Diese Seite richtet sich an CISO, IT-Security, Identity-Teams und interne Revision: Sie beschreibt, wie CHAOS technische Kontrollen, Betrieb und Nachweisbarkeit zusammenführt – ergänzend zum Security Overview (PDF) unter Downloads.

Threat Model & Annahmen

CHAOS verarbeitet hochsensible Identitäts- und Lizenzmetadaten aus Microsoft 365 und Entra ID. Das Threat Model geht von kompromittierten Endgeräten, missbrauchten Admin-Konten und API-Missbrauch aus; entsprechend sind Zugriffe minimiert, protokolliert und in Mandanten isoliert.

  • Strikte Trennung der Verarbeitung je Kunde/Mandant
  • Kein stiller Vollzugriff ohne explizite Policy
  • Revisionssichere Protokolle für relevante Schreibvorgänge

Identität & Zugriff (IAM)

Administrative und technische Konten folgen Least Privilege. Rollen sind granular; privilegierte Aktionen können über Ihre IdP-/PAM-Prozesse geschützt werden. Service-Konten werden rotiert und nur für definierte Integrationspfade verwendet.

  • Support für SSO/SAML wo vertraglich vorgesehen
  • Optional MFA-Pflicht für CHAOS-Benutzer
  • Trennung von Betriebs- und Kundendaten-Zugriff

Verschlüsselung & Transport

Daten in Transit werden ausschließlich über TLS 1.2+ übertragen. Sensible Konfigurationen und Tokens werden nicht im Klartext geloggt. Schlüsselmaterial wird in geeigneten Geheimnis-Speichern verwaltet (betriebliches Hardening nach Plattformstandard).

  • HSTS und moderne Cipher Suites im öffentlichen Web
  • Interne Dienste nur über verschlüsselte Kanäle
  • Keine unnötige Speicherung von Graph-Rohdaten außerhalb des Zwecks

Mandantenisolation & Multi-Tenancy

Partner- und Enterprise-Szenarien verlangen harte logische Grenzen. CHAOS mappt Mandanten-IDs konsequent auf Datenpartitionen und verhindert Querzugriffe durch serverseitige Enforcement-Schichten und Tests.

  • Keine gemeinsamen Caches zwischen Mandanten für tenant-spezifische Objekte
  • Strenge Validierung aller API-Anfragen gegen Mandanten-Kontext
  • Regelmäßige Reviews der Isolations-Annahmen bei Releases

Logging, Monitoring & SIEM

Sicherheits- und Betriebsereignisse werden strukturiert erfasst (Authentifizierung, Policy-Änderungen, fehlgeschlagene API-Aufrufe, Admin-Aktionen). Export in SIEM (Syslog, Event Hub, Splunk o. Ä.) kann über bestehende Unternehmenspipelines angebunden werden.

  • Korrelation mit IdP- und Netzwerklogs möglich
  • Retention konfigurierbar nach Compliance-Vorgabe
  • Alerting auf Anomalien (Rate Limits, Auth-Spikes)

Vulnerability & Patch Management

Abhängigkeiten werden kontinuierlich gescannt; kritische CVEs werden priorisiert behoben. Releases folgen einem kontrollierten Rollout mit Rollback-Option. Penetrationstests können auf Anfrage unter NDA dokumentiert werden.

  • Dependency-Scanning in CI
  • Regelmäßige Minor/Patch-Updates
  • Change Records für Security-relevante Deployments

Incident Response

Bei sicherheitsrelevanten Vorfällen existiert ein interner Eskalationspfad mit definierten SLAs für Meldung, Eindämmung und Kundenkommunikation. Forensisch relevante Logs werden geschützt aufbewahrt.

  • Single Point of Contact für Security-Meldungen
  • Playbooks für Credential-Leak und Datenexfiltration
  • Koordination mit Ihrem CERT möglich

Compliance-Mapping (Auszug)

CHAOS unterstützt ISO 27001-, SOC-2- und GDPR-orientierte Programme durch nachvollziehbare Verarbeitung, AVV-Module und technische Transparenz. Verbindliche Zertifikatsaussagen ergeben sich aus Ihrem Vertrag und ggf. separatem Assurance-Report.

  • DPIA-/RoPA-relevante Textbausteine als Download
  • Subprozessor-Transparenz
  • Evidence Packs für interne Audits

CHAOS — Security-Story kongruent zu Graph und Datenflüssen.

Aus der Praxis

Szenario

Security Officers prüfen Verschlüsselung, Mandantenisolation und Zugriffskonzepte. PDFs allein reichen nicht, wenn Rückfragen zu Graph-Scopes und Datenresidenz kommen.

Warum (Why-Layer)

Security-Texte müssen mit Integrations- und Compliance-Seiten kongruent sein. Das Why: dieselben Begriffe und Grenzen wie in der technischen Dokumentation – weniger Interpretationsspielraum.

Vorher/Nachher in EUR pro Monat (Run-Rate). Ersparnis/Jahr = Differenz × 12. Die Werte spiegeln typische Midmarket-Konstellationen aus mehreren abgeschlossenen Optimierungsprogrammen (anonymisiert, gerundet); Ihre Organisation weicht je nach Bestand und Governance natürlich ab.

Referenzprofil

Summe vorher (mtl.)

€ 48,000

Summe nachher (mtl.)

€ 31,200

Ersparnis / Jahr

€ 201,600

Einsparung

35%

Δ / Monat:€ 16,800·Δ / Jahr:€ 201,600

Laufende Kosten: Vorher vs. Nachher

Lizenzmix nach SKU (Nachher)

Verteilung nach Microsoft-365-/Online-SKUs (Nachher, lesbar)

  • Microsoft 365 E5

    € 8,736 · 28.0%

  • Microsoft 365 E3

    € 8,736 · 28.0%

  • Microsoft Defender for Office 365 (Plan 1)

    € 6,240 · 20.0%

  • Microsoft Purview Information Protection

    € 3,744 · 12.0%

  • Microsoft Entra ID P1

    € 3,744 · 12.0%

Konsolidierte Kennzahlen aus vergleichbaren Mandantenprojekten (DSGVO-konform anonymisiert, gerundet). So sehen Finance- und IT-Teams typische Run-Rates vor einer Live-Anbindung. Verbindliche Auswertung mit Ihrem Tenant in der Demo.

Kurzfassung für Screenreader: Vorher, Nachher, Ersparnis.
Summe vorher (mtl.)48000
Summe nachher (mtl.)31200
Ersparnis / Jahr201600
Trust: Security | CHAOS