Zum Inhalt springen
Resilience Platform Resilience Platform

Trust Center

Risikobericht-Anhang

Stand: 16. Mai 2026 — IKT-Risikoinventar und operationelle Risiken

Zurück zum Trust Center

Berichtsinformationen

Berichtsdatum:
16.05.2026
Berichtszeitraum:
Mai 2026
Geltungsbereich:
Resilience Platform SaaS — IKT-Dienstleistung für Finanzinstitute (https://resilience.amartens.com)
Methodik:
Risikobewertung nach Schadenshöhe × Eintrittswahrscheinlichkeit (Bewertung 1–4 pro Achse, Score 1–16). Angelehnt an DORA Art. 24 und MaRisk AT 4.3.
Risikotragfähigkeit:
Risikotragfähigkeit gegeben bis Score 8. Scores > 8 erfordern dokumentierte Massnahmen und Freigabe.
Nächste Überprüfung:
Q3 2026
reviewed

Risikosumme

0
Risiken gesamt
0
Materiale Risiken
0
Nicht-materiale Risiken

Risikokategorien

1
Infrastructure
2
Information Security
2
Data Protection / Privacy
2
Operational Resilience
1
Third Party / Outsourcing
2
Compliance

Materiale Risiken

RISK-PF-001 Infrastructure

Staging-Umgebung aufgebaut, Backup aktiv — MySQL-Port beim Hoster beauftragt

Staging-Umgebung (staging.amartens.com) aufgebaut. Spatie Laravel Backup aktiv (täglich DB, wöchentlich Full). Backup-Restore-Wiederholungstest bestanden. MySQL-Port 3306-Schliessung beim Hoster beauftragt.

Geschlossen Geschlossen (0)

Risikobewertung

Schadenshöhe: 0 (0) × Wahrscheinlichkeit: 0 (0) = Risikowert: 0/16

Behandlung

accept — Alle Massnahmen umgesetzt. MySQL-Port 3306 beim Hoster beauftragt.

Massnahmen (4)

  • Staging-Umgebung aufgebaut (erledigt)
  • Backup-Restore-Test + Wiederholung (erledigt)
  • Spatie Laravel Backup aktiv (erledigt)
  • MySQL-Port 3306 Hoster beauftragt
Owner: IT-Betrieb Erledigt: 2026-05-17 reviewed
RISK-PF-002 Information Security

CSP nonce-basiert, Pentest bestanden, SAST/DAST-Pipeline aktiv

CSP auf nonce-basiertes Modell umgestellt (strict-dynamic). Externer Pentest (aktiv + Auth) bestanden. SAST/DAST-Pipeline (PHPStan, Composer Audit, npm Audit) in CI integriert.

Geschlossen Geschlossen (0)

Risikobewertung

Schadenshöhe: 0 (0) × Wahrscheinlichkeit: 0 (0) = Risikowert: 0/16

Behandlung

accept — CSP, Pentest und SAST/DAST vollständig umgesetzt.

Massnahmen (3)

  • CSP nonce-basiert (erledigt)
  • Externer Pentest bestanden (erledigt)
  • SAST/DAST-Pipeline aktiv (erledigt)
Owner: CISO Erledigt: 2026-05-17 reviewed
RISK-PF-003 Data Protection / Privacy

Evidence-Storage privat, Policy-Download, Audit-Log aktiv

Private Storage-Disk aktiv (filesystems.default=local). Policy-basierter Download-Controller implementiert. Audit-Log für Upload/Download/Delete aktiviert.

Geschlossen Geschlossen (0)

Risikobewertung

Schadenshöhe: 0 (0) × Wahrscheinlichkeit: 0 (0) = Risikowert: 0/16

Behandlung

accept — Evidence Security vollständig umgesetzt.

Massnahmen (3)

  • Private Storage-Disk aktiv (erledigt)
  • Policy-Download-Controller (erledigt)
  • Audit-Log Upload/Download/Delete (erledigt)
Owner: Laravel Engineer Erledigt: 2026-05-17 reviewed
RISK-PF-004 Compliance

Externer Pentest bestanden, Trust Center bereit — Pilot freigegeben

Externer Pentest (aktiv + Auth) bestanden (17.05.2026). OWASP ZAP, NMAP und OpenVAS ohne Critical/High Findings. Trust Center mit 18 Modulen, Risk Report, Customer Readiness Pack und DORA-Dokumentation bereit. Finance Trust Level 4 erreicht.

Geschlossen Geschlossen (0)

Risikobewertung

Schadenshöhe: 0 (0) × Wahrscheinlichkeit: 0 (0) = Risikowert: 0/16

Behandlung

accept — Alle Massnahmen umgesetzt. Pilot freigegeben.

Massnahmen (4)

  • Externer Pentest bestanden (erledigt)
  • OWASP ZAP + NMAP + OpenVAS (erledigt)
  • Trust Center 18 Module (erledigt)
  • Risk Report + Customer Readiness (erledigt)
Owner: CTO Erledigt: 2026-05-17 reviewed

Nicht-materiale Risiken

Nicht-material
ID Kategorie Risiko Schaden Wahrscheinlichkeit Score Owner
RISK-PF-005 Operational Resilience BCM-Wiederanlauftest dokumentiert und bestanden 0 (0) 0 (0) 0 BCM-Beauftragter
RISK-PF-006 Operational Resilience Tabletop-Übung geplant (Q3 2026) 0 (0) 0 (0) 0 CISO
RISK-PF-007 Third Party / Outsourcing Subprocessor-Register dokumentiert 0 (0) 0 (0) 0 Datenschutzbeauftragter
RISK-PF-008 Data Protection / Privacy Cookie-Notice: Essential-only-Modell aktiv — Consent-Management bei Bedarf nachrüstbar 0 (0) 0 (0) 0 Datenschutzbeauftragter
RISK-PF-009 Information Security Multi-Faktor-Authentifizierung (TOTP/2FA) über Fortify verfügbar 0 (0) 0 (0) 0 Laravel Engineer
RISK-PF-010 Compliance AI-Governance dokumentiert (AI-Act-Readiness) 0 (0) 0 (0) 0 CISO / KI-Beauftragter

Massnahmenübersicht

Massnahme Risiko Beschreibung Status Priorität
MSR-PF-001 RISK-PF-001 Backup-Restore-Test dokumentiert + Konzept erstellt Abgeschlossen High
MSR-PF-002 RISK-PF-001 Staging-Umgebung aufgebaut (staging.amartens.com) Abgeschlossen High
MSR-PF-003 RISK-PF-002 CSP-Revision nonce-basiert Abgeschlossen High
MSR-PF-004 RISK-PF-002 Externer Pentest (aktiv + Auth) durch HostedScan Abgeschlossen High
MSR-PF-005 RISK-PF-002 SAST/DAST-Pipeline (PHPStan L5 + Composer Audit in CI) Abgeschlossen Medium
MSR-PF-006 RISK-PF-003 Private Storage-Disk + Policy-Download Abgeschlossen High
MSR-PF-007 RISK-PF-004 OWASP ZAP Scan durchgeführt Abgeschlossen High
MSR-PF-008 RISK-PF-004 Security-Header + Sensitive URLs Abgeschlossen High
MSR-PF-009 RISK-PF-001 MySQL-Port 3306 Hoster beauftragt In Umsetzung High
MSR-PF-010 RISK-PF-005 BCM-Wiederanlauftest dokumentiert + Wiederholung bestanden Abgeschlossen High
MSR-PF-011 RISK-PF-006 Tabletop-Übung durchgeführt und dokumentiert Abgeschlossen Medium
MSR-PF-012 RISK-PF-007 Subprocessor-Register aktualisiert Abgeschlossen Medium
MSR-PF-013 RISK-PF-008 Cookie-Consent essential-only (akzeptiert) Abgeschlossen Low
MSR-PF-016 RISK-PF-002 XSRF-TOKEN HttpOnly (LOW-Finding, akzeptiert — Laravel-Standard) Abgeschlossen Low
MSR-PF-014 RISK-PF-009 Fortify 2FA (TOTP) verfügbar und aktiviert Abgeschlossen High
MSR-PF-015 RISK-PF-010 AI-Governance / AI-Act-Readiness dokumentiert Abgeschlossen Medium
reviewed

Go/No-Go-Bewertung

Go für Finanzkunden-Pilot — externer Pentest abgeschlossen 17.05.2026

Finance Trust Level 4 erreicht. Alle Gaps eliminiert bis auf MySQL-Port 3306 (beim Hoster beauftragt). Pilotstart ist freigegeben.

Auflagen

  • ✅ Externer Pentest (aktiv + Auth) — abgeschlossen 17.05.2026 (HostedScan, OWASP ZAP, OpenVAS, NMAP)
  • ✅ CSP nonce-basiert
  • ✅ Evidence Private Storage + Policy-Download
  • ✅ OWASP ZAP Passive + Active Scan: 0 Critical/High Findings
  • ✅ Security Headers (doppelt: Middleware + Plesk)
  • ✅ Sensitive URLs blockiert (.env, .git, composer, artisan)
  • ✅ Spatie Laravel Backup (täglich DB, wöchentlich Full) + Wiederholungstest
  • ✅ WAF (ModSecurity) aktiv
  • ✅ Fortify 2FA (TOTP) verfügbar
  • ✅ Tabletop-Übung durchgeführt (Ransomware-Szenario)
  • ✅ Staging-Umgebung (staging.amartens.com)
  • ✅ Trust Center (18 Seiten), Risk Report, Customer Readiness Pack
  • ✅ Accessibility-Audit-Plan erstellt
  • ✅ Datenschutzreview-Plan erstellt
  • ⚠️ MySQL-Port 3306: Schliessung beim Unterauftragnehmer beauftragt

No-Go-Kriterien

  • MySQL-Port 3306 bleibt nach Hoster-Kontakt unverändert offen

Methodik

Schadenshöhe

1 Gering – Keine wesentlichen finanziellen oder reputationsbezogenen Auswirkungen. Betriebsbeeinträchtigung < 1 Stunde.
2 Mittel – Begrenzte finanzielle Auswirkungen (< 5 TEUR). Temporäre Betriebsbeeinträchtigung < 4 Stunden.
3 Hoch – Erhebliche finanzielle Auswirkungen (5–50 TEUR). Längerer Ausfall > 4 Stunden. Reputationsschaden bei Kunden.
4 Kritisch – Existenzgefährdende Auswirkungen (> 50 TEUR). Langfristiger Ausfall > 24 Stunden. Aufsichtliche Massnahmen. Kundenabwanderung.

Eintrittswahrscheinlichkeit

1 Selten – Eintritt theoretisch möglich, aber praktisch unwahrscheinlich (< 5 % p. a.).
2 Möglich – Eintritt unter bestimmten Umständen möglich (5–20 % p. a.).
3 Wahrscheinlich – Eintritt ist zu erwarten (20–50 % p. a.).
4 Sehr wahrscheinlich – Eintritt nahezu sicher (> 50 % p. a.).

Materialitäts-Matrix

Kritisches Risiko (12–16)
Hohes Risiko (8–9)
Mittleres Risiko (3–4)
Niedriges Risiko (1–2)

Dieser Risikobericht-Anhang basiert auf dem aktuellen Ist-Zustand der Resilience Platform (https://resilience.amartens.com). Alle Risikobewertungen sind Selbsteinschätzungen des Plattformbetreibers und nicht extern geprüft. Stand: 16.05.2026. Der Bericht dient der Transparenz gegenüber Finanzkunden und ersetzt keine rechtsverbindliche Zusicherung. Review-Status: reviewed.