ISO 27001-Technologie-Stack für Startups

• Notion (kostenlos für kleine Teams) – Das beste Allround-Tool
• Confluence (Kostenlos < 10 Benutzer)
• GitHub Wiki (kostenlos) – Entwicklerfreundlich
• Google Docs (kostenlos) – Aber schwieriger zu organisieren

• GitHub Dependabot (kostenlos, integriert) – Schwachstellen in Abhängigkeiten
• Snyk (kostenlose Version) – Code-, Abhängigkeits- und Containerscan
• CISA-Warnmeldungen (kostenloses E-Mail-Abonnement) – Bedrohungsmeldungen der Regierung
• CrowdSec (kostenlos, Open Source) – Kollaborative Bedrohungsinformationen

• Snipe-IT (kostenlos, Open Source, selbst gehostet) – Das beste dedizierte Tool
• Airtable/Notion (kostenlose Version) – Ausreichend für manuelles Tracking
• Ihr MDM – umfasst häufig die Gerätebestandsaufnahme (siehe A.8.1)

• Google Workspace / Microsoft 365 (in der Regel bereits bezahlt) – Integrierter IdP
• JumpCloud (kostenlos für weniger als 10 Benutzer/Geräte) – IdP + MDM-Kombination
• Okta (kostenlos für weniger als 25 Benutzer, Entwicklerstufe) – Industriestandard
• Auth0 (kostenlose Stufe) – Am besten geeignet für Kunden-/App-Identität
• Keycloak (Kostenlos, Open Source, selbst gehostet)

• Bitwarden (3 € pro Benutzer und Monat) – Bestes Preis-Leistungs-Verhältnis, Open Source
• 1Password (6,99 € pro Benutzer und Monat) – Hervorragende Benutzererfahrung

• Google Authenticator / Authy (kostenlos) – Basis-TOTP
• Duo (kostenlose Version verfügbar) – Weitere Funktionen für Unternehmen
• Yubikey (~45 € einmalig) – Hardware-Token

• Prowler (kostenlos, Open Source) – DAS Tool für AWS-/Azure-/GCP-Scans
• AWS Security Hub (kostenlose Stufe) – Native AWS
• Google Security Command Center (kostenlose Stufe) – Native GCP
• Azure-Richtlinie (enthalten) – Native Azure

Verwenden Sie Notion/Confluence

• PagerDuty (Kostenlose Version verfügbar)
• Spezieller Slack-Kanal (kostenlos, einfach) – #security-incidents

Siehe A.8.15

• Teilen / Rippling – Wenn Sie diese bereits verwenden
• Docusign / PandaDoc (kostenlos – gering) – Für NDAs, Verträge

Überprüfungsverfahren, Beschäftigungsbedingungen, Disziplinarverfahren, Checklisten für das Ausscheiden von Mitarbeitern → Notion

• Riot (5–10 € pro Benutzer und Monat) – All-in-One: Schulung + Warnmeldungen bei Datenverstößen + Phishing + Überwachung des Dark Web
• Wizer (kostenlose Version verfügbar) – 1-minütige Videos, Microlearning
• Guardey (kostengünstig) – Gamifizierte, wöchentliche Lektionen
• usecure (kostengünstig) – risikobasiert, maßgeschneidert für KMU
• Gophish (kostenlos, Open Source) – DIY-Phishing-Simulationen
• KnowBe4 (kostenlose Tools verfügbar) – Einige kostenlose Tests/Tools

• Tailscale (kostenlose Stufe, großzügig) – Keine Konfiguration erforderlich, Mesh-VPN
• Twingate (kostenlose Version) – Moderner Zero-Trust-Zugriff
• Cloudflare Zero Trust (kostenlos für weniger als 50 Benutzer) – Sehr leistungsstark

• Slack-Kanal (kostenlos) – #security-events – Kinderleicht
• Google Forms → Sheet (kostenlos) – Option zur anonymen Meldung
• Jira Service Desk – Wenn Sie Jira bereits verwenden

• Kisi / Latch – Intelligente Zugangskontrolle
• Ubiquiti-Kameras – Preisgünstige Videoüberwachung
• Gebäudemanagement – Auslagerung an den Vermieter

Dokument „N/A – Vollständig remote“ Richtlinie

In Notion

• Bildschirmsperre → Durchgesetzt über MDM (siehe A.8.1)
• Festplattenverschlüsselung (BitLocker/FileVault) → Durchgesetzt über MDM
• Fernlöschung → Über MDM

• JumpCloud (kostenlos für weniger als 10 Benutzer/Geräte) – Beste Einstiegslösung: IdP + MDM-Kombination
• ManageEngine MDM (Kostenlos < 25 Geräte)
• Miradore (kostenlos < 50 Geräte) – auf Mobilgeräte ausgerichtet
• Google Endpoint Management (kostenlos mit Google Workspace) – Basic
• Jamf / Kandji (€€) – Für Teams, die hauptsächlich mit Macs arbeiten

• Festplattenverschlüsselung erzwingen (FileVault/BitLocker)
• Bildschirmsperreinstellungen durchsetzen
• OS-Updates erzwingen
• Funktionen zum Fernlöschen
• Gerätebestand

• AWS IAM / Google Cloud IAM (Enthalten)
• GitHub-Teams/Zweigschutz (Enthalten)
• Google-Gruppen (Enthalten)
• Teleport (Open Source) – Für SSH-/K8s-Zugriff
• Twingate (kostenlose Stufe) – Zero Trust

• AWS Auto Scaling (Sie zahlen nur für das, was Sie tatsächlich nutzen)
• Datadog / BetterStack (kostenlos – niedrig) – Überwachung/Warnmeldungen

• Microsoft Defender (in Windows enthalten) – Eigentlich sehr gut
• macOS XProtect (integriert) – Grundlegend
• Über MDM erzwungen – Stellen Sie sicher, dass sie aktiviert sind.
• Wazuh (kostenlos, Open Source) – Kann EDR ausführen
• CrowdStrike / SentinelOne (€€€) – Wenn Sie eine Serie-A-Finanzierung durchführen und mit sensiblen Daten umgehen

• Snyk (kostenlose Stufe) – Primär für Code/Abhängigkeiten
• GitHub Dependabot (kostenlos) – Integriert
• GitHub CodeQL (kostenlos für öffentliche Repositorys) – Code-Scanning
• Wazuh (kostenlos, Open Source) – Hostbasiert
• OpenVAS (kostenlos, Open Source) – Netzwerkscan

• Terraform (kostenlos, Open Source) – Multi-Cloud-IaC
• Ansible (kostenlos, Open Source) – Automatisierung der Konfiguration
• GitHub (kostenlose Version) – Versionskontrolle für Konfigurationen

• AWS-separate Konten (Kostenlos zu erstellen)
• Terraform-Arbeitsbereiche (kostenlos)
• GitHub-Zweige (kostenlos) – dev/staging/prod

• Faker.js (kostenlose Bibliothek) – Testdaten generieren
• PostgreSQL-Datenmaskierung (Integrierte Funktionen)
• Tonic.ai (mit kostenloser Version) – Automatisierte Maskierung

„Keine Produktionsdaten im Test“ → Begriff

• Cloudflare DLP (Free tier for <50 users)
• Google Workspace DLP (In Business+ enthalten)
• Nightfall AI (Kostenlose Stufe für Slack-/GitHub-Scans)

• AWS Backup / RDS automatisierte Backups (Geringe Kosten)
• Backblaze B2 (0,005 €/GB) – Günstigster Cloud-Speicher
• Google Cloud Storage (Günstig mit Lebenszyklusrichtlinien)

• AWS Multi-AZ-Bereitstellungen (Etwas höhere Kosten)
• Cloudflare (Die kostenlose Version umfasst Funktionen zur Lastverteilung)

• UptimeRobot (Kostenlose Stufe, 50 Monitore)
• BetterStack (Kostenlose Stufe, danach 10–20 € pro Monat)

• Datadog (kostenlos < 5 Hosts) – Professionelle Beobachtbarkeit
• AWS CloudWatch / GCP-Überwachung (Großzügige kostenlose Nutzung)
• Sentry (kostenlose Version) – Verfolgung von Anwendungsfehlern
• Grafana (kostenlos, Open Source) – Dashboards

• Wazuh (kostenlos, Open Source) – Beste Open-Source-SIEM/XDR-Lösung
• ELK Stack (kostenlos, Open Source) – DIY-SIEM (komplex in der Wartung)
• Graylog Open (kostenlos, Open Source) – Einfacher als ELK
• Security Onion (kostenlos, Open Source) – Überwachung der Netzwerksicherheit

• Cloudflare (die kostenlose WAF-Stufe ist ausgezeichnet) – Verwenden Sie einfach diese.
• AWS WAF (Nutzungsabhängige Abrechnung)
• pfSense (kostenlos, Open Source) – Bei Selbsthosting

• AWS VPC (im Lieferumfang enthalten) – Sicherheitsgruppen, öffentliche/private Subnetze
• VLANs – Für physische Büronetzwerke

• Cloudflare Zero Trust (kostenlose Stufe < 50 Benutzer) – beste Option
• NextDNS (kostenlos, danach 2 € pro Monat) – Sicheres DNS
• pfSense (kostenlos, Open Source) – Selbst gehostete Firewall

„TLS 1.2+ verwenden, im Ruhezustand verschlüsseln“ → Notion

• AWS KMS (Nutzungsabhängige Abrechnung, günstig)
• Google Cloud KMS (Ähnlich)
• HashiCorp Vault (kostenlos, Open Source, komplex)

Notion/Confluence

• GitHub-Zweigschutz (kostenlos) – Überprüfungen erforderlich
• GitHub PR-Anforderungen (kostenlos) – Codeüberprüfung erzwingen
• OWASP Top 10 Checkliste (kostenlos) – In Notion

• Semgrep (kostenlose Version) – Beste Open-Source-SAST
• GitHub CodeQL (Kostenlos für öffentliche Repositorys)
• Snyk Code (kostenlose Stufe) – Kommerzielle Option

• Snyk (kostenlose Stufe) – bereits erwähnt
• GitHub Dependabot (kostenlos)

• OWASP ZAP (kostenlos, Open Source)
• Manuelle Penetrationstests (Budget 2.000–5.000 € pro Jahr, wenn Sie Finanzmittel beschaffen)

• Jira / Linear (kostenlos – niedrig) – Genehmigungs-Workflow
• GitHub Pull Requests (kostenlos) – Codeänderungen
• Notion (kostenlos) – Richtlinien ändern