D DemoportKI-Akademie

Sicherheitschecklisten

Diese Checklisten sind Freigabewerkzeuge. Sie ersetzen keine Rechtsberatung und kein Security-Audit, verhindern aber typische Agentic-Coding-Fehler.

Vor dem ersten Code

Vor jedem Agentenauftrag

  • Auftrag ist klein.
  • Ergebnis ist pruefbar.
  • Betroffene Dateien oder Bereiche sind genannt.
  • Tabu-Bereiche sind genannt.
  • Kein Deployment ohne Freigabe.
  • Keine Datenbankaenderung ohne Review.
  • Keine Secrets lesen oder schreiben.
  • Keine echten Kundendaten verwenden.
  • Review-Schritt ist eingeplant.

    • Vor jeder KI-Auswertung

  • Fremdtexte sind als Daten markiert.
  • Fremdtexte duerfen keine Befehle geben.
  • Quelle wird angezeigt oder gespeichert.
  • Zeitstempel wird angezeigt oder gespeichert.
  • Unsicherheiten werden markiert.
  • KI-Ausgaben loesen keine kritischen Aktionen aus.
  • Nutzer erkennt KI-generierte Inhalte.

    • Vor Datenbanknutzung

  • Tabellen sind fachlich begruendet.
  • Nutzerrollen sind beschrieben.
  • Mandantentrennung ist vorgesehen.
  • Row Level Security ist aktiv oder verbindlich geplant.
  • Service-Keys sind nicht im Frontend.
  • Zugriff auf fremde Organisationen wird getestet.
  • Audit-Logs sind fuer kritische Aktionen vorgesehen.

    • Vor Deployment

  • Lokale, Test- und Produktionsumgebung sind getrennt.
  • Secrets liegen ausserhalb des Codes.
  • .env ist nicht im Repository.
  • RLS und Zugriffskontrollen sind geprueft.
  • Logs enthalten keine sensiblen Inhalte.
  • Backup ist geklaert.
  • Rollback ist moeglich.
  • Offene Risiken sind dokumentiert.

    • Vor Nutzung echter Kundendaten

  • Zweck der Verarbeitung ist klar.
  • Datenminimierung wurde geprueft.
  • Rechtsgrundlage und Einwilligungen sind geklaert.
  • Loeschkonzept ist vorhanden.
  • Zugriff ist rollenbasiert.
  • Auftragsverarbeitung mit Dienstleistern ist geprueft.
  • Produktive KI-Dienste und Speicherorte sind bekannt.
  • Fachliche oder rechtliche Pruefung wurde eingeholt, wenn noetig.