> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Sicherheit

> Sicherheitspraktiken und -kontrollen für Devin in Bereitstellungen für Bundesbehörden.

<Info>
  Diese Dokumentation gilt für Devin-Bereitstellungen für Bundesbehörden. [Zurück zur Devin-Dokumentation](/de/get-started/devin-intro)
</Info>

Dieser Leitfaden beschreibt, wie administrative Konten auf oberster Ebene in Devin Desktop sicher eingerichtet, konfiguriert, betrieben und außer Betrieb genommen werden. Er behandelt Definitionen administrativer Rollen, Verfahren für den Konto-Lifecycle sowie alle von Admins gesteuerten Sicherheits-Settings einschließlich ihrer zugehörigen Funktionen, Sicherheitsauswirkungen und empfohlenen Werte.

***

<div id="administrative-role-definitions">
  ## Definitionen für Administratorrollen
</div>

Devin Desktop verwendet ein System zur Rollenbasierten Zugriffskontrolle (RBAC) zur Verwaltung administrativer Berechtigungen. Rollen werden im Admin-Portal im Bereich Role Management der Settings verwaltet und können einzelnen Nutzern zugewiesen werden.

<div id="built-in-roles">
  ### Vordefinierte Rollen
</div>

Devin Desktop bietet zwei vordefinierte Rollen, die nicht gelöscht werden können.

| Rolle     | Beschreibung                                                                                                                                                                                                     | Standardberechtigungen               |
| --------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------ |
| **Admin** | Vollständiger administrativer Zugriff auf Organization Settings, Nutzerverwaltung, Analysen und Sicherheitskontrollen. Dies ist die höchste Berechtigungsstufe, die ein Nutzer innerhalb eines Teams haben kann. | Alle Berechtigungen aktiviert        |
| **User**  | Standardzugriff für Endnutzer ohne administrative Berechtigungen. Nutzer können die Programmierfunktionen von Devin Desktop nutzen, aber Organization Settings weder anzeigen noch ändern.                       | Keine administrativen Berechtigungen |

<div id="custom-roles">
  ### Benutzerdefinierte Rollen
</div>

Administratoren können benutzerdefinierte Rollen erstellen, um das Prinzip der geringsten Rechte umzusetzen. Benutzerdefinierte Rollen setzen sich aus granularen Berechtigungen zusammen, die aus den unten aufgeführten Kategorien ausgewählt werden. Um eine benutzerdefinierte Rolle zu erstellen, wechseln Sie zum Admin-Portal und öffnen den Bereich Role Management unter Settings.

<div id="permission-reference">
  ### Referenz der Berechtigungen
</div>

Die folgende Tabelle listet alle Berechtigungen auf, die in der FedRAMP-Bereitstellung für die Rollenzuweisung verfügbar sind. Jede Berechtigung steuert den Zugriff auf eine bestimmte administrative Funktion.

| Kategorie           | Berechtigung             | Beschreibung                                                                    |
| ------------------- | ------------------------ | ------------------------------------------------------------------------------- |
| **Teams**           | Teams Read-Only          | Schreibgeschützter Zugriff auf die Teamverwaltungsseite                         |
| **Teams**           | Teams Update             | Möglichkeit, Nutzerrollen auf der Teams-Seite zu aktualisieren                  |
| **Teams**           | Teams Delete             | Möglichkeit, Nutzer von der Teams-Seite zu entfernen                            |
| **Analytics**       | Analytics Read           | Lesezugriff auf die Analytics-Seite und Dashboards                              |
| **Attribution**     | Attribution Read         | Lesezugriff auf die Attribution-Seite                                           |
| **License**         | License Read             | Lesezugriff auf die License-Seite                                               |
| **SSO**             | SSO Read                 | Lesezugriff auf die SSO-Konfigurationsseite                                     |
| **SSO**             | SSO Write                | Möglichkeit, die Einstellungen des SSO-Anbieters zu konfigurieren und zu ändern |
| **Service Key**     | Service Key Read         | Lesezugriff auf die Seite für Service-Schlüssel                                 |
| **Service Key**     | Service Key Create       | Möglichkeit, neue Service-Schlüssel für den API-Zugriff zu erstellen            |
| **Service Key**     | Service Key Update       | Möglichkeit, vorhandene Service-Schlüssel zu ändern                             |
| **Service Key**     | Service Key Delete       | Möglichkeit, Service-Schlüssel zu widerrufen und zu löschen                     |
| **Role Management** | Role Read                | Lesezugriff auf den Tab „Rollen“ in Settings                                    |
| **Role Management** | Role Create              | Möglichkeit, neue Rollen zu erstellen                                           |
| **Role Management** | Role Update              | Möglichkeit, vorhandene Rollendefinitionen zu ändern                            |
| **Role Management** | Role Delete              | Möglichkeit, Rollen zu löschen                                                  |
| **External Chat**   | External Chat Management | Möglichkeit, Konfigurationen externer Chat-Modelle zu ändern                    |
| **Indexing**        | Indexing Read            | Lesezugriff auf die Indexing-Konfigurationsseite                                |
| **Indexing**        | Indexing Create          | Möglichkeit, neue Indizes zu erstellen                                          |
| **Indexing**        | Indexing Update          | Möglichkeit, vorhandene indexierte Repositorys zu aktualisieren                 |
| **Indexing**        | Indexing Delete          | Möglichkeit, Indizes zu löschen                                                 |
| **Indexing**        | Indexing Management      | Möglichkeit, die Indexdatenbank zu verwalten und zu bereinigen                  |
| **Fine-Tuning**     | Fine-Tuning Read         | Lesezugriff auf die Fine-Tuning-Seite                                           |
| **Fine-Tuning**     | Fine-Tuning Create       | Möglichkeit, Fine-Tuning-Jobs zu erstellen                                      |
| **Fine-Tuning**     | Fine-Tuning Update       | Möglichkeit, Fine-Tuning-Jobs zu aktualisieren                                  |
| **Fine-Tuning**     | Fine-Tuning Delete       | Möglichkeit, Fine-Tuning-Jobs zu löschen                                        |

<Note>Einige dieser Berechtigungen (z. B. Attribution, License, SSO, Indexing, Fine-Tuning) sind zwar im RBAC-System vorhanden, aber ihre zugehörigen Portalseiten sind in der mandantenfähigen FedRAMP-Bereitstellung nicht verfügbar. Diese Berechtigungen sind der Vollständigkeit halber in der UI für die Rollenverwaltung enthalten, gewähren in dieser Umgebung jedoch keinen Zugriff auf aktive Features.</Note>

***

<div id="admin-account-lifecycle-procedures">
  ## Verfahren zum Lifecycle von Admin-Konten
</div>

Dieser Abschnitt beschreibt den vollständigen Lifecycle eines Administratorkontos auf oberster Ebene – von der erstmaligen Erstellung bis zur Stilllegung.

<div id="account-setup">
  ### Kontoeinrichtung
</div>

**SSO-basiertes Onboarding** ist die primäre Methode zur Kontobereitstellung in der FedRAMP-Bereitstellung. Die Plattform unterstützt sowohl OIDC als auch SAML 2.0 für die Single-Sign-On-Integration. Nutzer authentifizieren sich über den konfigurierten Identity Provider. Sobald bei der ersten Anmeldung des Nutzers sein Konto erstellt wurde, weist ein Administrator über das Admin-Portal die entsprechende Rolle zu. Beachten Sie, dass die SSO-Integration in der FedRAMP-Umgebung eine Abstimmung mit dem Devin Desktop FedRAMP-Team erfordert und nicht im Self-serve-Modell konfiguriert werden kann.

Jedes neue Admin-Konto sollte nach dem Prinzip der geringsten Rechte konfiguriert werden. Bevorzugen Sie benutzerdefinierte Rollen, die nur die Berechtigungen enthalten, die für die Aufgaben des Administrators erforderlich sind, anstatt die volle Admin-Rolle zuzuweisen, es sei denn, der Nutzer benötigt vollständigen Systemzugriff.

<div id="authentication-and-mfa-requirements">
  ### Anforderungen an Authentifizierung und MFA
</div>

Die FedRAMP-Bereitstellung verwendet ausschließlich Single Sign-On und unterstützt sowohl die Protokolle OIDC als auch SAML 2.0. Eine Authentifizierung per E-Mail und Passwort ist nicht möglich. Alle Nutzer müssen sich über den konfigurierten Identity Provider authentifizieren.

Die Multi-Faktor-Authentifizierung (MFA) wird über den Identity Provider der Organisation erzwungen. Devin Desktop übernimmt die im verbundenen IdP konfigurierten MFA-Richtlinien. Das bedeutet, dass alle Anforderungen an die Authentifizierungsstärke – etwa ein zweiter Faktor, phishing-resistente Authentifizierungsmethoden oder Richtlinien für bedingten Zugriff – auf IdP-Ebene gesteuert werden. Organisationen sollten ihren IdP so konfigurieren, dass MFA für alle Nutzer erforderlich ist, die auf die Devin Desktop-Anwendung zugreifen, insbesondere für Konten mit administrativen Rollen.

<Warning>Devin Desktop empfiehlt nachdrücklich, MFA für alle administrativen Konten vorzuschreiben. Konfigurieren Sie Ihren Identity Provider so, dass MFA als Voraussetzung für den Zugriff auf die Devin Desktop-Anwendung erzwungen wird.</Warning>

<div id="account-configuration">
  ### Kontokonfiguration
</div>

Nachdem ein Administratorkonto erstellt wurde, sollten die folgenden Konfigurationsschritte durchgeführt werden.

**Rollenzuweisung** bestimmt den Geltungsbereich des administrativen Zugriffs des Kontos. Weisen Sie Rollen im Admin-Portal zu, indem Sie zur Registerkarte Manage Team wechseln, den Nutzer suchen, auf Edit klicken und die entsprechende Rolle im Dropdown-Menü auswählen. Änderungen werden sofort wirksam.

**Verwaltung von Service-Schlüsseln** ist erforderlich, wenn der Administrator API-Zugriff für Automatisierung oder Analytics benötigt. Service-Schlüssel werden unter Settings mit Berechtigungen erstellt, deren Geltungsbereich dem vorgesehenen Verwendungszweck des Schlüssels entspricht. Jeder Service-Schlüssel sollte eindeutig benannt werden (zum Beispiel „Analytics Dashboard“) und eine Rolle mit den minimal erforderlichen Berechtigungen erhalten.

<div id="account-operation">
  ### Kontobetrieb
</div>

Zu den laufenden Betriebspraktiken für Administratorkonten gehören die folgenden.

**Regelmäßige Zugriffsüberprüfungen** sollten durchgeführt werden, um sicherzustellen, dass Administratorkonten weiterhin ihre aktuelle Zugriffsstufe benötigen. Überprüfen Sie regelmäßig die Liste der Nutzer mit der Admin-Rolle im Tab „Manage Team“ und passen Sie Rollen an, wenn sich Zuständigkeiten ändern.

**Aktivitätsüberwachung** ist über die integrierten Analytics-Dashboards verfügbar. Administratoren mit der Berechtigung Analytics Read können Nutzeraktivitäten, Interaktionsmetriken und die Nutzung von Features nachverfolgen. Die Analytics-API bietet programmgesteuerten Zugriff auf diese Daten zur Integration in externe Überwachungssysteme.

**Die Rotation von Service-Schlüsseln** sollte regelmäßig durchgeführt werden. Um einen Schlüssel zu rotieren, erstellen Sie einen neuen Service-Schlüssel mit denselben Berechtigungen, aktualisieren Sie das verwendende System so, dass es den neuen Schlüssel nutzt, und löschen Sie anschließend den alten Schlüssel.

<div id="account-decommissioning">
  ### Kontostilllegung
</div>

Wenn ein Administrator keinen Zugriff mehr benötigt, sollte das Konto umgehend nach dem folgenden Verfahren stillgelegt werden.

<Steps>
  <Step title="Administrative Rolle entziehen">
    Navigieren Sie zum Admin-Portal, öffnen Sie die Registerkarte Manage Team, suchen Sie den Nutzer, klicken Sie auf Edit und ändern Sie seine Rolle von Admin zu User (oder zu einer benutzerdefinierten Rolle ohne administrative Berechtigungen).
  </Step>

  <Step title="Service-Schlüssel widerrufen">
    Löschen Sie alle Service-Schlüssel, die vom ausscheidenden Administrator erstellt oder ausschließlich von ihm verwendet wurden. Navigieren Sie zu Settings, dann zu Service-Schlüssel, und löschen Sie die relevanten Schlüssel.
  </Step>

  <Step title="Konto entfernen oder deaktivieren">
    Entfernen Sie den Nutzer über die Registerkarte Manage Team, indem Sie neben seinem Namen auf Delete klicken. Dadurch wird das Devin Desktop-Konto des Nutzers deaktiviert und sein Lizenz-Sitzplatz freigegeben.
  </Step>

  <Step title="Verbleibenden Zugriff überprüfen">
    Vergewissern Sie sich, dass das stillgelegte Konto in keiner administrativen Rolle mehr erscheint, indem Sie die nach der Rolle Admin gefilterte Nutzerliste in Manage Team prüfen. Bestätigen Sie, dass alle mit dem Konto verknüpften Service-Schlüssel gelöscht wurden.
  </Step>
</Steps>

<Warning>Legen Sie administrative Konten sofort still, wenn ein Administrator die Rolle wechselt oder die Organisation verlässt. Eine verzögerte Stilllegung schafft unnötige Sicherheitsrisiken.</Warning>

***

<div id="security-settings-reference">
  ## Referenz zu den Sicherheitseinstellungen
</div>

Die folgende Tabelle dokumentiert alle vom Admin kontrollierten Sicherheitseinstellungen, die im Admin-Portal der FedRAMP-Bereitstellung verfügbar sind. Jeder Eintrag beschreibt die Funktion der Einstellung, ihre Auswirkungen auf die Sicherheit und die empfohlene Konfiguration für eine sicherheitsbewusste Bereitstellung.

| Einstellung                                 | Funktion                                                                                                                                                                                                                                                                                                                                              | Auswirkungen auf die Sicherheit                                                                                                                                                                                                                                      | Empfohlener Wert                                                                                                                                                                                                                                                         |
| ------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **Rollenbasierte Zugriffskontrolle (RBAC)** | Steuert, welche administrativen Aktionen die einzelnen Nutzer basierend auf ihrer zugewiesenen Rolle und ihren Berechtigungen ausführen können. Verwaltet im Abschnitt Role Management in Settings.                                                                                                                                                   | Begrenzt den Schadensradius kompromittierter Konten, indem Berechtigungen auf das beschränkt werden, was die einzelnen Nutzer tatsächlich benötigen. Zu weit gefasste Rollenzuweisungen erhöhen die potenziellen Auswirkungen einer einzelnen Kontokompromittierung. | **Nach dem Least-Privilege-Prinzip konfigurieren.** Erstellen Sie benutzerdefinierte Rollen, die nur die Berechtigungen enthalten, die die jeweiligen Administratoren benötigen. Reservieren Sie die integrierte Admin-Rolle für eine kleine Anzahl von Administratoren. |
| **Berechtigungen für Service-Schlüssel**    | Begrenzen access token für den API-Zugriff auf bestimmte Berechtigungssätze und steuern so, welche Operationen automatisierte Systeme ausführen können. Verwaltet im Abschnitt Service-Schlüssel in Settings.                                                                                                                                         | Service-Schlüssel mit übermäßigen Berechtigungen können bei einem Leak ausgenutzt werden und unbefugten Zugriff auf die Nutzerverwaltung, analytics oder andere Funktionen gewähren.                                                                                 | **Auf die minimal erforderlichen Berechtigungen beschränken.** Erstellen Sie dedizierte Service-Schlüssel für jede integration, jeweils nur mit den Berechtigungen, die diese integration benötigt. Rotieren Sie Schlüssel regelmäßig.                                   |
| **SSO-Provider-Konfiguration**              | Konfiguriert den Identity Provider, der für die gesamte Nutzerauthentifizierung verwendet wird, und unterstützt sowohl OIDC- als auch SAML-2.0-Protokolle. Eine E-Mail-/Passwort-Authentifizierung ist nicht verfügbar. Die Einrichtung von SSO erfordert eine Abstimmung mit dem Devin Desktop FedRAMP-Team. Verwaltet im Abschnitt SSO in Settings. | Zentralisiert die Authentifizierung über den IdP der organization und ermöglicht so die Durchsetzung von MFA, bedingtem Zugriff und Sitzungsrichtlinien. Eine Fehlkonfiguration könnte alle Nutzer aussperren oder unbefugten Zugriff ermöglichen.                   | **Mit dem von Ihrer organization genehmigten Identity Provider (OIDC oder SAML 2.0) konfigurieren.** Überprüfen Sie die Konfiguration, indem Sie die Anmeldung mit einem Nicht-Admin-Konto testen, bevor Sie sie breit ausrollen.                                        |

*Aktualisiert am: 28. Januar 2026*
