Workflow

1. Beschaffung

• Originalverpackte Pixel‑Geräte aus der offiziellen Lieferkette
• Dokumentation aller Seriennummern
• Nachvollziehbare, kontrollierte Beschaffungswege
• Keine Zwischenhändler, keine Refurbished‑Geräte
• Versand direkt an den Kunden

2. Vorbereitung

• Sichtprüfung der Hardware
• Abgleich der Seriennummern
• Vorbereitung der Installation beim Kunden vor Ort
• Dokumentation des Ausgangszustands

3. Installation & Härtung

• Installation über CLI mit gehärteten ThinkPads (ME frei)
• Signatur‑ und Hash‑Verifikation der System‑Images
• Einrichtung der vereinbarten Sicherheitsprofile
• Deaktivierung nicht benötigter Komponenten
• Keine Cloud‑Abhängigkeiten, kein MDM
Interne Prüfschritte und Methoden werden nicht veröffentlicht.

4. Integritätsprüfung

• Verified‑Boot‑Screen (Farbe & Fingerprint)
• Bootloader‑Status („locked“)
• Hardware‑Attestation (KeyMint/StrongBox)
• Kontrolle der Systemkonfiguration
• Keine über den Auftrag hinausgehenden Profile, Zertifikate oder VPN‑Konfigurationen
• Keine Google‑Dienste im sicheren Profil

Die vollständige Checkliste wird dem Kunden vorab zugesendet, sobald das Gerät versendet wurde.

Alle Schritte sind so gestaltet, dass sie jederzeit vom Kunden oder dessen IT‑Sicherheitsberatern überprüft werden können.

5. Dokumentierte Übergabe

• Übergabeprotokoll mit Seriennummern
• Referenzwerte für Verified Boot
• Dokumentation aller kundenrelevanten Prüfschritte
• Checkliste zur späteren Re‑Verifikation
• Optional: kurze Einführung für interne IT‑Teams