Kontakt Kontakt

Sicherheit

Single-Tenant-Architektur, AES-256-GCM-Verschlüsselung, ISO-27001-zertifiziertes Schweizer Hosting.

Der Schutz Ihrer Daten ist eine tägliche Verpflichtung. Diese Seite beschreibt die Architektur, die technischen Kontrollen und die Prozesse, die wir einsetzen, um die uns anvertrauten Informationen zu schützen. Für den rechtlichen Rahmen und die Rechte der betroffenen Personen konsultieren Sie unsere Datenschutzerklärung und unsere nDSG-Seite.

Single-Tenant-Architektur

Jede Kundin und jeder Kunde verfügt über eine eigene Anwendungsinstanz (einen isolierten Docker-Container) und eine eigene Datenbank. Anwendungsdaten werden nicht zwischen Kunden geteilt. Die konkreten Auswirkungen:

  • Kein kundenübergreifender Datenabfluss — eine fehlerhafte Anwendungsanfrage kann keine Daten anderer Kunden offenlegen, weil kein Anwendungscode gleichzeitig Zugriff auf zwei Datenbanken hat.
  • Individuelle Wiederherstellung — wir können eine Instanz auf einen bestimmten Zeitpunkt zurücksetzen, ohne andere Kunden zu beeinträchtigen.
  • Isolierte Aktualisierungen — progressiver Rollout mit Rollback-Möglichkeit pro Instanz.

Verschlüsselung

Die Daten werden im Ruhezustand mit AES-256-GCM verschlüsselt. Wir verwenden das Modell der Envelope Encryption: Ein separater, ausserhalb der Datenbank gespeicherter Masterschlüssel verschlüsselt die Kundenschlüssel. Die Daten in Übertragung werden mit TLS 1.3 (ausgehandelt durch Caddy mit Let's Encrypt) geschützt. Einfache HTTP-Verbindungen werden systematisch auf HTTPS umgeleitet.

Backups — GFS-Strategie

Wir wenden eine Grandfather-Father-Son-Strategie über mehrere Horizonte an:

  • 6-Stunden-Snapshot — 48 Stunden aufbewahrt.
  • 24-Stunden-Snapshot — 7 Tage aufbewahrt.
  • Wöchentlich — 30 Tage aufbewahrt.
  • Monatlich — 12 Monate aufbewahrt.

Backups werden Ende-zu-Ende verschlüsselt und auf einer vom Hauptserver getrennten Infrastruktur gespeichert. Vierteljährlich führen wir einen Wiederherstellungstest durch, um die Integrität der Backups zu prüfen.

Hosting

Unsere gesamte Infrastruktur wird bei Infomaniak in Genf (Schweiz) gehostet. Infomaniak ist nach ISO 27001 (Informationssicherheit), ISO 9001 (Qualität) und ISO 14001 (Umweltmanagement) zertifiziert. Die Rechenzentren werden zu 100 % mit erneuerbarer Wasserkraft betrieben. Im normalen Betrieb werden keine Kundendaten ausserhalb der Schweiz gehostet.

Authentifizierung und Sitzungen

  • Passwörter — mit Argon2id (Gewinner der Password Hashing Competition) gehasht, Kostenparameter werden regelmässig erhöht.
  • Sitzungen — Cookies mit HTTP-only, Secure und SameSite=Strict, Tokens werden bei Rechteerhöhung rotiert.
  • CSRF — HMAC-basierter Schutz für alle verändernden Anfragen.
  • MFA — TOTP-Authentifizierung (RFC 6238) auf Anfrage verfügbar; für Administratorkonten zwingend.

Protokollierung und Audit

Sensible Aktionen werden in einem unveränderlichen Audit-Protokoll erfasst: Anmeldungen, Datenexporte, Löschungen, Änderungen an Benutzer- und Rollenverwaltung, Konfigurationsänderungen. Die Protokolle werden mindestens 12 Monate aufbewahrt und können der Kundin oder dem Kunden auf schriftliche, begründete Anfrage zur Verfügung gestellt werden.

Infrastruktur und gestaffelte Verteidigung

  • Host-Firewall (nftables) mit Default-Deny-Policy.
  • Cloudflare WAF vorgelagert, mit aktiviertem OWASP-Regelwerk und DDoS-Schutz.
  • Anwendungsseitiges Rate-Limiting (pro IP) auf Authentifizierungs- und Registrierungs-Endpunkten.
  • Aktive Überwachung 24/7, Alarmierung bei Anomalien, automatische TLS-Zertifikatsrotation.

Entwicklung und Lieferkette

  • Obligatorisches Code-Review — keine Änderung erreicht die Produktion ohne Peer-Review.
  • Geprüfte Abhängigkeiten — automatisches Scannen via bun audit (Node) und go mod audit (Go) bei jedem Build.
  • Automatisierte Tests — Frontend- (Vitest), Backend- (Go) und E2E-Tests (Playwright) bei jedem Commit über unsere CI.
  • Geheimnisse werden über Umgebungsvariablen eingespeist, niemals in den Quellcode.

Verantwortungsvolle Offenlegung

Sollten Sie eine Schwachstelle identifiziert haben, schreiben Sie uns an [email protected]. Wir verpflichten uns, den Eingang innerhalb von 72 Arbeitsstunden zu bestätigen und innerhalb von 10 Tagen eine erste Diagnose bereitzustellen. Bitte veröffentlichen Sie die Schwachstelle erst, wenn wir Gelegenheit hatten, sie zu beheben.

Governance und Dokumente

Unsere Datenschutzerklärung und unsere nDSG-Konformitätsseite beschreiben den geltenden Rechtsrahmen und die Rechte, die Sie geltend machen können: Datenschutzerklärung, nDSG-Konformität, Allgemeine Geschäftsbedingungen.