Sicherheitscenter
Sicherheit & Datenschutz
Wir verarbeiten täglich sensible Dokumente. So schützen wir sie.
Minimale Datenerhebung
Wir speichern nur, was für die Erbringung des Dienstes erforderlich ist. Kein Tracking in der App oder im Portal — optionale einwilligungsbasierte Analyse nur auf Marketingseiten.
Verteidigung in der Tiefe
Mehrere überlappende Sicherheitskontrollen — kein einzelner Fehlerpunkt.
Transparenz
Wir sagen Ihnen genau, was wir mit Ihren Daten machen. Kein verstecktes Juristendeutsch.
Infrastructure
Verschlüsselung bei Übertragung
Alle Verbindungen verwenden HTTPS/TLS 1.2+ mit modernen Cipher-Suiten (ECDHE-Schlüsselaustausch, AES-GCM/CHACHA20-Verschlüsselung — keine veralteten CBC-Cipher). OCSP-Stapling ist für schnelle Zertifikatsverifizierung aktiviert. Magic Links, Datei-Uploads und API-Aufrufe werden bei der Übertragung verschlüsselt. HSTS ist mit Preloading aktiviert. Die Verschlüsselung im Ruhezustand hängt von der Hosting-Infrastruktur ab und ist nicht auf Anwendungsebene.
Browser-Sicherheitsheader
Strenge Content Security Policy (kein unsafe-eval), X-Content-Type-Options, X-Frame-Options (DENY), Permissions-Policy, Cross-Origin-Opener-Policy und Referrer-Policy-Header werden bei jeder Antwort gesetzt. Referrer-Policy ist auf no-referrer gesetzt, um das Durchsickern von Magic-Link-Tokens über Referrer-Header zu verhindern.
Sichere Magic Links
Jeder Empfänger erhält ein einzigartiges Token, das mit einem kryptografisch sicheren Zufallsgenerator erzeugt wird. Tokens werden vor der Speicherung gehasht — Rohtokens werden nie gespeichert. Links laufen automatisch nach der Anfragefrist ab. Optionaler Zugangscode-Schutz fügt eine zweite Verifizierungsebene mit PBKDF2-gehashten Codes hinzu.
Application
Dateivalidierung & Integrität
Jede hochgeladene Datei durchläuft 5 Validierungsstufen: Größenlimit, Content-Type-Allowlist, Erweiterungsabgleich, Magic-Byte-Prüfung und Empfänger-Kontingente. SHA-256-Prüfsummen werden beim Upload gespeichert. Eine periodische Integritätsprüfung bestätigt, dass gespeicherte Dateien intakt bleiben. Jede Datei wird automatisch mit ClamAV auf Viren gescannt. Infizierte Dateien werden abgelehnt und gelöscht.
Rate Limiting & Missbrauchsprävention
API-Endpunkte sind pro Benutzer und pro IP beschränkt. Das Empfängerportal hat separate, strengere Pro-Token- und Pro-IP-Limits. Anmeldeversuche werden pro E-Mail+IP-Kombination gedrosselt. Die Zugangscode-Verifizierung sperrt nach wiederholten Fehlversuchen. Passwort-Zurücksetzung hat E-Mail-basierte Abkühlzeiten zur Enumerationsprävention.
Access control
Authentifizierung & Zugangskontrolle
JWT-Tokens mit 15-minütigem Ablauf und 7-tägiger Refresh-Rotation. Refresh-Tokens werden bei Abmeldung und Rotation gesperrt. Optionale TOTP-basierte Zwei-Faktor-Authentifizierung (2FA) über Authenticator-Apps mit verschlüsselten Geheimnissen. Rollenbasierte Zugangskontrolle mit Eigentümer-, Admin- und Prüfer-Rollen. Passwörter mit PBKDF2 gehasht, mindestens 10 Zeichen erforderlich und längenbegrenzt zur Prävention algorithmischer Komplexitätsangriffe. Sensible Tokens aus allen Zugriffsprotokollen unterdrückt. Sitzungs-Cookies verwenden HttpOnly-, SameSite- und Secure-Flags.
Audit-Protokollierung & Überwachung
Anmeldeversuche, Dokumenteinreichungen und Datenlöschungen werden mit Zeitstempeln und Metadaten protokolliert. Audit-Logs sind über das Dashboard verfügbar und als CSV exportierbar. Hintergrundaufgaben werden auf Gesundheit und Alarmierung überwacht. Fehlerüberwachung verwendet PII-bereinigte Berichterstattung.
Data lifecycle
Datenaufbewahrung & Löschung
Abgeschlossene Anfragen werden nach einem konfigurierbaren Aufbewahrungszeitraum automatisch gelöscht (Standard: 90 Tage). Sie können jede Anfrage oder Ihr gesamtes Konto jederzeit löschen. Alle Dateien werden explizit von der Festplatte entfernt mit Wiederholungsmechanismen für fehlgeschlagene Löschungen. Jede Löschung wird in einem unveränderlichen Audit-Trail protokolliert.
DSGVO-Tools
Wir agieren als Auftragsverarbeiter gemäß DSGVO. Wir stellen einen AVV bereit, unterstützen Betroffenenrechte (Auskunft, Übertragbarkeit, Löschung) und bieten Self-Service-Datenexport in JSON- und CSV-Formaten.