Sicherheit in jede Schicht eingebaut. Nicht nachträglich hinzugefügt.
Rust-Backend, Zero-Trust-Architektur, kryptografische Richtliniendurchsetzung und speichersichere Grundlage.
EU-gehostet · GCP Warschau, Polen · SOC 2 Type II 2026 · NIS2-konform · DSGVO-nativ
Vollständige Systemarchitektur ansehen →Sieben grundlegende Sicherheitsprinzipien
Jedes Prinzip wird auf Architekturebene durchgesetzt – nicht als optionale Konfiguration.
1. Zero-Trust-Architektur
Jede Zugriffsanfrage wird unabhängig verifiziert. Keine vertrauenswürdigen Zonen, keine impliziten Pfade.
2. Zero Standing Privileges
Just-in-Time-Zugriff mit konfigurierbarer TTL und automatischem Sitzungsablauf. Kein dauerhafter privilegierter Zugriff.
3. Kryptografische Richtliniendurchsetzung (PBAC)
Ed25519-signierte Richtlinien. Manipulierte Richtlinien werden am Policy Decision Point abgelehnt.
4. Standardmäßige Fail-Closed-Logik
100 % der API-Endpunkte auf explizite Fail-Closed-Logik abgebildet. Systemausfall verweigert Zugriff.
5. Vollständige Sitzungsaufzeichnung
Video-Erfassung + Aktivitätsprotokolle (Tastatureingaben, Befehle, Dateiübertragungen, Zwischenablage).
6. Ausschließlich ausgehender Datenverkehr
Connectors stellen ausschließlich ausgehende Tunnel her (WebSocket/TLS Port 443). Keine eingehenden Ports auf Zielservern.
7. Fail-Closed als Standard
RDP-Kanäle (Zwischenablage, Dateiübertragung, Audio, USB) standardmäßig blockiert. Endpunkte standardmäßig gesperrt.
Authentifizierung und Autorisierung
Jede Identität verifiziert. Jeder Zugriff verwaltet.
| Fähigkeit | Implementierung |
|---|---|
| Single Sign-On (SSO) | OIDC und SAML 2.0 über Keycloak (Google, Microsoft, eigener IdP) |
| Multi-Faktor-Authentifizierung | TOTP, WebAuthn (FIDO2/U2F), SMS OTP, Backup-Codes |
| MFA-Härtung | OTP-Hashing mit Pepper, konstant-zeitlicher Vergleich, Ratenbegrenzung pro Benutzer |
| Step-up-Authentifizierung | Re-Authentifizierung erforderlich für Abrechnung, MFA-Reset, Richtlinienänderungen |
| RBAC | 87+ granulare Berechtigungen in 19 Ressourcentypen |
| PBAC | Signierte Richtlinienpakete pro Anfrage ausgewertet – Fail-Closed |
| JIT-Zugriff | Just-in-Time-Zugriff mit konfigurierbarer TTL und automatischem Sitzungsablauf |
Datenschutz
Verschlüsselung auf jeder Ebene. Zugangsdaten nie exponiert.
Daten bei der Übertragung
TLS 1.2+ für alle externen Verbindungen. mTLS für Connector-Tunnel. Identitätsgebundene Zertifikate.
Daten im Ruhezustand
AES-256-GCM-Verschlüsselung für personenbezogene Datenfelder. Vault Transit für Aufzeichnungen und Secrets.
Zugangsdatenspeicherung
OpenBao Vault mit AppRole-Authentifizierung. Automatische Rotation. Speicher-Zeroization.
Aufzeichnungsspeicherung
Revisionssichere Speicherung mit kryptografisch verifiziertem Aktivitätsprotokoll.
Netzwerksicherheit
NGINX ModSecurity WAF mit OWASP-CRS-Regelwerk. Ratenbegrenzung pro Benutzer. Geo-Blocking konfigurierbar.
Speichersicheres Backend
Rust – eliminiert ganze Klassen von Schwachstellen (Buffer Overflow, Use-after-Free, Datenwettlaufbedingungen).
STRIDE-Bedrohungsmodellierungsabdeckung
Systematische Bedrohungsanalyse für jede Hauptkomponente. 152+ analysierte Bedrohungen, alle kritischen behoben.
| Komponente | Analysierte Bedrohungen | Kritische Risiken | Status |
|---|---|---|---|
| Authentifizierung und MFA | 22 | 6 | Mitigiert |
| API-Token-Management | 30 | 4 | Mitigiert |
| Control-Plane-Laufzeit | 22 | 6 | Mitigiert |
| Aufzeichnungsintegrität | 18 | 2 | Mitigiert |
| HTTP-Proxy und Web-Sitzungen | 33 | 5 | Mitigiert |
| Connector-Registrierung | 15 | 3 | Mitigiert |
| Vault-Zugangsdatenverwaltung | 12 | 2 | Mitigiert |
Praktiken der sicheren Softwareentwicklung
Rust (speichersicher)
Keine Buffer Overflows, kein Use-after-Free. Ganze Klassen von Schwachstellen auf Sprachebene eliminiert.
SAST/SCA bei jedem PR
Statische Sicherheitstests und Dependency-Schwachstellen-Scanning bei jedem Pull Request.
35+ Sicherheitsgutachten
Formale Architektur-Sicherheitsreviews für jede Hauptfunktion vor dem Deployment.
Ed25519-signierte Releases
Jede verteilte Binärdatei signiert. Release-Integrität durch öffentlichen Schlüssel verifizierbar.
Fail-Closed-Matrix
100 % der Endpunkte auf explizite Fail-Closed-Logik abgebildet. Bei jedem Review geprüft.
Parametrisierte Abfragen
Zur Kompilierzeit verifizierte Abfragen durch SQLx. Kein SQL Injection. Sichere Datenbankzugriffsmuster.
Ihre Daten bleiben in der EU. Immer.
GCP europe-central2 (Warschau). Prüfprotokolle, Sitzungsaufzeichnungen und Zugangsdaten verlassen die EU nie.
EU-gehostet · GCP Warschau, Polen · SOC 2 Type II 2026 · NIS2-konform · DSGVO-nativ