Dernium Gateway
Ein anonymer, abgeschirmter Weg ins Internet für die Geräte Ihrer Organisation: Ihre Daten treten erst an einem anderen (auch internationalen) Standort als wieder ins offene Netz, immer mit deutschem Einstiegsserver. Wir lesen Ihre Inhalte nicht mit und führen keine Vorratsdatenspeicherung. Sämtliche Verkehre sicher verschlüsselt, Standortauswahl je Kunde individuell und mit jeweils exklusiven Ressourcen.
- Eine kleine Profil-Datei pro Endgerät - einmal eingerichtet, dauerhaft verbunden. Funktioniert auf Laptops, Servern, Office-Routern, Smartphones und Tablets
- Wachsendes Netz internationaler Standorte - welche zu Ihrer Organisation passen, klären wir individuell im Aufnahmegespräch
- Standortwechsel per Klick in wenigen Sekunden, ohne neue Anmeldung und ohne dass die Verbindung abreißt - ideal für wechselnde Perspektiven bei Recherche und Marktforschung
- Deutsche Eingangsstation: Ihr Internet-Anbieter sieht nur eine Verbindung zu einem Server in Deutschland, nicht wohin Ihr Verkehr dahinter tatsächlich geht
- Wir lesen Ihren Verkehr nicht mit - keine Filter, keine Inhalts-Prüfung, kein Eingriff in die Verschlüsselung der von Ihnen besuchten Webseiten, keine Vorratsdatenspeicherung
- Ihre IT entscheidet pro Endgerät, welche Standorte erlaubt sind; die Mitarbeitenden wählen innerhalb dieser Liste selbst (falls aktiviert)
- Pro Standort ein eigenes Ausgaben-Limit definierbar - bei Erreichen wird die Verbindung dieses Standorts automatisch gekappt, kein Risiko unangenehmer Rechnungen
- Keine geteilte Infrastruktur - jede Organisation erhält dedizierte Ressourcen, die nicht mit anderen Kunden geteilt werden. Das erhöht die Sicherheit und die Performance, da Sie nicht mit anderen Kunden um Kapazitäten konkurrieren.
- Quanten-resistente Tunnel-Härtung: jedes Profil bekommt zusätzlich zum klassischen WireGuard-Handshake einen Pre-Shared Key (PSK). Damit bleibt Ihr aufgezeichneter Verkehr selbst dann unlesbar, wenn ein zukünftiger Quantencomputer den klassischen Schlüsseltausch (Curve25519) bricht - Schutz gegen "Harvest now, decrypt later".
Für wen Gateway gemacht ist
Berufsgeheimnisträger wie Anwaltskanzleien, Steuerberater, Ärzte und Kliniken, Redaktionen mit Quellenschutz, NGOs in sensiblen Themen, M&A- und Compliance-Beratung, Familienbetriebe, die nicht direkt mit ihrer eigenen IP-Adresse ins Internet gehen wollen - nicht zuletzt um auch möglichst wenig Gefahr für ihre eigenen Netze anzuziehen. Aber auch Marktforschung, Wettbewerbsbeobachtung, journalistische Recherche, akademische Studien mit Geo-Aspekt (Fragestellung: wird eine Seite in anderen Ländern anders angezeigt?). Außerdem: Unternehmen mit einem hohen Schutzbedarf, die ihre Mitarbeiterinnen und Mitarbeiter nicht mit einem VPN-Client ausstatten wollen, aber dennoch einen sicheren, anonymen Internet-Ausgang für alle Endgeräte bereitstellen möchten (Erminierung an zentraler Firmeninfrastruktur möglich).
Wie der geschützte Weg ins Internet funktioniert
Ihr Endgerät baut eine verschlüsselte Verbindung zu einem deutschen Einstiegs-Server auf. Von dort wird Ihr Verkehr in einer zweiten verschlüsselten Strecke innerhalb unserer Infrastruktur zu dem von Ihnen gewünschten Ausgangs-Standort weitergeleitet - zum Beispiel Deutschland, USA oder weitere. Wer Ihren Internet-Anschluss von außen beobachtet (etwa Ihr Internet-Anbieter), sieht ausschließlich, dass Sie mit einem Server in Deutschland verbunden sind - nicht wohin Ihr Verkehr dahinter tatsächlich geht oder was darin enthalten ist. Diese Zweistufigkeit nennt sich Multi-Hop und entkoppelt Ihre Identität vom gewählten Standort.
Quanten-resistente Tunnel-Härtung gegen "Harvest now, decrypt later"
Beide Verschlüsselungs-Strecken (Endgerät zu Einstiegs-Server und Einstiegs-Server zu Ausgangs-Standort) härten wir mit einem zusätzlichen Pre-Shared Key (PSK). Dieser PSK fließt zu keinem Zeitpunkt über die Leitung und wird in die Sitzungs-Schlüssel-Ableitung jedes WireGuard-Handshakes hineingemischt. Hintergrund: Heute übliche Schlüsseltausch-Verfahren wie Curve25519 könnten in 10 bis 20 Jahren von einem ausreichend großen Quantencomputer rückwirkend gebrochen werden. Angreifer nehmen das vorweg, indem sie heutigen verschlüsselten Verkehr aufzeichnen, um ihn später zu entschlüsseln (Fachbegriff: "Harvest now, decrypt later"). Mit dem PSK als zusätzlicher Schicht gilt: selbst wenn der klassische Schlüsseltausch in Zukunft fällt, müsste ein Angreifer auch noch den PSK kennen - den er nie auf der Leitung sah. Der Inhalt Ihres aufgezeichneten Verkehrs bleibt damit unlesbar.
Standortwechsel ohne erneuten Login
Wechseln möchten Sie über ein kleines Web-Portal, das nur innerhalb Ihres Tunnels erreichbar ist. Ein Klick auf den gewünschten Standort und der Wechsel ist sofort wirksam. Ihre sicher verschlüsselte Verbindung bleibt während des Wechsels bestehen, keine neue Schlüsselaushandlung, keine komplexe Konfiguration auf dem Endgerät nötig. Welche Standorte (und ob) ein einzelnes Profil wählen darf, hinterlegen Ihre IT-Verantwortlichen ihrer Organisation fest.
Keine Vorratsdatenspeicherung
Vorratsdatenspeicherung bedeutet das pauschale Speichern von Verbindungs-Daten aller Nutzer ohne konkreten Anlass. Eine solche Pflicht gibt es in Deutschland nach Urteilen des Bundesverfassungsgerichts und des Europäischen Gerichtshofs nicht - entsprechend betreiben wir sie auch nicht. Konkret heißt das: keine Liste, wer wann was abgerufen hat. Keine Aufzeichnung Ihrer Internet-Anfragen (DNS-Abfragen). Keine Sitzungs-Protokolle. Keine Standort-Profile. Was Sie durch den Tunnel schicken, bleibt allein bei Ihnen.
Wieso wir nicht in Ihren Verkehr hineinschauen
Wir verzichten bewusst auf jede Form der Verkehrs-Analyse. Wir installieren kein eigenes Zertifikat auf Ihren Geräten, das uns das Mitlesen verschlüsselter Webseiten erlauben würde (kein TLS-Eingriff, kein Root-Zertifikat in Ihrem Browser). Wir beobachten nicht, welche Domains Sie aufrufen - selbst nicht den unverschlüsselten Verbindungs-Aufbau, der den Namen des Ziel-Servers sichtbar machen könnte (kein SNI-Mitschnitt). Wir öffnen keine Datenpakete für inhaltliche Analyse (kein Deep Packet Inspection, kurz DPI). Was wir nicht erheben, kann auch nicht durch eine Behörden-Anfrage an uns abgefragt werden.
Wenn ein Gericht uns auffordert (Quick-Freeze)
Bei einer richterlichen Anordnung gegen ein konkretes Profil können wir gesetzlich verpflichtet sein, die Verbindungs-Metadaten genau dieses einen Profils befristet aufzuzeichnen. Das nennt sich Quick-Freeze und ist eine Einzelfall-Maßnahme ab dem Anordnungs-Zeitpunkt. Wir informieren Sie über solche Maßnahmen, soweit das gesetzlich erlaubt ist. Die Möglichkeit ist im Vertrag offen benannt - Ehrlichkeit ist uns lieber als ein leeres Niemals-Versprechen, das im Ernstfall nicht hält - wir halten uns an deutsche Gesetze, die für diese Fälle aber auch sehr enge Regeln definieren. Inhaltsdaten sind hiervon nicht betroffen - wir sehen auch in diesem Fall weiterhin nicht, was durch den Tunnel geht.
Preis: Sie zahlen, was Sie nutzen
Keine starren Pakete. Wir rechnen transparent über Bausteine ab: pro Endgerät-Profil, pro genutztem Standort, mit Freikontingenten und nach tatsächlich verbrauchtem Daten-Verkehr darüber hinaus. Transparente Mengen-Rabatte ab 20, 50 und 100 Zugängen. Welche Kombination zu Ihrer Organisation passt, klären wir in einer Beratung. Mindestens fünf Profile, mindestens zwölf Monate Laufzeit (Pilot-Phase gegen Aufschlag verfügbar, eingeschränkter Vorab-Testbetrieb jederzeit möglich). Pro Standort lässt sich ein Ausgaben-Limit setzen, ab dem die Verbindung dieses einen Standorts automatisch gekappt wird - perfekter Schutz vor Überraschungs-Rechnungen.
Mobilfunk- und Festnetz-Anschlüsse als Premium-Option
Optional buchbar: Routen über echte Endkunden-Anschlüsse (Mobilfunk, DSL, Kabel, Glasfaser). Ihr Verkehr erscheint dabei als von einem normalen Privatnutzer kommend. Diese Routen sind Best-effort - mit hoher Verfügkarkeit aber ohne Verfügbarkeits-Garantie - bei Verbindungsfehlern wechseln wir den Anbieter-Anschluss automatisch. Datenmengen, die in fehlgeschlagenen Verbindungen geflossen sind, werden Ihnen nicht berechnet. Diese Anschlüsse sind oft von höherer Reputationsqualität als Cloud-Adressen, da sie nicht von vorherigen Mietern für unerwünschte Zwecke genutzt werden können. Zumeist Prepaid-pflichtig.
Verantwortliche Nutzung: nur für rechtmäßige Inhalte
Dernium Gateway darf ausschließlich für rechtmäßige Zwecke verwendet werden. Sie sind für sämtliche Datenströme über den Tunnel selbst verantwortlich und haften für rechtswidrige Handlungen oder rechtswidrige Inhalte vollumfänglich. Wir prüfen Ihre Inhalte technisch nicht (keine inhaltliche Analyse, kein Eingriff in Ihren Verkehr), entlassen Sie damit aber nicht aus Ihrer rechtlichen Verantwortung. Im Vertrag ausgeschlossen sind insbesondere: Betrieb anonymer Knotenpunkte für das Tor-Netzwerk (Tor-Exit), Krypto-Währungs-Mining, automatisiertes, aggressives Massen-Abgreifen fremder Webseiten und offensive Sicherheits-Operationen ohne ausdrückliches Mandat. Verstöße berechtigen uns aus Reputationsschutzgründen zur fristlosen Kündigung.
Dernium Gateway, nur für Organisationen
Dernium Gateway wird ausschließlich für handverlesene Organisationen nach individueller Beratung freigeschaltet. Jede Anfrage prüfen wir individuell - inklusive Prüfung der Geschäftsidentität, Beratungsgespräch und Klärung der gewünschten Standorte. Mindestabnahme fünf Profile, Mindestbindung zwölf Monate. Wir rechnen Profile, genutzte Standorte und den über die Freikontingente hinausgehenden Daten-Verkehr per Monatsrechnung transparent und nachvollziehbar ab.