Alle Werkzeuge
Anonymisierender Internetzugang

Dernium Gateway

Ins Internet, ohne dass jemand bis zu Ihrer Organisation zurückkommt: ein anonymisierender, abgeschirmter Weg für Ihre Geräte, bei dem Ihre Daten erst an einem anderen (auch internationalen) Standort wieder ins offene Netz treten, immer mit deutschem Einstiegsserver. Wir lesen Ihre Inhalte nicht mit und führen keine Vorratsdatenspeicherung. Sämtliche Verkehre sicher verschlüsselt, Standortauswahl je Kunde individuell und mit jeweils exklusiven Ressourcen.

Ihre Organisation
Dernium Gateway · eigene IP
Internet
Ausgehender Datenverkehr über einen eigenen, kontrollierten Netzausgang.

So einfach erklärt

Das Problem

Sobald Ihre Mitarbeiter im Netz recherchieren oder auf Dienste zugreifen, ist Ihre Organisation an der IP-Adresse erkennbar - Gegenüber können daraus Rückschlüsse ziehen oder den Zugriff bis zu Ihnen zurückverfolgen.

Ihre Lösung

Gateway leitet den Internetverkehr Ihrer Geräte über einen abgeschirmten, verschlüsselten Weg. Nach außen ist nicht Ihre Organisation sichtbar, sondern eine neutrale Ausgangs-Adresse an einem Standort Ihrer Wahl - immer mit deutschem Einstieg, und wir lesen nichts mit.

So sieht das im Alltag aus

  • Ihr Team recherchiert zu Marktbegleitern oder Lieferanten, ohne dass deren Website den Besuch bis zu Ihrem Unternehmen zurückverfolgen kann.
  • Sensible Recherchen in Forschung, Redaktion oder Compliance laufen, ohne die Identität Ihrer Organisation preiszugeben.
  • Ein Online-Dienst soll den Zugriff aus einem bestimmten Land sehen: Sie wählen einfach den passenden Ausgangs-Standort.
  • Ins Internet, ohne dass Ihre Organisation erkennbar ist - deutscher Einstieg, Ausgang an selbst gewähltem Standort
  • Wir lesen nicht mit: keine Vorratsdatenspeicherung, keine Inhaltsanalyse, kein Eingriff in Ihre Verschlüsselung
  • Dedizierte Ressourcen - nicht mit anderen Kunden geteilt, mehr Sicherheit und vorhersagbare Performance
  • Standortwechsel per Klick ohne Unterbrechung - ideal für Recherche und Marktforschung aus wechselnden Perspektiven

Häufige Fragen und Details

Für wen Gateway gemacht ist

Berufsgeheimnisträger wie Anwaltskanzleien, Steuerberater, Ärzte und Kliniken, Redaktionen mit Quellenschutz, NGOs in sensiblen Themen, M&A- und Compliance-Beratung sowie Familienbetriebe, die nicht mit der eigenen IP-Adresse ins Netz gehen wollen - auch um ihre eigenen Netze zu schützen. Ebenso Marktforschung, Wettbewerbsbeobachtung, journalistische Recherche und Geo-Studien. Und Unternehmen mit hohem Schutzbedarf, die einen anonymisierenden Internetzugang für alle Endgeräte bereitstellen möchten, ohne jedes Gerät mit einem VPN-Client auszustatten (Terminierung an zentraler Firmeninfrastruktur möglich).

Wie der geschützte Weg ins Internet funktioniert

Ihr Endgerät baut einen durchgehend verschlüsselten WireGuard-Tunnel auf, der erst an Ihrem gewählten Ausgangs-Standort entschlüsselt wird - zum Beispiel Deutschland, USA oder weitere. Auf dem Weg dorthin läuft dieser Tunnel über einen deutschen Einstiegs-Server, der die Pakete nur weiterreicht (relayt) und ihren Inhalt selbst nicht entschlüsseln kann. Wer Ihren Internet-Anschluss von außen beobachtet (etwa Ihr Internet-Anbieter), sieht ausschließlich, dass Sie mit einem Server in Deutschland verbunden sind - nicht wohin Ihr Verkehr dahinter tatsächlich geht oder was darin enthalten ist. Diese Zweistufigkeit (deutscher Einstieg, davon entkoppelter Ausgangs-Standort) nennt sich Multi-Hop und entkoppelt Ihre Identität vom gewählten Standort.

Keine Vorratsdatenspeicherung

Vorratsdatenspeicherung bedeutet das pauschale Speichern von Verbindungs-Daten aller Nutzer ohne konkreten Anlass. Eine solche Pflicht gibt es in Deutschland nach Urteilen des Bundesverfassungsgerichts und des Europäischen Gerichtshofs nicht - entsprechend betreiben wir sie auch nicht. Konkret heißt das: keine Liste, wer wann was abgerufen hat. Keine Aufzeichnung Ihrer Internet-Anfragen (DNS-Abfragen). Keine Sitzungs-Protokolle. Keine Standort-Profile. Was Sie durch den Tunnel schicken, bleibt allein bei Ihnen.

Preis: Sie zahlen, was Sie nutzen

Keine starren Pakete. Wir rechnen transparent über Bausteine ab: pro Endgerät-Profil, pro genutztem Standort, mit Freikontingenten und nach tatsächlich verbrauchtem Daten-Verkehr darüber hinaus. Transparente Mengen-Rabatte ab 20, 50 und 100 Zugängen. Welche Kombination zu Ihrer Organisation passt, klären wir in einer Beratung. Mindestens fünf Profile, mindestens zwölf Monate Laufzeit (Pilot-Phase gegen Aufschlag verfügbar, eingeschränkter Vorab-Testbetrieb jederzeit möglich). Pro Standort lässt sich ein Ausgaben-Limit setzen, ab dem die Verbindung dieses einen Standorts automatisch gekappt wird - ein zuverlässiger Schutz vor Überraschungs-Rechnungen.

Voller Funktionsumfang im Detail

Quanten-resistente Tunnel-Härtung gegen "Harvest now, decrypt later"

Ihren durchgehenden Tunnel härten wir zusätzlich zum WireGuard-Standard-Handshake mit einem Pre-Shared Key (PSK). Dieser PSK fließt zu keinem Zeitpunkt über die Leitung und wird in die Sitzungs-Schlüssel-Ableitung jedes WireGuard-Handshakes hineingemischt. Hintergrund: Heute übliche Schlüsseltausch-Verfahren wie Curve25519 könnten in 10 bis 20 Jahren von einem ausreichend großen Quantencomputer rückwirkend gebrochen werden. Angreifer nehmen das vorweg, indem sie heutigen verschlüsselten Verkehr aufzeichnen, um ihn später zu entschlüsseln (Fachbegriff: "Harvest now, decrypt later"). Mit dem PSK als zusätzlicher Schicht gilt: selbst wenn der klassische Schlüsseltausch in Zukunft fällt, müsste ein Angreifer auch noch den PSK kennen - den er nie auf der Leitung sah. Der Inhalt Ihres aufgezeichneten Verkehrs bleibt damit unlesbar.

Standortwechsel ohne erneuten Login

Wechseln möchten Sie über ein kleines Web-Portal, das nur innerhalb Ihres Tunnels erreichbar ist. Ein Klick auf den gewünschten Standort und der Wechsel ist sofort wirksam. Ihre sicher verschlüsselte Verbindung bleibt während des Wechsels bestehen, keine neue Schlüsselaushandlung, keine komplexe Konfiguration auf dem Endgerät nötig. Welche Standorte (und ob) ein einzelnes Profil wählen darf, hinterlegen Ihre IT-Verantwortlichen ihrer Organisation fest.

Feste oder wechselnde Ausgangs-Adresse

Pro Endgerät-Profil wählen Sie je Standort, ob die öffentliche Ausgangs-Adresse dauerhaft (fest) oder rotierend sein soll - umschaltbar jederzeit selbst über das Tunnel-Portal. Im rotierenden Modus erneuern wir die Adresse regelmäßig automatisch, in IPv4 und IPv6, und prüfen jede neue Adresse zuvor gegen mehrere unabhängige öffentliche Reputationslisten. So bleibt Ihre Identität über die Zeit schwer korrelierbar. Eine feste Adresse bleibt dagegen unverändert - praktisch dort, wo ein Dienst eine gleichbleibende Quell-Adresse erwartet (etwa eine Freigabe beim Geschäftspartner).

Wieso wir nicht in Ihren Verkehr hineinschauen

Wir verzichten bewusst auf jede Form der Verkehrs-Analyse. Wir installieren kein eigenes Zertifikat auf Ihren Geräten, das uns das Mitlesen verschlüsselter Webseiten erlauben würde (kein TLS-Eingriff, kein Root-Zertifikat in Ihrem Browser). Wir beobachten nicht, welche Domains Sie aufrufen - selbst nicht den unverschlüsselten Verbindungs-Aufbau, der den Namen des Ziel-Servers sichtbar machen könnte (kein SNI-Mitschnitt). Wir öffnen keine Datenpakete für inhaltliche Analyse (kein Deep Packet Inspection, kurz DPI). Was wir nicht erheben, kann auch nicht durch eine Behörden-Anfrage an uns abgefragt werden.

Wenn ein Gericht uns auffordert (Quick-Freeze)

Bei einer richterlichen Anordnung gegen ein konkretes Profil können wir gesetzlich verpflichtet sein, die Verbindungs-Metadaten genau dieses einen Profils befristet aufzuzeichnen. Das nennt sich Quick-Freeze und ist eine Einzelfall-Maßnahme ab dem Anordnungs-Zeitpunkt. Wir informieren Sie über solche Maßnahmen, soweit das gesetzlich erlaubt ist. Die Möglichkeit ist im Vertrag offen benannt - Ehrlichkeit ist uns lieber als ein leeres Niemals-Versprechen, das im Ernstfall nicht hält - wir halten uns an deutsche Gesetze, die für diese Fälle aber auch sehr enge Regeln definieren. Inhaltsdaten sind hiervon nicht betroffen - wir sehen auch in diesem Fall weiterhin nicht, was durch den Tunnel geht.

Reputations-Vorprüfung der Cloud-Ausgangs-Adressen

Die öffentlichen IPv4-Ausgangsadressen unserer eigenen Cloud-Standorte prüfen wir vor Inbetriebnahme automatisch gegen mehrere unabhängige, frei lizenzierte Reputations-Listen. Eine gelistete Adresse wird sofort verworfen und durch eine frische ersetzt, bevor Verkehr darüber läuft. So vermeiden wir, dass Ihr Verkehr über eine bereits gelistete, von einem Vormieter belastete Adresse ausgeleitet wird; eine vollständige Garantie für die Reputation jeder Adresse ist das technisch bedingt nicht.

Residential-Anschlüsse über Drittanbieter als Premium-Option

Optional buchbar: Routen über spezialisierte Drittanbieter-Residential-Netzwerke - Anschlüsse echter Endnutzer (Mobilfunk, DSL, Kabel, Glasfaser), bereitgestellt über etablierte Anbieter; eigene Anschlüsse betreibt Dernium hier bewusst nicht. Das Angebot ist umfangreich, mit großer Standort- und Anbietervielfalt. Ihr Verkehr erscheint dabei als von einem normalen Privatnutzer kommend. Diese Routen sind Best-effort - mit hoher Verfügbarkeit, aber ohne Verfügbarkeits-Garantie; bei Verbindungsfehlern stehen alternative Anschlüsse zur Verfügung. Solche Anschlüsse sind oft von höherer Reputationsqualität als Cloud-Adressen, da sie nicht von vorherigen Mietern für unerwünschte Zwecke genutzt werden können. Zumeist Prepaid-pflichtig.

Verantwortliche Nutzung: nur für rechtmäßige Inhalte

Dernium Gateway darf ausschließlich für rechtmäßige Zwecke verwendet werden. Sie sind für sämtliche Datenströme über den Tunnel selbst verantwortlich und haften für rechtswidrige Handlungen oder rechtswidrige Inhalte vollumfänglich. Wir prüfen Ihre Inhalte technisch nicht (keine inhaltliche Analyse, kein Eingriff in Ihren Verkehr), entlassen Sie damit aber nicht aus Ihrer rechtlichen Verantwortung. Im Vertrag ausgeschlossen sind insbesondere: Betrieb anonymer Knotenpunkte für das Tor-Netzwerk (Tor-Exit), Krypto-Währungs-Mining, automatisiertes, aggressives Massen-Abgreifen fremder Webseiten und offensive Sicherheits-Operationen ohne ausdrückliches Mandat. Verstöße berechtigen uns aus Reputationsschutzgründen zur fristlosen Kündigung.

Ergänzt sich mit

Werkzeuge aus dem Dernium-Baukasten, die hier nahtlos ineinandergreifen - aus einer Hand, mit einer Anmeldung.

Handverlesene Aufnahme

Dernium Gateway, nur für Organisationen

Dernium Gateway wird ausschließlich für handverlesene Organisationen nach individueller Beratung freigeschaltet. Jede Anfrage prüfen wir individuell - inklusive Prüfung der Geschäftsidentität, Beratungsgespräch und Klärung der gewünschten Standorte. Mindestabnahme fünf Profile, Mindestbindung zwölf Monate. Wir rechnen Profile, genutzte Standorte und den über die Freikontingente hinausgehenden Daten-Verkehr per Monatsrechnung ab.

Pflichtangaben für Telekommunikationsdienste

Dernium Gateway ist ein öffentlich zugänglicher Internetzugangsdienst im Sinne des TKG. Wir wahren den offenen Internetzugang (Netzneutralität, Verordnung (EU) 2015/2120): keine inhaltliche Drosselung oder Sperrung, Verkehrsmanagement nur im zulässigen Rahmen, und die Wahl des Ausgangs-Standorts steuern Sie selbst. Vor Vertragsschluss erhalten Sie eine Vertragszusammenfassung mit den vereinbarten Geschwindigkeiten und den Abhilfen bei Abweichungen. Ergänzend gelten unsere Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung.