Trust-Center
Sicherheit ist nicht verhandelbar
Diese Seite ist für Sicherheits- und Datenschutz-Verantwortliche, die vor einer Vertragsverhandlung verstehen wollen, wie wir tatsächlich arbeiten. Keine Marketing-Floskeln, sondern eine Klartext-Übersicht über Architektur, Subprozessoren, Audit-Praxis und Compliance-Bezüge.
Eine Übersicht der technischen und organisatorischen Maßnahmen (TOM) nach DSGVO Art. 32 finden Sie weiter unten auf dieser Seite. Detail-Dokumente (Auftragsverarbeitungs-Vereinbarung, vollständige Subprozessor-Liste, TOM-Langfassung mit Versionsstand, aktuelle Penetration-Test-Berichte) erhalten Sie auf schriftliche Anfrage unter kontakt@dernium.de.
Telekommunikations-Regulatorik (TKG)
Dernium Gateway ist ein öffentlich zugänglicher Telekommunikationsdienst (Internetzugangsdienst); zuständige Aufsichtsbehörde ist die Bundesnetzagentur. Es gelten die Kundenschutz- und Sicherheitspflichten des Telekommunikationsgesetzes.
Architektur-Prinzipien
Ende-zu-Ende-Verschlüsselung wo es zählt
Für Note, Send und Office (CryptPad) werden Inhalte im Browser des Nutzers ver- und entschlüsselt. Der Server sieht ausschließlich Ciphertext. Selbst ein Datenbank-Diebstahl oder eine richterliche Anordnung können den Klartext nicht preisgeben - das ist Architektur, nicht Versprechen. Mit wenigen IT-Fachkenntnissen können Sie das selbst in Ihrem eigenen Browser (DevTools) überprüfen.
Standards statt Eigenbau
Eingesetzt werden ausschließlich etablierte kryptografische Verfahren: AES-256-GCM für symmetrische Verschlüsselung, scrypt und Argon2id für Passwort-Härtung, HKDF-SHA-256 für Schlüsselableitung, WebAuthn/FIDO2 für Anmeldung. Keine selbst erfundenen Algorithmen.
Plattform-Daten in Deutschland, Gateway nach Kunden-Wahl
Plattform-Werkzeuge (Auth, Watch, Mailcheck, Send, Note, Clean, Office, Meet, Scan, Stift) verarbeiten ausschließlich in deutschen Rechenzentren: keine Drittland-Übertragung, kein CLOUD-Act-Zugriff, keine Schrems-II-Problematik. Bei Dernium Watch erfolgen die Prüfungen standardmäßig nur aus Deutschland; internationale Prüf-Standorte nur auf ausdrückliches Opt-in Ihrer Organisation. Bei Dernium Gateway können je nach gewähltem Ausgangs-Standort Transfers in Drittländer (z. B. USA oder Singapur) stattfinden; das ist eine bewusste Kunden-Entscheidung und wird im AV-Anhang dokumentiert und über die in Deutschland ansässige Hetzner Online GmbH als Auftragsverarbeiter abgewickelt; die ausländischen Ausgangs-Server sehen ausschließlich verschlüsselten Verkehr, und für die Drittland-Standorte gelten die Garantien ihres Auftragsverarbeitungsvertrags nach Art. 44 ff. DSGVO.
Defense in Depth
Mehrere unabhängige Schutzschichten: Festplatten-Vollverschlüsselung sämtlicher Server (LUKS2), Anwendungs-Verschlüsselung im Browser, Netzwerk-Segmentierung mit Wireguard + ACLs + regelmäßiger Neu-Authentisierung mit verbundenem Schlüsseltausch, VPN-only-Zugriff auf Admin-Schnittstellen (inkl. SSH), Hardware-Schlüssel für Administratoren zwingend für privilegierte Aktionen.
Open-Source unter der Haube
Die Kern-Komponenten sind Open-Source oder dokumentiert: CryptPad, OnlyOffice, Element Call, Matrix Synapse, PostgreSQL, Rust-Ökosystem. Damit ist die Code-Basis prüfbar. Eine vollständige Liste der Open-Source-Komponenten finden Sie unter /open-source.
Kein Tracking, keine Telemetrie
Keine Drittanbieter-Analytik, kein Werbe-Pixel, keine User-Aktivitäts-Auswertung. Die einzigen Cookies sind technisch notwendig für Sitzung und Anmeldung; eine Cookie-Banner-Pflicht entsteht damit gar nicht erst.
Subprozessoren
Bewusst kurze Liste. Jeder Subprozessor ist vertraglich nach DSGVO Art. 28 verpflichtet. Plattform-Workloads (auth, watch, mailcheck, send, note, clean) verarbeiten ausschließlich in der EU. Bei Dernium Gateway können je nach Kunden-Standortwahl Transfers in Drittländer stattfinden (dokumentiert im AV-Anhang). Neue Subprozessoren werden vor Inbetriebnahme angekündigt.
| Anbieter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, virtuelle Maschinen, Storage | Deutschland (Falkenstein, Nürnberg) |
| Hetzner Online GmbH (Cloud-Compute) | Cloud-Compute für Dernium Gateway (Entry-/Exit-Standorte nach Kunden-Wahl) | Deutschland (Falkenstein, Nürnberg) sowie Finnland (Helsinki), USA (Ashburn), Singapur. Drittland-Standorte ausschließlich nach expliziter Kunden-Wahl im Gateway-Vertrag; abgesichert über die Garantien des Auftragsverarbeitungsvertrags der in Deutschland ansässigen Hetzner Online GmbH (Art. 44 ff. DSGVO), deren Subunternehmer die EWR-externen Standorte betreiben. |
| netcup GmbH | Server-Hosting, virtuelle Maschinen | Deutschland (Nürnberg, Karlsruhe) |
| IONOS SE | Server-Hosting, virtuelle Maschinen | Deutschland (Karlsruhe, Berlin) |
| INWX GmbH & Co. KG | Domain-Registrar und autoritative DNS | Deutschland (Jena) |
Die vollständige, vertraglich verbindliche Subprozessor-Liste inkl. der zugehörigen Auftragsverarbeitungs-Vereinbarungen erhalten Sie bei Vertragsabschluss oder vorab auf Anfrage.
Transit-Anbieter sind keine Subprozessoren. Ausgehender Verkehr aus Desk-VMs läuft je nach gewähltem Egress über wechselnde Cloud- oder Spezial-Proxy-Knoten (z.B. Hetzner Cloud oder vergleichbare Provider mit ähnlichem Footprint). Diese Anbieter sehen ausschließlich den verschlüsselten WireGuard-Tunnel sowie Quell- und Ziel-IP, keine Anwendungsinhalte - vergleichbar mit einem klassischen Tier-1-Carrier oder Internet-Provider. Sie verarbeiten keine personenbezogenen Daten in unserem Auftrag und sind deshalb nicht Subprozessoren nach DSGVO Art. 28. Aus demselben Grund pflegen wir hier keine vollständige Liste; die konkrete Egress-Topologie pro Organisation legen wir Ihnen auf Wunsch individuell offen.
Technische und organisatorische Maßnahmen (TOM)
Übersicht der Maßnahmen nach DSGVO Art. 32 - dieselbe Gliederung wie Anhang 4 des AV-Vertrags. Die Langfassung mit Versionsstand erhalten Sie als PDF auf Anfrage.
Vertraulichkeit
- Verarbeitung ausschließlich in deutschen Rechenzentren (ISO/IEC 27001, BSI C5 Typ 2 der Hetzner-Standorte); Gateway-Auslands-Standorte sind reine Tunnel-Ausgänge ohne Verarbeitung personenbezogener Daten
- Kein Passwort-Login: Passkeys (WebAuthn/FIDO2), Magic-Link oder TOTP; verbindliche 2FA für alle Admin-Konten
- Rollenbasiertes Berechtigungsmodell pro Organisation; Operator-Zugriffe im Audit-Log protokolliert
- Eigene Datenbank pro Werkzeug, kein Shared-Schema; Mandanten-Trennung über Organisations-Schlüssel
- TLS 1.2/1.3 im Transport, LUKS2-Vollverschlüsselung der Speicher; Note, Send und Office zusätzlich Ende-zu-Ende-verschlüsselt
Integrität
- Interne Datenflüsse nur über private Netze; keine internen Service-Endpunkte im öffentlichen Internet
- Append-only-Audit-Log für administrative Aktionen mit Akteur, Aktion, Ziel und Zeitstempel
- Änderungen an Kundendaten nur auf dokumentierte Weisung oder zur Wartung, stets nachvollziehbar
- Keine Vorratsdatenspeicherung; Herausgabe nur an autorisierte Stellen nach § 100j/§ 100g StPO
Verfügbarkeit und Belastbarkeit
- Tägliche verschlüsselte Backups auf zwei geografisch getrennte Standorte
- Wiederherstellung auf Tages-Granularität für mindestens 30 Tage; Disaster-Recovery-Runbooks pro Werkzeug
- Durchgehendes Monitoring mit automatischer Alarmierung; Live-Status öffentlich unter /status
Regelmäßige Überprüfung
- Interne Audit-Wellen vor jeder produktiven Freigabe; externe Penetration-Tests (Berichte unter NDA)
- Datenschutz-Folgenabschätzung für den Gateway-Dienst, mindestens jährliche Überprüfung
- Datenschutz durch Technikgestaltung: Datenminimierung und kurze Aufbewahrungsfristen als Voreinstellung
- Subprozessoren nach Art. 28 DSGVO verpflichtet; Änderungen werden vorab angekündigt
Audit-Praxis und Penetration-Testing
Wir betreiben ein internes Audit-Wellen-Programm; ergänzend sind externe Penetration-Tests vorgesehen, bevor Werkzeuge produktiv gehen.
- Code-Audit pro Welle: Vor jeder produktiven Freigabe durchläuft jeder Service einen mehrstufigen Code-Audit-Prozess mit unterschiedlichen Reviewer-Rollen (Architektur, Krypto, Persistenz, externer Angreifer).
- Externe Penetration-Tests: Geplant mindestens einmal jährlich pro produktivem Werkzeug, plus anlassbezogen bei Architektur-Änderungen. Berichte werden auf Anfrage unter Vertraulichkeits-Vereinbarung weitergegeben.
- Verantwortliche Schwachstellen-Meldung: security.txt unter /.well-known/security.txt. Sicherheitsforscher erreichen uns unter security@dernium.de
Backup und Verfügbarkeit
Konkret:
- Verschlüsselte Offsite-Sicherung: Tägliche Datenbank-Snapshots werden Borg-verschlüsselt an ein physisch und organisatorisch getrenntes Rechenzentrum übertragen. Regelmäßige Wiederherstellungs-Tests sichern, dass Backups im Ernstfall auch tatsächlich funktionieren.
- Recovery-Ziele: Standard-RPO 24 Stunden. Verbindlich abweichende Werte vereinbaren wir in Enterprise-Verträgen.
- Aktuelle Verfügbarkeit: Live-Status der produktiven Werkzeuge jederzeit unter /status; der Status wird minütlich automatisch gemessen.
Compliance-Bezüge
Wir orientieren uns an den Anforderungen, die für unsere B2B-Kundschaft im deutschsprachigen Raum verbindlich oder mindestens prüfbar sind. Die folgende Liste benennt unsere Compliance-Bezüge, nicht Zertifizierungs-Stempel.
- DSGVO Art. 32 (TOMs)
- Technisch-organisatorische Maßnahmen sind dokumentiert und decken Pseudonymisierung, Verschlüsselung, Verfügbarkeit, Belastbarkeit und regelmäßige Überprüfung ab.
- BSI IT-Grundschutz
- Die TLS-Konfiguration unserer Endpunkte folgt der BSI TR-02102-2 (siehe unser TLS-Cipher-Generator). Die Plattform-Härtung orientiert sich an den Grundschutz-Bausteinen für Cloud-Dienste.
- NIS-2 / KRITIS
- Für Kunden, die NIS-2-pflichtig sind, liefern unsere Werkzeuge Compliance-Hooks (Asset-Inventar, Incident-Reporting, Backup-Nachweis). Wir orientieren uns an NIS-2-Anforderungen auch dort, wo sie für uns nicht direkt verbindlich sind.
- EU Cyber Resilience Act (CRA)
- Meldepflichten ab 11. September 2026, Hauptpflichten ab 11. Dezember 2027. Unsere Werkzeuge unterstützen die CRA-relevanten Anforderungen: security.txt für koordinierte Schwachstellen-Meldung, SBOM-Erzeugung, Vulnerability-DB-Watch.
- EU Digital Services Act (DSA)
- Für Werkzeuge mit Inhalts-Verbreitung (Send, Note) ist der Notice-and-Action- Workflow nach Art. 16 produktiv. Behörden-Meldepflicht nach Art. 18 ist umgesetzt.
Ihr Ansprechpartner
Trust-Center-Fragen, AVV-Anforderungen, Penetration-Test-Berichte unter NDA, Compliance-Detail-Audits - melden Sie sich direkt.