Trust-Center
Sicherheit ist nicht verhandelbar
Diese Seite ist für Sicherheits- und Datenschutz-Verantwortliche, die vor einer Vertragsverhandlung verstehen wollen, wie wir tatsächlich arbeiten. Keine Marketing-Floskeln, sondern eine Klartext-Übersicht über Architektur, Subprozessoren, Audit-Praxis und Compliance-Bezüge.
Detail-Dokumente (Auftragsverarbeitungs-Vereinbarung, vollständige Subprozessor-Liste, TOMs nach DSGVO Art. 32, aktuelle Penetration-Test-Berichte) erhalten Sie auf schriftliche Anfrage unter kontakt@dernium.de.
Architektur-Prinzipien
Ende-zu-Ende-Verschlüsselung wo es zählt
Für Note, Send und Office (CryptPad) werden Inhalte im Browser des Nutzers ver- und entschlüsselt. Der Server sieht ausschließlich Ciphertext. Selbst ein Datenbank-Diebstahl oder eine richterliche Anordnung können den Klartext nicht preisgeben - das ist Architektur, nicht Versprechen. Mit wenigen IT-Fachkenntnissen können Sie das selbst in Ihrem eigenen Browser (DevTools) überprüfen.
Standards statt Eigenbau
Eingesetzt werden ausschließlich etablierte kryptografische Verfahren: AES- 256-GCM für symmetrische Verschlüsselung, scrypt und Argon2id für Passwort-Härtung, HKDF-SHA-256 für Schlüsselableitung, WebAuthn/FIDO2 für Anmeldung. Keine selbst erfundenen Algorithmen. Keine "Security through Obscurity".
Plattform-Daten in Deutschland, Gateway nach Kunden-Wahl
Plattform-Werkzeuge (Auth, Watch, Mailcheck, Send, Note, Clean, Office, Meet, Scan, Stift) verarbeiten ausschließlich in deutschen Rechenzentren: keine Drittland-Übertragung, kein CLOUD-Act-Zugriff, keine Schrems-II-Problematik. Bei Dernium Gateway können je nach gewähltem Ausgangs-Standort Transfers in Drittländer (z. B. USA oder Singapur) stattfinden; das ist eine bewusste Kunden-Entscheidung und wird im AV-Anhang dokumentiert (Standardvertragsklauseln gemäß DSGVO Art. 46).
Defense in Depth
Mehrere unabhängige Schutzschichten: Festplatten-Vollverschlüsselung sämtlicher Server (LUKS2), Anwendungs-Verschlüsselung im Browser, Netzwerk-Segmentierung mit Wireguard + ACLs + regelmäßiger Neu-Authentisierung mit verbundenem Schlüsseltausch, VPN-only-Zugriff auf Admin-Schnittstellen (inkl. SSH), Hardware-Schlüssel für Administratoren zwingend für privilegierte Aktionen.
Open-Source unter der Haube
Die Kern-Komponenten sind Open-Source oder dokumentiert: CryptPad, OnlyOffice, Element Call, Matrix Synapse, PostgreSQL, Rust-Ökosystem. Damit ist die Code-Basis prüfbar; wir bauen unsere Verantwortung nicht auf Vertrauen-zu-uns, sondern auf Vertrauen-in-etablierte-Verfahren. Eine vollständige Liste der Open-Source-Komponenten finden Sie unter /open-source.
Kein Tracking, keine Telemetrie
Keine Drittanbieter-Analytik, kein Werbe-Pixel, keine User-Aktivitäts-Auswertung. Die einzigen Cookies sind technisch notwendig für Sitzung und Anmeldung; eine Cookie-Banner-Pflicht entsteht damit gar nicht erst. Sie sind bei uns Kunde, kein Produkt.
Subprozessoren
Bewusst kurze Liste. Jeder Subprozessor ist vertraglich nach DSGVO Art. 28 verpflichtet. Plattform-Workloads (auth, watch, mailcheck, send, note, clean) verarbeiten ausschließlich in der EU. Bei Dernium Gateway können je nach Kunden-Standortwahl Transfers in Drittländer stattfinden (dokumentiert im AV-Anhang). Neue Subprozessoren werden vor Inbetriebnahme angekündigt. Wir beschränken uns bewusst auf wenige, etablierte Dienstleister. Keine Experimente.
| Anbieter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, virtuelle Maschinen, Storage | Deutschland (Falkenstein, Nürnberg) |
| Hetzner Cloud GmbH | Cloud-Compute für Dernium Gateway (Entry-/Exit-Standorte nach Kunden-Wahl) | Deutschland (Falkenstein, Nürnberg) sowie Finnland (Helsinki), USA (Ashburn), Singapur. Drittland-Standorte ausschließlich nach expliziter Kunden-Wahl im Gateway-Vertrag, abgesichert über Standardvertragsklauseln nach DSGVO Art. 46. |
| netcup GmbH | Server-Hosting, virtuelle Maschinen | Deutschland (Nürnberg, Karlsruhe) |
| IONOS SE | Server-Hosting, virtuelle Maschinen | Deutschland (Karlsruhe, Berlin) |
| INWX GmbH & Co. KG | Domain-Registrar und autoritative DNS | Deutschland (Jena) |
Die vollständige, vertraglich verbindliche Subprozessor-Liste inkl. der zugehörigen Auftragsverarbeitungs-Vereinbarungen erhalten Sie bei Vertragsabschluss oder vorab auf Anfrage.
Transit-Anbieter sind keine Subprozessoren. Ausgehender Verkehr aus Desk-VMs läuft je nach gewähltem Egress über wechselnde Cloud- oder Spezial-Proxy-Knoten (z.B. Hetzner Cloud oder vergleichbare Provider mit ähnlichem Footprint). Diese Anbieter sehen ausschließlich den verschlüsselten WireGuard-Tunnel sowie Quell- und Ziel-IP, keine Anwendungsinhalte - vergleichbar mit einem klassischen Tier-1-Carrier oder Internet-Provider. Sie verarbeiten keine personenbezogenen Daten in unserem Auftrag und sind deshalb nicht Subprozessoren nach DSGVO Art. 28. Aus demselben Grund pflegen wir hier keine vollständige Liste; die konkrete Egress-Topologie pro Organisation legen wir Ihnen auf Wunsch individuell offen.
Audit-Praxis und Penetration-Testing
Sicherheit ist ein laufender Prozess, kein Stempel. Wir betreiben ein internes Audit-Wellen-Programm und lassen Penetration-Tests durchführen, bevor Werkzeuge produktiv gehen.
- Code-Audit pro Welle: Vor jeder produktiven Freigabe durchläuft jeder Service einen mehrstufigen Code-Audit-Prozess mit unterschiedlichen Reviewer-Rollen (Architektur, Krypto, Persistenz, externer Angreifer).
- Externe Penetration-Tests: Geplant mindestens einmal jährlich pro produktivem Werkzeug, plus anlassbezogen bei Architektur-Änderungen. Berichte werden auf Anfrage unter Vertraulichkeits-Vereinbarung weitergegeben.
- Verantwortliche Schwachstellen-Meldung: security.txt unter /.well-known/security.txt. Sicherheitsforscher erreichen uns unter security@dernium.de
Backup und Verfügbarkeit
Backups sind ein produktiver Prozess, kein Marketing-Gag. Konkret:
- Verschlüsselte Offsite-Sicherung: Tägliche Datenbank-Snapshots werden Borg-verschlüsselt an ein physisch und organisatorisch getrenntes Rechenzentrum übertragen. Regelmäßige Wiederherstellungs-Tests sichern, dass Backups im Ernstfall auch tatsächlich funktionieren.
- Recovery-Ziele: Standard-RPO 24 Stunden. Verbindlich abweichende Werte vereinbaren wir in Enterprise-Verträgen.
- Aktuelle Verfügbarkeit: Live-Status der produktiven Werkzeuge jederzeit unter /status - live und ungeschönt.
Compliance-Bezüge
Wir orientieren uns an den Anforderungen, die für unsere B2B-Kundschaft im deutschsprachigen Raum verbindlich oder mindestens prüfbar sind. Die folgende Liste benennt unsere Compliance-Bezüge, nicht Zertifizierungs-Stempel.
- DSGVO Art. 32 (TOMs)
- Technisch-organisatorische Maßnahmen sind dokumentiert und decken Pseudonymisierung, Verschlüsselung, Verfügbarkeit, Belastbarkeit und regelmäßige Überprüfung ab.
- BSI IT-Grundschutz
- Die TLS-Konfiguration unserer Endpunkte folgt der BSI TR-02102-2 (siehe unser TLS-Cipher-Generator). Die Plattform-Härtung orientiert sich an den Grundschutz-Bausteinen für Cloud-Dienste.
- NIS-2 / KRITIS
- Für Kunden, die NIS-2-pflichtig sind, liefern unsere Werkzeuge Compliance-Hooks (Asset-Inventar, Incident-Reporting, Backup-Nachweis). Wir orientieren uns an NIS-2-Anforderungen auch dort, wo sie für uns nicht direkt verbindlich sind.
- EU Cyber Resilience Act (CRA)
- Verpflichtungen ab 11. Dezember 2027. Unsere Werkzeuge unterstützen die CRA-relevanten Anforderungen: security.txt für koordinierte Schwachstellen- Meldung, SBOM-Erzeugung, Vulnerability-DB-Watch. Eigene CRA-Konformität prüfen wir gemeinsam mit unseren Auditoren bis zum Stichtag.
- EU Digital Services Act (DSA)
- Für Werkzeuge mit Inhalts-Verbreitung (Send, Note) ist der Notice-and-Action- Workflow nach Art. 16 produktiv. Trusted-Flagger-Status nach Art. 22 ist für uns derzeit nicht relevant. Behörden-Meldepflicht nach Art. 18 ist in unserem internen Workflow implementiert.
Ihr Ansprechpartner
Trust-Center-Fragen, AVV-Anforderungen, Penetration-Test-Berichte unter NDA, Compliance-Detail-Audits - melden Sie sich direkt.