Trust-Center

Sicherheit ist nicht verhandelbar

Diese Seite ist für Sicherheits- und Datenschutz-Verantwortliche, die vor einer Vertragsverhandlung verstehen wollen, wie wir tatsächlich arbeiten. Keine Marketing-Floskeln, sondern eine Klartext-Übersicht über Architektur, Subprozessoren, Audit-Praxis und Compliance-Bezüge.

Eine Übersicht der technischen und organisatorischen Maßnahmen (TOM) nach DSGVO Art. 32 finden Sie weiter unten auf dieser Seite. Detail-Dokumente (Auftragsverarbeitungs-Vereinbarung, vollständige Subprozessor-Liste, TOM-Langfassung mit Versionsstand, aktuelle Penetration-Test-Berichte) erhalten Sie auf schriftliche Anfrage unter kontakt@dernium.de.

Telekommunikations-Regulatorik (TKG)

Dernium Gateway ist ein öffentlich zugänglicher Telekommunikationsdienst (Internetzugangsdienst); zuständige Aufsichtsbehörde ist die Bundesnetzagentur. Es gelten die Kundenschutz- und Sicherheitspflichten des Telekommunikationsgesetzes.

Architektur-Prinzipien

Ende-zu-Ende-Verschlüsselung wo es zählt

Für Note, Send und Office (CryptPad) werden Inhalte im Browser des Nutzers ver- und entschlüsselt. Der Server sieht ausschließlich Ciphertext. Selbst ein Datenbank-Diebstahl oder eine richterliche Anordnung können den Klartext nicht preisgeben - das ist Architektur, nicht Versprechen. Mit wenigen IT-Fachkenntnissen können Sie das selbst in Ihrem eigenen Browser (DevTools) überprüfen.

Standards statt Eigenbau

Eingesetzt werden ausschließlich etablierte kryptografische Verfahren: AES-256-GCM für symmetrische Verschlüsselung, scrypt und Argon2id für Passwort-Härtung, HKDF-SHA-256 für Schlüsselableitung, WebAuthn/FIDO2 für Anmeldung. Keine selbst erfundenen Algorithmen.

Plattform-Daten in Deutschland, Gateway nach Kunden-Wahl

Plattform-Werkzeuge (Auth, Watch, Mailcheck, Send, Note, Clean, Office, Meet, Scan, Stift) verarbeiten ausschließlich in deutschen Rechenzentren: keine Drittland-Übertragung, kein CLOUD-Act-Zugriff, keine Schrems-II-Problematik. Bei Dernium Watch erfolgen die Prüfungen standardmäßig nur aus Deutschland; internationale Prüf-Standorte nur auf ausdrückliches Opt-in Ihrer Organisation. Bei Dernium Gateway können je nach gewähltem Ausgangs-Standort Transfers in Drittländer (z. B. USA oder Singapur) stattfinden; das ist eine bewusste Kunden-Entscheidung und wird im AV-Anhang dokumentiert und über die in Deutschland ansässige Hetzner Online GmbH als Auftragsverarbeiter abgewickelt; die ausländischen Ausgangs-Server sehen ausschließlich verschlüsselten Verkehr, und für die Drittland-Standorte gelten die Garantien ihres Auftragsverarbeitungsvertrags nach Art. 44 ff. DSGVO.

Defense in Depth

Mehrere unabhängige Schutzschichten: Festplatten-Vollverschlüsselung sämtlicher Server (LUKS2), Anwendungs-Verschlüsselung im Browser, Netzwerk-Segmentierung mit Wireguard + ACLs + regelmäßiger Neu-Authentisierung mit verbundenem Schlüsseltausch, VPN-only-Zugriff auf Admin-Schnittstellen (inkl. SSH), Hardware-Schlüssel für Administratoren zwingend für privilegierte Aktionen.

Open-Source unter der Haube

Die Kern-Komponenten sind Open-Source oder dokumentiert: CryptPad, OnlyOffice, Element Call, Matrix Synapse, PostgreSQL, Rust-Ökosystem. Damit ist die Code-Basis prüfbar. Eine vollständige Liste der Open-Source-Komponenten finden Sie unter /open-source.

Kein Tracking, keine Telemetrie

Keine Drittanbieter-Analytik, kein Werbe-Pixel, keine User-Aktivitäts-Auswertung. Die einzigen Cookies sind technisch notwendig für Sitzung und Anmeldung; eine Cookie-Banner-Pflicht entsteht damit gar nicht erst.

Subprozessoren

Bewusst kurze Liste. Jeder Subprozessor ist vertraglich nach DSGVO Art. 28 verpflichtet. Plattform-Workloads (auth, watch, mailcheck, send, note, clean) verarbeiten ausschließlich in der EU. Bei Dernium Gateway können je nach Kunden-Standortwahl Transfers in Drittländer stattfinden (dokumentiert im AV-Anhang). Neue Subprozessoren werden vor Inbetriebnahme angekündigt.

AnbieterZweckStandort
Hetzner Online GmbHServer-Hosting, virtuelle Maschinen, StorageDeutschland (Falkenstein, Nürnberg)
Hetzner Online GmbH (Cloud-Compute)Cloud-Compute für Dernium Gateway (Entry-/Exit-Standorte nach Kunden-Wahl)Deutschland (Falkenstein, Nürnberg) sowie Finnland (Helsinki), USA (Ashburn), Singapur. Drittland-Standorte ausschließlich nach expliziter Kunden-Wahl im Gateway-Vertrag; abgesichert über die Garantien des Auftragsverarbeitungsvertrags der in Deutschland ansässigen Hetzner Online GmbH (Art. 44 ff. DSGVO), deren Subunternehmer die EWR-externen Standorte betreiben.
netcup GmbHServer-Hosting, virtuelle MaschinenDeutschland (Nürnberg, Karlsruhe)
IONOS SEServer-Hosting, virtuelle MaschinenDeutschland (Karlsruhe, Berlin)
INWX GmbH & Co. KGDomain-Registrar und autoritative DNSDeutschland (Jena)

Die vollständige, vertraglich verbindliche Subprozessor-Liste inkl. der zugehörigen Auftragsverarbeitungs-Vereinbarungen erhalten Sie bei Vertragsabschluss oder vorab auf Anfrage.

Transit-Anbieter sind keine Subprozessoren. Ausgehender Verkehr aus Desk-VMs läuft je nach gewähltem Egress über wechselnde Cloud- oder Spezial-Proxy-Knoten (z.B. Hetzner Cloud oder vergleichbare Provider mit ähnlichem Footprint). Diese Anbieter sehen ausschließlich den verschlüsselten WireGuard-Tunnel sowie Quell- und Ziel-IP, keine Anwendungsinhalte - vergleichbar mit einem klassischen Tier-1-Carrier oder Internet-Provider. Sie verarbeiten keine personenbezogenen Daten in unserem Auftrag und sind deshalb nicht Subprozessoren nach DSGVO Art. 28. Aus demselben Grund pflegen wir hier keine vollständige Liste; die konkrete Egress-Topologie pro Organisation legen wir Ihnen auf Wunsch individuell offen.

Technische und organisatorische Maßnahmen (TOM)

Übersicht der Maßnahmen nach DSGVO Art. 32 - dieselbe Gliederung wie Anhang 4 des AV-Vertrags. Die Langfassung mit Versionsstand erhalten Sie als PDF auf Anfrage.

Vertraulichkeit

  • Verarbeitung ausschließlich in deutschen Rechenzentren (ISO/IEC 27001, BSI C5 Typ 2 der Hetzner-Standorte); Gateway-Auslands-Standorte sind reine Tunnel-Ausgänge ohne Verarbeitung personenbezogener Daten
  • Kein Passwort-Login: Passkeys (WebAuthn/FIDO2), Magic-Link oder TOTP; verbindliche 2FA für alle Admin-Konten
  • Rollenbasiertes Berechtigungsmodell pro Organisation; Operator-Zugriffe im Audit-Log protokolliert
  • Eigene Datenbank pro Werkzeug, kein Shared-Schema; Mandanten-Trennung über Organisations-Schlüssel
  • TLS 1.2/1.3 im Transport, LUKS2-Vollverschlüsselung der Speicher; Note, Send und Office zusätzlich Ende-zu-Ende-verschlüsselt

Integrität

  • Interne Datenflüsse nur über private Netze; keine internen Service-Endpunkte im öffentlichen Internet
  • Append-only-Audit-Log für administrative Aktionen mit Akteur, Aktion, Ziel und Zeitstempel
  • Änderungen an Kundendaten nur auf dokumentierte Weisung oder zur Wartung, stets nachvollziehbar
  • Keine Vorratsdatenspeicherung; Herausgabe nur an autorisierte Stellen nach § 100j/§ 100g StPO

Verfügbarkeit und Belastbarkeit

  • Tägliche verschlüsselte Backups auf zwei geografisch getrennte Standorte
  • Wiederherstellung auf Tages-Granularität für mindestens 30 Tage; Disaster-Recovery-Runbooks pro Werkzeug
  • Durchgehendes Monitoring mit automatischer Alarmierung; Live-Status öffentlich unter /status

Regelmäßige Überprüfung

  • Interne Audit-Wellen vor jeder produktiven Freigabe; externe Penetration-Tests (Berichte unter NDA)
  • Datenschutz-Folgenabschätzung für den Gateway-Dienst, mindestens jährliche Überprüfung
  • Datenschutz durch Technikgestaltung: Datenminimierung und kurze Aufbewahrungsfristen als Voreinstellung
  • Subprozessoren nach Art. 28 DSGVO verpflichtet; Änderungen werden vorab angekündigt

Audit-Praxis und Penetration-Testing

Wir betreiben ein internes Audit-Wellen-Programm; ergänzend sind externe Penetration-Tests vorgesehen, bevor Werkzeuge produktiv gehen.

  • Code-Audit pro Welle: Vor jeder produktiven Freigabe durchläuft jeder Service einen mehrstufigen Code-Audit-Prozess mit unterschiedlichen Reviewer-Rollen (Architektur, Krypto, Persistenz, externer Angreifer).
  • Externe Penetration-Tests: Geplant mindestens einmal jährlich pro produktivem Werkzeug, plus anlassbezogen bei Architektur-Änderungen. Berichte werden auf Anfrage unter Vertraulichkeits-Vereinbarung weitergegeben.
  • Verantwortliche Schwachstellen-Meldung: security.txt unter /.well-known/security.txt. Sicherheitsforscher erreichen uns unter security@dernium.de

Backup und Verfügbarkeit

Konkret:

  • Verschlüsselte Offsite-Sicherung: Tägliche Datenbank-Snapshots werden Borg-verschlüsselt an ein physisch und organisatorisch getrenntes Rechenzentrum übertragen. Regelmäßige Wiederherstellungs-Tests sichern, dass Backups im Ernstfall auch tatsächlich funktionieren.
  • Recovery-Ziele: Standard-RPO 24 Stunden. Verbindlich abweichende Werte vereinbaren wir in Enterprise-Verträgen.
  • Aktuelle Verfügbarkeit: Live-Status der produktiven Werkzeuge jederzeit unter /status; der Status wird minütlich automatisch gemessen.

Compliance-Bezüge

Wir orientieren uns an den Anforderungen, die für unsere B2B-Kundschaft im deutschsprachigen Raum verbindlich oder mindestens prüfbar sind. Die folgende Liste benennt unsere Compliance-Bezüge, nicht Zertifizierungs-Stempel.

DSGVO Art. 32 (TOMs)
Technisch-organisatorische Maßnahmen sind dokumentiert und decken Pseudonymisierung, Verschlüsselung, Verfügbarkeit, Belastbarkeit und regelmäßige Überprüfung ab.
BSI IT-Grundschutz
Die TLS-Konfiguration unserer Endpunkte folgt der BSI TR-02102-2 (siehe unser TLS-Cipher-Generator). Die Plattform-Härtung orientiert sich an den Grundschutz-Bausteinen für Cloud-Dienste.
NIS-2 / KRITIS
Für Kunden, die NIS-2-pflichtig sind, liefern unsere Werkzeuge Compliance-Hooks (Asset-Inventar, Incident-Reporting, Backup-Nachweis). Wir orientieren uns an NIS-2-Anforderungen auch dort, wo sie für uns nicht direkt verbindlich sind.
EU Cyber Resilience Act (CRA)
Meldepflichten ab 11. September 2026, Hauptpflichten ab 11. Dezember 2027. Unsere Werkzeuge unterstützen die CRA-relevanten Anforderungen: security.txt für koordinierte Schwachstellen-Meldung, SBOM-Erzeugung, Vulnerability-DB-Watch.
EU Digital Services Act (DSA)
Für Werkzeuge mit Inhalts-Verbreitung (Send, Note) ist der Notice-and-Action- Workflow nach Art. 16 produktiv. Behörden-Meldepflicht nach Art. 18 ist umgesetzt.

Ihr Ansprechpartner

Trust-Center-Fragen, AVV-Anforderungen, Penetration-Test-Berichte unter NDA, Compliance-Detail-Audits - melden Sie sich direkt.