Sicherheit

Infrastruktur, Verschlüsselung & Verantwortliche Offenlegung

Infrastruktur

Der Betrieb erfolgt ausschließlich auf Servern der Hetzner Online GmbH im ISO 27001-zertifizierten Rechenzentrum Helsinki, Finnland (EWR-Gebiet). Kein Daten-Transfer in Drittländer außerhalb des EWR.

Alle Dienste laufen auf dedizierten Servern. Kein Shared Hosting, keine Cloud-Drittanbieter.

Datenverschlüsselung

• Transit: TLS 1.3 — alle Verbindungen zwischen Client und Server verschlüsselt. TLS 1.0/1.1 deaktiviert.
• Passwörter: argon2id-Hash (m=65536, t=3, p=4). Kein MD5, kein SHA-1, kein bcrypt.
• Session-Tokens: HMAC-signierte Tokens, 30 Tage Gültigkeit, httpOnly-Cookie, SameSite=Strict. Invalidierung bei Logout.
• CSRF-Schutz: Doppeltes-Cookie-Muster mit kryptographisch zufälligem Token pro Session.

Rate Limiting & Brute-Force-Schutz

Alle sicherheitsrelevanten Endpunkte sind serverseitig per IP-Adresse limitiert:

• Login: max. 5 Versuche pro 15 Minuten pro IP — dann HTTP 429
• Registrierung: max. 10 Versuche pro Stunde pro IP
• Passwort-Reset: max. 5 Anfragen pro Stunde pro IP

Rate-Limit-Zähler werden datenbankgestützt persistiert und überleben Server-Neustarts. Bei Überschreitung wird immer HTTP 429 mit Retry-After-Header zurückgegeben.

Backup-Strategie

Wir folgen der 3-2-1-Regel: 3 Kopien der Daten auf 2 verschiedenen Medien, davon 1 Kopie Off-Site. Tägliche automatisierte Backups mit Integritätsprüfung. Retention: 30 Tage rolling.

Verantwortliche Offenlegung

Sicherheitslücken melden Sie bitte an: konrad.schrein@gmail.com oder über unsere Sicherheitsdatei unter /.well-known/security.txt.

Wir bestätigen den Eingang innerhalb von 48 Stunden (Werktage) und geben eine erste Einschätzung innerhalb von 10 Werktagen. Koordinierte Veröffentlichung nach 90-Tage-Frist.