Sicherheit & Vertrauen

Jedes Unnoodle-Konto (Mandant) arbeitet in seinem eigenen dedizierten PostgreSQL-Schema. Ihr Glossar, Ihre Nutzer und Einstellungen werden in einer separaten, benannten Datenbankpartition gespeichert – nicht nur durch einen Spaltenwert gefiltert.

Es gibt keine Abfrage, die versehentlich die Daten einer anderen Organisation zurückgeben könnte. Selbst wenn ein Anwendungsfehler einen falschen Filter erzeugt, hält die Schemabegrenzung stand. Mandantenübergreifender Zugriff ist strukturell unmöglich.

Bei der Übertragung

Der gesamte Datenverkehr zwischen Ihrem Browser und Unnoodle erfolgt über HTTPS. HTTP Strict Transport Security (HSTS) ist mit einer Ein-Jahres-Richtlinie konfiguriert und gilt für alle Subdomains. Browser, die sich einmal verbunden haben, lehnen einfaches HTTP für die Dauer der Richtlinie ab.

Im Ruhezustand

• MFA/TOTP-Geheimnisse werden vor dem Speichern in der Datenbank auf Anwendungsebene (AES-256-GCM) verschlüsselt. Das Rohgeheimnis wird nie im Klartext gespeichert. Pro Schreibvorgang wird ein einzigartiger Zufallswert (IV) generiert.
• API-Schlüssel werden als SHA-256-kryptografische Hashes gespeichert. Der Rohschlüssel kann nach der Ausstellung nicht mehr abgerufen werden – nur rotiert.
• Passwörter werden als BCrypt-Hashes (10 Runden) gespeichert. Klartextpasswörter werden nie gespeichert oder geloggt.
• Refresh-Token werden als SHA-256-Digests gespeichert. Der Roh-Token-Wert wird nie persistiert.

Kurzlebige Sitzungen mit Replay-Schutz

Zugriffstoken laufen nach 15 Minuten ab. Refresh-Token werden bei jeder Nutzung rotiert – das vorherige Token wird sofort ungültig. Bei Replay eines gestohlenen Refresh-Tokens wird die gesamte Sitzungsfamilie automatisch widerrufen. Sie können jede Sitzung jederzeit in den Kontoeinstellungen widerrufen.

Multi-Faktor-Authentifizierung (MFA)

TOTP-basierte MFA ist für alle Nutzer verfügbar, kompatibel mit Google Authenticator, Authy, 1Password und allen RFC-6238-Apps. Wenn aktiviert, erteilt ein korrektes Passwort nur ein Zwischentoken mit eingeschränktem Geltungsbereich. Eine vollständige Sitzung wird erst nach Verifikation des TOTP-Codes gewährt.

Anmeldung mit Google / Microsoft

OAuth 2.0 mit PKCE wird für Social Login verwendet. State- und Nonce-Parameter werden bei jedem Callback verifiziert. Wir verwenden keinen Implicit Flow.

Schutz vor Brute-Force-Angriffen

Nach 5 aufeinanderfolgenden fehlgeschlagenen Anmeldeversuchen wird ein Konto für 15 Minuten gesperrt. Rate-Limiting auf Authentifizierungsendpunkten bietet eine zweite Schutzebene pro IP-Adresse.

API-Schlüssel

Mandanten-API-Schlüssel sind auf Lesezugriff auf bestimmte Endpunkte beschränkt. Schlüssel können jederzeit rotiert werden – die Rotation macht den vorherigen Schlüssel sofort ungültig und löst ein Audit-Ereignis aus.

Jede wichtige Aktion wird in einem Audit-Log erfasst. Jeder Eintrag enthält: wer die Aktion durchgeführt hat, was geändert wurde, welche Ressource betroffen war, einen Zeitstempel und die Ursprungs-IP-Adresse.

Protokollierte Ereignisse umfassen:

• Alle Anmeldeversuche (erfolgreiche und fehlgeschlagene) und Abmeldungen
• MFA-Einrichtung, Aktivierung, Deaktivierung und Verifikation
• Passwortänderungen und Sitzungswiderrufe
• Benutzereinladungen, Rollenänderungen und Kontolöschungen
• API-Schlüssel-Rotationen
• Datenexporte und Anfragen zur Kontolöschung
• Änderungen am Glossarinhalt

Das Audit-Log ist nur anhängbar und kann von Mandantenadministratoren nicht gelöscht werden. Es wird für Rechenschaftszwecke gemäß DSGVO Art. 5(2) aufbewahrt.

Unnoodle ist darauf ausgelegt, Ihre Compliance-Verpflichtungen nach DSGVO und ähnlichen Datenschutzgesetzen zu unterstützen. Die folgenden Rechte sind in der Produktion umgesetzt – nicht nur auf einer Roadmap.

Einwilligung bei der Registrierung (Art. 7)

Bei der Kontoerstellung ist eine ausdrückliche Einwilligung erforderlich und wird aufgezeichnet – einschließlich Zeitstempel und IP-Adresse. Konten können ohne diese nicht erstellt werden.

Recht auf Datenexport (Art. 20)

Sie können einen strukturierten JSON-Export aller personenbezogenen Daten, die wir über Sie haben, aus Ihren Kontoeinstellungen herunterladen. Kein Support-Ticket. Keine Wartezeit.

Recht auf Löschung (Art. 17)

Sie können Ihr Konto dauerhaft aus den Kontoeinstellungen löschen. Dabei werden Name, E-Mail und Zugangsdaten sofort anonymisiert; alle verknüpften OAuth-Konten werden entfernt; alle aktiven Sitzungen werden widerrufen. Vollständig selbstständig.

Datenminimierung (Art. 5)

Inaktive Konten, die den konfigurierten Aufbewahrungszeitraum überschreiten, werden automatisch anonymisiert – personenbezogene Identifikatoren werden entfernt, während der Kontoeintrag für die Systemintegrität erhalten bleibt.

Tests vor der Implementierung

Für jede Sicherheitsmaßnahme werden automatisierte Tests vor der Implementierung geschrieben. Maßnahmen ohne Tests werden nicht ausgeliefert.

Keine Geheimnisse im Quellcode

Alle Zugangsdaten, Schlüssel und Geheimnisse werden bei der Bereitstellung über Umgebungsvariablen eingefügt. Die Anwendung startet in der Produktion nicht, wenn erforderliche Sicherheitsschlüssel fehlen. Nichts Sensibles wird in das Repository eingecheckt.

Deterministischer Schema-Verlauf

Jede Datenbankänderung wird durch versionierte Migrationsdateien verwaltet. In der Produktion gibt es keine automatische Schemagenerierung. Der Datenbankzustand ist zu jedem Zeitpunkt deterministisch und vollständig nachvollziehbar.

Fehlerantworten leaken keine internen Informationen

Unerwartete Fehler geben dem Client eine generische Meldung zurück. Stack-Traces und interner Zustand werden nur serverseitig protokolliert – nie in HTTP-Antworten eingeschlossen.

Unsere Engineering-Praktiken orientieren sich an den SOC-2-Trust-Service-Kriterien für Sicherheit, Verfügbarkeit und Vertraulichkeit. Wir haben keine formale Zertifizierung angestrebt.

Wenn eine formale Zertifizierung eine Anforderung für Ihren Beschaffungsprozess ist, kontaktieren Sie uns – wir besprechen unseren aktuellen Stand und welche Nachweise wir bereitstellen können.

Wenn Sie glauben, eine Sicherheitslücke in Unnoodle gefunden zu haben, melden Sie diese bitte privat, bevor Sie sie öffentlich bekannt geben.