Passwork-Sicherheit
Sicherheit ist das Fundament unserer Produktarchitektur. Diese Seite bietet einen umfassenden Überblick über unser Sicherheitsmodell, die Verschlüsselungsarchitektur, Compliance-Zertifizierungen und Entwicklungspraktiken.
Sicherheit auf einen Blick
- Zero-Knowledge-Architektur — Ihre Geheimnisse sind mathematisch für niemanden außer Ihnen zugänglich
- On-Premise-Option — Ihre Daten verlassen niemals Ihre Infrastruktur
- ISO 27001 zertifiziert — unabhängig validierte Sicherheitspraktiken
- Von HackerOne getestet — unabhängige Penetrationstests durch die weltweit führende Sicherheitsplattform
| Aspekt | Beschreibung |
|---|---|
| Architektur | Zero-Knowledge — Server kann Benutzerdaten nicht entschlüsseln |
| Deployment | On-Premise oder Cloud (AWS Deutschland) |
| Fokus | Unternehmenssicherheit, Compliance, Auditierbarkeit |
Zero-Knowledge-Architektur
Passwork basiert auf dem Zero-Knowledge-Prinzip: Der Server verfügt nicht über genügend Informationen, um Benutzerdaten zu entschlüsseln. Weder Administratoren noch technisches Personal können auf Ihre Passwörter zugreifen.
- Das Masterpasswort verlässt niemals das Gerät des Benutzers
- Alle kryptographischen Schlüssel werden auf dem Client generiert
- Der Server speichert nur verschlüsselte Daten und verschlüsselte Schlüssel
- Eine Entschlüsselung ist nur auf der Client-Seite möglich
Für technische Details siehe Verschlüsselungsumfang.
Verschlüsselungsmodell
Passwork verwendet einen mehrschichtigen Verschlüsselungsansatz: Daten sind immer auf dem Server verschlüsselt und optional auf dem Client vor der Übertragung verschlüsselt.
Funktionsweise
| Schicht | Wann aktiv | Was sie schützt |
|---|---|---|
| Serverseitig | Immer | Alle Daten im Ruhezustand (AES-256-CFB) |
| Clientseitig | Wenn CSE aktiviert | Sensible Felder, bevor sie Ihr Gerät verlassen (AES-256-CBC) |
Wenn die clientseitige Verschlüsselung (CSE) aktiviert ist, empfängt der Server bereits verschlüsselte Daten und verschlüsselt sie erneut für die Speicherung. Dies bietet Defense-in-Depth.
Verfügbarkeit der clientseitigen Verschlüsselung
| Deployment | CSE-Status |
|---|---|
| Passwork Cloud | Immer aktiviert, kann nicht deaktiviert werden |
| On-Premise | Konfigurierbar während der Installation |
Bei On-Premise-Installationen, die innerhalb eines sicheren Perimeters eingesetzt werden (Air-Gapped-Netzwerke, vertrauenswürdige Infrastruktur), können Administratoren die clientseitige Verschlüsselung während der Einrichtung deaktivieren. Dies kann nützlich sein, wenn Passwork in einer isolierten Umgebung mit eigenen Sicherheitskontrollen betrieben wird. Die serverseitige Verschlüsselung bleibt unabhängig davon aktiv.
Schlüsselhierarchie
Jedes sensible Datenelement wird durch eine Kette von Schlüsseln geschützt. Zur Terminologie siehe Glossar.
| Schlüssel | Größe | Zweck |
|---|---|---|
| Masterpasswort | — | Geheimnis des Benutzers, wird niemals übertragen |
| Masterschlüssel | 512 Bit | Abgeleitet via PBKDF2 (300K Iterationen) |
| Privater RSA-Schlüssel | 2048 Bit | Verschlüsselt mit dem Masterschlüssel |
| Tresorschlüssel | 256 Bit | Einzigartig pro Tresor, verschlüsselt mit RSA |
| Datensatzschlüssel | 256 Bit | Einzigartig pro Datensatz, verschlüsselt mit dem Tresorschlüssel |
Jeder Tresor und jeder Datensatz hat seinen eigenen einzigartigen Schlüssel. Die Kompromittierung eines Schlüssels legt keine anderen Daten offen. Siehe Schlüsselhierarchie für Details.
Algorithmen
| Algorithmus | Zweck | Parameter |
|---|---|---|
| AES-256 | Datenverschlüsselung | CBC (Client) / CFB (Server) |
| RSA-2048 | Schlüsselaustausch | OAEP, SHA-256 |
| PBKDF2 | Schlüsselableitung | SHA-256, 300K Iterationen |
| CSPRNG | Zufallsgenerierung | WebCrypto / OpenSSL |
| TLS 1.3 | Transportsicherheit | Alle Verbindungen |
Für vollständige Spezifikationen siehe Kryptographische Algorithmen.
Sicherheitsfunktionen
Authentifizierung & Zugriffskontrolle
- Zwei-Faktor-Authentifizierung (2FA/TOTP) — zusätzliche Verifizierungsschicht
- Single Sign-On (SSO) — SAML 2.0, Azure AD, Keycloak (Einrichtungsanleitung)
- LDAP/Active Directory — Benutzersynchronisation und Authentifizierung (Einrichtungsanleitung)
- Rollenbasierte Zugriffskontrolle (RBAC) — granulare Berechtigungen
- Passwortrichtlinien — Durchsetzung von Komplexitätsanforderungen
Für Details zum Authentifizierungsablauf siehe Authentifizierung.
Datenschutz
- Sichere Passwortfreigabe — RSA-verschlüsselter Schlüsselaustausch (Dokumentation)
- Verschlüsselte Anhänge — Dateien mit Datensatzschlüsseln geschützt
- Sichere externe Links — zeitlich begrenzt, passwortgeschützt (Details)
- Passwortgenerator — kryptographisch sichere Zufallspasswörter
Audit & Überwachung
- Unveränderliches Audit-Protokoll — alle Aktionen aufgezeichnet (Dokumentation)
- SIEM-Integration — Export via Syslog
- Sitzungsverwaltung — Überwachung und Kontrolle (Details)
- Volle Audit-Kontrolle — Protokolle verbleiben beim Kunden
Browsersicherheit
- Masterschlüssel-Caching — sicherer Browser-Speicher (Dokumentation)
- Sitzungstoken — Access Token, Refresh Token, CSRF-Schutz (Details)
- Automatische Abmeldung — konfigurierbares Timeout
Infrastruktur
Cloud-Deployment
| Aspekt | Umsetzung |
|---|---|
| Rechenzentrum | AWS Deutschland (EU) |
| Mandantentrennung | Vollständige Datentrennung |
| Speicher | AES-256-Verschlüsselung im Ruhezustand |
| Netzwerk | TLS 1.3, Cloudflare-DDoS-Schutz |
| Zugriffsrichtlinie | Zero-Access: kein Mitarbeiterzugriff auf Kundendaten |
On-Premise-Deployment
Selbst gehostete Installationen geben Ihnen die volle Kontrolle:
- Plattformen: Linux, Windows Server, Docker
- Umgebungen: Air-Gapped (offline) unterstützt
- Skalierung: Horizontale Skalierung, Replica Sets, Load Balancing
Anleitungen: Linux · Windows Server · Sicherheitshärtung · MongoDB
Deployment-Checkliste
| Kategorie | Empfehlung |
|---|---|
| Transport | HTTPS mit TLS 1.2+ (vorzugsweise 1.3) |
| Architektur | Separate App- und Datenbankserver |
| Netzwerk | MongoDB-Port extern schließen |
| Schutz | Fail2ban zur Brute-Force-Prävention |
| Sicherungen | Regelmäßige verschlüsselte Sicherungen |
| Schlüssel | Verschlüsselungsschlüssel separat speichern |
| Authentifizierung | SSO + 2FA für alle Benutzer aktivieren |
Sichere Entwicklung
Jedes Feature durchläuft sechs Stufen mit obligatorischen Sicherheitsprüfungen.
Entwicklungsstufen
| Stufe | Aktivitäten |
|---|---|
| 1. Idee | Analyse der Sicherheitsanforderungen, Security-Champion-Review |
| 2. Analyse | Bedrohungsmodellierung, Spezifikation |
| 3. Code | SAST, SBOM-Prüfungen, automatisierte Tests |
| 4. Build | Isolierte Umgebung, signierte Builds |
| 5. Tests | DAST, KI-Analyse, Security-Champion-Review, manuelle Verifizierung |
| 6. Release | Signaturverifizierung im Portal |
Praktiken
| Praktik | Beschreibung |
|---|---|
| SAST/DAST | Statische und dynamische Sicherheitstests |
| SCA | Schwachstellenscanning von Abhängigkeiten |
| SBOM | Software Bill of Materials |
| Code Review | Obligatorisches sicherheitsfokussiertes Review |
| Branch-Schutz | Keine direkten Pushes auf main |
| Signierte Releases | Alle Distributive mit privatem Schlüssel signiert |
Code-Signierung
Alle Passwork-Distributive sind kryptographisch signiert. Sie können die Signatur mit unserem öffentlichen Schlüssel verifizieren. Die Signaturverifizierung ist in unsere Deployment-Skripte integriert.
Sicherheitsexpertise
- Security Champions in jedem Team
- OWASP-Schulungen für Entwickler
- Bedrohungsmodellierung (STRIDE) für neue Features
Tests & Audits
Passwork hat erfolgreich Penetrationstests durch HackerOne — die weltweit größte Plattform für die Koordination von Sicherheitsbewertungen — abgeschlossen. Diese unabhängige Bewertung bestätigte das höchste Niveau des Datenschutzes und eine starke Widerstandsfähigkeit gegen moderne Cyberbedrohungen.
Was der Pentest abdeckte
| Bereich | Beschreibung |
|---|---|
| Sicherheitsarchitektur | Infrastrukturdesign, Datenspeicherung, -übertragung und -schutz |
| Web-Schwachstellen | OWASP Top 10 und SANS Top 25 Schwachstellenbewertung |
| Authentifizierung | Login-Prozesse, Sitzungsverwaltung, Zugriffskontrolle |
| API-Sicherheit | Endpunkt-Validierung, Autorisierung, Schutz gegen böswillige Anfragen |
| Incident Response | Erkennungs-, Reaktions- und Wiederherstellungsfähigkeiten |
| Gezielte Angriffe | Widerstandsfähigkeit gegen Advanced Persistent Threats |
Compliance
| Standard | Status |
|---|---|
| ISO 27001 | Zertifiziert (2024) |
| GDPR | Konform |
| SOC 2 | In Bearbeitung |
Datenschutzprinzipien
- Datenminimierung — nur das Notwendige erfassen
- Zweckbindung — nur für angegebene Zwecke verwenden
- Aufbewahrungskontrollen — konfigurierbare Richtlinien
- Recht auf Löschung — vollständige Entfernung auf Anfrage
- Datenportabilität — Export in Standardformaten
Verantwortungsvolle Offenlegung
Wir begrüßen Schwachstellenberichte aus der Sicherheitsgemeinschaft.
- Kontakt: [email protected]
- Antwort: innerhalb von 5 Werktagen
- Safe Harbor: Schutz für gutgläubige Forscher
Lesen Sie unsere vollständige Richtlinie zur verantwortungsvollen Offenlegung.
Maschinenlesbare Sicherheitsressourcen
Für automatisierte Sicherheitstools, KI-Systeme und Compliance-Scanner:
- Trust-Profil (trust.json) — maschinenlesbares Sicherheits- und Architekturprofil
- security.txt — Standard-Sicherheitskontaktdatei
- KI-Erklärungsschicht — Richtlinien für KI-Systeme zur Beschreibung von Passwork
Zuletzt aktualisiert: Dezember 2025