tchop Logo

Plattform

Lösungen

Resourcen

Unternehmen

DE

Login

tchop Logo
DE

Login

tchop Logo
DE

Login

Grid pattern

🔗 Sicherheit der Schnittstellen (APIs)

So schützen wir die Verbindung zwischen unserem Backend und allen Clients über sichere Schnittstellen (APIs).

So sichern wir unsere Schnittstellen

tchop nutzt eine headless, API-first-Architektur. Backend, Web-App und native mobile Apps sind vollständig entkoppelt - jeder Client kommuniziert ausschließlich über unsere API mit dem Backend. API-Sicherheit ist daher kein Zusatz. Sie ist das Fundament der gesamten Plattform.

Architektur

Das tchop-Backend stellt sowohl REST- als auch GraphQL-APIs bereit. Web-Frontends und native mobile Apps werden als unabhängige Clients behandelt, die über die API verbunden sind. Dieses entkoppelte Design bietet mehrere Sicherheitsvorteile:

  • Service-Isolation - jede Komponente arbeitet unabhängig, wodurch die Auswirkungen bei einer Kompromittierung begrenzt bleiben.

  • Zentraler Kontrollpunkt - alle Sicherheitsrichtlinien (Authentifizierung, Autorisierung, Rate Limiting) werden auf der API-Ebene durchgesetzt.

  • Unabhängige Deployments - mobile Apps, Web-Frontends und das Backend können unabhängig voneinander aktualisiert werden.

Alle API-Endpunkte sind über OpenAPI / Swagger dokumentiert. Das gibt Clients einen klaren, versionierten Vertrag für jede Anfrage und Antwort.

Authentifizierung und Autorisierung

Jede API-Anfrage muss authentifiziert werden. tchop nutzt OAuth 2.0 als Autorisierungs-Framework, kombiniert mit einem tokenbasierten Authentifizierungsmodell und dedizierten Client-Credentials:

  • API Client ID - jeder Client (Web-App, iOS-App, Android-App, Drittanbieter-Integration) erhält eine eindeutige Client-Kennung, die über einen eigenen Header gesendet wird.

  • Auth Token - jede authentifizierte Sitzung verwendet ein sicheres Token, das bei jeder Anfrage mitgesendet werden muss.

  • Token-Ablauf - Sitzungen können so konfiguriert werden, dass sie nach einem definierten Zeitraum ablaufen und eine erneute Authentifizierung erfordern.

  • Schlüsselrotation - Client-Credentials können ohne Ausfallzeit rotiert werden. Bei einer Kompromittierung kann ein Schlüssel sofort ungültig gemacht und ersetzt werden.

  • JWT-Unterstützung - für Drittanbieter-Integrationen (z.B. Microsoft Teams, Supabase) generiert und validiert tchop JSON Web Tokens (JWT) auf dem Backend.

Keine API-Anfrage wird ohne gültige Credentials verarbeitet. Nicht authentifizierte Anfragen werden abgelehnt, bevor sie die Anwendungslogik erreichen.

SSO und Enterprise-Authentifizierung

Für Enterprise-Kunden unterstützt tchop Single Sign-On (SSO) über Standardprotokolle:

  • OIDC (OpenID Connect) - unterstützt über Anbieter wie FusionAuth und andere.

  • SAML - verfügbar für Enterprise-Identity-Provider.

  • Token Exchange - bei eingebetteten Integrationen (z.B. Microsoft Teams) übernimmt tchop den SSO-Token-Austausch, sodass Nutzer ohne separaten Login-Schritt authentifiziert werden.

Das bedeutet: Ihre Mitarbeitenden oder Nutzer authentifizieren sich mit ihrem bestehenden Identity Provider. Keine separaten Passwörter nötig.

Transportsicherheit

Die gesamte API-Kommunikation wird bei der Übertragung mit TLS (Transport Layer Security) verschlüsselt:

  • Jeder API-Aufruf zwischen Clients und Backend läuft über HTTPS.

  • SSL-Zertifikate werden automatisch verwaltet und erneuert.

  • NGINX dient als Reverse Proxy vor der API und übernimmt TLS-Terminierung, Anfragefilterung und Verbindungsmanagement.

  • SSL Pinning - native iOS- und Android-Apps nutzen Certificate Pinning, um Man-in-the-Middle-Angriffe zu verhindern, selbst in kompromittierten Netzwerken.

  • Security Headers - alle Antworten enthalten HSTS (HTTP Strict Transport Security), Content-Security-Policy und X-Frame-Options Header zum Schutz gegen Downgrade-Angriffe, XSS und Clickjacking.

  • Unverschlüsselte HTTP-Verbindungen werden nicht akzeptiert.

Sichere Token-Speicherung auf Geräten

Authentifizierungs-Tokens auf mobilen Geräten werden über die sicheren Speichermechanismen der jeweiligen Plattform geschützt:

  • iOS - Tokens werden im iOS Keychain gespeichert, Apples verschlüsseltem Credential-Speicher.

  • Android - Tokens werden im Android Keystore gespeichert, Googles hardwaregestütztem Sicherheitsmodul.

So wird sichergestellt, dass Tokens nicht vom Gerät extrahiert werden können, selbst wenn auf das Dateisystem zugegriffen wird.

Infrastrukturschutz

Über Authentifizierung und Verschlüsselung hinaus umfasst die API-Infrastruktur mehrere Schutzebenen:

  • AWS Shield - bietet permanenten DDoS-Schutz gegen volumetrische, Protokoll- und Anwendungsschicht-Angriffe.

  • AWS WAF (Web Application Firewall) -- filtert und blockiert schädlichen Datenverkehr, bevor er die API erreicht, und schützt gegen SQL Injection, Cross-Site Scripting (XSS) und Request Flooding.

  • Rate Limiting - schützt gegen Brute-Force-Angriffe und API-Missbrauch.

  • CORS-Richtlinien - beschränken, welche Domains API-Anfragen stellen dürfen, und verhindern unautorisierten Cross-Origin-Zugriff.

  • Eingabevalidierung - alle API-Eingaben werden vor der Verarbeitung validiert und bereinigt.

Monitoring, Auditing und Tests

Die API-Aktivität wird im Rahmen unseres ISO 27001 zertifizierten ISMS kontinuierlich überwacht:

  • Ungewöhnliche Zugriffsmuster lösen Alarme aus.

  • Alle API-Zugriffe werden protokolliert und Audit-Logs werden 12 Monate aufbewahrt.

  • Regelmäßige Penetrationstests werden von unabhängigen Dritten durchgeführt. Ergebnisse und Berichte stehen Enterprise-Kunden auf Anfrage zur Verfügung.

  • Verfahren zur Vorfallsreaktion sind dokumentiert und getestet.

  • Die Plattform unterstützt erzwungene App-Updates, um Sicherheits-Patches schnell an alle Clients auszurollen.

Zusammenfassung

  • tchop nutzt eine headless, API-first-Architektur, bei der alle Clients über sichere APIs verbunden sind.

  • OAuth 2.0 mit tokenbasierter Authentifizierung und dedizierten Client-Credentials schützt jede Anfrage.

  • Client-Credentials können sofort und ohne Ausfallzeit rotiert werden.

  • SSO über OIDC, SAML und Token Exchange wird für Enterprise-Kunden unterstützt.

  • Der gesamte API-Verkehr ist über TLS/HTTPS mit SSL Pinning auf nativen mobilen Apps verschlüsselt.

  • Security Headers (HSTS, CSP, X-Frame-Options) werden bei allen Antworten durchgesetzt.

  • Auth-Tokens werden sicher im iOS Keychain und Android Keystore gespeichert.

  • AWS Shield und WAF bieten DDoS- und Anwendungsschicht-Schutz.

  • Regelmäßige Penetrationstests durch Dritte validieren die Sicherheitslage.

  • Audit-Logs werden 12 Monate aufbewahrt.

  • Diese Maßnahmen sind Teil unseres ISO 27001 zertifizierten ISMS, geprüft durch den TÜV Süd.

Brauchen Sie Hilfe bei einem Sicherheitsfragebogen oder einer API-Integrationsprüfung? Kontaktieren Sie uns unter support@tchop.io.

Möchten Sie Ihre App kostenlos testen?

Erleben Sie die Kraft von tchop™ mit einer kostenlosen, vollständig gebrandeten App für iOS, Android und das Web. Lassen Sie uns Ihr Publikum in eine Gemeinschaft verwandeln.

Jetzt kostenlose Test-Apps anfordern!

Möchten Sie Ihre App kostenlos testen?

Erleben Sie die Kraft von tchop™ mit einer kostenlosen, vollständig gebrandeten App für iOS, Android und das Web. Lassen Sie uns Ihr Publikum in eine Gemeinschaft verwandeln.

Jetzt kostenlose Test-Apps anfordern!

Möchten Sie Ihre App kostenlos testen?

Erleben Sie die Kraft von tchop™ mit einer kostenlosen, vollständig gebrandeten App für iOS, Android und das Web. Lassen Sie uns Ihr Publikum in eine Gemeinschaft verwandeln.

Jetzt kostenlose Test-Apps anfordern!

Die Community-Plattform für Unternehmen, Medienhäuser und Start Ups

TÜV SÜD ISO/IEC 27001 badge
LinkedIn
x.com
instagram
Medium

PLATTFORM

Features

Mobile Apps

Web App

Content Management

Content Curation

Chat

Engagement Tools

Integrationen

Browser Plug-in

ANWENDUNGEN

Mitarbeiter App

Führungskräfte App

News App

Community App

PERFEKT FÜR

Unternehmen

Agenturen

Medien & Verlage

Startups

RESOURCEN

Dokumentation

Datenschutz

Blog

Kundenbeispiele

Security

Glossar

Entwickler

Hilfe Center

UNTERNEHMEN

Über uns

Newsroom

Philosophie

Jobs

Kontakt

© tchop GmbH 2024

Impressum

&

AGB

Made with 🤍 in Berlin 

Die Community-Plattform für Unternehmen, Medienhäuser und Start Ups

LinkedIn
x.com
Instagram
Medium
TÜV SÜD ISO/IEC 27001 badge

PLATTFORM

Features

Mobile Apps

Web App

Content Management

Content Curation

Chat

Engagement Tools

Integrationen

Browser Plug-in

ANWENDUNGEN

Mitarbeiter App

Führungskräfte App

News App

Community App

PERFEKT FÜR

Unternehmen

Agenturen

Medien & Verlage

Startups

RESOURCEN

Dokumentation

Datenschutz

Blog

Kundenbeispiele

Security

Glossar

Entwickler

Hilfe Center

UNTERNEHMEN

Über uns

Newsroom

Philosophie

Jobs

Kontakt

© tchop GmbH 2024

Impressum

&

AGB

Made with 🤍 in Berlin 

Die Community-Plattform für Unternehmen, Medienhäuser und Start Ups

TÜV SÜD ISO/IEC 27001 badge
LinkedIn
x.com
instagram
Medium

PLATTFORM

Features

Mobile Apps

Web App

Content Management

Content Curation

Chat

Engagement Tools

Integrationen

Browser Plug-in

ANWENDUNGEN

Mitarbeiter App

Führungskräfte App

News App

Community App

PERFEKT FÜR

Unternehmen

Agenturen

Medien & Verlage

Startups

RESOURCEN

Dokumentation

Datenschutz

Blog

Kundenbeispiele

Security

Glossar

Entwickler

Hilfe Center

UNTERNEHMEN

Über uns

Newsroom

Philosophie

Jobs

Kontakt

© tchop GmbH 2024

Impressum

&

AGB

Made with 🤍 in Berlin