Verschlüsselung

So schützen wir Ihre Daten durch Verschlüsselung im Ruhezustand und bei der Übertragung.

Warum Verschlüsselung wichtig ist

Wenn Sie tchop Ihre Daten anvertrauen, erwarten Sie, dass diese privat bleiben. Verschlüsselung stellt sicher, dass Daten selbst bei unbefugtem Zugriff auf ein Speichermedium oder bei abgefangenen Netzwerkverbindungen ohne den richtigen Schlüssel unlesbar bleiben.

Als Teil unseres ISO 27001 zertifizierten Informationssicherheits-Managementsystems (ISMS) ist Verschlüsselung eine der zentralen Maßnahmen, die wir auf allen Ebenen der Plattform anwenden.

Verschlüsselung im Ruhezustand (at rest)

Alle auf tchop-Servern gespeicherten Daten werden im Ruhezustand verschlüsselt. Das gilt für:

• Datenbanken - vollständige Datenbankverschlüsselung sowohl in AWS- als auch in Hetzner-Hosting-Umgebungen

• Objektspeicher - alle in S3-Buckets gespeicherten Dateien und Medien werden mit serverseitiger Verschlüsselung (SSE) geschützt

• Blockspeicher - Elastic Block Store (EBS) Volumes auf AWS sind verschlüsselt, um Daten auf der Festplatte zu schützen

• Lokaler App-Speicher - auf iOS- und Android-Geräten lokal gespeicherte Daten werden auf App-Ebene verschlüsselt, unabhängig von der geräteeigenen Verschlüsselung

Wir verwenden AES-256-GCM (Galois/Counter Mode) Verschlüsselung auf AWS, verwaltet über den AWS Key Management Service (KMS). Dies gewährleistet sowohl Vertraulichkeit als auch Datenintegritätsprüfung. AES-256 ist der Industriestandard zum Schutz sensibler Daten im Ruhezustand.

Verschlüsselung bei der Übertragung (in transit)

Alle Daten, die zwischen Ihren Nutzern, den tchop-Apps und unseren Servern übertragen werden, sind durch TLS (Transport Layer Security) verschlüsselt.

• HTTPS überall -- alle API-Aufrufe, Web-App-Traffic und Dashboard-Zugriffe laufen über HTTPS mit gültigen SSL-Zertifikaten

• Eigene Domains -- wenn Sie eine eigene Domain für Ihre Web-App einrichten, stellen wir SSL-Zertifikate automatisch über Let's Encrypt bereit und verwalten diese

• Mobile App-Kommunikation -- der gesamte Datenverkehr zwischen nativen iOS- und Android-Apps und dem Backend ist über TLS verschlüsselt

• Push-Benachrichtigungen -- die Zustellung von Benachrichtigungen nutzt die verschlüsselten Kanäle von Apple (APNs) und Google (FCM)

Wir überwachen und erneuern SSL-Zertifikate aktiv über alle Client-Deployments hinweg, um Lücken in der Abdeckung zu vermeiden.

Hosting und Schlüsselverwaltung

tchop betreibt eine 100% cloudbasierte Infrastruktur mit allen Servern in Deutschland. Verschlüsselungsschlüssel werden über die Key-Management-Dienste des Hosting-Anbieters verwaltet (AWS KMS oder Hetzner-Äquivalent). Das bedeutet:

• Schlüssel werden getrennt von den verschlüsselten Daten gespeichert

• Der Zugriff auf Schlüssel ist eingeschränkt und wird protokolliert

• Die Schlüsselrotation folgt den Sicherheitsrichtlinien des Anbieters

Für Organisationen mit strengen Anforderungen an den Datenstandort bieten wir EU-souveränes Hosting auf Hetzner an, bei dem alle Daten und Verschlüsselungsschlüssel innerhalb der EU verbleiben.

Was das für Ihre Organisation bedeutet

• Compliance - Verschlüsselung im Ruhezustand und bei der Übertragung hilft Ihnen, DSGVO-, ISO 27001- und weitere regulatorische Anforderungen zu erfüllen

• Beschaffung - unsere Verschlüsselungsmaßnahmen sind dokumentiert und stehen für IT-Sicherheitsprüfungen zur Verfügung

• Nutzervertrauen - Ihre Mitarbeitenden, Mitglieder oder Leser können die App nutzen und wissen, dass ihre Daten in jeder Phase geschützt sind

Zusammenfassung

• Alle Daten werden im Ruhezustand mit AES-256-GCM über AWS KMS verschlüsselt - über Datenbanken, Dateispeicher und mobile Geräte hinweg

• Alle Daten bei der Übertragung sind durch TLS/HTTPS geschützt, einschließlich API-Traffic, Web-Apps und mobile Apps

• SSL-Zertifikate werden automatisch für alle Client-Deployments bereitgestellt und erneuert

• Die Verwaltung der Verschlüsselungsschlüssel erfolgt durch zertifizierte Cloud-Anbieter (AWS, Hetzner)

• Alle Server befinden sich in Deutschland mit optionalem EU-souveränem Hosting

• Diese Maßnahmen sind Teil unseres ISO 27001 zertifizierten ISMS, geprüft durch den TÜV Süd

Brauchen Sie Hilfe bei einem Sicherheitsfragebogen oder einer IT-Prüfung? Kontaktieren Sie uns unter support@tchop.io.