Sicherheit
Ihre Datenbank-Backups sind so sensibel wie die Datenbanken selbst. Hier steht genau, was wir tun, damit das so bleibt.
Verschlüsselung
Backups werden auf dem Rechner des Kunden mit AES-256-GCM verschlüsselt, bevor sie das Kundennetz verlassen. Pro Backup wird eine zufällige 12-Byte-Nonce erzeugt und pro Chunk inkrementiert; der Authentifizierungs-Tag wird beim Restore geprüft, sodass modifiziertes oder abgeschnittenes Chiffrat fehlschlägt, statt stillen Schrott zu produzieren.
Keys sind in beiden Produktpfaden 256 Bit, aber die Ableitung unterscheidet sich:
- Resistro-Cloud-Agent: der Kunde erzeugt auf seinem eigenen Host einen zufälligen Key mit
openssl rand -hex 32(oder mit dem Dashboard-Generator im Browser,crypto.getRandomValues) und legt ihn in/etc/resistro-agent/envab. Keine Passphrase, keine KDF — der Key startet mit voller 256-Bit-Entropie und verlässt diesen Host nie. - Selbst-gehostete CLI (
resistro): der Kunde gibt eine Passphrase an, und die CLI leitet den Key per PBKDF2-HMAC-SHA-256 mit 600 000 Iterationen (OWASP 2023) über einen 32-Byte-Zufalls-Salt ab (der Salt steht im Datei-Header). Die Passphrase verlässt den Kunden-Rechner nie.
Was wir abdecken
- Kompromittierter Resistro-Cloud-Server: der Server speichert nur Chiffrat. Ohne den Key des Kunden kann er nicht entschlüsseln.
- Kompromittierter Storage-Backend (Hetzner Object Storage): gleiche Eigenschaft — nur Chiffrat.
- Netzwerk-Mitschnitt: der Transport ist komplett TLS 1.3 über nginx, HSTS erzwungen.
Was wir nicht abdecken
- Kompromittierung des Agent-Hosts: wenn ein Angreifer
/etc/resistro-agent/envlesen kann, hat er Key und API-Token. Schützen Sie die Datei per Dateisystem-Rechten (0600 by default) und OS-Hardening. - Verlust des Encryption-Keys: ohne Key sind Ihre Backups unwiederbringlich. Wir können ihn nicht für Sie wiederherstellen — Designentscheidung.
Key-Management
Der Encryption-Key wird einmalig vom Kunden mit openssl rand -hex 32 erzeugt und in /etc/resistro-agent/env abgelegt. Er verlässt diesen Host nie. Resistro Cloud speichert pro Backup nur einen SHA-256-Fingerprint des Keys, um beim Restore zu verifizieren, dass der richtige Key verwendet wird. Der Key selbst liegt nicht in unserer Datenbank, den Logs, den Metriken oder den Support-Kanälen.
Wenn Sie den Key verlieren, können wir Ihnen beim Restore nicht helfen — das ist der Preis für die Garantie, dass es außer Ihnen niemand kann.
Datenresidenz
- Compute: Hetzner Online GmbH, Falkenstein / Nürnberg, Deutschland.
- Backup-Storage: Hetzner Object Storage, Nürnberg (nbg1). EU-only Datenpfad.
- Metadaten-DB: PostgreSQL, gleiche Region.
- Kein Backup-Inhalt von Kunden verlässt jemals die EU.
Zugriffsmanagement
- API-Keys (Agent-Auth) sind zufällig erzeugte
rst_<64 hex>-Tokens, Tenant-scoped, im Dashboard widerrufbar. - JWT (Dashboard-Auth) HS256-signiert, kurzlebig, Passwort-Hashes server-seitig bcrypt.
- Agent-Endpoints sind pro Tenant rate-limited (tier-abhängig).
- Multi-Tenant-Isolation wird auf SQL-Ebene erzwungen: jede Query ist via
tenant_idgescoped. Storage-Keys tragen einen Tenant-prefixed Shard, sodass ein Bug in einem Handler keinen Object-Path eines anderen Tenants lesen kann.
Operative Sicherheit
- Backups und Restores laufen gegen einen unveränderlichen Object-Storage-Backend; es gibt keinen
DELETE-Pfad, mit dem ein Tenant seine Historie außerhalb der dokumentierten Retention-Policy flächig wegputzen könnte. - Server-Logs (journald) redacten API-Keys und Bodies. Wir loggen Method, Path, Status, Dauer, Remote-IP.
- Fehl-Login-Rate-Limit: 10/Minute pro Quell-IP auf den Auth-Endpoints.
- HTTP-Security-Header:
Strict-Transport-Security,X-Content-Type-Options,X-Frame-Options,Referrer-Policy.
Was wir tun — und was nicht
Transparenz darüber, wo wir im Vertrauensaufbau stehen. Enterprise-Einkäufer müssen das wissen, nicht raten.
| Kontrolle | Status |
|---|---|
| Client-seitige AES-256-GCM-Verschlüsselung | Live |
| EU-only Datenpfad (Hetzner, DE) | Live |
| Tenant-prefixed Storage-Sharding | Live |
| Pro-Tenant-Rate-Limits | Live |
| Angeboten: AVV (Auftragsverarbeitungsvertrag / DPA) | Live — Vollständige Vorlage · PDF |
| Unabhängiger Penetration-Test | Geplant Q3/2026 |
| SOC 2 Type II | Geplant — kein festes Datum |
| ISO-27001-Zertifizierung | Aktuell nicht geplant |
| Bug-Bounty-Programm | Geplant Q3/2026 |
Responsible Disclosure
Wenn Sie eine Sicherheitslücke finden, bitte Mail an security@…. Wir sichern zu: Bestätigung innerhalb 48h, Fix- oder Mitigation-Zeitplan innerhalb 7 Tagen, öffentliche Anerkennung nach Shipping des Fixes (es sei denn, Sie bevorzugen Anonymität).
Fragen, die Ihr Einkauf stellen wird
Wir pflegen einen Standard-Vendor-Security-Fragebogen (BSI Grundschutz / VAIT / typisches DACH-B2B-Format). Schreiben Sie uns, wir schicken ihn innerhalb eines Werktages.