servus.
Zurück zur Startseite

Sicherheit

Sicherheit ist für eine Messaging-Plattform grundlegend. Diese Seite beschreibt, wie Servus Daten schützt, seine Infrastruktur betreibt und auf Vorfälle reagiert.

Zuletzt aktualisiert 15. Juni 2026

Dies ist ein Basisdokument, das wir aus Gründen der Transparenz bereitstellen — es stellt keine Rechtsberatung dar. Bitte lass es von qualifizierten Jurist:innen prüfen, bevor du dich darauf verlässt.
Dies ist eine zur Vereinfachung bereitgestellte Übersetzung. Maßgeblich ist die englische Fassung.

Unsere Sicherheitsphilosophie

Servus überträgt sensible Geschäftskommunikation, daher behandeln wir Sicherheit als Kernfunktion, nicht als Zusatz. Wir setzen auf Defense-in-Depth, das Prinzip der geringsten Rechte und sichere Voreinstellungen und entwickeln in der Annahme, dass jede einzelne Schutzmaßnahme versagen kann.

Wir verbessern unsere Sicherheitslage mit dem Wachstum der Plattform kontinuierlich. Wo eine Maßnahme noch reift, sagen wir das klar, statt zu übertreiben.

Verschlüsselung bei Übertragung und im Ruhezustand

Der gesamte Datenverkehr zwischen Ihnen, den Kanälen Ihrer Empfänger und Servus wird bei der Übertragung mit TLS 1.2 oder höher verschlüsselt. Sensible Geheimnisse im Ruhezustand — einschließlich Kanal-Anmeldedaten wie Zugriffstokens und API-Schlüssel — werden mit AES-256-GCM verschlüsselt. Datenbankspeicher und Backups sind im Ruhezustand verschlüsselt.

Kundenpasswörter werden mit starkem, gesalzenem Einweg-Hashing gespeichert und sind niemals im Klartext wiederherstellbar.

EU-Infrastruktur und Mandantentrennung

Servus läuft auf EU-Infrastruktur, um die Datenresidenz innerhalb der Europäischen Union zu unterstützen. Jeder Kunde ist ein eigener Mandant, und die Plattform erzwingt eine strikte Mandantentrennung, sodass die Daten und Nachrichten eines Kunden niemals für einen anderen zugänglich sind. Autorisierungsprüfungen scheitern geschlossen: Lässt sich die Trennung nicht verifizieren, wird der Zugriff verweigert.

Containerisierte Dienste laufen mit begrenzten Rechten und sind nach Umgebung und Funktion getrennt.

Zugriffskontrolle, Geheimnisse und Netzwerkkontrollen

Der Zugriff auf Produktionssysteme folgt dem Prinzip der geringsten Rechte und wird einer kleinen Zahl autorisierter Ingenieure nach dem Need-to-know-Prinzip mit starker Authentifizierung gewährt. Administrative Zugriffe werden protokolliert und Berechtigungen regelmäßig überprüft.

Geheimnisse werden außerhalb des Quellcodes verwaltet, eng begrenzt und bei Bedarf rotiert. Netzwerkkontrollen begrenzen die Angriffsfläche: Interne Dienste binden an private Schnittstellen, öffentliche Zugangspunkte sind begrenzt und geschützt, und wir segmentieren den Verkehr zwischen den Komponenten.

Monitoring, Protokollierung und Alarmierung

Wir erfassen Anwendungs- und Infrastrukturprotokolle und überwachen auf Fehler, Anomalien und Anzeichen von Missbrauch. Kritische Ereignisse lösen Alarme aus, damit das Team schnell reagieren kann. Protokolle werden für einen begrenzten, definierten Zeitraum aufbewahrt und gegen Manipulation geschützt.

Wir justieren die Erkennung im Laufe der Zeit, um echte Probleme zu erfassen, ohne das Signal im Rauschen zu verlieren.

Schwachstellenmanagement und verantwortungsvolle Offenlegung

Wir halten Abhängigkeiten und Basis-Images gepatcht, scannen auf bekannte Schwachstellen und beheben sie nach Schweregrad und Exposition. Sicherheit ist Teil unseres Entwicklungsprozesses, einschließlich Code-Review für sensible Änderungen.

Wenn Sie eine Schwachstelle entdecken, melden Sie sie bitte verantwortungsvoll an [email protected]. Geben Sie uns eine angemessene Gelegenheit zur Untersuchung und Behebung vor einer öffentlichen Offenlegung; wir bestätigen Ihre Meldung und halten Sie auf dem Laufenden.

Backups, Ausfallsicherheit und Geschäftskontinuität

Wir erstellen regelmäßige, verschlüsselte Backups und testen die Wiederherstellung periodisch, um uns von Datenverlust erholen zu können. Die Plattform ist auf Ausfallsicherheit ausgelegt, mit dauerhafter Warteschlange ausgehender Nachrichten, sodass vorübergehende Fehler erneut versucht statt verworfen werden.

Wir pflegen Praktiken zur Geschäftskontinuität, um den Dienst verfügbar zu halten und uns nach Störungen innerhalb definierter Ziele zu erholen.

Compliance-Lage und wie man ein Anliegen meldet

Servus ist DSGVO-konform ausgelegt, mit EU-Datenresidenz, einem Auftragsverarbeitungsvertrag, Standardvertragsklauseln für etwaige Übermittlungen und Unterstützung von Betroffenenrechten. Wir arbeiten auf formale Zertifizierungen wie SOC 2 und ISO 27001 hin; wir beanspruchen derzeit nicht, diese Zertifizierungen zu besitzen, und aktualisieren diese Seite, sobald unser Programm reift.

Um ein Sicherheitsanliegen zu melden oder mehr über unsere Maßnahmen zu erfahren, kontaktieren Sie [email protected].