Verschlüsselung

Modernste Verschlüsselungstechnologien schützen Ihre Daten auf allen Ebenen.

SendMeSafe verwendet mehrere Verschlüsselungsebenen, um Ihre Daten während der Übertragung und Speicherung zu schützen. Alle Verbindungen werden mit TLS 1.3 verschlüsselt, Dateien werden serverseitig mit AES-256 gespeichert, und Passwörter werden niemals im Klartext gespeichert, sondern mit bcrypt gehasht. Zusätzlich unterstützen wir Ende-zu-Ende-Verschlüsselung für Connect Messenger (optional, wenn eingerichtet) und Flaschenpost-Nachrichten, sodass nur die Teilnehmenden den Inhalt entschlüsseln können.

Sicherheitsfunktionen

TLS 1.3 Transportverschlüsselung

Alle Datenübertragungen zwischen Ihrem Browser und unseren Servern werden mit TLS 1.3 verschlüsselt - dem neuesten und sichersten Verschlüsselungsstandard für HTTPS-Verbindungen.

AES-256 Speicherverschlüsselung

Alle hochgeladenen Dateien werden mit AES-256-Bit Verschlüsselung auf unseren S3-kompatiblen Speichern (Hetzner Object Storage) gesichert - derselbe Standard, den auch Banken und Regierungen verwenden.

Ende-zu-Ende-Verschlüsselung

Für Connect Messenger (optional, wenn eingerichtet) und Flaschenpost-Nachrichten unterstützen wir echte Ende-zu-Ende-Verschlüsselung. Messenger nutzt X25519 (ECDH) und XSalsa20-Poly1305; Flaschenpost nutzt AES-256-GCM mit PBKDF2 Schlüsselableitung. Nur die Teilnehmenden können den Inhalt entschlüsseln.

Sicheres Passwort-Hashing

Alle Passwörter werden mit bcrypt (10 Runden) gehasht gespeichert. Selbst wir können Ihre Passwörter nicht einsehen - sie werden niemals im Klartext gespeichert.

Pre-signed URLs für direkten Upload

Dateien werden direkt zu unserem Speicher hochgeladen, ohne den Umweg über unseren Server. Jede Upload-URL ist signiert und nur 5 Minuten gültig.

JWT Token-Authentifizierung

Die Benutzerauthentifizierung erfolgt über signierte JWT-Tokens mit sicherer Session-Verwaltung. Tokens enthalten keine sensiblen Daten und sind kryptografisch geschützt.

Technische Implementierung

Verschlüsselung während der Übertragung

Sobald Sie eine Datei hochladen, wird die Verbindung mit TLS 1.3 gesichert. Caddy, unser Reverse-Proxy, verwaltet automatisch HTTPS-Zertifikate von Let's Encrypt.

Verschlüsselungsarchitektur

Ihr GerätBrowser/App

TLS 1.3

HTTPS Verbindung

SendMeSafe ServerEU

AES-256

Verschlüsselt gespeichert

S3 SpeicherHetzner Cloud

TLS 1.3 verschlüsselt

AES-256

Sicherer Upload-Prozess

Ihr Browser erhält eine signierte Pre-signed URL und lädt die Datei direkt zum verschlüsselten S3-Speicher hoch. Die Datei berührt unseren Anwendungsserver nie unverschlüsselt.

Sicherer Upload-Ablauf

Token-Validierung

Der Upload-Link wird geprüft: Token-Gültigkeit, Ablaufdatum, optionales Passwort (bcrypt-Vergleich) und Organisations-Status.

Token-basiertAblaufendPasswortgeschützt

Pre-signed URL Generierung

Der Server generiert eine signierte S3-URL mit 5 Minuten Gültigkeit. Die URL enthält kryptografische Signaturen zur Autorisierung.

// Pre-signed URL mit Signatur
PUT https://s3.eu/bucket/file?X-Amz-Signature=...

Direkter S3-Upload

Ihr Browser lädt die Datei direkt zum S3-Speicher hoch. Die Datei wird während der Übertragung nicht auf unserem Server gespeichert.

document.pdf

Direkter Browser-Upload

Datei wird nie auf dem Anwendungsserver zwischengespeichert

Bestätigung & Speicherung

Nach erfolgreichem Upload wird der Dateieintrag in der Datenbank erstellt und Sie werden benachrichtigt.

Upload erfolgreich- Datei sicher gespeichert

Verschlüsselung bei Speicherung

Alle Dateien werden mit serverseitiger AES-256 Verschlüsselung gespeichert. Passwörter für Links werden mit bcrypt gehasht. Sensible Metadaten sind zusätzlich geschützt.

Datenschutzmaßnahmen

Passwort-Hashing

Alle Benutzer- und Link-Passwörter werden mit bcrypt gehasht. Selbst bei einem Datenleck sind Passwörter geschützt.

bcrypt10 Runden

JWT-Authentifizierung

Sichere, signierte Tokens für die Sitzungsverwaltung. Keine Passwörter im Token, nur verschlüsselte Benutzer-IDs.

Kryptografisch signiertZeitlich begrenzt

Server-Standort

Alle Daten werden ausschließlich innerhalb der EU bei Hetzner gespeichert.

Hetzner CloudEU

Datenlöschung

Daten werden nach Ablauf automatisch gelöscht. Sie können Dateien jederzeit manuell entfernen.

Auto-LöschungKonfigurierbar

Datenbank-Sicherheit

PostgreSQL mit strikter Mandantentrennung. Jede Organisation hat isolierte Daten.

Isolierte MandantenTLS-Verbindung

Hetzner Cloud (hel1.your-objectstorage.com) - ISO 27001 zertifiziert

Häufige Fragen zur Verschlüsselung

Können Sie meine Dateien lesen?

Technisch haben wir Zugriff auf die Dateien, da die Verschlüsselung serverseitig erfolgt. Für besonders sensible Daten empfehlen wir unsere Flaschenpost-Funktion mit echter Ende-zu-Ende-Verschlüsselung, bei der nur der Empfänger entschlüsseln kann.

Wie sicher sind die Link-Passwörter?

Link-Passwörter werden mit bcrypt gehasht (10 Runden). Selbst wenn jemand Zugriff auf unsere Datenbank erhielte, könnte er die Passwörter nicht im Klartext sehen. Der Vergleich erfolgt kryptografisch sicher.

Was passiert bei einem Serverausfall?

Ihre Dateien sind redundant auf Hetzner Object Storage gespeichert. Die Verschlüsselungsschlüssel werden sicher verwaltet. Bei einem Ausfall bleiben Ihre Daten verfügbar, sobald die Systeme wiederhergestellt sind.

Welche Verschlüsselung verwendet Flaschenpost?

Flaschenpost verwendet AES-256-GCM mit einem Schlüssel, der via PBKDF2 aus dem Passwort abgeleitet wird (100.000 Iterationen, SHA-256). Der Verschlüsselungsschlüssel wird im URL-Fragment übertragen und nie an unsere Server gesendet.

Sicherheitshinweise

Alle HTTPS-Verbindungen verwenden TLS 1.3 mit modernen Cipher-Suites
Passwörter werden niemals im Klartext gespeichert - immer bcrypt mit 10 Runden
Pre-signed URLs sind nur 5 Minuten gültig und kryptografisch signiert
Server-Standort EU: Hetzner Cloud (ISO 27001 zertifiziert)
Ende-zu-Ende-Verschlüsselung für Connect Messenger (X25519 + XSalsa20-Poly1305) und Flaschenpost (AES-256-GCM + 100.000 PBKDF2-Iterationen)