Sicherheit

Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO · Stand: Juni 2025

Die Sicherheit Ihrer Daten hat für SmartAgent höchste Priorität. Auf dieser Seite dokumentieren wir transparent, welche Schutzmaßnahmen wir einsetzen.

Technische Schutzmaßnahmen

🔒

Transportverschlüsselung

Alle Verbindungen sind TLS 1.2/1.3 verschlüsselt. HTTP wird automatisch auf HTTPS umgeleitet.

✓ Aktiv

🔑

Datenverschlüsselung

OAuth-Token werden mit AES-256 (Fernet) verschlüsselt in der Datenbank gespeichert. Passwörter werden nie gespeichert.

✓ Aktiv

🛡️

CSRF-Schutz

Alle Formulare und API-Endpunkte sind durch CSRF-Token (Double-Submit-Cookie-Pattern) gesichert.

✓ Aktiv

⚡

Rate Limiting

Alle sensiblen Endpunkte (Analyse, Login, Kontakt) sind gegen Missbrauch durch Request-Rate-Limits gesichert.

✓ Aktiv

🔐

Sicherheits-Header

HTTP-Sicherheits-Header (HSTS, X-Frame-Options, X-Content-Type-Options, CSP) schützen vor gängigen Web-Angriffen.

✓ Aktiv

🔏

Minimale Google-Berechtigungen

SmartAgent fordert nur die minimal notwendigen Google-Berechtigungen an: E-Mails lesen und Kalendertermine verwalten.

✓ Aktiv

🚫

Keine Datenspeicherung von E-Mail-Inhalten

E-Mail-Volltexte werden nicht dauerhaft gespeichert. Sie werden zur KI-Analyse übertragen und danach verworfen.

✓ Aktiv

🏗️

Infrastruktur

Serverhosting bei Hetzner (Deutschland, ISO 27001). Alle Dienste laufen in isolierten Docker-Containern.

✓ Aktiv

Zugangskontrolle

Authentifizierung ausschließlich über Google OAuth 2.0 (kein eigenes Passwort-System)
Session-Management mit sicheren, signierten Cookies (HttpOnly, SameSite=Lax)
Admin-Bereich nur für autorisierte E-Mail-Adressen zugänglich
Audit-Log aller Admin-Aktionen
Automatische Session-Invalidierung nach Logout

Datenbankschutz

PostgreSQL-Datenbank ohne direkte externe Netzwerkzugänge (nur intern erreichbar)
Regelmäßige automatisierte Backups
Datenbankpasswörter werden nicht im Code gespeichert (Umgebungsvariablen)

Softwareentwicklung

Keine hartcodierten Secrets im Quellcode (alle Secrets über Umgebungsvariablen)
Automatisierte Tests für kritische Sicherheitsfunktionen
Regelmäßige Dependency-Updates zur Behebung bekannter Schwachstellen

Organisatorische Maßnahmen

Zugriff auf Produktionssysteme nur für den Betreiber
Unterauftragsverarbeiter werden sorgfältig ausgewählt (siehe Subunternehmer-Liste)
Verpflichtung aller Mitarbeiter zur Vertraulichkeit
Dokumentiertes Verfahren für den Umgang mit Datenpannen

Meldung von Sicherheitslücken

🐛 Sicherheitslücke gefunden?

Wir nehmen Sicherheitsmeldungen ernst. Bitte melden Sie entdeckte Schwachstellen verantwortungsvoll (Responsible Disclosure) per E-Mail an SmartAgentHQ@gmail.com. Wir verpflichten uns, innerhalb von 48 Stunden zu antworten und die Schwachstelle schnellstmöglich zu beheben. Bitte geben Sie uns die Möglichkeit, das Problem zu lösen, bevor Sie es öffentlich machen.