Skip to main content
VaultPAM
00 Sicherheit

sicher durch design. jede sitzung, jede anmeldeinformation, jedes byte.

Zero-Trust-Zugriff, Ende-zu-Ende-Verschlüsselung und vollständige Audit-Trails waren nicht verhandelbare Anforderungen — keine nachträglichen Ergänzungen.

01 Sicherheitsprinzipien

Sieben Prinzipien, die jede Entscheidung leiten.

01

Zero-Trust-Zugriff

Jede Sitzung wird pro Anfrage authentifiziert und autorisiert. Kein implizites Vertrauen aus Netzwerkstandort, Rolle oder vorheriger Sitzung.

02

Ende-zu-Ende-Verschlüsselung

Sitzungsverkehr im Transit verschlüsselt. Anmeldeinformationen im Ruhezustand mit AES-256-GCM verschlüsselt. Schlüssel werden nie zusammen mit den Daten gespeichert.

03

Standardmäßig geringste Rechte

Minimal erforderlicher Zugriff, zur Laufzeit durchgesetzt: zeitlich begrenzte Sitzungen, Just-in-Time-Einspeisung von Anmeldeinformationen, automatischer Ablauf.

04

Unveränderlicher Audit-Trail

Jede privilegierte Aktion wird in einem manipulationssicheren Speicher protokolliert. Aufzeichnungen, Zugriffsereignisse und Richtlinienänderungen können nicht verändert werden.

05

EU-Datenspeicherort

Alle Daten, Aufzeichnungen und Vaults befinden sich in GCP europe-central2 (Warschau). Keine Übertragung außerhalb der EU.

06

Keine Credential-Exposition

Anmeldeinformationen werden auf Protokollebene eingespeist und dem verbindenden Benutzer nie offengelegt. Passwörter bleiben innerhalb des Proxys.

07

Kontinuierliche Compliance-Haltung

NIS2-, DSGVO-, SOC 2- und ISO 27001-Kontrollen auf Funktionen abgebildet. Berichte werden bei Bedarf generiert, nicht von Hand zusammengestellt.

02 Authentifizierung & Autorisierung

MFA, SSO und rollenbasierter Zugriff — ohne Konfigurationssteuer.

FunktionalitätMechanismusStandard
Multi-Faktor-AuthentifizierungTOTP, FIDO2/WebAuthn, SMS OTPRFC 6238 / FIDO2
Single Sign-On (SSO)SAML 2.0, OIDC / OAuth 2.0SAML 2.0 / OIDC
Rollenbasierte ZugriffskontrolleTenant-Rollen, Sitzungsrichtlinien, Ziel-ACLsNIST RBAC
Just-in-Time-AnmeldeinformationenZeitlich begrenzter Vault-Checkout, automatische RotationNIS2 Art. 21
Sitzungs-TimeoutKonfigurierbare Leerlaufzeit pro Rolle + maximale DauerSOC 2 CC6.1
03 Datenschutz

Verschlüsselung und Speicherung, die Ihre Rechtsabteilung freigeben kann.

3.1

Credential-Vault

Im Ruhezustand mit AES-256-GCM verschlüsselt. Vault-Schlüssel getrennt gespeichert und automatisch rotiert. Schlüssel werden nie protokolliert.

3.2

Verschlüsselung im Transit

TLS 1.3 für Browser-Sitzungen. RDP-, SSH- und Datenbankverkehr durch verschlüsselte Tunnel geleitet. Kein Klartext auf dem Draht.

3.3

Session-Aufzeichnung

In GCS (europe-central2) gespeichert, Verschlüsselung auf Objektebene. Audit-Zugriff getrennt von der Wiedergabe kontrolliert.

3.4

EU-Datenspeicherort

Alle Daten, Sicherungen und Logs befinden sich in GCP europe-central2 (Warschau). Keine regionsübergreifende Replikation außerhalb der EU.

3.5

Aufbewahrungskontrollen

Konfigurierbare Aufbewahrung mit DSGVO-Recht auf Löschung. Die Löschung wird protokolliert und ist irreversibel.

3.6

Sicherung und Wiederherstellung

Täglich automatisierte Sicherungen, Point-in-Time-Recovery. Im Ruhezustand verschlüsselt und quartalsweise getestet.

04 Bedrohungsmodell

STRIDE — bei jedem Release verifiziert.

BedrohungKontrolleStatus
SpoofingMFA + Session-Token-BindungABGESCHWÄCHT
ManipulationUnveränderliches Audit-Log + HMAC-SignaturenABGESCHWÄCHT
NichtanerkennungVollständiges Session-Recording + signierte Audit-EventsABGESCHWÄCHT
InformationsoffenlegungAES-256-GCM in Ruhe, TLS 1.3 im Transit, keine Credential-ExpositionABGESCHWÄCHT
Denial of ServiceRate-Limiting, Verbindungsgrenzen, WAF (ModSecurity)ABGESCHWÄCHT
Erhöhung der BerechtigungenRBAC, Least-Privilege JIT-Anmeldeinformationen, Tenant-IsolierungABGESCHWÄCHT
05 EU-Datenspeicherort

Ihre Daten bleiben in der EU. Immer.

VaultPAM läuft ausschließlich auf GCP europe-central2 (Warschau). Keine Daten werden außerhalb der EU übertragen oder repliziert — eine harte architektonische Beschränkung, keine Einstellung.

  • GCP europe-central2 (Warschau) — primäre und einzige Region
  • Keine regionsübergreifende Replikation außerhalb der EU
  • DSGVO Artikel 44 — keine Drittlandübermittlungen
  • NIS2 Artikel 21 Aufenthaltskontrollen erfüllt
  • SOC 2 Type II Umfang umfasst eu-central2 Infrastruktur