Sicherheit

Schlüsselfertig und sicher

Sicherheit ist bei uns kein nachträglicher Gedanke, sondern ein fester Bestandteil deines Servers. Wir verschärfen regelmäßig die Sicherheitsrichtlinien, damit du dich von Anfang an darauf verlassen kannst – ohne manuellen Aufwand.

Datenschutz & Kontrolle

Deine Daten gehören dir. Punkt.

Der Server funktioniert ähnlich wie dein Smartphone:

• Die Plattform (wie iOS/Android) läuft auf deinem Server
• Apps installierst du über unseren App-Store (wie im Play Store)
• Updates holt sich dein Server selbst – wir "pushen" nichts

Was das konkret bedeutet:

• Kein Remote-Zugriff von uns – außer du erlaubst es explizit
• Dein Server läuft auch ohne App-Store weiter (nur neue Installationen wären betroffen)
• Aller Code liegt bei dir – keine externen CDNs oder Tracking-Dienste
• Benachrichtigungen kommen direkt von deinem Server
• Wir sammeln keine Nutzerdaten – das ist nicht unser Geschäftsmodell

HTTPS

• Alle Apps laufen nur über HTTPS (HTTP wird automatisch umgeleitet)
• Integrierte CSP-Richtlinie gegen XSS-Angriffe
• Wichtige Sicherheits-Header sind standardmäßig aktiviert
• Referrer-Policy auf "same-origin" gesetzt

TURN-Server

Integrierter TURN-Server mit sicherem Schlüssel – sorgfältig konfiguriert, um keine internen Dienste freizugeben.

SSL/TLS

• HTTPS-Pflicht für alle Apps mit modernen EC-Zertifikaten
• Automatische Let's Encrypt-Wildcard-Zertifikate
• Zertifikate erneuern sich selbst – du wirst nur bei Problemen benachrichtigt
• HSTS-Header schützt vor Downgrade-Angriffen
• SSL Labs A+-Bewertung
• Wildcard-Zertifikate vermeiden die Anzeige deiner Subdomains in Zertifikatsprotokollen

App-Isolation

• Apps sind in Linux-Containern strikt voneinander getrennt
• Schreibgeschütztes Dateisystem schützt vor Code-Manipulation
• Nur authentifizierter Zugriff auf Datenbanken & Co.
• AppArmor-Profile beschränken Systemzugriffe
• Die meisten Apps laufen ohne Root-Rechte
• Jede App hat ihre eigene Subdomain (schützt vor XSS zwischen Apps)

Netzwerksicherheit

Eingehende Ports:

• Standardmäßig nur 22 (SSH), 80 (HTTP), 443 (HTTPS) offen
• Bei E-Mail: 25, 465, 587, 993, 4190

Ausgehende Ports:

• Alle sollten offen bleiben (manche Provider blockieren Port 25 gegen Spam)

Updates

Signierte Releases:

• Alle Updates sind GPG-signiert
• Schlüssel werden offline verwaltet – selbst bei einem Angriff auf uns bleibt dein Server sicher

System-Updates:

• Ubuntu-Sicherheitsupdates laufen automatisch
• Checke mit:
  Bashsystemctl status unattended-upgrades
  sudo apt update && sudo apt list --upgradable | grep security
  

Ratenbegrenzungen

Schützt vor Brute-Force-Angriffen:

• Passwortrouten: 10 Anfragen/Sekunde pro IP
• HTTP(S): 5000/Sekunde
• SSH: 5 Verbindungen/10 Sekunden
• E-Mail: 50/Sekunde

Passwortregeln

• Mindestens 8 Zeichen (max. 256)
• 1 Großbuchstabe, 1 Zahl, 1 Sonderzeichen
• Passwörter werden mit PKBDF2 gesalzen und gehasht

Backups

Optional mit AES-256-Verschlüsselung.

Aktivitätsprotokolle

Zeigt wer was macht – inkl. Konfigurationsänderungen.

Firewall-Tipp

Lass die Server-Firewall in Ruhe! Nutze stattdessen die Firewall deines Hosters (z.B. AWS Security Groups).

SSH härten

Wichtigster Tipp: Deaktiviere Passwort-Logins!

1. Nur SSH-Schlüssel erlauben:
   BashPermitRootLogin no
   PasswordAuthentication no
   Port von 22 auf 202 ändern (vorgegebener "sicherer" Port):
   
2. BashPort 202
   
3. EdDSA-Schlüssel statt RSA verwenden

Fail2Ban (optional)

Blockiert automatisch Angreifer:
Bashapt install fail2ban

Funktioniert besonders gut gegen SSH-Brute-Force.

Hinweis: Bei unseren Produkten Safeserver Assist und Safeserver Prime sind die best practice von uns bereits umgesetzt. Da brauchst du dich um nichts weiter zu kümmern.