Sicherheit
Sicherheit ist kein Feature. Es ist unsere Architektur. Security by Design, nicht nachgerüstet.
Infrastructure Security
Immutable Infrastructure
Wo möglich werden Systeme nicht manuell verändert oder gepatcht, sondern komplett neu ausgerollt. Das reduziert Angriffsfläche und eliminiert Konfigurationsdrift.
Tenant Isolation
Strikte logische Isolation zwischen Kunden auf Netzwerk- und Compute-Ebene. Kein Cross-Tenant-Zugriff.
VPC & Netzwerkisolation
Jeder Kunde erhält eine eigene Virtual Private Cloud mit vollständig getrenntem Adressraum auf Layer 2 und Layer 3.
Europäische Infrastruktur
Bare-Metal-Server in Deutschland. Kein US-Cloud-Provider. Kein US Cloud Act.
Container Image Security
Automatisiertes Vulnerability Scanning aller Container Images.
Supply Chain Security
Signierte Artefakte, verifizierte Base Images, nachvollziehbare Build-Pipelines.
Physical Security
Tier III+ Rechenzentrum
Frankfurt, redundante Strom- und Kühlsysteme.
24/7 Zutrittskontrolle
Physischer Zugang kontrolliert und protokolliert.
Umgebungsüberwachung
Temperatur, Feuchtigkeit, Rauch, kontinuierlich überwacht.
Data Protection
Encryption at Rest
Storage-Layer und alle Node-Disks vollständig verschlüsselt.
Europäische Datenhoheit
DSGVO-nativ, nicht nachgerüstet. Keine Datenverarbeitung außerhalb der EU. Keine US-Abhängigkeiten, kein CLOUD Act Exposure.
Data Residency
Daten verlassen Europa nicht. Vollständige Kontrolle über den Speicherort.
Access Management
OIDC-basierter Zugang
Zugriff auf Infrastruktur über OpenID Connect.
RBAC
Feingranulare, rollenbasierte Zugriffskontrolle.
Multi-Faktor-Authentifizierung
2FA/MFA auf allen Ebenen. FIDO2 Hardware Keys als Standard.
Audit Logs
Nachvollziehbarkeit sicherheitsrelevanter Zugriffe und Änderungen über alle Plattform-Komponenten.
Monitoring & Response
24/7 Monitoring
Kontinuierliche Überwachung der gesamten Plattform-Infrastruktur mit automatisierten Alerts.
Network Visibility & Anomaly Detection
Netzwerk-Anomalie-Erkennung auf Basis von Flow-Daten. Automatisierte Alerts bei verdächtigen Traffic-Patterns.
Incident Response
Definierte Incident-Response-Prozeduren. Direkte Kommunikation im Ernstfall. Post-Incident-Analyse und Dokumentation.
Compliance & Zertifizierungen
Was enum erfüllt und wo Rechenzentrumszertifizierungen greifen.
Nativ, vollständig EU-basiert.
Architektur designed für NIS2-Konformität. Technische Maßnahmen nach §30 BSIG umgesetzt.
Infrastruktur unterstützt Anforderungen regulierter Finanzdienstleister.
Zertifiziert nach ISO 27001, ISO 9001, EN 50600. Dies sind die Zertifizierungen des Rechenzentrumsbetreibers.
Wie wir selbst arbeiten
Sicherheit fängt bei uns an – nicht erst bei eurer Infrastruktur.
FIDO Security Keys + VPN
Standard für interne Systeme: VPN + FIDO2 Hardware Key – zwei Schichten, nicht entweder/oder. Kein Passwort-Login, kein SMS-OTP. Systeme die kein FIDO2 unterstützen sind ausschließlich über VPN erreichbar und zusätzlich abgesichert.
Signed Git Commits
Alle Commits sind kryptographisch signiert. Unsignierte Commits werden automatisch abgelehnt. Vollständige Nachvollziehbarkeit jeder Code-Änderung.
Kein öffentlicher Zugang zu Management-Systemen
Core-Infrastruktur und Management-Interfaces sind nicht aus dem Internet erreichbar. Kein IP-Whitelisting als Ersatz.
Encrypted Devices
Alle Arbeitsgeräte vollverschlüsselt.
Regelmäßige Sicherheitsüberprüfungen
Interne und externe Überprüfungen unserer Infrastruktur und Prozesse.
Least Privilege
Minimale Rechte für alle internen Accounts. Zugriff nur auf das, was aktuell gebraucht wird.
Responsible Disclosure
Die Sicherheit unserer Plattform und der Daten unserer Kunden hat höchste Priorität. Wir schätzen die Arbeit von Sicherheitsforschern und der Community, die uns helfen, Schwachstellen zu identifizieren und zu beheben.
Scope
In-Scope
- enum Cloud Platform (*.enum.co, *.enum.cloud)
- enum API und Console
- enum Kubernetes Engine, enum Object Storage, enum Compute, enum Network, enum VPC, enum Cloud DNS, enum CDN, enum Cloud WAF
- Netzwerk-Infrastruktur und Edge-Komponenten
Out-of-Scope
- Social Engineering, Phishing oder physische Angriffe
- Denial-of-Service-Angriffe (DoS/DDoS)
- Spam oder Massen-Registrierungen
- Schwachstellen in Drittanbieter-Software, die nicht von enum betrieben wird
- Schwachstellen, die physischen Zugang zu Geräten oder Infrastruktur erfordern
Regeln
- —Wenn du bei einem Test auf Kundendaten stößt, stoppe sofort und melde die Schwachstelle.
- —Führe keine Aktionen durch, die die Verfügbarkeit unserer Dienste beeinträchtigen.
- —Interagiere nur mit Accounts, die dir gehören oder für die du eine ausdrückliche schriftliche Genehmigung hast.
- —Veröffentliche keine Details zur Schwachstelle, bevor wir sie behoben haben und du eine Freigabe von uns erhalten hast.
- —Wir bitten dich, Schwachstellen zeitnah nach Entdeckung zu melden.
- —Keine öffentlichkeitswirksamen Aktionen, keine Erpressung, kein Leverage.
Unser Versprechen
- Wir betrachten Good-Faith Security Research als autorisierte Aktivität, auch wenn sie technisch gegen unsere Nutzungsbedingungen verstößt.
- Wir bestätigen den Eingang deiner Meldung innerhalb von 48 Stunden.
- Wir halten dich über den Status der Behebung auf dem Laufenden.
- Wir werden keine rechtlichen Schritte gegen dich einleiten, solange du dich an diese Policy hältst.
- Wir vergüten gemeldete Schwachstellen. Die Höhe richtet sich nach Schweregrad und Qualität des Reports. Wir informieren dich im Einzelfall.
Meldung
Schwachstellen bitte per E-Mail an:
security@enum.coBitte gib in deinem Report an:
- —Beschreibung der Schwachstelle
- —Schritte zur Reproduktion
- —Betroffene Systeme oder Endpoints
- —Mögliche Auswirkungen (Einschätzung)
- —Ggf. Proof of Concept (Screenshots, Logs, Code)
Falls möglich, verschlüssele deine E-Mail mit unserem PGP-Key: /.well-known/security.txt
Security Contact
Habt ihr Sicherheitsfragen oder möchtet ihr eine Schwachstelle melden? Unser Security-Team ist für euch da.