Zum Inhalt springen
Q
QuoteNode

Sicherheit und Datenhoheit

QuoteNode ist für Organisationen gebaut, die kaufmännische Daten als strategisches Asset betrachten. Jede Architekturentscheidung priorisiert Isolation, Auditierbarkeit und Kontrolle.

Single-Tenant-Isolation

Jede QuoteNode-Instanz läuft vollständig isoliert. Ihre Datenbank, Ihr Dateispeicher, Ihr Anwendungsprozess — nichts davon wird mit anderen Kunden geteilt. Kein Multi-Tenant-Datenmix, keine gemeinsamen Connection Pools, kein Risiko von Datenabfluss zwischen Mandanten.

Das ist keine Marketingaussage über “logische Trennung”. Es ist physische Isolation auf jeder Ebene.

Self-Hosted-Bereitstellung

Sie entscheiden, wo Ihre Daten liegen. Deployen Sie auf Ihrem eigenen Server, in einer privaten Cloud oder in einem geschlossenen Netzwerk ohne Internetzugang. QuoteNode arbeitet vollständig offline — keine Telemetrie, keine Analytics-Callbacks, kein Lizenzserver-Pinging.

Das System wird als Docker-Container mit einer Docker-Compose-Vorlage ausgeliefert. Sie kontrollieren die Infrastruktur, die Netzwerktopologie, die Backup-Strategie und den Zugriffsperimeter.

Authentifizierung und Zugriffskontrolle

  • Rollenbasierte Zugriffskontrolle (RBAC) mit fünf Rollen: Admin, Manager, Salesperson, Viewer und Public (für Angebotslinks).
  • Berechtigungsprüfung pro Endpoint — jeder API-Aufruf wird gegen die Rolle des Aufrufers autorisiert.
  • Session-basierte Authentifizierung mit verschlüsselten Cookies und konfigurierbarer Sitzungsdauer.
  • Zwei-Faktor-Authentifizierung (TOTP) — optional für alle Benutzer, erzwingbar für Administratoren.
  • Brute-Force-Schutz — Kontosperre nach 5 aufeinanderfolgenden fehlgeschlagenen Anmeldeversuchen (30 Minuten Cooldown).
  • IP-Allowlist — optionaler Zugriff nur von bestimmten IP-Adressen oder Bereichen.

Audit-Trail

Jede Mutation im System wird in einem append-only Audit-Log erfasst:

  • Wer die Aktion ausgeführt hat (Benutzer-ID, Rolle, IP-Adresse)
  • Was sich geändert hat (Entitätstyp, Entitäts-ID, Zustand davor/danach)
  • Wann es passiert ist (serverseitiger Zeitstempel)

Das Audit-Log ist unveränderlich — Einträge können selbst von Administratoren weder bearbeitet noch gelöscht werden. So entsteht eine verifizierbare Kette für jedes Angebot, jeden Kundendatensatz und jede Konfigurationsänderung.

Angebotssicherheit

Öffentliche Angebotslinks sind durch mehrere Schutzschichten abgesichert:

  • Kryptografische Token — 256-Bit-Zufallstoken, die in der Datenbank nur als SHA-256-Hash gespeichert werden. Der Klartext-Token wird einmal zurückgegeben und nie gespeichert.
  • Optionaler Passwortschutz — Angebotslinks können einen mit bcrypt gehashten PIN verlangen.
  • Widerrufbarer Zugriff — jeder Link kann vom Vertriebsmitarbeiter sofort deaktiviert werden.
  • Rate Limiting — Limits pro Token und pro IP verhindern Missbrauch (60 Aufrufe/Stunde, 5 Aktionen/Stunde).
  • Bot-Erkennung — Timing-Validierung und Honeypot-Felder blockieren automatisierte Einsendungen.
  • Interaktions-Tracking — jede Öffnung, jeder Download, jede Antwort und jede Entscheidung wird mit anonymisierbarer IP und GeoIP-Ländercode protokolliert.

Datenschutz

  • Verschlüsselung während der Übertragung — TLS für alle Verbindungen (Reverse Proxy via Caddy mit automatischem HTTPS).
  • Verschlüsselung im Ruhezustand — delegiert an Ihre Infrastruktur (Festplattenverschlüsselung, verschlüsselte Volumes).
  • Optionale PII-Verschlüsselung auf Spaltenebene — wenn aktiviert (ENCRYPT_PII=true), werden personenbezogene Daten (Kundennamen, E-Mails, Telefonnummern, Steuernummern) mit AES-256-GCM auf Anwendungsebene verschlüsselt, bevor sie in die Datenbank geschrieben werden. Blind Indexes (HMAC-SHA256) erhalten exakte Suchfähigkeit, ohne Klartext offenzulegen. Ein Startvalidator verhindert Datenkorruption bei Schlüsselkonflikten oder versehentlichen Flag-Änderungen.
  • IP-Anonymisierung — konfigurierbarer Job zum Hashen von IP-Adressen nach N Tagen zur DSGVO-Unterstützung.
  • Keine externen Abhängigkeiten — in der Standardkonfiguration keine Third-Party-Analytics, Tracking-Pixel oder CDN-Abhängigkeiten.
  • Kontrollierte Datenaufbewahrung — konfigurierbare Aufbewahrungsfristen für erzeugte Dokumente, Audit-Logs und Tracking-Daten.

Backup und Disaster Recovery

Ihre Daten sind nur so sicher wie Ihre Fähigkeit, sie wiederherzustellen:

  • Automatisierte tägliche Backups — geplante Datenbank-Dumps und Dateiarchive laufen ohne Downtime (konfigurierbar über BACKUP_CRON).
  • GPG-Verschlüsselung im Ruhezustand — Backups können vor der Speicherung verschlüsselt werden, sodass selbst Ihr Speicheranbieter die Daten nicht lesen kann.
  • Remote-Storage — automatischer Upload zu S3, SFTP, Google Cloud Storage, Azure oder einem der 70+ von rclone unterstützten Anbieter.
  • Integritätsprüfung — jedes Backup enthält ein SHA-256-Checksum-Manifest zum Erkennen von Manipulation.
  • Download mit einem Klick — Administratoren können Backup-Archive direkt aus dem Admin-Panel herunterladen.
  • Retention-Policy — automatische Bereinigung alter Backups hält den Speicherverbrauch planbar (standardmäßig: 7 letzte erfolgreiche Backups).
  • Disaster Recovery — ein dediziertes Restore-Skript stellt eine komplette Instanz aus einer Backup-Datei auf einem frischen Server mit einem einzigen Befehl wieder her.
  • Monitoring — das Admin-Panel warnt, wenn Backups deaktiviert sind oder in den letzten 48 Stunden kein erfolgreiches Backup aufgezeichnet wurde.

Für die vollständige Anleitung zu Backup und Restore siehe das Backup & Recovery Wiki.

Unveränderliche Angebots-Snapshots

Wenn ein Angebot versendet wird, erfasst das System einen vollständigen, unveränderlichen Snapshot: Kundendaten, alle Positionen, Preise, Wechselkurse, Branding und Geschäftsbedingungen. Dieser Snapshot ist die Quelle der Wahrheit für PDF-Erzeugung und Audit-Zwecke.

Snapshots können nach ihrer Erstellung nicht verändert werden. Wird ein Angebot erneut versendet, entsteht eine neue Snapshot-Version. So bleibt exakt nachvollziehbar, was wann angeboten wurde.

Lizenzsicherheit

QuoteNode-Lizenzen sind Ed25519-signierte Dateien, die vollständig offline verifiziert werden. Es wird kein externer Server für die Lizenzvalidierung kontaktiert. Kostenpflichtige Lizenzen sind jährlich — wenn eine Lizenz abläuft, funktionieren alle Funktionen weiter normal. Die einzige sichtbare Änderung ist ein “Powered by QuoteNode”-Badge auf kundenorientierten Flächen und eine Verlängerungserinnerung in der UI. Keine Funktionalität wird deaktiviert.

Fokussierte Administrationsbereiche

Settings, Security, Backup, Diagnostics und Audit arbeiten heute als getrennte Operator-Ansichten und sind dadurch klarer als ein einziges ueberladenes Admin-Panel.

Sicherheitsbereich

Bereit für echte Datenhoheit?

Kostenlos für Freelancer. Fair bepreist für Teams. In wenigen Minuten mit Docker Compose bereitgestellt.

Jetzt starten