Sovereign Data Defense Platform v5.1

Sicherheit, die
zurückschlägt.

Wir entziehen dem Server die Hoheit über Ihre Daten. [cite_start]Mit 2-aus-3 Split Knowledge, dem Watchdog Core und aktiver Phantom-Deception [cite: 105-106].

Sicherheits-Analyse anfragenArchitektur ansehen
SECURE (Standard Operation)
Modul A: Secure Core

2-aus-3 Split Knowledge.

Im Normalbetrieb nutzen wir Cloud + Vault (2 Schlüssel). Der dritte Teil (Offline Token) liegt im Tresor und ist inaktiv.

[cite_start]Fällt ein aktiver Teil aus (z.B. Cloud), wird der Offline-Token geholt ("Break Glass"), um das System wiederherzustellen [cite: 335-339].

System Simulation Controls:
Modul B: Watchdog Core

Die KI, die niemals schläft.

Der Watchdog ist ein eigenständiger Rust-Sidecar-Prozess. [cite_start]Er überwacht die Integrität der Laufzeitumgebung (RASP) und analysiert das Verhalten in Echtzeit, bevor Daten abfließen [cite: 658-662].

UEBA Analysis

Erkennt APT-Angriffe und Session-Mimikry. Analysiert Uhrzeit, Geo-IP, Volumen und Zugriffsgeschwindigkeit. [cite_start]Weicht ein User vom Profil ab, schlägt der Watchdog Alarm [cite: 659-661].

Memory-Safe Isolation

Schlüssel liegen nur im RAM des isolierten Rust-Prozesses. Nach jeder Operation wird der Speicher mit sodium_memzero überschrieben. [cite_start]Kein Node.js Memory Leak kann sie erreichen [cite: 115-118].

Forensic Locks & Clock Protection

Verhindert Manipulation der Systemzeit (Clock-Tamper) und friert Beweismittel im Angriffsfall kryptografisch ein (Chain of Custody).

watchdogd --monitor --active
Modul C: Phantom Shield

Aktive Verteidigung durch Täuschung.

Passive Sicherheit reicht nicht. Das Phantom Shield verwandelt das System in eine Falle. [cite_start]Sobald ein Angreifer erkannt wird (durch Honey-Tokens), erhält er keine Fehlermeldung, sondern glaubwürdige Fake-Daten [cite: 211-222].

Honey-Tokens

Datensätze (z.B. "Gehaltsliste 2025"), die in der Datenbank liegen, aber niemals von echten Nutzern angefasst werden. Wer sie liest, löst sofortigen Alarm aus.

Synthetic Data & Jitter

Wir generieren realistische "Shadow-Daten" mit validen Prüfsummen. [cite_start]Um Timing-Attacken zu verhindern, verzögern wir Antworten künstlich (Constant Time Response) [cite: 232-234].

Modul D: Infinite Honey-Factory

Industrielle Köder-Produktion.

Wir fluten das System mit validen Fallen ("Traps"). Der Angreifer muss glauben, die Daten seien echt. Jede Interaktion enttarnt ihn.

  • Black Hole MailFake-Adressen (z.B. *@traps.kanzlei.de). [cite_start]Jede eingehende E-Mail löst einen Webhook-Alarm aus [cite: 434-435].
  • Honey-Cloud KeysAWS/API Keys, die "vergessen" wirken. [cite_start]Bei Nutzung via CLI (z.B. aws s3 ls) schlagen sie Alarm [cite: 463-466].
  • Screaming Documents[cite_start]PDFs ("Geheim.pdf"), die beim Öffnen "nach Hause telefonieren" und die IP des Angreifers melden [cite: 467-472].
TRAP ACTIVE

// Generated Honey-Trap: User Creds

USER: admin_backup_v2

PASS: Start123!

<!-- Alarm on Login Attempt -->

// Infrastructure Trap: AWS

AWS_ACCESS_KEY_ID: AKIAIOSFODNN7EXAMPLE

AWS_SECRET_ACCESS_KEY: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

<!-- Alarm on API Usage -->

Modul E: Active Leak Trapping

Schutz gegen "Abfotografieren".

Wie schützen Sie Daten, wenn der Angreifer einfach den Bildschirm mit dem Handy abfotografiert ("Analog Gap")? [cite_start]Wir nutzen eine 3-Schichten-Verteidigung [cite: 317-320].

  • Layer 1: Zero-Width InjectionUnsichtbare binäre Codierung der User-ID direkt im Text (Base4). [cite_start]Überlebt Copy-Paste in E-Mails oder Word [cite: 321-323].
  • Layer 2: Canvas OverlayEin für das Auge unsichtbares Pixel-Raster ("Yellow Dots v2") überzieht die Anwendung. [cite_start]Resistent gegen Zoom und Dark-Mode [cite: 364-370].
  • Layer 3: Forensische Attribution[cite_start]Jedes Foto eines Bildschirms kann auf den exakten User, Uhrzeit und Session zurückgeführt werden (Server-Side Image Analysis) [cite: 387-408].

FORENSIC ANALYSIS MATCH

USER_ID: 99281 (Dr. Müller)

TIME: 2025-11-29T14:02:11Z

CONFIDENCE: 99.8%

Hover to simulate Forensic Scan

J-512 Envelope Specification

// Physikalische Speicherung in der Datenbank (PostgreSQL 'text' column)

{
  "scheme": "v5.1",
  "ct": "base64_xChaCha20_Poly1305_payload...",  // Die eigentlichen Daten (192-bit Nonces)
  "nonce": "base64_random_24bytes...",           // Kollisionssicher
  "aad_hash": "blake3(tenant_id + record_id)",    // Context Binding gegen Copy-Paste Angriffe
  "keys": {
    "a": { "kid": "aws:kms:eu-central-1...", "w_ct": "..." }, // Cloud Part
    "b": { "kid": "vault:transit:tenant-1...", "w_ct": "..." }, // Sovereign Part
    "c": { "kid": "offline:yubikey:serial-99...", "w_ct": "..." } // Emergency Part
  },
  "meta": {
    "pq": false,  // Post-Quantum Readiness Flag (ab 2026 aktiv)
    "rot": "2025-11-29" // Last Key Rotation
  }
}

Sicherheit ist keine Option. Es ist Infrastruktur.

Getasol Secure ist verfügbar als "Managed Core" oder "Enterprise On-Premise". [cite_start]Lassen Sie uns Ihre Architektur härten [cite: 265-297].

Architektur-Beratung buchen