Sicherheit bei Astrolium

Zuletzt aktualisiert:

Die Kurzfassung. Astrolium verschlüsselt jedes Byte Ihrer Daten im Ruhezustand mit AES-256 und bei der Übertragung mit TLS 1.3. Passwörter werden mit Argon2id gehasht und niemals im Klartext gespeichert. Zwei-Faktor-Authentifizierung ist auf jedem Tarif verfügbar, einschließlich des kostenlosen. Server stehen in Frankfurt mit einem Dublin-Replikat. Wir trainieren keine KI-Modelle mit Ihren Horoskopen. Die Datenschutzerklärung beschreibt die erhobenen Daten, die Nutzungsbedingungen den rechtlichen Rahmen und die Statusseite die Live-Verfügbarkeit.

1. Verschlüsselung

  • Im Ruhezustand — Alle Klientendaten werden auf Volume-Ebene mit AES-256 verschlüsselt. Datenbank-Backups werden unabhängig mit separaten Schlüsseln verschlüsselt, die alle 90 Tage rotiert werden.
  • Bei der Übertragung — Jede Verbindung zu Astrolium verwendet TLS 1.3 mit HSTS-Preload. Wir akzeptieren keine TLS 1.0 oder 1.1; TLS 1.2 wird für neue Sitzungen seit Januar 2026 abgelehnt.
  • Backups — Täglich verschlüsselte Backups, 30 Tage aufbewahrt, in einer separaten Region (Dublin) vom Primärstandort (Frankfurt) gespeichert. Nach 30 Tagen werden sie dauerhaft und nachweislich gelöscht.

2. Authentifizierung

  • Passwörter werden mit Argon2id gehasht, konfiguriert mit den von OWASP empfohlenen Kosten (Speicher: 64 MiB, Iterationen: 3, Parallelismus: 4). Wir sehen Ihr Passwort niemals im Klartext, und unsere Datenbank auch nicht. Ein kompromittierter Dump der Nutzertabelle enthält nur Hashes.
  • Zwei-Faktor-Authentifizierung ist auf jedem Tarif verfügbar — Kostenlos, Pro, Adept und Master. Wir unterstützen TOTP-Apps (Authy, 1Password, Google Authenticator) und Hardware-Sicherheitsschlüssel (WebAuthn).
  • Sitzungs-Cookies sind HttpOnly, Secure, SameSite=Lax und rotieren bei jeder Rechtänderung. Sitzungen laufen nach 30 Tagen Inaktivität ab.
  • SSO (Google Workspace, Microsoft 365, Okta) ist im Master-Tarif verfügbar.

3. Infrastruktur

  • Das Marketing-Frontend und die Edge-Runtime werden auf Vercel gehostet. Das Produkt-Backend und alle Klientendaten laufen auf Hetzner Cloud in der EU, in 2 Regionen (Frankfurt primär, Dublin Replikat).
  • Die Anwendung wird durch Cloudflare für DDoS-Schutz und CDN-Caching von statischen Assets vorgeschaltet — keine Request-Bodies werden am Edge von Cloudflare gespeichert.
  • Der Ephemeris-Dienst läuft in 1-vCPU-Containern, 2 Replikate pro Region. Weitere technische Details finden Sie im Ephemeris-Service-Beitrag.
  • Wir streben 99,9 % Verfügbarkeit an; die tatsächliche Verfügbarkeit im April 2026 betrug 99,96 %. Der Echtzeit-Status ist auf der Statusseite einsehbar.

4. Compliance

  • DSGVO — Astrolium wendet DSGVO-äquivalente Schutzmaßnahmen weltweit an, weil es einfacher ist und weil wir es für richtig halten. Lesen Sie die Datenschutzerklärung für Ihre Rechte und wie Sie diese ausüben können.
  • SOC 2 Typ II — Prüfung läuft, angestrebtes Attestierungsdatum Q3 2026. Aktualisierungen auf dem Fahrplan.
  • Penetrationstests — Jährlicher Penetrationstest durch Dritte. Der Bericht 2026 ist unten zusammengefasst; der vollständige Bericht ist unter NDA auf Anfrage für Enterprise-Kunden verfügbar.
  • Unterauftragsverarbeiter — nur benannte Unterauftragsverarbeiter: Vercel (Frontend-Hosting), Hetzner (Backend und Daten-Hosting, EU), Stripe (Zahlungen), Postmark (transaktionale E-Mails), OpenRouter (KI-Inferenz, Google-Gemini-Modelle) und Cloudflare (CDN/DNS). Wir fügen keinen Unterauftragsverarbeiter hinzu, ohne zuerst die Datenschutzerklärung zu aktualisieren.

5. Schwachstellen melden

Haben Sie ein Sicherheitsproblem gefunden? Senden Sie eine E-Mail an security@astrolium.com. Wir antworten innerhalb von 24 Stunden, bestätigen innerhalb von 72 Stunden und liefern Korrekturen für schwerwiegende Probleme innerhalb von 7 Tagen. Wir zahlen Prämien für gültige Berichte — aktuelle Bereiche:

  • Kritisch (Kontoübernahme, serverseitige Code-Ausführung): 1.000–5.000 $
  • Hoch (Authentifizierungsumgehung, Offenlegung sensibler Daten): 500–2.000 $
  • Mittel (XSS, CSRF, IDOR): 100–500 $
  • Niedrig (Informationsoffenlegung, Rate-Limit-Umgehung): bis zu 100 $

Wir betreiben kein öffentliches Bug-Bounty-Programm; Einreichungen erfolgen per E-Mail. Wir werden keine rechtlichen Schritte gegen Forscher einleiten, die in gutem Glauben berichten und verantwortungsvolle Offenlegungsstandards einhalten.

6. Dateneigentum und Portabilität

Ihre Daten gehören Ihnen. In Ihren Kontoeinstellungen können Sie:

  • Alle Horoskope exportieren als einzelnes JSON-Archiv mit 1 Klick
  • Einzelne Horoskope exportieren als PDF, PNG oder SVG mit Metadaten
  • Ihr Konto dauerhaft löschen innerhalb von 30 Tagen (einschließlich Backups)
  • Alle Daten berichtigen, die Astrolium über Sie speichert

Astrolium sperrt Sie nicht ein. Das Exportformat ist dokumentiert und für Menschen lesbar.

7. KI und maschinelles Lernen

Astrolium trainiert keine KI-Modelle mit Ihren Horoskopen, Ihrem Klientenverzeichnis, Ihren Notizen oder Ihren Interpretationen. Die KI-gestützten Funktionen laufen auf Google-Gemini-Modellen, auf die über OpenRouter zugegriffen wird, das nur das Horoskop erhält, an dem Sie gerade aktiv arbeiten, zur Inferenz. Ihre Horoskop-Daten werden niemals zum Training eines Modells verwendet. Die Inferenz ist auf unserer Seite zustandslos: keine Protokollierung, kein Caching von Eingaben, kein Training.

8. Vergangene Vorfälle

Die Statusseite listet jeden Vorfall der letzten 90 Tage mit einem Postmortem für alles über 30 Minuten auf. Zum Datum dieser Seite war kein Vorfall mit unbefugtem Zugriff auf Nutzerdaten verbunden. Sollte das jemals eintreten, veröffentlichen wir das Postmortem hier und informieren jeden betroffenen Nutzer per E-Mail innerhalb von 72 Stunden nach Entdeckung — gut innerhalb des DSGVO-Fensters von 72 Stunden für Datenschutzverletzungsmeldungen.

Für unsere allgemeine Ingenieurstrategie siehe den Ephemeris-Service-Beitrag. Für den rechtlichen Rahmen siehe Datenschutz und AGB. Für die Verfügbarkeit siehe Status. Für alles weitere: security@astrolium.com.