Skip to content

Sicherheit & Datenschutz

Datenschutz ist nicht nur eine Funktion von Noust; er ist das Fundament der gesamten Anwendung.

Datensouveränität

  • Speicher-Engine: Notizen werden in IndexedDB gespeichert, einer robusten lokalen Datenbank. Wir unterhalten eine nicht-persistente localStorage-Ausweichlösung für seltene Szenarien, in denen IndexedDB möglicherweise nicht verfügbar ist (z. B. bei restriktivem privatem Surfen).
  • Verschlüsselung im Ruhezustand (At-Rest): Sie können die AES-GCM-Verschlüsselung für Ihre lokale Datenbank aktivieren. Wenn diese aktiv ist, werden Ihre Notizen verschlüsselt, bevor sie im Browser gespeichert werden. Dies stellt sicher, dass der Inhalt selbst dann unlesbar bleibt, wenn jemand die Datenbankdatei Ihres Browsers extrahiert, solange Ihr Sitzungspasswort fehlt.
  • Browser-Isolierung: Ihre Notizen sind durch die im Browser integrierte Same-Origin-Policy vor dem Zugriff durch andere Websites geschützt.

Kein Verhaltens-Tracking

Wir glauben, dass Ihre Notizen privat sind.

  • Null Tracking: Wir verwenden keine Verhaltens-Tracker, Sitzungsaufzeichnungen oder Marketing-Cookies.
  • Anonymisierte technische Protokolle: Wie die meisten Webdienste verarbeitet unsere Infrastruktur (Cloudflare/Firebase) technische Protokolle (IP, Anforderungsmetadaten) zum Zwecke der Sicherheit und des DDoS-Schutzes. Diese werden niemals zur Profilerstellung von Benutzern verwendet. Einzelheiten zu deren Datenverarbeitung finden Sie in den Datenschutzerklärungen von Cloudflare und Firebase.

Clientseitige Verschlüsselung

Unsere Cloud-Synchronisierung verwendet die branchenübliche AES-256-GCM-Verschlüsselung.

  • Zero-Knowledge: Notizen sind für uns und unsere Dienstanbieter unlesbar.
  • Keine Kennwortspeicherung: Ihr Passwort wird niemals an unsere Server übertragen oder dort gespeichert.
  • Unterstützung für benutzerdefinierte Salts: Für fortgeschrittene Benutzer bieten benutzerdefinierte Salts eine zusätzliche Ebene der Entropie und Kontrolle über den Verschlüsselungsprozess. Erfahren Sie mehr über deren Verwaltung unter Synchronisierung & Speicher.

Verifizierbare Transparenz (Auditierbarkeit)

Die Funktionen Verschlüsselung, Cloud-Synchronisierung und Speicherverwaltung von Noust können über die Entwicklerwerkzeuge Ihres Browsers (F12) manuell überprüft werden.

  • Datensouveränität: Die Logik für die lokale Verschlüsselung (AES-GCM), die Schlüsselableitung (PBKDF2) und die Server-Handshakes ist von der Verschleierung ausgenommen. Dadurch wird sichergestellt, dass Sie überprüfen können, ob Ihr Hauptpasswort (Master Password) niemals übertragen wird und dass alle Daten, die Ihren Browser verlassen, verschlüsselt sind.

Authentifizierung

Wir verwenden Firebase Authentication, um Anmeldungen über Google und GitHub zu unterstützen.

  • Dies ermöglicht eine sichere Identitätsverwaltung, ohne dass wir jemals Ihre tatsächlichen Anmeldeinformationen verarbeiten.
  • Ihre Sitzung wird lokal verwaltet – wir verarbeiten Ihre Anmeldedaten für Google oder GitHub niemals direkt.
  • Die Nutzung dieser Anbieter unterliegt deren jeweiligen Datenschutzerklärungen.

Infrastruktur & Zuverlässigkeit

Unser Backend besteht aus serverlosen Anwendungen (Serverless), die eine Edge-Computing-Architektur, globale Datenbanken und Caching nutzen, um eine hohe Verfügbarkeit, Sicherheit und geringe Latenz zu gewährleisten.

  • Schutz der Unternehmens-Edge: Wir nutzen die Web Application Firewall (WAF) von Cloudflare, DNSsec und die erweiterte DDoS-Abwehr, um die Integrität der Plattform zu schützen.
  • Identitätsverwaltung: Wir verwenden Firebase Authentication für sichere Anmeldungen, um sicherzustellen, dass Ihre Anmeldeinformationen niemals mit unserer eigenen Infrastruktur in Berührung kommen.

Sicherheitsprüfung

Für Benutzer der erweiterten Stufe bietet Noust ein Audit-Protokoll-Feature.

  • Transparenter Zugriff: Zeigen Sie die kritischen Aktionen Ihres eigenen Kontos an (Anmeldung, Push, Pull).
  • Datenschutzorientierte Protokollierung: Zum Schutz Ihrer Privatsphäre protokollieren wir nur das Betriebssystem und die Art der Aktion.

Kontolöschung & Datenaufbewahrung

Wir respektieren Ihr Recht, vergessen zu werden. Noust implementiert zu Ihrer Sicherheit eine Soft-Delete-Richtlinie:

  • Löschbestätigung: Das Löschen Ihres Kontos erfordert eine bewusste Bestätigung durch Eingabe Ihres Spitznamens, gefolgt von _delete.
  • Frist: Nach einem Löschantrag wird Ihr Konto sofort gesperrt und ist nicht mehr zugänglich. Sie haben eine 30-tägige Frist, um den Support zu kontaktieren, wenn Sie die Aktion rückgängig machen möchten.