Sicherheitsübersicht

Wie wir deine Daten schützen

Jede ClawHosters-Instanz läuft auf einem eigenen dedizierten Hetzner-Cloud-VPS in Deutschland. Deine Daten verlassen nie deutschen Boden. Es gibt kein Shared Hosting, keine Multi-Tenant-Container und kein Resource-Pooling zwischen Kunden.

Diese Seite beschreibt die Infrastruktur-, Netzwerk-, Container- und Datenschutzmaßnahmen der Plattform.

Infrastruktur: Ausschließlich Deutschland

Alle Server werden im Hetzner-Cloud-Rechenzentrum in Falkenstein provisioniert. Die Einrichtung ist nach ISO 27001 zertifiziert, mit 24/7-Sicherheitspersonal vor Ort, redundanter Stromversorgung und Brandschutzsystemen.

Detail	Wert
Cloud-Anbieter	Hetzner Cloud
Rechenzentrum	Falkenstein (Deutschland)
Zertifizierungen	ISO 27001
Rechtsraum	EU / deutsches Recht

Da alles in Deutschland läuft, ist die DSGVO-Konformität unkompliziert. Deine Daten unterliegen dem EU-Datenschutzrecht, nicht US-Cloud-Jurisdiktionen.

Netzwerksicherheit

Jeder VPS wird auf Netzwerkebene gehärtet, bevor Kunden-Workloads starten. Die Standard-Firewall-Richtlinie verwirft allen eingehenden Traffic, der nicht explizit erlaubt ist.

Firewall-Regeln (iptables)

Richtung	Regel
Eingehend	SSH (Port 22), Web-UI (Port 8080), bestehende Verbindungen erlaubt
Eingehend	Alles andere wird verworfen
Ausgehend	SMTP (Ports 25, 465, 587, 2525) blockiert, um Spam zu verhindern
Ausgehend	IRC (Ports 6667, 6697, 194) blockiert, um Botnet-Kommunikation zu verhindern
Ausgehend	Alles andere erlaubt

SYN-Flood-Schutz ist aktiv mit einem Rate-Limit von 30 Paketen pro Sekunde (Burst 60). Überschüssige Pakete werden protokolliert und verworfen.

fail2ban

SSH-Brute-Force-Schutz ist standardmäßig aktiviert:

• Max. Versuche: 3 fehlgeschlagene Anmeldeversuche
• Sperrdauer: 1 Stunde
• Überwachter Dienst: SSH (sshd)

Nach drei fehlgeschlagenen SSH-Versuchen von derselben IP wird diese IP für eine Stunde gesperrt.

Container-Isolation

Jede Instanz läuft in einem Docker-Container mit strikten Ressourcenlimits und Sicherheitshärtung. Container sind voneinander isoliert und können nicht miteinander kommunizieren.

Docker-Sicherheitsmaßnahmen

Maßnahme	Was sie bewirkt
Dedizierter VPS	Jeder Kunde bekommt seinen eigenen virtuellen Server, keinen geteilten Host
Speicherlimits	Container sind auf 1 GB (Budget), 2 GB (Balanced) oder 4 GB (Pro) begrenzt
Log-Rotation	Container-Logs auf 50 MB begrenzt mit 3 rotierten Dateien
Health-Checks	Container-Zustand wird alle 30 Sekunden geprüft, automatischer Neustart bei Fehler

Was der Container nicht kann

Die Docker-Konfiguration blockiert verschiedene potenzielle Missbrauchsvektoren:

• Keine Kommunikation zwischen Instanzen -- Jeder Kunden-VPS ist vollständig isoliert; Container verschiedener Kunden können nicht miteinander kommunizieren
• Keine Privilegien-Eskalation -- Das no-new-privileges-Flag verhindert setuid/setgid-Eskalation
• Arbeitsspeicher fest limitiert -- Jeder Container hat ein festes Speicherlimit nach Paket, mit automatischem Neustart bei Überschreitung

Snapshot- und Pause-Sicherheit

Wenn eine Instanz pausiert wird (wegen niedrigem Guthaben), erstellt das System einen Hetzner-Snapshot und löscht den Server. Der Snapshot wird in Hetzners Infrastruktur gespeichert und ist nur über dein Konto zugänglich.

Beim Fortsetzen wird ein neuer Server vom Snapshot erstellt. Die IP-Adresse und SSH-Host-Keys des alten Servers sind weg. Das ist jedes Mal eine saubere Wiederherstellung.

Snapshots werden in Hetzners Infrastruktur gespeichert und sind nur über authentifizierte API-Aufrufe zugänglich. Du kannst keine rohen Snapshots herunterladen; sie können nur über die Hetzner-API auf neuen Servern wiederhergestellt werden.

Datenverarbeitung

Was wir speichern

Daten	Wo	Verschlüsselung
Konto-E-Mail, Passwort	ClawHosters-Datenbank (Hetzner VPS)	Passwort mit bcrypt gehasht
Abrechnungsdaten	ClawHosters-Datenbank	In PostgreSQL auf dediziertem VPS gespeichert
Instanz-Konfiguration	Dedizierter VPS des Kunden	Auf isoliertem Server gespeichert
Chat-Verlauf und KI-Konversationen	Dedizierter VPS des Kunden	Für ClawHosters nicht zugänglich
Zahlungsdaten (Karten, Bank)	Stripe (PCI-DSS-konform)	Berührt nie unsere Server
LLM-API-Schlüssel (BYOK)	ClawHosters-Datenbank	Mit Rails Credentials verschlüsselt

Was wir nicht speichern

• Kreditkartennummern oder Bankdaten (wird vollständig von Stripe abgewickelt)
• Chat-Inhalte oder KI-Konversationsprotokolle (bleiben auf deiner Instanz)
• Hetzner-Cloud-API-Schlüssel von Kunden (wir nutzen nur unsere eigenen Provisioning-Schlüssel)

DSGVO-Konformität

Als deutscher Dienst mit allen Daten in der EU unterliegt ClawHosters der Datenschutz-Grundverordnung (DSGVO).

Deine Rechte

• Auskunft -- Eine Kopie aller personenbezogenen Daten anfordern, die wir über dich haben
• Berichtigung -- Unrichtige personenbezogene Daten korrigieren
• Löschung -- Löschung deines Kontos und deiner Daten beantragen
• Datenübertragbarkeit -- Deine Daten in einem Standardformat exportieren
• Widerspruch -- Der Verarbeitung deiner Daten widersprechen

Um eines dieser Rechte auszuüben, kontaktiere den Support über dein ClawHosters-Dashboard oder per E-Mail.

Datenaufbewahrung

• Aktive Konten -- Daten werden aufbewahrt, solange das Konto aktiv ist
• Gelöschte Konten -- Personenbezogene Daten werden innerhalb von 30 Tagen gelöscht
• Finanzdaten -- 10 Jahre aufbewahrt gemäß deutschem Steuerrecht (GoBD)
• Server-Logs -- Rotiert und nach 90 Tagen gelöscht

Verantwortungsvolle Offenlegung

Falls du eine Sicherheitslücke in ClawHosters entdeckst, melde sie bitte über das Support-Ticket-System in deinem Dashboard. Bitte veröffentliche sie nicht. Wir bestätigen den Eingang innerhalb von 48 Stunden und arbeiten daran, bestätigte Probleme zeitnah zu beheben.

Verwandte Dokumentation

• Instanz-Übersicht -- Wie Instanzen funktionieren und was darin läuft
• Schnellstart-Anleitung -- Erste Schritte mit ClawHosters
• Abrechnungsübersicht -- Wie Abrechnung und Zahlungen funktionieren