Sicherheits-Architektur

Sicherheit, die nicht nur draufsteht.

Diese Seite richtet sich an IT-Sicherheitsbeauftragte, CISOs, Datenschutzbeauftragte und alle, die genauer wissen wollen, wie Phorum360 funktioniert. Wir verzichten auf Marketing-Begriffe und beschreiben unsere Architektur konkret.

Konzept 01

Was bedeutet Ende-zu-Ende-Verschlüsselung bei Phorum360?

Bei Phorum360 wird jede Nachricht und jede Datei vor dem Verlassen Ihres Geräts verschlüsselt — und erst auf dem Gerät des Empfängers wieder entschlüsselt. Der Server sieht ausschließlich Chiffretext.

Konkret bedeutet das:

Kein Angestellter von uns kann Ihre Inhalte einsehen — auch nicht mit Administrator-Zugang.
Kein Gerichtsbeschluss kann uns zwingen, Ihre Inhalte herauszugeben — wir haben sie nicht im Klartext.
Eine Server-Übernahme durch Dritte würde nur Chiffretext liefern, nicht lesbare Inhalte.

Konzept 02

Per-Geräte-Verifikation (TOFU + Pinning).

Jedes Gerät jedes Nutzers besitzt einen eigenen kryptografischen Identitäts-Schlüssel. Wenn Ihr Gegenüber neu mit Ihnen kommuniziert, wird sein Schlüssel "gepinnt" — Trust on First Use. Eine Veränderung dieses Schlüssels — etwa weil ein Angreifer ein neues Gerät registriert hat — wird sofort erkannt und gemeldet.

Konzept 03 · Hervorhebung

Strict-Mode E2EE.

Ein neues Gerät bedeutet zunächst: kein Vertrauen. Konkret:

Sie sehen sofort eine Warnung, wenn ein neues Gerät bei einem Ihrer Gesprächspartner erscheint.
Sie können diesem Gerät keine Nachricht senden, bis Sie es verifiziert haben.
Nachrichten von diesem Gerät werden nicht entschlüsselt — sie bleiben als Chiffretext im Speicher.

Verifikation erfolgt über einen 30-stelligen Sicherheits-Code im Signal-Standard. Beide Seiten sehen denselben Code. Sie vergleichen ihn persönlich, telefonisch oder über einen anderen vertrauenswürdigen Kanal — und tippen "Code stimmt". Erst dann ist die Verbindung freigeschaltet.

Diese Architektur verhindert eine breite Klasse von Phishing-Angriffen, bei denen ein Angreifer ein neues Gerät unter dem Account des Opfers registriert.

Konzept 04

Kryptografische Primitive.

Wir verwenden ausschließlich etablierte, akademisch geprüfte Verfahren:

Schlüsselaustausch	X25519 (Curve25519, ECDH)
Symmetrische Verschlüsselung	AES-256-GCM
Schlüssel-Ableitung	HKDF-SHA-256
Signaturen	Ed25519
Geräte-Identitäten	TOFU mit Public-Key-Pinning

Wir entwickeln keine eigenen Krypto-Verfahren. Wir kombinieren bewährte Primitive zu einer Architektur, die Multi-Device, Workspace-Schlüsselverwaltung und Server-seitige Datei-Speicherung sicher umsetzt.

Konzept 05

Hosting & Infrastruktur.

Phorum360 läuft in deutschen Rechenzentren mit ISO-27001-Zertifizierung. Server, Datenbanken und Object-Storage sind ausschließlich in Deutschland angesiedelt.

On-Premises

Optional: Betrieb auf Ihrer eigenen Infrastruktur. Behörden mit besonderen Anforderungen (z.B. Geheimschutz) können Phorum360 auf eigenen Servern betreiben — wir liefern Konfiguration und Wartung als Dienstleistung.

Konzept 06 · Volle Transparenz

Was speichert der Server tatsächlich?

Vollständige Transparenz über das, was unser Server kennt:

Klartext (für Funktion notwendig)

Nutzer-Identifier (E-Mail-Adresse, Anzeigename)
Geräte-Metadaten (Modell, Betriebssystem, letzte Aktivität)
Tatsache einer Konversation zwischen Personen
Zeitstempel von Aktivitäten
Größe von Dateien und Nachrichten (nicht Inhalt)

Chiffretext (nicht entschlüsselbar durch uns)

Inhalte aller Nachrichten
Inhalte aller Dateien
Termin-Inhalte (Titel, Beschreibung, Teilnehmer)
Reaktionen, Antworten, Weiterleitungen

Diese ehrliche Auflistung ist Standard in akademischen Sicherheits-Audits. Wir geben sie ungefragt heraus, weil wir glauben, dass Transparenz Vertrauen schafft.

Konzept 07

Audits, Zertifizierungen, externe Prüfungen.

Aktuell: Phorum360 befindet sich in der Pilotphase. Externe Sicherheitsaudits sind für Q3 2026 in Planung. Sicherheitsforscher, die Schwachstellen finden, können uns über security@phorum360.app erreichen — wir betreiben ein Responsible-Disclosure-Programm.

In Vorbereitung:

BSI-IT-Grundschutz-Profil (geplant Q3/Q4 2026)
ISO 27001 für unseren Hosting-Betrieb (geplant 2027)
Externe Code-Audits durch unabhängige Sicherheitsfirmen (geplant nach Pilotphase)

Sie haben tiefgehende Fragen zur Architektur?

Wir reden gerne mit IT-Sicherheits- und Datenschutzbeauftragten — auch im Detail.

Sicherheits-Gespräch anfragen