Sicherheit #
EthicsPortal verarbeitet sensible Hinweisgeberdaten. Diese Seite dokumentiert die technischen und organisatorischen Maßnahmen, die wir dafür umsetzen. Sie richtet sich an Compliance-Verantwortliche, Datenschutzbeauftragte und Rechtsabteilungen, die die Plattform bewerten.
Zuletzt aktualisiert: 22. April 2026.
Datenverschlüsselung #
Alle sensiblen Felder werden mit Rails Active Record Encryption nicht-deterministisch verschlüsselt (jede Verschlüsselung erzeugt einen einzigartigen Chiffretext und verhindert Mustererkennung).
| Feld | Verschlüsselt | Deterministisch |
|---|---|---|
| Meldungsbeschreibung | Ja | Nein |
| Name der hinweisgebenden Person | Ja | Nein |
| Kontaktdaten der hinweisgebenden Person | Ja | Nein |
| Nachrichteninhalt (hinweisgebende Person ↔ Fallbearbeitung) | Ja | Nein |
Nicht-deterministische Verschlüsselung bedeutet, dass diese Felder auf Datenbankebene nicht nach Wert abfragbar sind. Auch bei vollem Datenbankzugriff kann ein Angreifer keine bestimmten Namen datensatzübergreifend finden.
Alle Verbindungen zu EthicsPortal laufen über HTTPS/TLS. Unverschlüsselte HTTP-Anfragen werden weitergeleitet.
Anonymität und Datenschutz #
IP-Anonymisierung #
EthicsPortal speichert niemals IP-Adressen. Portal-Routen (Meldungsabgabe, Fallabruf, Nachrichten) nutzen ausschließlich für das Rate-Limiting einen Einweg-SHA256-Hash der IP-Adresse. Der Hash ist nicht umkehrbar — aus dem gespeicherten Wert lässt sich die ursprüngliche IP nicht rekonstruieren.
Dies gilt für alle portal-seitigen Endpunkte. Keine IP-Adresse wird in irgendein Protokoll, Datenbankfeld oder Analytics-System geschrieben.
Entfernung von Dateimetadaten #
Hochgeladene Dateien werden vor der Speicherung automatisch von identifizierenden Metadaten bereinigt:
| Dateityp | Entfernte Metadaten | Methode |
|---|---|---|
| Bilder (JPEG, PNG, TIFF, WebP) | EXIF-Daten: GPS-Koordinaten, Kameramodell, Seriennummer, Autor, Zeitstempel | Vips-Bildverarbeitung |
| PDF-Dokumente | Autor, Erstellerprogramm, Änderungshistorie | exiftool |
| Video-Dateien | GPS, Geräte-Info, Aufnahmesoftware | exiftool |
| Audio-Dateien | Aufnahmegerät, GPS, Software-Tags | exiftool |
Hinweisgebende Personen müssen nicht darauf vertrauen, dass ihre Dateien sicher sind — Metadaten werden serverseitig entfernt, unabhängig vom Dateiinhalt.
Virenprüfung #
Alle hochgeladenen Dateien werden automatisch mit ClamAV, einer Open-Source-Antivirenlösung, geprüft. Die Prüfung erfolgt serverseitig in einem Hintergrundprozess nach dem Upload. Infizierte Dateien werden automatisch entfernt und erreichen die Fallbearbeitung nicht.
Die Prüfung erfolgt auf EthicsPortal-Infrastruktur — es werden keine Dateidaten an Drittdienste übermittelt.
Anonymität der Fallbearbeitung #
Hinweisgebende Personen sehen nie die echten Namen oder E-Mail-Adressen der Personen, die ihre Meldung bearbeiten. Alle Nachrichten aus der Bearbeitung werden als „Fallbearbeitung" angezeigt. Damit wird die Identität geschützt und Social Engineering erschwert.
Kein Tracking #
EthicsPortal setzt keine Tracking-Cookies von Drittanbietern, keine Werbe-Pixel und keine Fingerprinting-Skripte ein. Wir nutzen Cloudflare Web Analytics ausschließlich auf Marketing-Seiten — cookielos, ohne personenbezogene Daten, vollständig DSGVO-konform. Das Hinweisgeberportal selbst enthält keine Analyse-Tools.
Aktueller Nachweisstatus #
EthicsPortal beansprucht auf dieser Website derzeit weder eine ISO-27001- noch eine SOC-2- oder gleichwertige Zertifizierung. Ebenso wird derzeit kein unabhängiger Drittbericht zur Anonymitätsarchitektur veröffentlicht. Falls sich das ändert, werden Umfang und Datum hier veröffentlicht.
Unterlagen für den Sicherheitsreview #
Kunden, die Unterlagen für Beschaffung oder Rechtsprüfung benötigen, können diese im Rahmen des Reviews anfordern. Verfügbare Unterlagen können einen gegengezeichneten AVV, Register- und Steuernachweise, einen ausgefüllten Sicherheitsfragebogen sowie schriftliche Antworten zu Backup- und Restore-Verfahren, privilegiertem Produktionszugang und Incident Response umfassen.
Zugriffskontrolle #
Die Autorisierung wird auf Anwendungsebene mit Pundit-Richtlinien durchgesetzt.
| Rolle | Darf Meldungen einsehen | Darf Organisationseinstellungen verwalten | Darf Bearbeitende zuweisen |
|---|---|---|---|
| Admin | Alle Meldungen | Ja | Ja |
| Fallbearbeitung | Nur zugewiesene Meldungen | Nein | Nein |
- Bearbeitende sehen keine Meldungen, die ihnen nicht zugewiesen sind.
- Hinweisgebende Personen haben kein Nutzerkonto — der Zugriff erfolgt über eine Vorgangs-ID (
WB-XXXX-XXXX) und einen 6-stelligen Zugangscode, den sie bei der Abgabe wählen. - Jede Controller-Aktion prüft die Autorisierung. Unbefugte Zugriffsversuche werden blockiert und protokolliert.
Zwei-Faktor-Authentifizierung #
Konten der Fallbearbeitung und der Admins können TOTP-basierte 2FA über gängige Authenticator-Apps aktivieren (Google Authenticator, 1Password, Authy und kompatible Alternativen). Nach Aktivierung sind bei der Anmeldung die Hauptanmeldeinformation und ein rotierender 6-stelliger Code erforderlich.
Auch hinweisgebende Personen authentifizieren mit zwei Faktoren: die Vorgangs-ID (etwas, das sie besitzen) und der selbst gewählte Zugangscode (etwas, das sie wissen). Der Zugangscode wird ausschließlich als bcrypt-Hash gespeichert und ist nicht wiederherstellbar. Das Nachverfolgungspostfach und das Versenden von Nachrichten sind an diese Prüfung gebunden — eine geleakte Vorgangs-ID allein genügt also nicht, um die Meldung einzusehen oder die hinweisgebende Person zu imitieren.
Rate-Limiting #
Öffentliche Portal-Endpunkte sind rate-limitiert, um Missbrauch und Enumerationsangriffe zu verhindern:
| Endpunkt | Limit |
|---|---|
| Meldungsabgabe | 5 pro 10 Minuten je anonymisierter IP |
| Fallabruf (Vorgangs-ID + Zugangscode) | 10 pro 3 Minuten je anonymisierter IP |
| Nachrichtenversand | 10 pro 3 Minuten je anonymisierter IP |
Das Rate-Limiting nutzt den oben beschriebenen Einweg-Hash — es wird keine echte IP gespeichert.
Audit und Compliance #
Revisionssicheres Audit-Protokoll #
Jede Aktion in EthicsPortal wird protokolliert mit:
- Zeitstempel (UTC)
- Akteur (welcher Nutzer oder Systemprozess die Aktion ausgeführt hat)
- Aktionstyp (Meldung erstellt, Status geändert, Nachricht gesendet, Bearbeitung zugewiesen, Meldung eingesehen, Meldung exportiert, Meldung gelöscht usw.)
Die Protokolleinträge sind ausschließlich anzuhängen. Sie können von keiner Person — auch nicht von Organisations-Admins — bearbeitet oder gelöscht werden. Das vollständige Audit-Protokoll ist im PDF-Fallexport enthalten und steht der Aufsicht zur Verfügung.
Aufbewahrungsdauer #
Organisationen legen ihre Aufbewahrungsdauer selbst fest: 12, 24, 36 oder 60 Monate nach Abschluss einer Meldung. Nach Ablauf werden die Meldung und alle zugehörigen Daten (Nachrichten, Anhänge, Protokolleinträge) durch einen Hintergrund-Job automatisch und dauerhaft gelöscht.
Damit werden die Anforderungen der DSGVO an die Speicherbegrenzung (Art. 5 Abs. 1 lit. e) und die Dokumentationspflichten der Richtlinie 2019/1937 (Art. 17–18) erfüllt.
CSRF-Schutz #
Alle Formularübermittlungen sind über Rails’ eingebaute CSRF-Tokens gegen Cross-Site Request Forgery geschützt.
Infrastruktur #
| Komponente | Anbieter | Standort |
|---|---|---|
| Anwendungs-Server und Datenbank | Hetzner | Nürnberg, Deutschland (EU) |
| Dateispeicher | Hetzner Object Storage | Nürnberg, Deutschland (EU) |
| Transaktionale E-Mails | Mailjet | Frankreich (EU) |
| Zahlungsabwicklung | Stripe | EU |
- Die primäre Datenverarbeitung erfolgt ausschließlich innerhalb der Europäischen Union.
- Es werden keine Kreditkartennummern oder Zahlungsdaten auf EthicsPortal-Servern gespeichert. Die Zahlungsabwicklung übernimmt vollständig Stripe.
- Mailjet wird für transaktionale E-Mails genutzt (Benachrichtigungen an die Fallbearbeitung, nicht an hinweisgebende Personen). Mailjet hat seinen Sitz in Frankreich und verarbeitet alle Daten innerhalb der EU.
- Begrenzte Verarbeitungen im Zusammenhang mit der Marketing-Website und Admin-/Bearbeitungsoberflächen können veröffentlichte Unterauftragsverarbeiter außerhalb der EU/des EWR einbeziehen, derzeit Cloudflare und Honeybadger, wie auf der Seite Unterauftragsverarbeiter beschrieben.
Operativer Review #
Diese Seite ist eine öffentliche Sicherheitszusammenfassung. Ein Teil der operativen Unterlagen wird im Rahmen des Beschaffungsreviews bereitgestellt und nicht vollständig im offenen Web veröffentlicht, weil sie Infrastruktur- und Reaktionsdetails enthalten, die sich für eine kontrollierte Offenlegung besser eignen.
Auf Anfrage im Beschaffungsreview verfügbare Themen sind unter anderem:
- Zusammenfassung von Backup und Restore
- Recovery-Ziele und Restore-Tests
- Zusammenfassung des privilegierten Produktionszugangs
- Incident-Response-Ablauf und Eskalationskontakte
- Business-Continuity- sowie Offboarding-/Export-Antworten
Verantwortungsvolle Offenlegung #
Wenn Sie eine Sicherheitslücke in EthicsPortal entdecken, melden Sie diese bitte an support@ethicsportal.eu. Wir bitten Sie:
- die Lücke nicht öffentlich zu machen, bevor wir Gelegenheit zur Behebung hatten,
- genug Details bereitzustellen, damit wir das Problem reproduzieren und beheben können,
- nicht auf Daten anderer Kunden zuzugreifen oder diese zu verändern.
Wir bestätigen Ihre Meldung innerhalb von 2 Werktagen und arbeiten an einer zeitnahen Behebung bestätigter Lücken.
Zuletzt aktualisiert: