Security-Awareness-Sicherheit, die in der Architektur verankert ist.

Eine Awareness-Plattform muss sensible Lern-, Sicherheits- und Organisationsprozesse zuverlässig schützen. Aronion setzt deshalb auf klare Mandantentrennung, sichere Authentifizierung, gehärtete Browser-Policies, nachvollziehbare Admin-Aktionen und mehrschichtige Kontrollen — überprüfbar, nicht nur behauptet.

Beratung anfragen Welche Daten wir verarbeiten

Grundprinzipien

Sicherheit ist kein Add-on.

Drei technische Prinzipien bestimmen die Plattform — von der Anmeldung bis zur Datenbank.

Defense in Depth

Mehrere unabhängige Schutzschichten greifen ineinander: sichere Sessions, CSRF-Schutz, Rate-Limiting, Rollenprüfung, parametrisierte Datenbankabfragen und Auditierbarkeit.

Hosting in Deutschland

Betrieb über die Aronion-Infrastruktur bei einem deutschen Anbieter (IONOS). Kunden erhalten eine Subdomain bzw. Tenant-URL (z. B. firma.aronion.de) — keine eigene externe Domain als Paketbestandteil.

Least Privilege

Rollen mit minimalen Rechten und granulare Berechtigungen. Manager sehen nur ihren Bereich, Auswertungen sind rollenbasiert eingeschränkt, sensible Aktionen werden protokolliert.

Phishing-Simulation

Simulationen, die schützen — nicht überwachen.

Das optionale Simulationsmodul ist von Grund auf mit Sicherheitsgrenzen und Mitbestimmung gebaut.

Keine echten Zugangsdaten

Landingpages erfassen niemals echte Passwörter. Gespeichert wird ausschließlich, dass eine Eingabe erfolgte — nie die eingegebenen Werte. Es existieren keine Spalten zur Ablage von Credentials.

IP & Browser nur als Hash

Für Klick- und Öffnungsereignisse werden IP-Adresse und Browser-Kennung vor der Speicherung mit SHA-256 gehasht. Es findet kein Geräte-Fingerprinting und keine Standortermittlung statt.

Betriebsrats-Modus

Auswertungen lassen sich aggregiert bzw. anonymisiert betreiben. Eine Mindestgruppengröße verhindert Rückschlüsse auf einzelne Personen. Ziel ist Lernen im Kollektiv, nicht die Bewertung Einzelner.

Sicherheitsarchitektur

Sicherheit auf jeder Ebene.

Mehrschichtige Kontrollen nach dem Prinzip „Defense in Depth“ — von der Anmeldung bis zur Datenbank.

Passwort-Sicherheit

Argon2id-Hashing nach aktuellem Stand der Technik. Neue Passwörter werden per k-Anonymität gegen bekannte Leaks geprüft — dabei verlassen nur fünf Hash-Zeichen das System, niemals das Passwort.

Mehr-Faktor-Authentifizierung

Optionale TOTP-MFA mit einmaligen, gehashten Recovery-Codes. Brute-Force-Sperre nach wiederholten Fehlversuchen schützt Konten zusätzlich.

SSO & Provisioning

Optionales Single Sign-On über Microsoft Entra ID (OIDC) und automatische Nutzerverwaltung via SCIM — pro Mandant freischaltbar (Enterprise).

Verschlüsselung

Transportverschlüsselung per TLS/HTTPS mit HSTS. Sensible Geheimnisse (z. B. SSO-Schlüssel) werden mit AES-256-GCM verschlüsselt gespeichert.

Härtung im Browser

Strenge Content-Security-Policy, X-Frame-Options: DENY, Referrer- und Permissions-Policy sowie sichere Session-Cookies als Standard.

Angriffsschutz

CSRF-Schutz mit rotierenden Tokens, Rate-Limiting pro IP, Konto-Sperren bei Brute-Force und ausschließlich parametrisierte Datenbankabfragen.

Nachvollziehbarkeit

Jede relevante Aktion ist nachvollziehbar.

Administrative und sicherheitsrelevante Vorgänge werden in einem Audit-Log mit Akteur, Aktion, Vorher-/Nachher-Stand sowie Zeit, IP und Quelle festgehalten. Sensible Werte werden dabei automatisch entfernt.

Die Einträge sind über eine HMAC-Hash-Kette manipulationssicher verkettet — nachträgliche Änderungen fallen auf. Das schafft die Grundlage für Audits und ist auf spätere Zertifizierungsfähigkeit ausgelegt (orientiert an OWASP ASVS und ISO-27001-Prinzipien).

Beispiel: Audit-Eintrag

Akteur: Admin (Name & ID)
Aktion: Rolle geändert
Vorher / Nachher: protokolliert
Zeit & Quelle: Zeitstempel, IP
Integrität: HMAC-Kette

Verantwortungsvolle Offenlegung

Eine Schwachstelle entdeckt?

Melden Sie uns mögliche Sicherheitslücken vertraulich. Wir prüfen jeden Hinweis sorgfältig und gehen gegen Sicherheitsforschende, die in gutem Glauben und ohne Schaden für Nutzer:innen handeln, nicht rechtlich vor. Bitte testen Sie niemals gegen echte Mandantendaten und legen Sie keine fremden Daten offen.

Sicherheitshinweis senden

Nächster Schritt

Sprechen wir über Ihre Anforderungen.

Security-Review, technische Schutzmaßnahmen oder eine Demo für Ihr IT- und Security-Team — wir zeigen Ihnen, wie Aronion zu Ihren Sicherheitsanforderungen passt.

Beratung & Demo anfragen Datenschutz & Datenverarbeitung