Beta testen
Sicherheit & Vertrauen

Sicherheit ist bei uns das Fundament – nicht das Kleingedruckte.

CentaurNexus ist von Grund auf für Enterprise-Sicherheit gebaut: gehärtete Authentifizierung, harte Mandanten-Isolation auf Datenbankebene, durchgehende Verschlüsselung und ein lückenloser Audit-Trail – gehostet auf STACKIT in Deutschland.

Gehostet auf STACKIT in Deutschland Externer Pentest: 0 kritische, 0 hohe Befunde
Verteidigung in der Tiefe

Drei Schichten, die unabhängig voneinander schützen.

Fällt eine Schutzschicht, greift die nächste. Authentifizierung, Anwendungslogik und Datenbank sichern jeweils eigenständig ab – keine Sicherheit „nur im Frontend".

Schicht 1 · Transport & Auth

Gehärtete Anmeldung

JWT (HS256) in httpOnly-Cookies, CSRF-Schutz per Double-Submit, Refresh-Token-Rotation und optionale MFA (TOTP). Transport ausschließlich über TLS.

httpOnly · CSRF · TLS · MFA
Schicht 2 · Anwendung

Jede Eingabe ist nicht vertrauenswürdig

Server-seitige Validierung mit Zod (.strict()), Auth-Middleware auf jeder Route, Security-Header (Helmet), Rate-Limits und strukturierte Protokollierung.

Zod · Helmet · Rate-Limit
Schicht 3 · Datenbank

Harte Mandanten-Isolation

PostgreSQL Row-Level Security (mit WITH CHECK) auf jeder Tabelle – ein Mandant kann technisch nicht die Daten eines anderen sehen. Sensible Felder mit AES-256-GCM verschlüsselt.

RLS · AES-256-GCM

Least Privilege auf jeder Rolle & jedem DB-Zugriff.

Secrets nie im Code – Vault / Kubernetes-Secrets.

Interne Kommunikation über TLS – auch Service-zu-Service.

Verschlüsselung sensibler Daten – auch intern.


Konkret eingebaut

Enterprise-Sicherheit, eingebaut.

Sicherheit auf der Startseite →

Harte Mandantentrennung

PostgreSQL Row-Level Security erzwingt die Trennung auf Datenbankebene – nicht nur in der Oberfläche, nicht per API umgehbar.

PostgreSQL RLS

Secrets im Vault

API-Keys und Secrets sind mit AES-256-GCM verschlüsselt, die Schlüssel liegen im Vault – nie im Code, nie im Klartext.

AES-256-GCM

Lückenloser Audit-Trail

Jede sicherheitsrelevante Aktion – Login, Approval, Policy-Änderung, Widerruf – landet revisionssicher im Audit-Log.

NIS2 · DORA

MFA & sichere Sessions

MFA/TOTP für privilegierte Zugänge, JWT mit Refresh-Token-Rotation, httpOnly-Cookies und CSRF-Schutz per Double-Submit.

MFA · JWT · CSRF

Gehärtet nach OWASP

Helmet, Rate-Limiting und serverseitige Zod-Validierung jeder Eingabe – die OWASP Top 10 werden je Feature aktiv geprüft.

Helmet · Zod · Rate-Limit

EU-Hosting & geprüft

Gehostet auf STACKIT in Deutschland, DSGVO-konform – externer Pentest mit 0 kritischen und 0 hohen Befunden.

STACKIT · DSGVO · Pentest 0/0

Prinzipien

Sicherheit, die im Tagesbetrieb hilft.

Unsere Schutzmechanismen sind nicht nur Compliance-Häkchen – sie senken Risiko und Bearbeitungszeit gleichzeitig.

Least Privilege

Helpdesk löst Standardfälle read-only oder in der Sandbox – ohne Zscaler-Adminrechte. Super-Admin behält alle Rechte.

Vier-Augen-Prinzip

Schreibaktionen laufen auf Wunsch über eine zweite Freigabe – revisionssicher, bevor etwas in Zscaler aktiv wird.

Audit-Trail

Jede sicherheitsrelevante Aktion (Login, Freigaben, Policy-Änderungen, Widerrufe) wird lückenlos protokolliert und ist exportierbar.

OWASP Top 10

Jedes neue Feature wird gegen Injection, Broken Auth, IDOR, XSS, CSRF & Co. geprüft – plus fortlaufendes Threat Modeling (STRIDE).


Zum Patent angemeldet (DPMA)Ein von CentaurNexus entwickeltes Zero-Trust-Selbstschutz-Verfahren.
VigilGate

Das Cockpit, das sich selbst schützt.

Wer eine Zscaler-Umgebung verwaltet, ist selbst ein lohnendes Ziel. Deshalb sichert CentaurNexus seine eigene Administrationsebene mit den Zero-Trust-Signalen Ihres Tenants und einer von der Anmeldeidentität entkoppelten Zugriffsprüfung – die Verwaltungsfunktionen leben hinter Ihrer eigenen Zero-Trust-Prüfung, nicht nur hinter einem Passwort. Das zugrunde liegende Verfahren haben wir beim Deutschen Patent- und Markenamt zum Patent angemeldet.

Ihre Zero-Trust-Signale schützen das Cockpit. Der Administrationszugang lebt hinter Ihrer eigenen Prüfung.
Passt sich der Risikolage an – ohne den Betrieb auszubremsen.
Im Zweifel geschlossen. Lässt sich der Zustand nicht sicher bestimmen, wird der Zugang eingeschränkt statt durchgewunken.
Zugang zur VerwaltungsebeneLive-Prüfung
Anmeldeidentität bestätigtentkoppelt von der E-Mail-Adresse
Zero-Trust-Signal des TenantsZugriff aus Ihrer geschützten Umgebung
Gerätezustand geprüftPosture erfüllt die Richtlinie
Zugang zur Verwaltungsebene freigegeben
Fremder Zugriff ohne Zero-Trust-Nachweis – Verwaltungsebene gesperrt

Compliance & Regulatorik

Vorbereitet auf die Anforderungen, die zählen.

Wir unterstützen Sie dabei, regulatorische Nachweise zu erbringen – mit Evidence-Collectoren und exportierbaren Audit-Daten.

EU · NIS2

NIS2-ready

Nachweise zu Zugriffskontrolle, Protokollierung und Reaktionsfähigkeit – per Compliance-Evidence-Collector zusammengeführt.

EU · DORA

DORA-Unterstützung

Belege zu operativer Resilienz und IKT-Risikomanagement für den Finanzsektor – strukturiert und exportierbar.

ISO 27001

In Vorbereitung

Wir richten Prozesse und Architektur an ISO 27001 aus und arbeiten auf die Zertifizierung hin.

DSGVO · BDSG

DSGVO by design

Datenminimierung, Auftragsverarbeitung (Art. 28), EU-Hosting und ein DSGVO-Gateway, das bei EU-Datenräumen Anonymisierung erzwingt.


Digitale Souveränität

Kontrolle über Standort, Schlüssel und Nachweise.

Souveränität ist für uns gelebte Kontrolle – nicht nur ein Häkchen. Sie entscheiden, wo Ihre Daten liegen und wer die Schlüssel hält.

Daten in Deutschland (STACKIT) – kein Drittlandtransfer ohne Ihre Zustimmung.
Eigene Schlüssel ab Dedicated, vollständige Schlüsselhoheit bei On-Premises.
Kein Lock-in – offene Standards, dokumentierte Exporte.
Betriebsmodelle & Self-Hosting ansehen →
Rollen & Rechte, Vier-Augen

Unsere Arbeitsweise

Sicherheit ist ein Prozess, kein Zustand.

Fortlaufend geprüft
  • Fortlaufendes Threat Modeling (STRIDE) nach jedem relevanten Schritt – dokumentiert.
  • Tests inkl. Fehler-, Grenz- & Security-Fällen – besonders Multi-Tenant/RLS.
In jeder Zeile
  • Dependency-Hygiene: nur gewartete Pakete, regelmäßige Audits, 0 Critical/High.
  • Statische Code-Analyse nach jedem Schritt – Schwachstellen werden aktiv gemeldet.

Whitepaper

Plattform-Überblick zum Mitnehmen.

Das CentaurNexus-Whitepaper fasst Architektur, Feature-Katalog und das Sicherheits- & Compliance-Modell kompakt zusammen – ideal zur Weitergabe an Security-, IT- und Compliance-Verantwortliche.

Verteidigung in der Tiefe: Auth, Anwendung und RLS-Datenbank.
150+ Features – je mit konkretem Mehrwert.
Sicherheits-Audit (OWASP Top 10) & Compliance-Evidence (NIS2/DORA/ISO).
Whitepaper herunterladen (PDF)
CentaurNexus Whitepaper

Sehen Sie selbst, wie sicher Bedienkomfort sein kann.

Testen Sie read-only mit Light oder lassen Sie sich die Sicherheits-Funktionen in einer Demo zeigen – Vier-Augen, RBAC und Audit-Trail in Aktion.

Enterprise-Sicherheit – von Grund auf, nicht als Nachgedanke.