Sicherheitskontrollen, geschrieben für die Person, die den Fragebogen ausfüllt
Rechenzentren standardmäßig in der EU. TLS-Verschlüsselung im Transit erzwungen, nicht bloß angeboten. AES-256 im Ruhezustand. Dedizierte IPs, die nicht mit Fremden geteilt werden. Eine schwedische Gerichtsbarkeit, die den Datentransfer-Papierkram entfernt statt ihn hinzuzufügen. Diese Seite erklärt jede Kontrolle, zieht die Grenzen ehrlich, und verweist Sie auf das, was Sie selbst überprüfen können — einschließlich der Authentifizierung unserer eigenen Domain, die Sie mit den kostenlosen Tools dieser Seite auditieren können.
Was wir absichern, und was Sie selbst überprüfen sollen
Die meisten Trust-Seiten sind eine Wand aus Siegeln. Wir erklären Ihnen lieber, was die Kontrollen tatsächlich leisten, wo die Grenzen verlaufen, und welche Aussagen Sie selbst nachprüfen können, ohne uns irgendetwas glauben zu müssen. E-Mail-Infrastruktur ist ein Feld, in dem der Abstand zwischen "wir nehmen Sicherheit ernst" und nachweisbarer Praxis oft groß ist, und die Kunden, die uns wichtig sind — Banken, FinTechs, Gesundheitssysteme, Teams im öffentlichen Sektor — wissen das bereits. Diese Seite ist also für die Person geschrieben, die einen Lieferanten-Sicherheitsfragebogen ausfüllen muss und die Antworten lieber vorab hätte.
Die Kurzfassung: Rechenzentren standardmäßig in der EU, Verschlüsselung im Transit erzwungen statt angeboten, Verschlüsselung im Ruhezustand mit AES-256, dedizierte IPs, die nicht mit Fremden geteilt werden, ein kleines Team mit Namen statt einer anonymen Support-Warteschlange, und eine Gerichtsbarkeit — Schweden —, die uns keinen Datentransfer-Workaround abverlangt, um DSGVO-sauber zu bleiben. Die Langfassung steht unten, Kontrolle für Kontrolle.
Wo Ihre Daten physisch liegen
Die Standard-Versandstandorte sind Schweden und Deutschland. Beides sind EU-Mitgliedstaaten, beide Rechenzentren werden innerhalb der EU betrieben, und das Unternehmen selbst ist schwedisch: Authorize Hosting AB, registriert und geführt aus Stockholm. Diese Kombination ist der Teil, der Ihrem Compliance-Team still viel Arbeit abnimmt. Wenn Betreiber, Verarbeitung und Datenresidenz alle innerhalb der EU liegen, gibt es keine Übermittlung nach Kapitel V zu dokumentieren, keine Standardvertragsklauseln anzuhängen, kein Angemessenheits-Argument nach Schrems II zu konstruieren, kein Transfer-Impact-Assessment aktuell zu halten. Die Daten verlassen den Block nicht, also stellt sich die Frage nach dem Übermittlungsmechanismus nie.
Für deutsche Kunden greift das direkt in die BfDI-Erwartungshaltung und in §22 BDSG-neu, und für eine Behörde, die nach dem BSI C5-Kriterienkatalog prüft, ist ein EU-ansässiger Betreiber mit EU-Datenhaltung der unkompliziertere Ausgangspunkt. Für österreichische Kunden unter der DSB und für Schweizer Unternehmen unter dem revidierten DSG gilt dieselbe Vereinfachung: Die Verarbeitung unter europäischer DSGVO ist in der Regel der höchste verfügbare Standard. Versandregionen in den USA und im asiatisch-pazifischen Raum existieren in Custom-Plänen, sind aber Opt-in und werden nur bereitgestellt, wenn Latenz oder eine konkrete regulatorische Anforderung es wirklich rechtfertigen. Wir leiten EU-Kundenpost nicht über eine US-Region, um ein paar Millisekunden zu sparen.
Verschlüsselung im Transit: erzwungen, nicht optional
Das ist die Kontrolle, über die die meisten Anbieter hinweggehen, weil SMTP es leicht macht. Das Protokoll wurde in einer Zeit ohne jede Verschlüsselung entworfen. STARTTLS, das die Option ergänzte, eine Verbindung auf TLS zu heben, kam 1999 — und das Wort "Option" ist das Problem. Opportunistisches TLS kann von einem Angreifer zwischen zwei Mailservern abgestreift werden: Er fängt die Verbindung ab, unterdrückt die STARTTLS-Ankündigung, und die Nachricht wird im Klartext zugestellt, während beide Enden glauben, alles sei in Ordnung. Das ist ein Downgrade-Angriff, und er hinterlässt keine Spur.
Die Lösung ist MTA-STS — Mail Transfer Agent Strict Transport Security —, das eine Richtlinie veröffentlicht, die sendenden Servern mitteilt, dass TLS verpflichtend ist und die Zustellung fehlschlagen soll, statt auf Klartext zurückzufallen. Wir betreiben MTA-STS im Enforce-Modus auf unseren eigenen Domains und konfigurieren es für verwaltete Kunden als Teil des Standard-Setups, gekoppelt mit TLS-RPT, sodass jede abgelehnte Verbindung einen Bericht erzeugt, den Sie auch wirklich lesen können. Wir nutzen denselben TLS-Report-Decoder, den wir kostenlos veröffentlichen, um diese Berichte zu parsen. TLS 1.2 ist der Boden; 1.3 wird bevorzugt und ausgehandelt, wo die empfangende Seite es unterstützt. Gerade im DACH-Raum lohnt sich die Ergänzung um DANE mit TLSA-Einträgen: Deutsche und niederländische Behörden- und Wissenschaftsnetze setzen überdurchschnittlich oft auf DNSSEC, und die niederländischen internet.nl-Standards verlangen DANE für konforme Mailserver. DANE und MTA-STS schließen sich nicht aus, und DANE entfernt die Vertrauensannahme gegenüber der Zertifizierungsstelle vollständig.
Nichts davon ist exotisch. Es ist eine Konfiguration von fünfzehn Minuten, die eine überraschende Zahl großer Versender bis heute nicht vorgenommen hat. Der Grund, warum es auf einer Sicherheitsseite zählt: "Wir verschlüsseln E-Mail im Transit" ist für fast alle technisch wahr und operativ bedeutungslos, solange die Verschlüsselung nicht erzwungen ist. Unsere ist es.
Verschlüsselung im Ruhezustand, und was wir aufbewahren
Gespeicherte Daten — Nachrichten-Metadaten, Logs, Post in der Warteschlange, Kontodaten — werden im Ruhezustand mit AES-256 verschlüsselt. Die nützlichere Sicherheitseigenschaft ist allerdings, wie wenig wir aufbewahren und wie lange. Mailinhalt wird nur so lange gehalten, wie Zustellung und das vertraglich vereinbarte Aufbewahrungsfenster es verlangen; wir führen kein dauerhaftes Archiv von Kundennachrichten als Regel, denn ein Archiv, das man nicht hält, ist ein Archiv, das nicht leaken kann. Logs, die für Zustellbarkeits-Diagnose und Missbrauchsbearbeitung nötig sind, werden nach einem definierten Zeitplan vorgehalten und dann ausgesteuert. Die Aufbewahrungsdetails stehen im Auftragsverarbeitungsvertrag, dem Dokument, das Ihr Rechtsteam tatsächlich will, statt einer Marketing-Zusammenfassung davon.
Authentifizierung ist eine Sicherheitskontrolle, nicht nur eine Zustellbarkeitsfrage
SPF, DKIM und DMARC werden meist unter "Zustellbarkeit" abgelegt, und sie beeinflussen, ob Post den Posteingang erreicht. Aber ihre erste Aufgabe ist Sicherheit: Sie verhindern, dass jemand Post versendet, die vorgibt, von Ihrer Domain zu stammen. DMARC bei p=reject ist der Unterschied zwischen einer Phishing-Kampagne, die Ihre Rechnungsadresse imitieren kann, und einer, die es nicht kann. Wir behandeln den Authentifizierungs-Stack als Sicherheitsleistung. Verwaltete Kunden erhalten SPF unter der 10-Lookup-Grenze, DKIM-Signierung mit 2048 Bit, DMARC bewusst Richtung Enforcement geführt mit überwachten Aggregat-Berichten, und BIMI dort, wo ein Verified Mark Certificate vorliegt. Die kostenlosen Tools auf dieser Seite — der DMARC-Prüfer, der SPF-Flattener, der DKIM-Tester — sind dieselben Prüfungen, die wir intern durchführen, veröffentlicht, damit Sie jede Domain auditieren können, auch unsere.
Dedizierte IPs und Mandantentrennung
Jeder Einstiegsplan enthält dedizierte IPs. Das ist eine Zustellbarkeits- und eine Sicherheitsentscheidung. Auf geteilter Versandinfrastruktur ist Ihre Versandreputation Geisel dessen, wer sonst noch auf derselben IP sitzt, und das kompromittierte Konto oder der Spam-Lauf eines Nachbarn wird zu Ihrer Blocklistung. Dedizierte IPs bedeuten, dass die Reputation Ihnen gehört, die Trennung real ist, und es keinen Explosionsradius durch laute Nachbarn gibt. Für Kunden auf dedizierten Servern und verwaltetem PowerMTA reicht die Trennung bis zum Host: Bare-Metal-Trennung statt eines geteilten Multi-Mandanten-Pools.
Die regulatorische Landschaft, ehrlich kartiert
Wir operieren in einem Geflecht überlappender EU-Rahmenwerke, und statt pauschale "Konformität" mit allen zu behaupten, hier, wo jedes einzelne einen E-Mail-Infrastrukturbetreiber tatsächlich berührt und was es für Sie als Kunde bedeutet.
DSGVO ist die Basis. Wir handeln als Auftragsverarbeiter für die Kundendaten, die Sie durch uns senden, der AVV definiert dieses Verhältnis, und die EU-Standardresidenz hält die Übermittlungsregeln einfach. Die Pflichten zur Meldung von Verletzungen laufen auf der 72-Stunden-Uhr, und unser interner Vorfallsprozess ist auf diesen Zeitrahmen gebaut. Für deutsche Kunden ergänzt das BDSG-neu diese Basis; die BfDI-Leitlinien 2024-2025 ordnen Transportverschlüsselung und Domain-Authentifizierung ausdrücklich als angemessene technische Maßnahmen nach Art. 32 DSGVO ein.
NIS2 — die Richtlinie über Netz- und Informationssicherheit 2 — hat sich in den letzten achtzehn Monaten am stärksten umgeformt. Die Mitgliedstaaten mussten sie bis Oktober 2024 umsetzen, und über 2026 hinweg haben die nationalen Behörden die Identifizierung der Einrichtungen abgearbeitet. NIS2 betrifft uns in zwei Richtungen: Als Betreiber digitaler Infrastruktur sitzen wir näher an ihrem Anwendungsbereich als ein typischer SaaS-Anbieter, und viele unserer Kunden fallen selbst in den Anwendungsbereich und brauchen von ihren Lieferanten den Nachweis der Ausrichtung. Die Sanktionen der Richtlinie liegen auf DSGVO-Niveau — bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes für wesentliche Einrichtungen, 7 Millionen oder 1,4% für wichtige —, weshalb die Lieferanten-Sorgfaltsprüfung dazu real geworden ist statt theoretisch. Die praktische Überschneidung: Ein reifes Informationssicherheits-Managementsystem im Stil von ISO 27001 deckt das meiste ab, was NIS2 verlangt; die Meldefristen für Vorfälle (eine 24-Stunden-Frühwarnung unter NIS2) sind der Teil, der konkrete operative Bereitschaft braucht, nicht nur Dokumentation.
DORA — die Verordnung über die digitale operationale Resilienz — gilt vertikal für den Finanzsektor und seine IKT-Zulieferer. Die Übergangsfrist endete Anfang 2026, sodass Finanzkunden jetzt wirklich von ihren Technologielieferanten den Nachweis von Resilienz und Drittparteien-Risikomanagement brauchen. Wenn Sie eine Bank oder ein FinTech sind, das über uns versendet, sind die relevanten DORA-Berührungspunkte unsere Vorfallsbehandlung, unsere Kontinuitätsplanung und die Vertragsklauseln im AVV, die es Ihnen ermöglichen, Ihre eigenen Drittparteien-Aufsichtspflichten zu erfüllen. Wir sind keine Finanzeinrichtung, aber der Typ von IKT-Dritter, den DORA von Ihnen zu bewerten erwartet — und wir haben den Papierkram so strukturiert, dass diese Bewertung unkompliziert ist.
ISO 27001 ist das Bindegewebe. Wir führen unsere Informationssicherheit nach dem Modell ISO 27001:2022 — Risikoidentifikation, verhältnismäßige Kontrollen, dokumentierte Verfahren, kontinuierliche Verbesserung. Wir sind transparent darin, dass nach der Norm zu operieren und ein aktuelles Drittparteien-Zertifikat zu halten zwei verschiedene Aussagen sind; wo die Beschaffung eines Kunden das Zertifikat ausdrücklich verlangt, ist das ein direktes Gespräch, kein anzunehmendes Häkchen. Die ehrliche Einordnung zählt hier mehr als die optimistische, denn ein optimistisch beantworteter Sicherheitsfragebogen ist eine Haftung, die Sie später erben.
Wie Vorfälle behandelt werden
Wenn etwas schiefgeht — eine IP wird gelistet, ein Kundenkonto wird kompromittiert, ein Zustellbarkeits-Einbruch erscheint über Nacht — liegt der Wert eines kleinen Teams mit Namen darin, dass jemand antwortet, der das System versteht. Es gibt kein Tier-1-Skript, kein Ticket, das zwischen Warteschlangen springt, kein Warten auf die Schichtübergabe eines ausgelagerten Teams. Der Vorfallsprozess läuft auf den von der Regulierung verlangten Meldefristen (72 Stunden für eine Verletzung personenbezogener Daten unter DSGVO, die kürzeren Frühwarnfenster, wo NIS2 auf die eigenen Pflichten eines Kunden anwendbar ist), und die Personen, die die Behebung durchführen, sind dieselben, die die Infrastruktur täglich betreiben. Speziell bei Zustellbarkeits-Vorfällen — der Blocklistung um 4 Uhr morgens an einem Samstag — hat der diensthabende Operator kürzlich mit derselben Listung auf anderer Kundeninfrastruktur zu tun gehabt, was den Unterschied zwischen einer schnellen Erholung und einer Woche Verwirrung ausmacht.
Was Sie ohne uns überprüfen können
Trust-Seiten werden besser, wenn der Leser die Aussagen unabhängig prüfen kann. Einige, die Sie sofort verifizieren können: Lassen Sie unsere eigene Domain durch den DMARC-Prüfer laufen und bestätigen Sie, dass die Richtlinie auf Enforcement steht. Prüfen Sie unsere MTA-STS-Richtliniendatei — sie wird über HTTPS am Standard-Well-Known-Pfad ausgeliefert —, und der TLS-Report-Decoder sagt Ihnen, ob Transportsicherheit konfiguriert ist. Schlagen Sie das Unternehmen nach: Authorize Hosting AB ist eine real registrierte schwedische Einheit, und der CEO, Mikael Vainiomaa, führt sie seit 2012 und ist auf LinkedIn auffindbar. 23 Jahre durchgehender Betrieb sind selbst ein Sicherheitssignal: Anbieter, die bei Infrastruktur Abkürzungen nehmen, halten selten so lange.
Das Dokument, das Ihr Rechtsteam wirklich braucht
Diese Seite ist die lesbare Zusammenfassung. Der Auftragsverarbeitungsvertrag ist die verbindliche Fassung, mit Aufbewahrungsdetails, Unterauftragsverarbeiter-Bedingungen und den Meldeverpflichtungen, formuliert nach Art. 28 DSGVO. Für einen Sicherheitsfragebogen oder eine Lieferantenbewertung beginnen Sie dort und sprechen Sie mit uns über alles, was er nicht abdeckt.
Was wir nicht behaupten
Wir behaupten keine Zertifizierungen, die wir nicht halten. Wir beschreiben uns nicht als "das sicherste" Irgendetwas. Wir versprechen nicht, dass Post niemals abgefangen wird, nur dass wir die Kontrollen erzwungen haben, die das Abfangen wirklich schwer und im Versuchsfall meldbar machen. Und wir tun nicht so, als sei das regulatorische Bild einfacher, als es ist: NIS2, DORA, DSGVO und ISO 27001 überlappen auf Weisen, die echte Arbeit zu navigieren kosten, und ein Anbieter, der Ihnen sagt, Konformität sei automatisch, ist ein Anbieter, dem man misstrauen sollte. Die vertrauenswürdige Fassung einer Trust-Seite ist die, die die Grenzen klar zieht. Dies ist unsere.