Infrastruktur & Sicherheit
Hosting, Datenspeicherort, Verschlüsselung und NIS2-Sicherheitsposture.
Crowdees Infrastruktur ist auf Sicherheit, Verfügbarkeit und regulatorische Compliance ausgelegt. Alle Produktionssysteme werden in Deutschland unter deutschem und EU-Recht betrieben. Die Architektur vermeidet Abhängigkeiten von Drittanbieter-Cloud-Diensten oder Content Delivery Networks, die Kundeninhalte außerhalb der EU weiterleiten würden, und ist mit Verschlüsselung, kurzlebigen Anmeldeinformationen und rollenbasierter Zugriffskontrolle auf jeder Ebene abgesichert.
Datenspeicherort
Alle Crowdee-Produktionsdienste laufen auf dedizierter Infrastruktur in Rechenzentren der netcup GmbH in Nürnberg und Karlsruhe, Deutschland. Keine Kundeninhalte werden über Drittanbieter-CDNs geleitet. Es finden zu keinem Zeitpunkt im Verarbeitungslebenszyklus grenzüberschreitende Datenübermittlungen statt — Datei-Upload, Anreicherung, KI-Analyse, Crowd-Task-Verteilung und Ergebnisspeicherung erfolgen alle innerhalb derselben in Deutschland gehosteten Umgebung.
Das für die Pipeline-Ausführung verwendete KI-Modell wird lokal auf von Crowdee betriebenen Servern innerhalb derselben Rechenzentrumsumgebung gehostet. Zur Verifizierung eingereichte Inhalte werden niemals an externe KI-APIs oder cloudgehostete Sprachmodellanbieter gesendet.
Eine vollständige Liste der Unterauftragsverarbeiter — Drittorganisationen, die Daten im begrenzten Umfang im Auftrag von Crowdee verarbeiten — finden Sie unter crowdee.ai/subprocessors. Die Liste der Unterauftragsverarbeiter wird gepflegt und bei Änderungen aktualisiert. Kunden mit Enterprise-Plan erhalten vorab eine Benachrichtigung über Änderungen bei Unterauftragsverarbeitern per E-Mail.
Verschlüsselung
Ruhende Daten werden mit AES-256 verschlüsselt. Persistente Speicher — einschließlich der PostgreSQL-Datenbank, des Dateispeichers (Ceph S3-kompatibler Objektspeicher) und der Backup-Archive — verwenden verschlüsselte Volumes bzw. serverseitige Verschlüsselung. Verschlüsselungsschlüssel werden von Crowdee mithilfe eines hardwaregestützten Schlüsselmanagementsystems verwaltet.
Daten während der Übertragung werden mit TLS verschlüsselt. TLS 1.3 ist das bevorzugte Protokoll; TLS 1.2 wird aus Kompatibilitätsgründen unterstützt. TLS 1.0 und 1.1 sind deaktiviert. Die interne Dienst-zu-Dienst-Kommunikation innerhalb der Crowdee-Infrastruktur verwendet ebenfalls TLS; interner Datenverkehr wird nicht über das öffentliche Internet geleitet.
Datei-Uploads und API-Antworten werden ausschließlich über HTTPS übertragen. Es gibt kein HTTP-Fallback. API-Anfragen über einfaches HTTP werden an den HTTPS-Endpunkt weitergeleitet.
Authentifizierung und Zugriffskontrolle
Crowdee verwendet OIDC-basierte Benutzerauthentifizierung über einen selbst gehosteten Identitätsanbieter. Externe Identitätsanbieter können für Enterprise-SSO-Deployments föderiert werden. Sitzungen werden über JWT-Tokens mit einer Lebensdauer von 60 Minuten verwaltet; die Token-Erneuerung erfordert eine erneute Authentifizierung über den OIDC-Flow.
Der API-Zugriff erfolgt über bereichsgebundene API-Schlüssel. Schlüssel haben das Präfix crw_ und werden als SHA-256-Hashes gespeichert — Crowdee speichert den Klartextschlüssel niemals, nachdem er einmalig bei der Erstellung angezeigt wurde. Jeder API-Schlüssel ist an eine Organisation gebunden und trägt eine von vier Rollenebenen: viewer, user, admin oder superadmin. Schlüssel können in Multi-Organisations-Setups auf bestimmte Organisationen beschränkt werden, wodurch eine laterale Bewegung über Organisationsgrenzen hinweg verhindert wird.
Die rollenbasierte Zugriffskontrolle wird von einer Casbin-RBAC-Richtlinien-Engine bei jeder API-Anfrage durchgesetzt. Berechtigungen werden pro Route und pro Ressource ausgewertet, nicht nur auf Rollenebene. Das bedeutet, dass ein Schlüssel mit der Rolle user für Organisation A keinen Zugriff auf Ressourcen von Organisation B hat, auch nicht auf derselben Crowdee-Instanz.
API-Schlüssel können über das Platform-Dashboard unter Einstellungen → API-Schlüssel und über die API rotiert werden:
DELETE https://api.crowdee.ai/v2/users/me/api-keys/{keyId}
X-API-Key: crw_YOUR_API_KEYRate-Limiting wird auf API-Ebene durchgesetzt: 3.000 Anfragen pro 15-Minuten-Fenster für authentifizierte Anfragen, 150 Anfragen pro 15-Minuten-Fenster für anonyme Anfragen. Die Limits werden in Valkey (dem Redis-kompatiblen Cache) verfolgt und pro API-Schlüssel angewendet.
NIS2-Compliance
Crowdee betreibt Incident-Response- und Schwachstellenmanagement-Prozesse, die den Anforderungen der NIS2-Richtlinie (Richtlinie 2022/2555) entsprechen. Diese Prozesse umfassen:
- Schwachstellenmanagement: Sicherheits-Patches werden innerhalb von 72 Stunden für kritische (CVSS 9,0+) Schwachstellen in Crowdees eigenem Codebase und innerhalb regulärer Wartungsfenster für schwerwiegende Schwachstellen in Abhängigkeiten eingespielt. Crowdee abonniert Security-Advisory-Feeds für alle Produktionsabhängigkeiten.
- Incident Response: Crowdee pflegt einen dokumentierten Incident-Response-Plan, der Erkennung, Eindämmung, Beseitigung, Wiederherstellung und Post-Incident-Review abdeckt. Wesentliche Sicherheitsvorfälle, die Kundendaten betreffen, werden betroffenen Kunden innerhalb von 72 Stunden nach Erkennung gemäß Artikel 33 DSGVO und den geltenden NIS2-Meldepflichten mitgeteilt.
- Verantwortungsvolle Offenlegung: Sicherheitsschwachstellen in Crowdees Produkten können an security@crowdee.com gemeldet werden. Crowdee verpflichtet sich, Meldungen innerhalb von 5 Werktagen zu bestätigen und die Behebung vor der öffentlichen Bekanntmachung zu koordinieren.
Verfügbarkeit
Service Level Agreements sind für Managed- und Enterprise-Pläne verfügbar. Die SLA-Bedingungen — einschließlich Verfügbarkeitszusagen, Messmethodik und Gutschriftenplänen — sind im jeweiligen Kundenvertrag festgelegt. Wenden Sie sich an sales@crowdee.ai für SLA-Konditionen.
Den aktuellen Systemstatus — einschließlich Vorfällen, geplanten Wartungsfenstern und historischen Verfügbarkeitsdaten — finden Sie unter status.crowdee.ai. Die Möglichkeit, Statusbenachrichtigungen zu abonnieren, ist auf der Statusseite verfügbar.
Sicherheitsüberprüfungen
Crowdee unterstützt Sicherheitsüberprüfungen für Unternehmen, einschließlich der Beantwortung von Sicherheitsfragebögen, Kontrolldokumentation und Koordination von Penetrationstests.
Um eine Sicherheitsüberprüfung einzuleiten, wenden Sie sich an security@crowdee.com mit dem Umfang und dem Zeitplan Ihrer Überprüfung. Standardantworten auf Sicherheitsfragebögen (CAIQ, SIG Lite oder gleichwertig) sind für Enterprise-Kunden unter NDA verfügbar und können in der Regel innerhalb von fünf Werktagen bereitgestellt werden.
Crowdee begrüßt verantwortungsvolle Sicherheitsforschung. Wenn Sie eine Schwachstelle in Crowdees Plattform oder Infrastruktur entdecken, wenden Sie sich bitte an security@crowdee.com und räumen Sie Zeit für eine koordinierte Offenlegung ein, bevor Sie Ergebnisse veröffentlichen. Crowdee leitet keine rechtlichen Schritte gegen Forscher ein, die Schwachstellen in gutem Glauben über den koordinierten Offenlegungsprozess melden.
Wie hilfreich ist diese Seite?