🛡️ Sicherheitsfunktionen

🔒 AES-256-CBC-Verschlüsselung Militärqualität

Jede zu FileWalla hochgeladene Datei wird mit AES-256-CBC-Verschlüsselung verschlüsselt - demselben Standard, den Regierungen und Militärs weltweit zum Schutz vertraulicher Informationen verwenden.

• Eindeutige Verschlüsselungsschlüssel pro Organisation
• Sichere Schlüsselableitung aus dem Hauptschlüssel (in Umgebungsvariablen gespeichert)
• Serverseitige Verschlüsselung mit Hauptschlüsselverwaltung
• Ermöglicht rechtskonforme Inhaltsmoderation bei gleichzeitig hoher Sicherheit

🛡️ Serverseitige Verschlüsselung vs. Ende-zu-Ende

FileWalla verwendet eine starke serverseitige Verschlüsselung (AES-256), um alle ruhenden Dateien zu schützen, sowie eine Verschlüsselung während der Übertragung (TLS), um Daten beim Transfer zu schützen.

Wir haben uns bewusst für ein serverseitiges Verschlüsselungsmodell anstelle einer Ende-zu-Ende-Verschlüsselung entschieden. Diese Entscheidung ermöglicht es uns, wesentliche Sicherheits- und Compliance-Funktionen bereitzustellen, darunter Malware-Scans, Missbrauchserkennung, rechtmäßige Inhaltsmoderation und sichere Optionen zur Dateiwiederherstellung.

Während die Ende-zu-Ende-Verschlüsselung selbst den Dienstanbieter am Zugriff auf Inhalte hindert, entzieht sie auch die Möglichkeit, auf Viren zu prüfen, die Verbreitung illegaler Inhalte zu verhindern, Nutzern zu helfen, die ihre Zugangsdaten verlieren, oder rechtlichen Verpflichtungen in regulierten Rechtsordnungen wie Kanada nachzukommen.

Unser Ansatz schafft ein Gleichgewicht zwischen Datenschutz, Sicherheit und rechtlicher Verantwortung. Auf unseren Servern gespeicherte Dateien können außerhalb des FileWalla-Systems nicht abgerufen werden, und strenge Zugriffskontrollen regeln sämtliche administrativen Entschlüsselungsmöglichkeiten.

Wir sind der Überzeugung, dass verantwortungsvolle Sicherheit bedeutet, Nutzerdaten zu schützen und gleichzeitig Missbrauch zu verhindern sowie die Einhaltung geltender Gesetze zu gewährleisten. Unser Verschlüsselungsmodell spiegelt dieses Gleichgewicht wider.

🛡️ Mehrstufiger Virenscan Aktiv

Alle Dateien werden VOR der Verschlüsselung mit einem mehrschichtigen Ansatz auf Viren und Malware geprüft:

• ClamAV (Primär): Branchenüblicher Virenschutz mit täglichen Updates
• phpMussel (Fallback): Musterbasierte Malware-Erkennung
• Zero-Trust-Richtlinie: Uploads werden blockiert, wenn kein Scanner verfügbar ist
• Scan-Verifizierung: Visuelle Abzeichen zeigen, welcher Scanner jede Datei verifiziert hat
• Umfassende Protokollierung: Alle Scan-Ereignisse werden im Audit-Protokoll erfasst

🚫 Blockierung verschlüsselter Archive Null-Toleranz

Passwortgeschützte ZIP-, RAR- und 7z-Dateien werden automatisch blockiert, um Missbrauch zu verhindern und sicherzustellen, dass alle Inhalte auf illegales Material geprüft werden können.

• Automatische Erkennung verschlüsselter/passwortgeschützter Archive
• 3-Stufen-Verstoßsystem mit automatischer Sperrung
• Admin-Benachrichtigungen bei wiederholten Verstößen
• Verhindert kriminellen Missbrauch und die Verbreitung von CSAM

✅ Überprüfung der Dateiintegrität

Jede Datei enthält SHA-256-Prüfsummen, um die Integrität zu überprüfen und Manipulationen zu erkennen.

• SHA-256-Hash wird beim Upload generiert
• Automatische Überprüfung beim Download
• Manipulationserkennung und Beschädigungswarnungen

🔐 Bcrypt-Passwort-Hashing Branchenstandard

Alle Passwörter werden mit Bcrypt und dem Kostenfaktor 10 gehasht, wodurch sie selbst bei einer Kompromittierung der Datenbank praktisch nicht zu knacken sind.

• Einweg-Hashing (Passwörter können nicht entschlüsselt werden)
• Automatische Salt-Generierung
• Durchgesetzte Anforderungen an die Passwortkomplexität
• Mindestens 8 Zeichen, Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen

📱 Zwei-Faktor-Authentifizierung (2FA) Google Authenticator

Optionale 2FA mit Google Authenticator fügt Ihrem Konto eine zusätzliche Sicherheitsebene hinzu.

• TOTP-Implementierung (Time-based One-Time Password)
• QR-Code-Einrichtung für eine einfache Konfiguration
• Backup-Codes zur Kontowiederherstellung
• Verpflichtend für Admin-Konten

🚨 Progressiver Schutz vor Brute-Force-Angriffen Mehrschichtig

Fortschrittlicher mehrstufiger Schutz gegen Anmeldeangriffe mit eskalierenden Gegenmaßnahmen:

• Standard-Brute-Force: 5 fehlgeschlagene Versuche in 5 Minuten → 10-minütige IP-Sperre
• Wörterbuchangriff: 20+ Versuche pro Minute → 1-stündige IP-Sperre + Admin-Benachrichtigung
• Wiederholungstäter: 3 Wörterbuchangriffe innerhalb von 24 Stunden → DAUERHAFTE SPERRE
• Umfassende Protokollierung: Alle fehlgeschlagenen Versuche werden mit IP, Zeitstempel und Audit-Protokoll erfasst
• Automatische Benachrichtigungen: Der Admin wird per E-Mail über alle Sicherheitsereignisse informiert

🍪 Sichere Sitzungsverwaltung

Sitzungen sind mit maximalen Sicherheitseinstellungen konfiguriert, um Hijacking und Diebstahl zu verhindern.

• HTTPOnly-Cookies (verhindern JavaScript-Zugriff)
• Secure-Flag (Übertragung nur über HTTPS)
• Sitzungsneugenerierung bei der Anmeldung
• Automatische Zeitüberschreitung bei Inaktivität

💉 Verhinderung von SQL-Injection 100 % Abdeckung

Alle Datenbankabfragen verwenden vorbereitete PDO-Anweisungen, wodurch SQL-Injection-Angriffe unmöglich werden.

• Parametrisierte Abfragen in der gesamten Codebasis
• Eingabebereinigung und -validierung
• Datenbankabstraktionsschicht für Portabilität

🔍 Umfassende Audit-Protokollierung

Jede sicherheitsrelevante Aktion wird mit allen Details für forensische Analysen protokolliert.

• Benutzeranmeldungen, Abmeldungen, Passwortänderungen
• Datei-Uploads, -Downloads, -Löschungen
• Fehlgeschlagene Anmeldeversuche und Sicherheitssperren
• Admin-Aktionen und Systemänderungen
• IP-Adressen, Zeitstempel und User-Agents

⚖️ Tools zur gesetzlichen Konformität Kanadisches Recht

Integrierte Tools für die rechtskonforme Inhaltsmoderation und die Einhaltung kanadischen Rechts.

• Dashboard zur Inhaltsmoderation für Admins
• CSAM-Meldung an NCMEC/Cybertip.ca/RCMP
• Beweissicherung für Strafverfolgungsbehörden
• Verhindern Sie kriminellen Missbrauch bei gleichzeitigem Schutz der Privatsphäre

👥 Rollenbasierte Zugriffskontrolle

Dreistufiges Berechtigungssystem für die Gruppenzusammenarbeit mit klaren Hierarchien.

• Eigentümer: Volle Kontrolle, Abrechnungsverwaltung, Mitgliederfreigabe
• Admin: Mitgliederverwaltung, Dateimoderation
• Mitglied: Dateifreigabe, Nachrichten innerhalb der Gruppe

🌐 Sicheres Hosting

Gehostet auf kanadischer Infrastruktur, um digitale und Domain-Souveränität mit kanadischem Datenstandort zu gewährleisten.

• SSL/TLS-Verschlüsselung für alle Verbindungen
• DDoS-Schutz und Datenverkehrsfilterung
• Regelmäßige Sicherheitsupdates und Patches
• Firewall-Schutz und Einbruchserkennung

🔑 Sicherheit von Umgebungsvariablen

Haupt-Verschlüsselungsschlüssel und API-Zugangsdaten werden sicher in Umgebungsvariablen gespeichert.

• Keine Geheimnisse im Code oder in der Versionsverwaltung
• SetEnv in .htaccess für die Produktion
• Getrennte Entwicklungs-/Produktionskonfigurationen

📁 Schutz des Upload-Verzeichnisses

Eine spezielle Konfiguration verhindert die Ausführung schädlicher Dateien in Upload-Verzeichnissen.

• .htaccess blockiert die PHP-Ausführung in uploads/
• Dateitypvalidierung und -bereinigung
• Größenbeschränkungen verhindern Speichermissbrauch

🚨 Echtzeit-Bedrohungserkennung

Automatisierte Systeme überwachen verdächtige Aktivitäten und reagieren sofort.

• Erfassung und Analyse fehlgeschlagener Anmeldungen
• Erkennung ungewöhnlicher Zugriffsmuster
• Automatische IP-Sperren bei Angriffen
• E-Mail-Benachrichtigungen an Administratoren

📈 Dashboard für Sicherheitsanalysen

Das Admin-Dashboard bietet Sicherheitskennzahlen und Erkenntnisse in Echtzeit.

• Fehlgeschlagene Anmeldeversuche (24-Stunden-Ansicht)
• Aktive IP-Sperren
• Dauerhafte Sperren
• Virenscan-Statistiken
• Überwachung der Benutzeraktivität