Abhörsichere Kommunikation für Kanzleien, Industrie und Family Offices.
Schlüsselfertige Krypto-Kommunikations-Stacks auf eigener Infrastruktur: verschlüsselter Matrix-Messenger, gehärtete SIP-Telefonie und autarke Notfall-Lines. Defense in Depth mit WireGuard-only-Zugriff, SIPS und SRTP, RAM-Only-Servern und GrapheneOS-Endgeräten. Stand der Technik nach §30 Abs. 2 BSIG. EU-Hosting oder On-Premises, keine US-Cloud.
Vier Schichten, jede einzeln prüfbar dokumentiert.
Defense in Depth bedeutet: Jede Schicht ist für sich genommen wirksam, und der Ausfall einer einzelnen Schicht kompromittiert nicht das Gesamtsystem. Alle eingesetzten Primitive sind dokumentiert, peer-reviewed und Industriestandard, keine Eigenentwicklungen im kryptografischen Kern.
Netzwerk-Festung mit WireGuard-Zwang
Der Kommunikations-Server ist niemals direkt aus dem öffentlichen Internet erreichbar. SIP (5061) und HTTPS (443) lauschen ausschließlich auf dem internen VPN-Interface. Verbindungsaufbau via WireGuard mit ChaCha20-Poly1305. Pakete unbefugter IP-Adressen werden kommentarlos verworfen, der Server bleibt für Scans unsichtbar.
Transport- und Inhaltsverschlüsselung
Telefonie: SIPS mit erzwungenem TLS 1.3 und SRTP mit AES-256-GCM, Schlüsselaushandlung via ECDHE für Perfect Forward Secrecy. Messaging und Video: dedizierter Matrix-Synapse-Server mit E2EE über das Olm- und Megolm-Ratchet-Protokoll. CBR-Opus-Codec mit fixer Bitrate verhindert Traffic-Größenanalyse, also die Rekonstruktion von Sprachmustern und Sprechpausen aus der Paketgröße.
Forensik-resistente RAM-Only-Architektur
Alle Pfade für temporäre Dateien und Logs (etwa /var/log und /tmp) liegen als tmpfs direkt im Arbeitsspeicher. Beim Herunterfahren oder Stromverlust werden alle flüchtigen Spuren physikalisch verworfen. Persistente Identitäts-Schlüssel liegen verschlüsselt auf separat verwalteten Volumes und können bei Bedarf hardware-gestützt (TPM, YubiKey) entsperrt werden.
Autarke Notfall-Infrastruktur
Im Red-Phone-Segment ist die Abhängigkeit von lokaler Mobilfunkinfrastruktur eliminiert. Anbindung wahlweise über Starlink-Mini, Iridium-Certus oder einen vergleichbaren Satelliten-Pfad. Endgeräte sind modifizierte Smartphones unter GrapheneOS ohne Google-Services, mit strikter App-Sandboxing-Policy. Stromversorgung mit USV plus optionalem Solar-Modul.
Drei Festpreis-Pakete für Kanzleien und Industrie.
Netto-Preise zuzüglich gesetzlicher Umsatzsteuer (DC INFOSEC ist Kleinunternehmer nach §19 UStG, weist daher keine USt aus). Jedes B2B-Setup beinhaltet ein simuliertes Angriffsaudit und ein Konformitäts-Dokument für Wirtschaftsprüfer im Sinne von §30 BSIG.
Schlüsselfertiges Matrix-Synapse-Setup mit E2EE-Messaging und integrierter Sprach- und Video-Telefonie auf eigener Infrastruktur. Inklusive GrapheneOS-Konfiguration für bis zu drei Schlüssel-Endgeräte und Onboarding-Workshop.
- Matrix-Synapse auf eigener Infrastruktur (Sovereign Cloud DE oder On-Premises)
- WireGuard-Tunnel für alle Client-Server-Verbindungen
- E2EE-Chat über Olm- und Megolm-Ratchet
- Bis zu 3 GrapheneOS-konfigurierte Endgeräte inklusive
- Konformitäts-Dokument für Wirtschaftsprüfer (§30 BSIG)
Parallelbetrieb einer dedizierten kryptografischen SIP-PBX (Asterisk) und des Matrix-Messengers. Inklusive SIP-Trunk-Anbindung an das öffentliche Telefonnetz, sodass eingehende Rufe von Externen genauso ankommen wie auf einer klassischen TK-Anlage.
- Asterisk-PBX mit SIPS, TLS 1.3 und SRTP AES-256-GCM
- SIP-Trunk-Provider-Anbindung mit deutschem Standort
- Matrix-Synapse parallel für Messaging und Video
- Bis zu 5 GrapheneOS-konfigurierte Endgeräte inklusive
- Simuliertes Angriffsaudit (Penetration Test) inklusive Bericht
Kontinuierliche Krypto-Updates, proaktives Sicherheitsmonitoring, Instandhaltung der RAM-Only-Strukturen und Reaktionsbereitschaft mit Antwortzeit unter 4 Stunden während der Bereitschaft (Mo bis Fr, 7 bis 22 Uhr).
- Monatliche Krypto-Updates und Schwachstellen-Patches
- Sicherheitsmonitoring mit Alarmierung an Ihren Ansprechpartner
- Quartals-Audit der RAM-Only- und WireGuard-Konfiguration
- Reaktionszeit unter 4h werktags, dokumentierte Eskalations-Kette
- Change-Management ohne zusätzliche Stundensätze
Die taktische Notfall-Line für Familienunternehmen.
Für Eigentümerfamilien und Family Offices, deren physische Welt durch Sicherheitsdienste und gepanzerte Fahrzeuge geschützt ist, bei denen aber die digitale Kommunikation im Krisenfall ungesichert bleibt. Ein schlüsselfertiges Kit aus zwei gehärteten GrapheneOS-Endgeräten, einem autarken Server mit Satelliten-Anbindung und einer diskreten Vor-Ort-Einweisung des Krisenstabs.
Der Red-Phone-Track ist bewusst nicht als öffentliches Listenprodukt konzipiert. Zuschnitt, Verfügbarkeits-Zusagen und Betriebs-Modell werden in einem Erstgespräch unter NDA individuell festgelegt. Preise auf Anfrage, abhängig von Anzahl der Endgeräte, Standort der Server, gewünschten Eskalations-Pfaden und Familienangehörigen im Schutzkreis.
Anfragen werden ausschließlich von Deniz Ceylan persönlich bearbeitet. NDA-Vorlage auf Wunsch vorab. Keine Auslagerung an Dritte.
- Zwei gehärtete GrapheneOS-EndgerätePixel-Hardware mit GrapheneOS, App-Whitelisting, deaktiviertem Modem-Diagnose-Interface, geprüftem Recovery-Pfad.
- Autarker ServerOn-Premises oder Sovereign Cloud in Deutschland, RAM-Only, USV plus optional Solar-Modul für Notbetrieb ohne Netzstrom.
- Satelliten-BackupStarlink-Mini, Iridium-Certus oder vergleichbar. Aktivierungspfad ohne Abhängigkeit vom lokalen Mobilfunk- oder Festnetz-Carrier.
- Krisenstabs-EinweisungDiskrete Vor-Ort-Schulung von Kernfamilie und definiertem Krisenstab. Übungs-Drill, dokumentierte Handlungs-Sequenzen.
Bedrohungsszenarien, in denen Standard-Tools nicht ausreichen
Diese Liste fasst Konstellationen zusammen, die im Mandantenkontakt regelmäßig auftauchen. Welche davon für Sie konkret relevant sind und ob der vorgeschlagene Stack das richtige Mittel ist, klären wir vor jedem Festpreis-Angebot.
- >_M-und-A-Verhandlungen mit hohem Transaktionsvolumen, in denen ein Leak eines einzigen Term-Sheets die Bewertung verschiebt
- >_Mandatsgeheimnis-pflichtige Berufsträger (Anwälte, Notare, Insolvenzverwalter, Steuerberater) mit hochsensiblen Akten
- >_Hidden Champions im Maschinenbau oder Biotech mit konkret nachgewiesener Wirtschaftsspionage-Exposition
- >_Auslandsreisen von Geschäftsführung in Regionen mit dokumentiertem staatlichem IT-Zugriff
- >_Familienunternehmen mit aktiver Erpressungs- oder Entführungs-Bedrohungslage gegen die Eigentümerfamilie
- >_Krisenstabs-Kommunikation, in der ein Ausfall des regulären Telefon- und Internet-Anschlusses ein realistisches Szenario ist
- >_Compliance-Pflicht nach NIS-2 in Verbindung mit besonderem Schutzbedarf (kritische Lieferketten, vertraulich klassifizierte Daten)
- >_Investigative Recherchen oder rechtsanwaltliche Whistleblower-Mandate, in denen Quellenschutz technisch absicherbar sein muss
Wann reicht Signal oder Threema, wann lohnt sich ein souveräner Stack.
Wir empfehlen unseren Stack nicht jedem. Für interne Mitarbeiter-Chats sind Signal Business und Threema Work meist die bessere Wahl, weil günstiger und im Alltag etablierter. Unser Stack hat seine Berechtigung dort, wo Server-Hoheit, VoIP-Integration, Forensik-Resistenz oder Notfall-Autarkie nicht verhandelbar sind.
| Kriterium | Signal | Threema Work | MS Teams | DC INFOSEC |
|---|---|---|---|---|
| E2EE-Messaging | Ja, sehr ausgereift | Ja, ausgereift | Begrenzt (Tenant-Kontext) | Ja, Matrix-Olm und Megolm |
| Eigene Server-Infrastruktur | Nein | Optional (OnPrem-Lizenz, teuer) | Nein (US-Cloud) | Ja, Sovereign Cloud DE oder On-Premises |
| VoIP-PBX mit SIP-Trunk | Nein | Nein | Ja (Microsoft-gebunden) | Ja, Asterisk mit SIPS und SRTP |
| Forensik-resistente Logs | Teilweise (Sealed Sender) | Teilweise | Nein | Ja, RAM-Only tmpfs |
| Satelliten-Notfall-Pfad | Nicht vorgesehen | Nicht vorgesehen | Nicht vorgesehen | Ja, im Red-Phone-Track |
| Geeignet für Routine-Mitarbeiterchat | Sehr gut | Sehr gut | Sehr gut | Funktional, aber überdimensioniert |
Anmerkung: Für höchste staatlich-klassifizierte Schutzziele (NATO-Restricted und höher, BSI-VS-NfD-zugelassene Hardware) sind separat zugelassene Lösungen wie Secusmart erforderlich. Wir bieten diese Klasse nicht an und sagen das offen, statt unter der gleichen Überschrift zu firmieren.
Was Mandanten typischerweise vorher wissen wollen.
Was unterscheidet diesen Stack von Signal, Threema oder Microsoft Teams?
Signal und Threema sind sehr gute Endnutzer-Messenger mit starker E2EE, aber Sie kontrollieren die Server-Infrastruktur, das User-Provisioning und die Metadaten nicht. Microsoft Teams ist für interne Routine-Kommunikation geeignet, aber bei sensiblen Mandanten-Daten kollidiert es mit DSGVO-Risiken (US-Cloud, FISA, CLOUD Act). Unser Stack liefert Server-Hoheit (eigene Matrix-Synapse, eigene Asterisk-PBX), TLS-1.3 und WireGuard-Zwang, RAM-Only-Logs und konfigurierbare Compliance. Trade-off: höherer Initial- und Betriebsaufwand, dafür echte Datensouveränität.
Ist das wirklich gegen staatliche Akteure sicher?
Wir machen keine pauschalen Aussagen wie 'mathematisch unknackbar'. Konkret: Der Stack nutzt TLS 1.3 mit ECDHE-Schlüsselaushandlung und Perfect Forward Secrecy, AES-256-GCM, ChaCha20-Poly1305, Matrix-Olm/Megolm-Ratchet für E2EE-Chat, CBR-Opus zur Unterdrückung von Traffic-Größenanalyse. Diese Primitive sind aktueller Industriestandard und gelten gegen die meisten gezielten Wirtschaftsspionage-Operationen als ausreichend. Gegen Endpoint-Kompromittierung (Gerät selbst gehackt) hilft kein Krypto-Stack, deshalb sind GrapheneOS-Härtung und organisatorische Disziplin Pflichtbestandteil. Höhere Schutzziele (NATO, klassifizierte Behörden-Kommunikation) brauchen separat zertifizierte Hardware wie Secusmart, die wir nicht anbieten.
Wie erfüllt das NIS-2?
§30 Abs. 2 Nr. 8 BSIG fordert Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung im Sinne des Stands der Technik. Mit jedem B2B-Setup liefern wir ein technisches Dokument für den Wirtschaftsprüfer, das die konkret eingesetzten Primitive, die Schlüsselverwaltung, die Update-Prozesse und die Incident-Response-Reaktionszeiten benennt. Eingesetzt im Zusammenspiel mit den übrigen Pflichten aus §30 BSIG (Risikoanalyse, Zugriffsmanagement, Backups, MFA) deckt der Stack die Krypto-Pflicht im Sinne des aktuellen BSI-Stand-der-Technik-Bandes ab.
Wer betreibt die Server: wir, ihr oder ein Dritter?
Zwei Optionen: Sovereign Cloud in Deutschland (Hetzner Robot, IONOS Enterprise oder ein vergleichbarer EU-Anbieter, vertraglich abgesichert, physisch in DE) oder On-Premises in Ihrem eigenen Rechenzentrum, dann betreut von Ihrem IT-Team oder im Rahmen des Operational-Support-Vertrags von uns. Wir empfehlen für Kanzleien die Sovereign Cloud, für Familienunternehmen mit Notfall-Anspruch eher On-Premises plus ein redundantes Backup-Setup.
Was passiert bei einem Server-Ausfall?
Drei Stufen: tägliches verschlüsseltes Backup der Konfiguration und der notwendigen Identity-Schlüssel, Hot-Standby für Operational-Support-Kunden (Failover binnen Minuten), und für das Red-Phone-Segment ein zweiter, geografisch getrennter Knoten mit eigener Stromversorgung und Satelliten-Anbindung. Inhaltliche Verläufe sind aufgrund der RAM-Only-Architektur nicht persistent, das ist gewollt und Teil des Threat-Modells.
Reaktionszeit im Vorfall?
Operational Support B2B: unter 4 Stunden an Werktagen während der Bereitschaft (Montag bis Freitag, 7 bis 22 Uhr). Außerhalb dieser Zeiten und an Wochenenden best-effort. Eine echte 24/7-Hotline mit garantierter Sofort-Reaktion bieten wir derzeit ausschließlich im Rahmen individueller Red-Phone-Mandate an, in denen Verfügbarkeit explizit Teil der Scoping-Vereinbarung wird und gegebenenfalls über benannte Partner abgesichert ist. Wir kommunizieren Kapazitätsgrenzen offen, bevor ein Mandat zustande kommt.
Wie viele Mandate können Sie parallel betreuen?
B2B-Setups parallel: typischerweise drei bis vier laufende Engagements, plus die im Operational-Support befindlichen Bestandskunden. Red-Phone-Mandate strikt limitiert auf eine sehr kleine Zahl, damit Reaktionszeiten und Diskretion belastbar bleiben. Bei voller Auslastung sagen wir ab oder vermitteln transparent.
Was passiert, wenn die Mandatssphäre nachweislich gebrochen wurde?
Sofort-Eskalation in den Incident-Response-Modus, technische Forensik im Rahmen der Möglichkeiten (durch RAM-Only ist Server-seitig wenig zu finden, was Stärke und Grenze zugleich ist), Unterstützung bei der Kommunikation gegenüber Mandanten, Aufsichtsbehörden und einer von Ihnen mandatierten Anwaltskanzlei. Wir kooperieren mit den von Ihnen ausgewählten Beratern, ohne ein festes Partnerschafts-Netzwerk zu verkaufen.
Bedrohungsmodell zuerst, Festpreis danach.
Im Erstgespräch klären wir Ihr tatsächliches Bedrohungsmodell: Was schützen wir, vor wem, mit welchen organisatorischen Rahmenbedingungen. Erst danach ein verbindlicher Festpreis und eine realistische Lieferzeit. Keine Tagessätze, keine offenen Endpositionen.