Zurück zum Blog
Sicherheit5. April 20265 Min

Sicherheits-Update 2026: Was wir für den Schutz eurer Daten tun

Von AES-256-Verschlüsselung über SSRF-Schutz bis zum EU AI Act — ein Blick hinter die Kulissen unserer Sicherheitsarchitektur.

Vertrauen ist die Grundlage jeder Business-Software

Wenn ein KI-Agent Zugriff auf Firmendaten, E-Mails und Business-Systeme hat, muss die Sicherheit stimmen. Nicht als nachträgliches Feature, sondern als Fundament. Hier ist ein Blick hinter die Kulissen unserer Sicherheitsarchitektur.

Verschlüsselung: AES-256-GCM

Alle sensiblen Daten — API-Keys, OAuth-Tokens für Integrationen, hinterlegte Wissensquellen — werden mit AES-256-GCM verschlüsselt. Jeder Datensatz hat seinen eigenen Initialization Vector (IV). Die Verschlüsselung erfolgt auf Anwendungsebene, nicht nur auf Datenbankebene.

Tenant Isolation

Jedes Unternehmen arbeitet in einem vollständig isolierten Tenant. Daten, Konfigurationen und Agenten sind strikt getrennt. Es gibt keine gemeinsame Datenhaltung zwischen Kunden — auch nicht für Caching oder Analytics.

SSRF-Schutz mit DNS-Auflösung

Wenn Agenten externe APIs oder Webhooks aufrufen, prüft Taabit die Ziel-URL auf SSRF-Angriffe (Server-Side Request Forgery). DNS wird vorab aufgelöst und gegen Blocklisten geprüft — interne Netzwerke und Metadaten-Endpoints sind nicht erreichbar.

Rate Limiting und Abuse Protection

Jeder API-Endpoint ist mit Rate Limiting geschützt. Zusätzlich gibt es adaptive Limits pro Tenant, die bei ungewöhnlichem Verhalten automatisch greifen.

Authentifizierung: SSO, OIDC, SAML und MFA

Taabit unterstützt Single Sign-On über OIDC und SAML 2.0 — inklusive Entra ID, Google Workspace und andere Identity Provider. Multi-Faktor-Authentifizierung (MFA) ist für alle Pläne verfügbar und für Enterprise-Kunden obligatorisch.

Audit Logging

Jede Aktion — ob von einem Benutzer oder einem Agenten ausgeführt — wird im Audit-Log protokolliert. Wer hat wann was getan? Welches Tool wurde aufgerufen? Was war das Ergebnis? Das Audit-Log ist für Admins jederzeit einsehbar und exportierbar.

So sieht das in der Praxis aus

Beispiel: Ein Mitarbeitender lässt den Agenten eine Mahnung an einen Kunden senden. Im Audit-Log steht später:

14:32 — User „Sandra Müller" → Agent „Buchhaltung" Aktion: bexio_api_call POST /2.0/kb_invoice/4521/send_reminder Empfänger: info@kunde-xy.ch Ergebnis: 200 OK, Mahnung versendet Bestätigung: Sandra hat „Senden" bestätigt um 14:31:58

Drei Dinge sind hier garantiert: (1) Sandra hat die Mahnung selbst freigegeben — der Agent hat nicht autonom gesendet, weil „Mahnung versenden" als kritische Aktion konfiguriert ist. (2) Der genaue API-Call ist nachvollziehbar — bei einer Reklamation kann der Admin sofort sehen was der Agent wirklich getan hat. (3) Das Log ist immutable — auch der Tenant-Admin kann Einträge nicht löschen, nur exportieren.

Compliance: DSGVO, nDSG, EU AI Act

  • DSGVO / GDPR — Vollständige Konformität mit der europäischen Datenschutz-Grundverordnung
  • nDSG — Konformität mit dem neuen Schweizer Datenschutzgesetz
  • EU AI Act (Art. 50) — Transparenzpflicht: KI-generierte Inhalte sind als solche gekennzeichnet

Datenstandort: EU only

Alle Daten werden ausschliesslich in der EU verarbeitet und gespeichert (Azure Sweden Central). Es gibt keine Datentransfers in die USA oder andere Drittländer. Das gilt für Kundendaten, LLM-Anfragen und Backups.

Datenaufbewahrung: Konfigurierbar

Jeder Tenant kann die Aufbewahrungsdauer für Konversationen und Logs selbst festlegen — von 30 bis 365 Tagen. Nach Ablauf werden Daten automatisch und unwiderruflich gelöscht (Purge).

Fazit

Sicherheit ist kein Feature — sie ist das Fundament. Jede Architekturentscheidung bei Taabit wird zuerst aus der Sicherheitsperspektive getroffen. Weil ein KI-Agent, dem man nicht vertrauen kann, keinen Nutzen hat.

Vom Login bis zur ersten ausgeführten Aktion — in unter einer Stunde.

Konto anlegen, Microsoft 365 oder Bexio per OAuth verbinden, Vorlage wählen, einsetzen. Keine Kreditkarte, keine Implementierungsphase.

Kostenlos starten