Jürgen Roßkamp Rechnung.best – Stand: März 2026
(1) Alle Server von rechnung.best werden ausschließlich in der Europäischen Union betrieben. Der primäre Serverstandort ist Deutschland (Hetzner Online GmbH, Gunzenhausen).
(2) Es werden keine Cloud-Dienste außerhalb der EU für die Speicherung von Kundendaten eingesetzt. Drittanbieter-Dienste außerhalb der EU (z.B. Stripe für Zahlungsabwicklung) verarbeiten ausschließlich Abrechnungsdaten des Kunden selbst, nicht die Daten seiner eigenen Kunden.
(3) Die physische Sicherheit der Server liegt in der Verantwortung von Hetzner Online GmbH und umfasst u.a. Zutrittskontrollen, Videoüberwachung, redundante Stromversorgung und Brandschutz nach ISO 27001-Standards.
(4) Die Plattform ist ausschließlich über HTTPS (TLS) erreichbar. Unverschlüsselte HTTP-Verbindungen werden serverseitig auf HTTPS umgeleitet.
(1) Datenübertragung (Transit): Alle Verbindungen zwischen Ihrem Browser und den Servern von rechnung.best sind durch TLS 1.2 oder höher verschlüsselt. TLS 1.0 und 1.1 sind deaktiviert. Veraltete Cipher-Suites werden nicht unterstützt.
(2) Datenspeicherung (at rest): Sensible Daten werden mit AES-256 verschlüsselt gespeichert. Passwörter werden niemals im Klartext gespeichert, sondern mit bcrypt gehasht (aktueller Work-Factor).
(3) E-Mail-Übertragung: Ausgehende E-Mails (Rechnungsversand, Bestätigungen) werden über TLS-gesicherte SMTP-Verbindungen übertragen. STARTTLS ist aktiviert.
(4) Backups: Backup-Daten werden verschlüsselt gespeichert und über verschlüsselte Verbindungen übertragen.
(1) Serveradministration: Der Zugang zu Produktionssystemen erfolgt ausschließlich über SSH mit kryptografischen Schlüsseln (SSH-Key-only). Passwort-basierte SSH-Logins sind deaktiviert. Root-Login über SSH ist gesperrt.
(2) Brute-Force-Schutz: Fail2ban überwacht Anmeldeversuche und sperrt IP-Adressen bei wiederholten fehlgeschlagenen Versuchen automatisch.
(3) Rollenbasiertes Berechtigungskonzept (RBAC): Nutzer auf der Plattform erhalten nur die Berechtigungen, die für ihre Rolle notwendig sind (Minimalprinzip). Unterschiedliche Rollen (z.B. Administrator, Mitarbeiter, Buchhaltung) haben unterschiedliche Zugriffsrechte.
(4) JWT-Token: Sitzungen werden durch signierte JSON Web Tokens (JWT) mit definierten Ablaufzeiten verwaltet. Token werden serverseitig invalidiert, wenn sich ein Nutzer abmeldet.
(5) Datenbankzugriff: Die Anwendung verbindet sich mit der Datenbank unter einem Nutzer mit minimalen notwendigen Datenbankrechten. Direkte Datenbankzugriffe von außen sind durch Firewall-Regeln unterbunden.
(1) Automatisierte Datenbank-Backups werden täglich durchgeführt.
(2) Backups werden für 30 Tage aufbewahrt und danach automatisch gelöscht.
(3) Alle Backups werden verschlüsselt gespeichert und über verschlüsselte Verbindungen übertragen.
(4) Die Integrität der Backups wird regelmäßig durch Testwiederherstellungen überprüft.
(5) Backups sind von Kundendaten getrennt und können nicht ohne administrative Autorisierung abgerufen werden.
(1) rechnung.best ist vollständig GoBD-konform (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).
(2) Unveränderbarkeit: Einmal erstellte und finalisierte Rechnungen können nicht mehr inhaltlich verändert werden. Korrekturen erfolgen ausschließlich durch Stornorechnung und Neuerstellung.
(3) Audit-Trail: Kritische Aktionen (Erstellung, Stornierung, Löschung von Dokumenten) werden mit Zeitstempel, Nutzer-ID und IP-Adresse protokolliert.
(4) Aufbewahrungsfristen: Die Plattform unterstützt die gesetzlich vorgeschriebenen Aufbewahrungsfristen (10 Jahre für Buchführungsunterlagen gem. § 147 AO).
(5) Fortlaufende Nummerierung: Rechnungsnummern werden lückenlos und manipulationssicher vergeben.
(1) rechnung.best ist eine Multi-Mandanten-Plattform. Die vollständige Isolation der Daten zwischen verschiedenen Kunden (Mandanten) ist ein grundlegendes Sicherheitsprinzip der Plattform.
(2) Technische Umsetzung: Jede Datenbankabfrage enthält zwingend einen Mandanten-Filter (tenant_id). Ein technischer Zugriff auf fremde Mandantendaten ist durch die Anwendungsarchitektur ausgeschlossen.
(3) Überprüfung: Die Mandantentrennung wird bei jeder Code-Änderung im Rahmen von Code-Reviews und automatisierten Tests überprüft.
(4) Auch Administratoren des Betreibers können im regulären Betrieb nicht auf Ihre verschlüsselten Daten zugreifen, ohne eine nachvollziehbare Begründung und Protokollierung.
(1) Im Fall einer Datenpanne oder eines Sicherheitsvorfalls, der personenbezogene Daten betrifft, informiert rechnung.best betroffene Kunden innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls.
(2) Gleichzeitig erfolgt die Meldung an die zuständige Datenschutz-Aufsichtsbehörde (BfDI – Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) gemäß Art. 33 DSGVO.
(3) Die Benachrichtigung enthält eine Beschreibung des Vorfalls, der betroffenen Daten, der wahrscheinlichen Folgen sowie der ergriffenen Maßnahmen.
(4) Ein Incident-Response-Plan definiert interne Prozesse für Erkennung, Eindämmung, Beseitigung und Wiederherstellung bei Sicherheitsvorfällen.
(1) Betriebssystem-Updates: Sicherheitsrelevante System-Updates werden monatlich oder bei kritischen Schwachstellen unverzüglich eingespielt.
(2) Dependency-Updates: Abhängigkeiten der Anwendung (Node.js-Pakete) werden regelmäßig auf bekannte Sicherheitslücken überprüft und aktualisiert. Es werden automatisierte Sicherheits-Scans (npm audit) eingesetzt.
(3) Penetrationstests: Regelmäßige Überprüfungen der Anwendung auf Sicherheitslücken werden durchgeführt.
(4) OWASP Top 10: Die Anwendungsentwicklung orientiert sich an den OWASP Top 10-Sicherheitsrisiken. SQL-Injection, XSS, CSRF und andere gängige Angriffsvektoren werden durch geeignete Maßnahmen abgewehrt.
(1) Wenn Sie eine Sicherheitslücke in rechnung.best entdecken, bitten wir Sie, diese verantwortungsvoll zu melden, bevor Sie sie öffentlich bekannt machen.
(2) Bitte senden Sie Ihre Meldung an:
E-Mail: security@rechnung.best
Betreff: [SECURITY] [Kurzbeschreibung]
(3) Bitte geben Sie in Ihrer Meldung an:
(4) Wir bestätigen den Eingang Ihrer Meldung innerhalb von 5 Werktagen und halten Sie über den Fortschritt der Behebung informiert.
Jürgen Roßkamp Rechnung.best
Heinrich-Heine-Str. 20, 10179 Berlin
E-Mail: support@rechnung.best |
Sicherheitsmeldungen: security@rechnung.best