Sicherheit & Infrastruktur

Rechenzentrum

AWS Frankfurt (eu-central-1) – ausschließlich Deutschland – ISO 27001, SOC 2 Type II, AWS DPA unterzeichnet

Netzwerk-Architektur

3-Tier VPC: öffentliche Schicht (nur ALB), private App-Schicht (n8n-Instanzen ohne öffentliche IP), isolierte Datenschicht (PostgreSQL ohne Internetzugang)

Kunden-Isolation

Separate n8n-Instanz und separate Datenbank pro Kunde – keine geteilten Ressourcen, vollständige Datentrennung

Ausgehende API-Calls

Über NAT Gateway – externe Dienste sehen nur die NAT-IP, keine internen Adressen

Verschlüsselung (Transit)

TLS 1.2+ via AWS Certificate Manager am Application Load Balancer – alle HTTP-Anfragen werden 301 auf HTTPS umgeleitet

Verschlüsselung (Ruhe)

RDS-Speicher AES-256 (AWS Nitro System), CloudTrail-Logs AES-256 in S3, S3-Buckets ohne öffentlichen Zugriff

Datenbankverbindung

SSL auf allen Datenbankverbindungen erzwungen

WAF & Rate-Limiting

AWS WAF am ALB: 2.000 Anfragen/5 Min./IP – Schutz vor Brute-Force, DDoS-Versuchen und Webhook-Missbrauch

Netzwerk-Segmentierung

Security Groups mit Deny-All-by-Default: nur explizit definierter Datenverkehr ist zugelassen

IAM & MFA

Least-Privilege IAM-Rollen, MFA auf allen Accounts verpflichtend – Root-Account gesperrt: kein Zugriffsschlüssel, MFA aktiv, nur für Account-Operationen genutzt

Kein SSH-Zugang

Instance-Management ausschließlich über AWS SSM Session Manager – auditierbar, IAM-authentifiziert, kein direkter SSH-Zugang möglich

Secret Storage

AWS Secrets Manager: AES-256-verschlüsselt, niemals im Klartext oder in Logs, namespaced pro Kunde

Key-Rotation

Standard: alle 90 Tage. Notfall-Rotation: < 2 Stunden bei Incident

AWS CloudTrail

Multi-Region Audit-Trail: jeder API-Aufruf über alle AWS-Services wird protokolliert – verschlüsselt, mit Log-Datei-Validierung

Log-Inhalte

Keine sensiblen Payloads in Logs – nur Metadaten (Timestamp, Status, Fehlercode)

Log-Retention

30 Tage Standard, konfigurierbar auf Anfrage

Log-Zugriff

Nur autorisiertes Personal – alle Zugriffe über IAM auditierbar

RDS-Backups

Automatische RDS-Backups täglich (Fenster: 03:00–04:00 UTC), 7 Tage Aufbewahrung

Workflow-Konfigurationen

Tägliche Sicherung aller Workflow-Konfigurationen

Datenresidenz

Alle Backups ausschließlich in eu-central-1 (Frankfurt) – keine Daten verlassen die EU

AWS GuardDuty

Kontinuierliche Bedrohungserkennung: scannt CloudTrail, VPC Flow Logs und DNS-Logs – Findings via EventBridge automatisch weitergeleitet

AWS CloudWatch

Alarme bei CPU-Auslastung, Speicherkapazität und Fehlerquoten – Alerting via SNS E-Mail. WAF-Metriken ebenfalls in CloudWatch überwacht

Workflow-Heartbeat

Alle 5 Minuten auf Verfügbarkeit geprüft – Alert bei Fehlerquote > 1 % oder Ausfall

Monatsbericht

Betriebsbericht mit Uptime, Incident-Übersicht und API-Änderungen

Definition Ausfall

Workflow reagiert nicht auf Trigger oder produziert > 1 % Fehlerquote

Reaktion Stufe 1

Automatisches Alert → technischer Check ≤ 1h (Mo–Fr, 09–18 Uhr)

Reaktion Stufe 2

Direktkontakt Kunde ≤ 4h nach Eskalation (Bürozeiten)

24/7 Option

Alarmierung außerhalb Bürozeiten – Enterprise-Wartungspaket