Zum Inhalt springen
Lexiik
rollback

API-Sicherheit: Datenschutz und DSGVO-Konformität

Zuletzt aktualisiert : 9 février 2026

Die Sicherheit Ihrer Daten hat für uns höchste Priorität. Erfahren Sie, wie Lexiik Ihre sensiblen Informationen mit den höchsten Branchensicherheitsstandards schützt und dabei vollständige DSGVO-Konformität gewährleistet.

ISO 27001-Zertifizierung

Lexiik ist ISO 27001-zertifiziert (Informationssicherheit) und wird jährlich von einer unabhängigen Stelle geprüft. Ihre Daten werden nach den strengsten internationalen Normen geschützt.

Sicherheitsarchitektur von Lexiik

Die Sicherheit von Lexiik basiert auf einem Defense in Depth-Ansatz (Tiefenverteidigung) mit mehreren unabhängigen Schutzschichten. Selbst wenn eine Schicht kompromittiert wird, garantieren die anderen den Schutz Ihrer Daten.

Verschlüsselung bei der Übertragung (TLS 1.3)

Alle Kommunikationen zwischen Ihrem Shop und den Lexiik-Servern sind mit TLS 1.3 verschlüsselt, dem neuesten und robustesten Sicherheitsprotokoll:

  • Perfect Forward Secrecy (PFS): Selbst wenn ein Schlüssel kompromittiert wird, bleiben vergangene Kommunikationen sicher
  • Wildcard-SSL-Zertifikate: *.lexiik.com und cdn.lexiik.com mit automatischer Erneuerung
  • HSTS aktiviert: Zwingt den Browser, immer HTTPS zu verwenden (kein Downgrade auf HTTP möglich)
  • TLS 1.0/1.1 deaktiviert: Veraltete Protokolle blockiert, nur TLS 1.2 und 1.3 werden akzeptiert

Gut zu wissen

Bewertung A+ auf SSL Labs (Referenz-SSL-Sicherheitstest). Sie können unsere Konfiguration jederzeit auf ssllabs.com überprüfen.

Verschlüsselung im Ruhezustand (AES-256)

Alle auf den Lexiik-Servern gespeicherten Daten werden mit dem AES-256-Algorithmus (Advanced Encryption Standard, 256-Bit-Schlüssel) verschlüsselt, der selbst von der NSA als unknackbar gilt:

  • Datenbank: Vollständige PostgreSQL-Verschlüsselung mit Transparent Data Encryption (TDE)
  • Snapshots: Jeder Snapshot wird individuell mit einem abgeleiteten einzigartigen Schlüssel verschlüsselt
  • Bilder: Originalbilder (vor CDN-Optimierung) werden im S3-Speicher verschlüsselt
  • Logs: Prüfprotokolle verschlüsselt und kryptografisch signiert (nicht fälschbar)

Die Verschlüsselungsschlüssel selbst werden mit einem Master Key verschlüsselt, der in einem physisch gesicherten HSM (Hardware Security Module) in unseren europäischen Rechenzentren gespeichert ist.

Tenant-Isolierung (sicheres Multi-Tenancy)

Lexiik ist eine Multi-Tenant-Plattform, was bedeutet, dass mehrere Kunden dieselbe Infrastruktur teilen. Um eine vollständige Isolierung zwischen den Konten zu gewährleisten:

  • Row-Level Security (RLS): Jede SQL-Anfrage filtert Daten automatisch nach account_id
  • Isolierte Namespaces: API-Schlüssel, Webhooks und asynchrone Jobs sind nach Tenant isoliert
  • Rate-Limiting pro Konto: Ein böswilliger Kunde kann die Leistung anderer nicht beeinträchtigen
  • Ressourcen-Kontingente: CPU, RAM, Speicher, Bandbreite pro Plan begrenzt (Fair-Use-Richtlinie)

Enterprise-Plan: Dedicated Infrastructure

Enterprise-Kunden können eine dedizierte Infrastruktur (isolierte Server und Datenbank) für vollständige physische Isolierung wählen. Kontakt: [email protected]

API-Authentifizierung und -Autorisierung

API-Schlüssel: Generierung und Rotation

Die Lexiik API verwendet geheime API-Schlüssel, um Anfragen von Ihrem Shop (über den Bridge) oder Ihren benutzerdefinierten Integrationen zu authentifizieren:

  • Format: lxk_live_xxxxxxxxxxxxxxxxxxxxx (Präfix für Live-Umgebung) oder lxk_test_xxxxxxxxxxxxxxxxxxxxx (Präfix für Testumgebung)
  • Länge: 64 Zeichen (256 Bit Entropie, also 2^256 mögliche Kombinationen = 10^77)
  • Speicherung: Als bcrypt (Kosten 12) in der Datenbank gehasht, niemals im Klartext gespeichert
  • Empfohlene Rotation: Alle 90 Tage für Pro- und höhere Pläne

Generierung eines API-Schlüssels:

  1. Gehen Sie zu Einstellungen > API und Integrationen
  2. Klicken Sie auf Neuen API-Schlüssel generieren
  3. Benennen Sie den Schlüssel (z. B. „Bridge Produktion" oder „Migrations-Skript")
  4. Kopieren Sie den angezeigten Schlüssel (er wird nie wieder angezeigt!)
  5. Speichern Sie ihn in einem Secret-Manager (1Password, Bitwarden, Vault, etc.)

Achtung

Wichtig: Committen Sie NIEMALS einen API-Schlüssel in Git, auch nicht in einem privaten Repository. Verwenden Sie Umgebungsvariablen (.env) und fügen Sie .env zu Ihrer .gitignore hinzu.

Granulare Scopes und Berechtigungen

Jeder API-Schlüssel kann eingeschränkte Berechtigungen haben (Prinzip der minimalen Rechtevergabe):

  • read:products: Produktdatenblätter lesen
  • write:products: Produktdatenblätter erstellen und ändern
  • read:audits: SEO-Audit-Berichte einsehen
  • write:audits: Ein Audit starten (verbraucht Credits)
  • read:snapshots: Auf den Verlauf zugreifen (Rollback)
  • write:snapshots: Einen Snapshot wiederherstellen (sensible Aktion)
  • admin:all: Vollständiger Zugriff (Administratoren vorbehalten)

Beispiel: Ein API-Schlüssel, der nur zur Anzeige von KPIs auf einem internen Dashboard verwendet wird, kann auf read:products und read:audits beschränkt werden.

Rate-Limiting und Missbrauchsschutz

Die Lexiik API implementiert ein striktes Rate-Limiting, um Missbrauch zu verhindern und die Verfügbarkeit zu gewährleisten:

  • Kostenloser Plan: 100 Anfragen / Stunde
  • Starter-Plan: 500 Anfragen / Stunde
  • Pro-Plan: 2.000 Anfragen / Stunde
  • Expert-Plan: 10.000 Anfragen / Stunde
  • Enterprise-Plan: Unbegrenzt (Fair-Use-Richtlinie mit Benachrichtigung bei 50.000 Anfragen/h)

Bei Überschreitung gibt die API den HTTP-Code 429 Too Many Requests mit einem Retry-After-Header zurück, der angibt, wie viele Sekunden gewartet werden soll.

Gut zu wissen

Der Lexiik Bridge (Modul für CMS) profitiert von einem höheren Rate-Limit, da Anfragen gebündelt werden (Batch Processing). Eine Synchronisierung von 1000 Produkten = 1 einzige API-Anfrage.

DSGVO-Konformität (Datenschutz-Grundverordnung)

Lexiik hält die DSGVO (EU-Verordnung 2016/679) vollständig ein und wendet die Grundsätze des Privacy by Design von Anfang an bei der Entwicklung jeder Funktion an.

100% europäisches Hosting

Alle Ihre Daten werden ausschließlich in der Europäischen Union gehostet:

  • Hauptrechenzentrum: OVHcloud Gravelines (Frankreich)
  • Sekundäre Replikation: OVHcloud Straßburg (Frankreich)
  • Tertiäre Replikation: Hetzner Falkenstein (Deutschland)
  • CDN Edge: 35 weltweite Präsenzpunkte, aber sensible Daten werden niemals außerhalb der EU gecacht

Ihre Daten werden NIEMALS über die USA oder ein Land außerhalb der EU übertragen. Wir verwenden kein AWS, Google Cloud oder Azure (Anbieter, die dem US Cloud Act unterliegen).

Erfolg

Lexiik ist bei der CNIL (Commission Nationale de l'Informatique et des Libertés) registriert und verfügt über einen zertifizierten DPO (Datenschutzbeauftragten).

Minimierung der gesammelten Daten

Lexiik erhebt nur die Daten, die für den Betrieb des Dienstes unbedingt erforderlich sind:

Erhobene Daten:

  • E-Mail (Authentifizierung und Benachrichtigungen)
  • Vor- und Nachname (Abrechnung)
  • Zahlungsdaten (gespeichert von Stripe, PCI-DSS Level 1 zertifiziert)
  • Produktdatenblätter (Titel, Beschreibung, Bilder, öffentlicher Preis, Kategorien)
  • Technische Logs (IP, User-Agent, Zeitstempel), maximal 90 Tage aufbewahrt

NIEMALS erhobene Daten:

  • Personenbezogene Daten Ihrer Endkunden (E-Mails, Adressen, Kaufhistorie)
  • Kreditkartennummern (an Stripe delegiert)
  • Passwörter im Klartext (als Argon2id gehasht)
  • Navigationsdaten in Ihrem Shop (wir sind kein Analyse-Tool)

Ihre DSGVO-Rechte

Sie können alle durch die DSGVO vorgesehenen Rechte direkt über Ihr Lexiik-Konto ausüben:

  • Auskunftsrecht (Art. 15): Alle Ihre Daten im JSON-Format herunterladen (Einstellungen > Meine Daten exportieren)
  • Recht auf Berichtigung (Art. 16): Persönliche Daten jederzeit ändern
  • Recht auf Löschung (Art. 17): Ihr Konto und alle Ihre Daten dauerhaft löschen (Einstellungen > Mein Konto löschen)
  • Recht auf Datenübertragbarkeit (Art. 20): Daten in einem Standardformat exportieren (JSON, CSV)
  • Widerspruchsrecht (Art. 21): Die Verarbeitung bestimmter Daten ablehnen (z. B. Marketing-E-Mails)
  • Recht auf Einschränkung (Art. 18): Die Verarbeitung Ihrer Daten vorübergehend aussetzen

Um Ihre Rechte auszuüben oder unseren DSB zu kontaktieren: [email protected]

Gut zu wissen

Garantierte Antwortzeit: 72 Stunden für eine Zugriffsanfrage, maximal 30 Tage für eine vollständige Löschung (gemäß Art. 12 der DSGVO).

Sicherheitsaudits und Zertifizierungen

Regelmäßige Pentests

Lexiik wird regelmäßig von spezialisierten Firmen Penetrationstests (Pentests) unterzogen:

  • Häufigkeit: 1 vollständiger Pentest alle 6 Monate (Pro- und Enterprise-Pläne)
  • Umfang: Webanwendung, API, Infrastruktur, Bridge (CMS-Module)
  • Methodik: OWASP Testing Guide v4.2 + PTES (Penetration Testing Execution Standard)
  • Bericht: Audit-Bericht auf Anfrage für Enterprise-Kunden erhältlich

Kritische und hohe Schwachstellen werden innerhalb von 48 Stunden behoben, mittlere Schwachstellen innerhalb von 7 Tagen, niedrige Schwachstellen innerhalb von 30 Tagen.

Bug-Bounty-Programm

Lexiik betreibt ein Bug-Bounty-Programm (Schwachstellenprämie), um Sicherheitsforscher zu ermutigen, Sicherheitslücken zu melden:

  • Plattform: YesWeHack (europäische Bug-Bounty-Plattform)
  • Prämien: 100 € bis 5.000 € je nach Kritikalität (CVSS-Score)
  • Scope: app.lexiik.com, api.lexiik.com, cdn.lexiik.com, Bridge-Module
  • Antwortzeit: Weniger als 24 Stunden für gültige Berichte

Zugang zum Programm: yeswehack.com/programs/lexiik

Zertifizierungen und Konformitäten

Lexiik besitzt folgende Zertifizierungen:

  • ISO 27001: Informationssicherheit (geprüft von Bureau Veritas)
  • SOC 2 Type II: Verfügbarkeit, Vertraulichkeit, Integrität (Zertifizierung in Bearbeitung)
  • DSGVO: Vollständige Konformität, zertifizierter DSB, bei CNIL registriert
  • HDS (Gesundheitsdaten-Hosting): Nicht anwendbar (nur E-Commerce)
  • PCI-DSS Level 1: Über Stripe (Zahlungsabwickler)

Premium-Funktion

Enterprise-Kunden können ein personalisiertes Compliance-Audit (SOC 2, ISO 27001, etc.) anfordern, um ihren internen Anforderungen gerecht zu werden.
Enterprise-Team kontaktieren →

Sicherheits-Best-Practices für Benutzer

Verwaltung von API-Schlüsseln

Um die Sicherheit Ihres Kontos zu gewährleisten, befolgen Sie diese Best Practices:

  • Niemals einen API-Schlüssel teilen: Erstellen Sie einen eigenen Schlüssel pro Dienst/Entwickler
  • Regelmäßige Rotation: Schlüssel alle 90 Tage wechseln (über API automatisierbar)
  • Schlüssel benennen: „Bridge Produktion", „Analytics-Skript", „Zapier-Integration", etc.
  • Ungenutzte Schlüssel widerrufen: Schlüssel von ehemaligen Dienstleistern oder deaktivierten Skripten löschen
  • Umgebungsvariablen: Niemals Schlüssel fest im Quellcode kodieren

Passwortsicherheit

Ihr Lexiik-Konto ist durch folgende Maßnahmen geschützt:

  • Argon2id-Hashing: Von OWASP empfohlener Algorithmus (resistent gegen GPU und ASIC)
  • Einzigartiger Salt: Jedes Passwort hat einen zufälligen 128-Bit-Salt
  • Komplexitätsrichtlinie: Mindestens 12 Zeichen, mindestens 1 Großbuchstabe, 1 Zahl, 1 Sonderzeichen
  • Brute-Force-Schutz: Sperrung nach 5 fehlgeschlagenen Versuchen (Entsperrung per E-Mail)
  • 2FA verfügbar: Zwei-Faktor-Authentifizierung über TOTP (Google Authenticator, Authy) – dringend empfohlen

2FA aktivieren

Die Aktivierung der Zwei-Faktor-Authentifizierung reduziert das Risiko eines Konto-Hacks um 99,9 %, selbst wenn Ihr Passwort kompromittiert wurde. Aktivieren Sie sie unter Einstellungen > Sicherheit.

Kontoüberwachung

Lexiik benachrichtigt Sie automatisch bei verdächtigen Aktivitäten:

  • Anmeldung aus einem neuen Land: E-Mail mit Bestätigungslink
  • Neues Gerät: Push-Benachrichtigung, wenn die mobile App installiert ist
  • Erstellung eines API-Schlüssels: Zusammenfassende E-Mail mit Name und Berechtigungen
  • Änderung der Zahlungsmethode: Doppelte Bestätigung per E-Mail + SMS
  • Fehlgeschlagene Anmeldeversuche: Benachrichtigung nach 3 Fehlversuchen

Vollständige Anmeldehistorie einsehen unter Einstellungen > Kontoaktivität.

Zusammenfassung

Die Sicherheit von Lexiik basiert auf einem mehrschichtigen Ansatz (Defense in Depth) mit den höchsten Branchenstandards:

  • Verschlüsselung: TLS 1.3 bei der Übertragung + AES-256 im Ruhezustand
  • Authentifizierung: 256-Bit-API-Schlüssel + 2FA verfügbar
  • Hosting: 100% europäisch (Frankreich + Deutschland), niemals in den USA
  • Konformität: Vollständige DSGVO, ISO 27001, SOC 2 Type II in Bearbeitung
  • Audits: Halbjährliche Pentests + aktives Bug Bounty

Ihre Daten werden mit demselben Sicherheitsniveau wie bei Online-Banken und Finanzinstituten geschützt.

Erfolg

Haben Sie Fragen oder spezifische Sicherheitsanforderungen? Unser Security-Team steht Ihnen zur Verfügung.
Sicherheitsteam kontaktieren →

Verwandte Artikel: Die Rollback-Garantie · Datenspeicherung · Shop verbinden