Sie sehen
ein Interface.
Wir betreiben 13 Schichten.
Was Sie sehen: ein User Interface. Was Sie vielleicht vermuten: eine Datenbank auf einem Server. Was wirklich für Sie läuft — und warum — zeigt diese Seite.
Die 13 Schichten ↓Dahinter eine Datenbank
auf einem Server.
§7.11 der ISO/IEC 17025 — was er wirklich fordert
Labore, die nach ISO/IEC 17025 akkreditiert sind, fokussieren sich verständlicherweise auf die technischen Kernklauseln. Was dabei oft unterschätzt wird: §7.11 enthält eine Anforderung, die das gesamte Informationssystem des Labors erfasst — und für die die Norm selbst keine Umsetzungsanleitung liefert.
Schutz gegen Zugriff, Manipulation und Verlust. Validierung vor Implementierung. Integrität der Aufzeichnungen. Gilt für intern und extern betriebene Systeme gleichwertig.
ISO/IEC 27001 schließt die Lücke nicht vollständig. Es braucht laborspezifische Controls zusätzlich: Audit Trail, Validierungsumgebung, Zugangskontrolle auf Datenebene.
NIS-2 (§30 BSIG) ist in deutsches Recht umgesetzt. EU CRA ist in Kraft. BSI C5 ist Marktstandard für Cloud. Diese Anforderungen gelten — unabhängig von der Unternehmensgröße.
Was es ist. Warum wir es so machen. Was das für Sie bedeutet.
Klicken Sie auf eine Schicht — oder direkt auf die Ebenen im Bild oben.
Angular 20. Pro Kunde eine eigene Domain, eigene Konfiguration, eigene Benutzerverwaltung auf einer dedizierten Instanz. Keine geteilten Ressourcen mit anderen Kunden.
ISO/IEC 17025:2017 §7.11.3 fordert Schutz des Informationssystems gegen unbefugten Zugriff und Manipulation. ISO/IEC 27001:2022 A.8.3 fordert Least-Privilege-Zugriffskontrolle. In einer geteilten Umgebung sind Cross-Tenant-Risiken, Konfigurationsdrift und unkontrollierte Update-Wechselwirkungen reale Risiken für Vertraulichkeit und Verfügbarkeit. Die dedizierte Instanz reduziert diese Risiken auf Instanzebene. Treten dennoch Sicherheitshinweise auf — etwa durch CVE-Monitoring oder Auffälligkeiten im zentralen Observability-Stack — werden diese als generischer Sicherheitspatch für alle Instanzen gleichzeitig behandelt. Strenge Mandantentrennung und zentrales Monitoring schließen sich nicht aus, sondern ergänzen sich.
↳ EUROLAB TR 01/2024 §6.3: Extern betriebene Systeme unterliegen denselben Anforderungen wie intern betriebene
Sicherheitsrelevante Erkenntnisse aus dem Betrieb einer Instanz fließen als gezielte Maßnahme in alle Instanzen ein — ohne dass die Isolierung dazwischen aufgehoben wird.
.NET 8, HotChocolate GraphQL, REST. Kein direkter Datenbankzugriff — weder für Nutzer noch für Betreiber. Jede Datenanfrage läuft durch die dokumentierte API-Schicht mit Authentifizierung und Autorisierungsprüfung.
ISO/IEC 17025:2017 §8.4.2 fordert Schutz von Aufzeichnungen gegen unbeabsichtigte Änderung. Ein direkter Datenbankzugriff — etwa über administrative Werkzeuge — erzeugt Änderungen außerhalb des Audit Trails. Das ist ein strukturelles Integritätsrisiko. Die API-Schicht ist die Maßnahme, die sicherstellt, dass jede Datenoperation authentifiziert, autorisiert und vollständig im Audit Trail erfasst ist — ohne Ausnahme.
↳ ISO/IEC 27001:2022 A.8.3: Zugriff auf das notwendige Minimum beschränken
↳ EUROLAB TR 01/2024 §6.13: Access Control
Jede Änderung an Ihren Daten ist im Audit Trail dokumentiert — einschließlich Betriebszugriffe durch AUDITTRAILS Networks GmbH. Es gibt keine unkontrollierte Hintertür in die Datenbank.
Dedizierte PostgreSQL-Datenbank pro Kunde. Jedes CREATE, UPDATE, DELETE erzeugt einen Audit-Trail-Eintrag mit Transaktions-ID, Zeitstempel, Benutzerreferenz und Vorher/Nachher-Wert. Der applikative Audit Trail ist strukturell von den Betriebslogs (Schicht 12) getrennt und unterliegt eigenen, vertraglich und gesetzlich bestimmten Aufbewahrungsfristen.
ISO/IEC 17025:2017 §7.5.2 fordert, dass Änderungen an technischen Aufzeichnungen zurückverfolgbar sind — Original und Änderung müssen beide vollständig erhalten bleiben. §8.4.2 fordert Schutz gegen Änderung und Verlust. Ein Audit Trail, der selbst veränderbar ist, erfüllt diese Anforderungen nicht. Die Unveränderbarkeit auf Datenbankebene ist die Maßnahme gegen das Integritätsrisiko.
↳ ISO/IEC 17025:2017 §8.4.2: Schutz von Aufzeichnungen
↳ ISO/IEC 27001:2022 A.8.15 / A.5.33: Protokollierung und Schutz von Aufzeichnungen
Im Begutachtungsgespräch mit der DAkkS können Sie zu jeder Aufzeichnung nachweisen: wer hat wann was geändert, und wie lautete der Wert davor. Auf Abruf, ohne manuelle Archivsuche.
Keycloak mit OIDC/SAML. MFA. RBAC mit CRUD-Granularität auf Entitätsebene. WebAuthn-fähig. Betriebszugriffe durch AUDITTRAILS Networks GmbH ausschließlich per SSH/publickey — keine Passwort-Anmeldungen, keine Root-Logins.
ISO/IEC 17025:2017 §4.2 fordert Vertraulichkeit aller Informationen des Labors. §7.11.3 a) fordert Schutz vor unbefugtem Zugriff. DSGVO Art. 32 fordert technische Maßnahmen, die dem Risiko angemessen sind — Zugriffsbeschränkung ist explizit genannt. Ein seitenbasiertes Rollenmodell ist nicht ausreichend granular: das Risiko einer unzulässigen Datenänderung mit Auswirkung auf Akkreditierungsunterlagen wird erst durch RBAC auf Entitätsebene strukturell reduziert.
↳ ISO/IEC 27001:2022 A.5.15 / A.8.2 / A.8.5: Zugriffskontrolle, Least Privilege, sichere Authentifizierung
↳ DSGVO Art. 32: Technische Maßnahmen — Zugriffsbeschränkung
Sie steuern, wer welche Daten sehen, anlegen, ändern oder löschen darf — auf der Ebene einzelner Entitäten. Externe Auditoren erhalten Lesezugriff ohne Schreibrechte. Jede Zugriffskonfiguration ist im Audit Trail nachweisbar.
Alle ~120 Instanzen werden aus identischer Infrastructure-as-Code-Konfiguration bereitgestellt. Kein direkter Host-Eingriff — jede manuelle Änderung würde beim nächsten Pipeline-Lauf überschrieben. Die vollständige Systemkonfiguration ist Bestandteil des versionierten Codes.
ISO/IEC 17025:2017 §7.11.2 fordert, dass Änderungen an Informationssystemen vor Implementierung autorisiert, dokumentiert und validiert werden. EUROLAB TR 01/2024 §6.5 (Acceptance Testing) fordert nachvollziehbare Qualifizierung vor Inbetriebnahme. Bei einem manuellen Deployment-Prozess müsste die Systemkonfiguration bei jeder Inbetriebnahme und bei jedem Änderungsnachweis separat dokumentiert werden — mit dem Risiko von Abweichungen zwischen dem dokumentierten und dem tatsächlichen Zustand. Infrastructure as Code macht die Konfiguration zum unveränderlichen Bestandteil des Codes: der dokumentierte Zustand ist zugleich der deployte Zustand.
↳ EUROLAB TR 01/2024 §6.5 / §6.11: Acceptance Testing und Change Control
↳ EU CRA 2024/2847: Security Updates über den Supportzeitraum bereitstellen
Die Konfiguration Ihrer Instanz ist nicht Gegenstand einer Betriebsanleitung, die bei der Inbetriebnahme manuell abgearbeitet wird — sie ist Teil des Codes, versioniert und nachweislich reproduzierbar. Das vereinfacht Installationsqualifizierung und Änderungsnachweis erheblich.
Hetzner Online GmbH, Nürnberg. BSI C5 Typ 2 testiert (WP Koehler, 17.11.2025). Datenstandort vertraglich DE/EU/EWR (§9 Abs. 4 SaaS-Vertrag). Kein US-Mutterkonzern. Backups georedundant in Azure Frankfurt (DE), verschlüsselt, Entschlüsselung nur aus dem dedizierten Netzwerk von AUDITTRAILS Networks GmbH möglich.
DSGVO Art. 44 ff. verbietet Drittlandsübermittlung personenbezogener Daten ohne angemessene Schutzmaßnahmen. Der US CLOUD Act ermächtigt US-Behörden, auf Daten bei US-kontrollierten Unternehmen zuzugreifen — auch bei europäischen Tochtergesellschaften. Das ist das Risiko einer erzwungenen Drittland-Offenlegung, das durch vertragliche Zusicherungen allein nicht vollständig ausgeschlossen werden kann. Die Wahl eines Rechenzentrumsbetreibers ohne US-Konzernmutter eliminiert dieses Risiko auf Infrastrukturebene. Für die Azure-Backups gilt: die Daten liegen verschlüsselt vor, und die Schlüssel sind ausschließlich aus dem Netzwerk von AUDITTRAILS Networks GmbH anwendbar — im Falle einer erzwungenen Offenlegung wäre ausschließlich Ciphertext zugänglich.
↳ DSGVO Art. 28 / §9 SaaS-Vertrag: AVV und Datenstandort DE/EU/EWR
↳ BSI C3A (27.04.2026) SOV-1/SOV-3: Datenstandort und EU-Jurisdiktion
Das Risiko einer erzwungenen Drittland-Offenlegung ist auf Infrastrukturebene ausgeschlossen — nicht nur vertraglich zugesichert. Der BSI C5 Typ 2 Testat von Hetzner belegt das durch unabhängige Prüfung.
Bei jedem CI/CD-Build automatisch erzeugte Software Bill of Materials. ~2.000 dokumentierte Pakete (JavaScript/TypeScript-Stack und .NET 8 Backend). Öffentlich abrufbar unter demo.audittrails.com/swinfo/packages. Dauerhaftes CVE-Monitoring via INTRUDER.
ISO/IEC 27001:2022 A.8.8 fordert, Schwachstellen in eingesetzter Software zu identifizieren und zu beheben. NIS-2 (§30 BSIG) verlangt, Lieferanten in die Risikobetrachtung einzubeziehen. Der EU Cyber Resilience Act 2024/2847 macht SBOM ab Dezember 2027 zur Pflicht für Hersteller vernetzter Produkte. Das Risiko ist konkret: eine bekannte Schwachstelle in einer Software-Abhängigkeit bleibt unentdeckt, wenn die Zusammensetzung der eingesetzten Software nicht dokumentiert ist. SBOM und CVE-Monitoring sind die Maßnahmen gegen dieses Lieferketten-Risiko.
↳ EU CRA 2024/2847: SBOM-Pflicht (ab Dez. 2027) — bereits erfüllt
↳ NIS-2 / §30 BSIG: Lieferanten in Risikobetrachtung
Wenn ein Auftraggeber oder eine Akkreditierungsstelle die Softwarezusammensetzung Ihres Systems anfragt, ist sie sofort und vollständig abrufbar. Bekannte Schwachstellen in Abhängigkeiten werden erkannt und behoben, bevor sie in Ihrem Betrieb wirksam werden.
TLS 1.3, X25519, AES-128-GCM für alle Übertragungen. ISO/IEC 27001:2022 zertifiziert durch DEKRA (DS-0723034/1, gültig 12/2025–12/2028, Scope: Bereitstellung und Betrieb). ISMS mit dokumentierten Controls, systematischer Risikobehandlung und jährlichem internem Audit.
DSGVO Art. 32 fordert Verschlüsselung als technische Maßnahme, wo das Risiko für die Rechte betroffener Personen erheblich ist. EU CRA Anhang I fordert Security by Design. NIS-2 (§30 BSIG) fordert ein dokumentiertes ISMS. Die DEKRA-Zertifizierung bestätigt nicht die Sicherheit des Produkts als solche, sondern dass der Prozess der Konzeption, Entwicklung und Bereitstellung im Rahmen eines geprüften Informationssicherheits-Managementsystems stattfindet. Informationssicherheitsmaßnahmen aus diesem Prozess wirken sich direkt auf die Sicherheit des Systems aus.
↳ EU CRA 2024/2847 Anhang I: Security by Design
↳ NIS-2 / §30 BSIG: ISMS-Pflicht — ISO/IEC 27001:2022 als anerkannter Nachweis
Der Prozess, nach dem AUDITTRAILS entwickelt und betrieben wird, ist durch DEKRA unabhängig auf Konformität mit ISO/IEC 27001:2022 geprüft. Das ist eine strukturelle Aussage über die Qualität des Entwicklungs- und Betriebsprozesses — nicht eine Selbstauskunft.
Permanentes Monitoring von Festplatten- und RAM-Auslastung aller ~120 Instanzen über den LGTM-Stack. Alert-Trigger bei definierten Schwellwerten (u. a. 80 % Disk). Kapazitätsanpassung durch das Infrastrukturteam im nächsten Wartungsfenster — alertgetriggert, kein vollautomatisches Scaling ohne menschlichen Eingriff.
ISO/IEC 17025:2017 §7.11.4 fordert, dass extern betriebene Systeme die Anforderungen des Labors kontinuierlich erfüllen — Verfügbarkeit eingeschlossen. ISO/IEC 27001:2022 A.8.6 fordert Kapazitätsüberwachung. Das Risiko ist konkret: eine ausgeschöpfte Festplatte verhindert das Schreiben neuer Aufzeichnungen. Das gefährdet die Dokumentationspflicht nach §7.5 der 17025 unmittelbar. Reaktives Handeln nach Eintritt des Ausfalls ist in einem Akkreditierungskontext keine akzeptable Strategie.
↳ ISO/IEC 27001:2022 A.8.6: Kapazitäten überwachen
↳ EUROLAB TR 01/2024 §6.9: Redundanz und Verfügbarkeit
Kapazitätsengpässe werden erkannt und behoben, bevor sie die Dokumentation beeinträchtigen — nicht erst, wenn Sie in der täglichen Arbeit Einschränkungen spüren.
Distributed Tracing über Tempo. RED-Metriken (Rate, Errors, Duration) über Traefik. OpenTelemetry-basierte Anwendungstelemetrie. p95/p99-Latenzen dauerhaft sichtbar. Langsame Operationen werden als Finding im internen Auditprozess erfasst und verfolgt.
ISO/IEC 17025:2017 §7.11.4 fordert, dass extern bereitgestellte Systeme die Anforderungen des Labors erfüllen — das umfasst nicht nur Verfügbarkeit, sondern auch Leistung. Das Risiko: ein System, das erreichbar ist, aber unter Last messbar langsam reagiert, beeinträchtigt Arbeitsabläufe und kann die Dokumentation zeitkritischer Vorgänge verzögern. Distributed Tracing ermöglicht es, Engpässe zu lokalisieren und strukturell zu beheben, bevor sie zu Ausfällen werden.
↳ EUROLAB TR 01/2024 §6.9: Redundanz und Verfügbarkeit von Einrichtungen
Performance-Abweichungen werden im zentralen Monitoring erkannt und als Finding dokumentiert — nicht erst, wenn Sie in der täglichen Arbeit Performanceprobleme bemerken.
Pro Kunde: eigene PostgreSQL-Datenbank, eigene Container, eigene Domain. ~120 produktive Instanzen. Jede Instanz enthält automatisch eine Produktiv- und eine Validierungsumgebung — ohne Aufpreis.
ISO/IEC 17025:2017 §7.11.2 fordert, dass Änderungen an Informationssystemen vor Implementierung validiert werden. Die Validierungsumgebung ist keine optionale Komfortfunktion — sie ist normative Anforderung. Daneben adressiert die Single-Tenant-Architektur spezifische Risiken: das Risiko von Ressourcenkonkurrenz zwischen Kunden (Noisy-Neighbor-Effekt, Auswirkung auf Verfügbarkeit), das Risiko unbeabsichtigten Datenzugriffs über gemeinsame Datenbankstrukturen sowie das Risiko unkontrollierter Update-Wechselwirkungen. Trotz dieser Isolierung ermöglicht das zentrale Monitoring, dass sicherheitsrelevante Erkenntnisse als generische Maßnahme für alle Instanzen gleichzeitig umgesetzt werden.
↳ ISO/IEC 27001:2022 A.8.31: Trennung von Entwicklungs-, Test- und Produktivumgebungen
↳ EU GMP Annex 11 §4: Trennung von Produktiv- und Testumgebung
Neue Softwareversionen und normative Anpassungen durchlaufen Ihre Validierungsumgebung, bevor sie in der Produktivumgebung wirksam werden. Das ist nicht optional — es ist im Preis enthalten.
Grafana Alloy pro Host → zentraler LGTM-Stack (Loki, Grafana, Tempo, Mimir, Profiles). Logs-Speicherung auf Hetzner Object Storage mit Object Lock im COMPLIANCE-Modus, 90 Tage Retention: write-once, innerhalb der Frist weder änderbar noch löschbar — auch nicht durch Bucket-Owner oder Root-Account. Georedundante verschlüsselte Sicherung in Azure Frankfurt (DE). Abgrenzung: dieser System-/Monitoring-Log ist nicht der applikative Audit Trail der Labordaten (Schicht 03) — er unterliegt anderen Aufbewahrungsfristen.
ISO/IEC 27001:2022 A.8.15 fordert, Protokollierungsereignisse zu erzeugen, zu schützen und aufzubewahren — Schutz vor Manipulation ist explizit gefordert. Ein Log, der nachträglich änderbar ist, ist als Sicherheitsnachweis wertlos. Im Oktober 2025 hat DEKRA (Abweichung Nr. 6) genau dieses Defizit festgestellt: Logs lagen vor, waren aber nicht schreibgeschützt. Object Lock im COMPLIANCE-Modus ist die Maßnahme, die Unveränderbarkeit unabhängig von der Anwendungskonfiguration und unabhängig von kompromittierten Zugangsdaten sicherstellt — auch Root kann innerhalb der Frist nicht löschen.
↳ DEKRA-Abweichung Nr. 6 (08.10.2025): Korrekturmaßnahme umgesetzt — Object Lock COMPLIANCE/WORM
↳ NIS-2 / §30 BSIG: Protokollierung zur Erkennung von Sicherheitsvorfällen
Betriebsereignisse sind unveränderbar dokumentiert — unabhängig davon, was mit Zugangsdaten oder Systemkonfigurationen passiert. Die Umsetzung ist Gegenstand des laufenden DEKRA-Überwachungsaudits.
99,5 % Verfügbarkeit p.a. (24/7) für den Gesamtstack. Tägliche Backups, georedundant, verschlüsselt, 90 Tage Retention. RTO 24 Stunden. AUDITTRAILS Networks GmbH ist Vertragspartner der Infrastruktur- und der Anwendungsschicht — eine SLA für beides.
ISO/IEC 17025:2017 §7.11.4 fordert, dass extern betriebene Systeme Verfügbarkeit und Wiederherstellbarkeit sicherstellen. ISO/IEC 27001:2022 A.8.13 fordert Datensicherung, A.8.14 Redundanz. EUROLAB TR 01/2024 §6.15 empfiehlt die 3-2-1-Regel für Backups. Das strukturelle Risiko einer SLA, die nur die Anwendungsschicht abdeckt: fällt die Infrastruktur aus, liegt die Verantwortung bei einem anderen Vertragspartner als die Anwendung — Zuständigkeitslücke im Störungsfall. In unserem Modell gibt es diesen Zuständigkeitsbruch nicht.
↳ ISO/IEC 27001:2022 A.8.13 / A.8.14: Datensicherung und Redundanz
↳ BSI C5:2020 Hetzner Typ 2 Testat (17.11.2025): Physische Resilienz und Betriebskontinuität
↳ EUROLAB TR 01/2024 §6.15: 3-2-1-Backup-Empfehlung
Ein Ansprechpartner für alles — ob Interface, Datenbank oder Server. Eine SLA für den Gesamtstack. Kein Zuständigkeitsbruch zwischen Infrastruktur- und Anwendungsebene im Störungsfall.
Sie kaufen kein Programm.
Sie beziehen Infrastruktur.
Vergleichbar mit dem Stromanschluss: Sie beziehen Strom aus der Steckdose. Sie betreiben nicht selbst das Kraftwerk. AUDITTRAILS ist das Kraftwerk — vollständig, zertifiziert, für Sie.