Sicherheit und Datenschutz
ProcessFlow ist für den On-Premise-Betrieb ausgelegt. Dieses Kapitel fasst zusammen, wie Zugriff und Daten abgesichert sind und worauf Datenschutzbeauftragte achten sollten.
Datensouveränität
Abschnitt betitelt „Datensouveränität“Alle Prozessdaten bleiben in Ihrer eigenen Infrastruktur. Welche Daten nach außen gehen, bestimmen ausschließlich die von Ihnen konfigurierten Flows und Ressourcen. Ohne eine entsprechende Ressource verlässt nichts das System.
Der interne Anmelde-Modus funktioniert vollständig ohne Internetzugang. Ein isolierter Betrieb ist damit möglich.
Anmeldung an der Web-Oberfläche
Abschnitt betitelt „Anmeldung an der Web-Oberfläche“Für die Web-Oberfläche gibt es zwei Modi:
- Keycloak / OIDC – Anmeldung über Ihren Identity-Provider (OIDC = OpenID Connect, ein Standard für zentrale Anmeldung).
- Interner Modus – Konten in ProcessFlow selbst; Passwörter werden mit bcrypt gehasht.
Den Modus legen Sie über processflow.auth.mode (keycloak oder internal) fest – siehe Installation.
Anmeldung an den Geräten
Abschnitt betitelt „Anmeldung an den Geräten“Werker:innen melden sich am Gerät mit einer PIN an. Die Absicherung:
- Die PIN wird serverseitig mit einem Pepper gehasht (Secret
PROCESSFLOW_DEVICEAUTH_PEPPER). - Nach der Anmeldung erhält das Gerät kurzlebige, signierte Tokens.
- Nach zu vielen Fehlversuchen greift eine Sperre; Anzahl und Dauer sind konfigurierbar.
Berechtigungen
Abschnitt betitelt „Berechtigungen“Zugriffsrechte werden feingranular über Gruppen vergeben. Wer welche Flows, Masken, Ressourcen oder Profile sehen und bearbeiten darf, steuern Sie über die Gruppenzugehörigkeit. Details: Benutzer und Rollen.
Transportverschlüsselung (TLS)
Abschnitt betitelt „Transportverschlüsselung (TLS)“TLS lässt sich direkt im Dienst terminieren – ein vorgeschalteter Reverse Proxy ist nicht zwingend nötig. Sie verwenden entweder ein selbstsigniertes Zertifikat (vom Windows-Installer erzeugt) oder ein eigenes Zertifikat.
Sichere Standardwerte
Abschnitt betitelt „Sichere Standardwerte“ProcessFlow ist von Haus aus restriktiv konfiguriert:
- CORS ist aus.
- Es gibt keine unauthentifizierten Pfade außer den technisch nötigen: Gesundheitscheck, Geräteregistrierung und Login.
- Der Geräte-PIN-Pepper hat keinen Default – fehlt er, verweigert der Dienst den Start. Das Jasypt-Passwort für Ressourcen-Zugangsdaten setzen Sie ebenfalls pro Installation individuell (siehe Installation).
Schutzmechanismen auf einen Blick
Abschnitt betitelt „Schutzmechanismen auf einen Blick“| Ebene | Mechanismus |
|---|---|
| Web-Anmeldung | Keycloak/OIDC oder interner Modus (bcrypt-gehashte Passwörter) |
| Geräte-Anmeldung | PIN mit serverseitigem Pepper gehasht, kurzlebige signierte Tokens, Sperre nach Fehlversuchen |
| Transport | TLS direkt im Dienst (selbstsigniert oder eigenes Zertifikat) |
| Zugangsdaten | verschlüsselt gespeichert (Jasypt) |
| Nachvollziehbarkeit | Audit-Log plus SHA-256-Hashkette (Manipulationsnachweis) |
| Standardwerte | CORS aus, keine unnötig offenen Pfade, individuelle Secrets pro Installation |
Audit-Log
Abschnitt betitelt „Audit-Log“Das Audit-Log protokolliert, wer wann was geändert oder freigegeben hat – für Flows, Masken, Ressourcen, Profile, Auslöser und KI-Einstellungen.
- Die Einträge sind filterbar.
- Ein CSV-Export ist möglich (maximal 50.000 Zeilen pro Export).
Manipulationsnachweis (Tamper-Evidence)
Abschnitt betitelt „Manipulationsnachweis (Tamper-Evidence)“Zusätzlich zum Audit-Log werden Audit-Einträge und abgeschlossene Ausführungen in eine SHA-256-Hashkette versiegelt. So lässt sich nachträglich nachweisen, dass Einträge nicht verändert wurden.
- Die Integrität prüfen Sie per Knopfdruck – auf der Audit-Log-Seite über „Integrität prüfen“ sowie in der Detailansicht einer Ausführung.
Hinweise für Datenschutzbeauftragte
Abschnitt betitelt „Hinweise für Datenschutzbeauftragte“Personenbezogene Daten entstehen an folgenden Stellen:
- Benutzerkonten – Name, E-Mail.
- Audit- und Log-Einträge mit Benutzerbezug.
- In Flows erfasste Daten – hierfür ist der Betreiber verantwortlich, da Inhalt und Umfang von den konfigurierten Flows abhängen.
Die Aufbewahrung ist konfigurierbar:
- Auto-Archiv archiviert Ausführungen automatisch nach einer einstellbaren Frist (siehe Erste Einrichtung).
- Die Log-Aufbewahrung auf den Geräten lässt sich in Tagen einstellen.
