Zeiterfassung, die Ihrer eigenen Pruefung standhaelt

Sie kennen den Unterschied zwischen "verschluesselt" und "Ende-zu-Ende-verschluesselt".
P256 ECDH Schluesselvereinbarung. ChaCha20-Poly1305. HKDF-SHA256.
Ihre Mandantendaten werden auf Ihrem Geraet verschluesselt. Sie werden mit Ihrer iCloud synchronisiert — wir sehen sie nie.

P256 ECDH ChaCha20-Poly1305 Zero-Knowledge
Kostenlos herunterladen Unsere Kryptografie pruefen

Zero-Knowledge

Schluessel werden auf Ihrem Geraet generiert. Daten werden mit Ihrer iCloud synchronisiert, nicht mit unseren Servern. Wir sehen Ihre Daten nie — nicht einmal verschluesselt.

Moderne Kryptografie

P256 ECDH, ChaCha20-Poly1305, HKDF-SHA256. Apple CryptoKit-Implementierung. Keine eigene Kryptografie.

Pruefbar

Standard-Krypto-Primitive. Apples geprueftes CryptoKit. Pruefen Sie unsere Implementierung.

Sensible Informationen

Ihre Zeitaufzeichnungen sind Bedrohungsdaten

Ihre Zeiterfassung offenbart Informationen, die Angreifer gerne haetten:

  • Mandantennamen — Welche Unternehmen in Sicherheit investieren (oder muessen)
  • Auftragsarten — "Pentest - externer Perimeter", "IR - Ransomware", "Compliance-Luecke"
  • Schwachstellendetails — Notizen zu Funden vor der Behebung
  • Projektzeitplaene — Wann Sicherheitsbewertungen stattfinden
  • Ihre Methodik — Wofuer Sie Zeit aufwenden, verraet Ihren Ansatz

"Sie wuerden keinen Time-Tracker verwenden, der Ihre Pentest-Notizen im Klartext speichert. Warum also einen verwenden, der Mandantennamen und Auftragsbeschreibungen so speichert?"

Die Kryptografie, geprueft

Fuer alle, die verifizieren moechten.

Schluesselvereinbarung

P-256 (secp256r1) ECDH
- Schluesselpaar wird beim ersten Start generiert
- Privater Schluessel in iOS Keychain
  (Secure Enclave wenn verfuegbar)
- Oeffentlicher Schluessel nur fuer Ableitung

Schluesselableitung

HKDF-SHA256 (RFC 5869)
- Domain: "tenths.encryption.v1"
- 32-Byte zufaelliges Salt pro Eintrag
- 256-Bit abgeleitete Schluessel

Symmetrische Verschluesselung

ChaCha20-Poly1305 (RFC 8439)
- AEAD-Konstruktion
- 256-Bit Schluessel, 96-Bit Nonce
- Authentifizierungs-Tag verhindert Manipulation

Schluessel-Backup

BIP-39 12-Wort-Mnemonik
- Standard-Wortliste
- Stellt vollstaendiges Schluesselmaterial wieder her
- Kompatibel mit HW-Wallet-Workflows

Vollstaendige kryptografische Spezifikation

Bedrohungsmodell

Was mit Ihren Daten in verschiedenen Szenarien passiert.

Szenario Ihre Daten
Unsere Server werden gehackt Keine Benutzerdaten zu stehlen — sie sind in Ihrer iCloud
Boesartiger Mitarbeiter greift auf Backend zu Nichts zugaenglich — wir speichern Ihre Daten nicht
Behoerde fordert unsere Aufzeichnungen Nichts vorzulegen — Ihre Daten sind in Ihrem CloudKit
Unser Unternehmen wird uebernommen Neuer Eigentuemer erhaelt keine Benutzerdaten — sie waren nie unsere

"Das ist die Architektur, die Sie Ihren Kunden empfehlen wuerden. Nutzen Sie sie jetzt selbst."

Sicherheitsauftraege

Pentest & Assessment-Tracking

  • Schnelle Notizen (verschluesselt) — "SQLi im Login-Portal gefunden"
  • Mehrere Ratentypen — Assessment vs. Berichterstellung
  • Pauschale + Stunden — Scope Creep fuer zukuenftige Verhandlungen tracken
Tenths Timer trackt Sicherheitsauftrag
Incident Response

Zeitkritisches Tracking

  • Ein-Tipp-Timer-Start — Bei aktiven Vorfaellen
  • Offline-faehig — Fuer Air-Gap-Situationen
  • Timeline exportieren — Fuer Abrechnung nach dem Vorfall und Versicherungsansprueche
  • Retainer-Tracking — Monatliche Stunden mit Ueberlauf zu Stundensatz
Tenths Widget fuer schnellen Timer-Start

Wenn Kunden nach Ihrer Sicherheit fragen

Ihre Unternehmenskunden senden Sicherheitsfrageboegen fuer Lieferanten. Wenn sie nach Ihrer Zeiterfassung fragen:

Sind Daten im Ruhezustand verschluesselt?

Ja. Alle Daten werden auf dem Geraet verschluesselt, bevor sie gespeichert oder synchronisiert werden, mit ChaCha20-Poly1305.

Sind Daten bei der Uebertragung verschluesselt?

Ja. iCloud-Sync verwendet TLS. Zusaetzlich sind unsere Daten Ende-zu-Ende verschluesselt, bevor sie uebertragen werden.

Wer hat Zugang zu unseren Auftragsdaten?

Nur Sie. Ihre Daten werden auf Ihrem Geraet verschluesselt und mit Ihrer persoenlichen iCloud synchronisiert — wir sehen sie nie, speichern sie nicht und haben keinen Zugriff darauf.

Haben Sie SOC 2?

SOC 2 zertifiziert, wie ein Unternehmen mit Kundendaten umgeht. Wir verarbeiten ueberhaupt keine Kundendaten — sie sind auf Ihrem Geraet verschluesselt und werden mit Ihrer iCloud synchronisiert, nicht mit unseren Servern. Wir haben nichts zu pruefe.

Warum nicht generische Time-Tracker?

Kriterium Tenths Generische Tools
Schluesselverwaltung Nur client-seitig Server-seitig
Verschluesselung E2E (auf Geraet) Im Ruhezustand (Server)
Anbieterzugriff Zero-Knowledge Vollzugriff
Auswirkung bei Datenleck Keine Benutzerdaten auf unseren Servern Klartext exponiert
Krypto-Standard P256 + ChaCha20 Unbekannt/AES

Anwendungsfaelle

Penetrationstester — Einzelberater

"Ich mache Pentests fuer 20+ Kunden pro Jahr. Jeder Auftrag enthaelt Funde, die als Waffe genutzt werden koennten. Ich kann diese Daten nicht in einem System haben, das jemand anderes kontrolliert."

Loesung: Jeden Kunden in Tenths, jeden Auftrag als Projekt. Aufklaerung, Tests und Berichtszeit tracken. Notizen zu Funden hinzufuegen (verschluesselt). Ihre Kundenliste und Funde bleiben mit Ihren Schluesseln verschluesselt.

Sicherheitsfirma — Mehrere Berater

"Wir haben 8 Berater. Wir brauchen Zeiterfassung fuer die Abrechnung, koennen aber keinen berateruebergreifenden Datenzugriff haben."

Loesung: Jeder Berater nutzt seine eigene Tenths-Instanz mit eigenen Schluesseln. Zeit in Ihr PSA exportieren fuer konsolidierte Abrechnung. Kein gemeinsamer Zugriff auf Kundendaten zwischen Beratern — by Design.

Incident Responder — Rufbereitschaft

"Ich bekomme um 2 Uhr morgens Anrufe wegen Ransomware-Vorfaellen. Ich muss Zeit sofort und genau erfassen fuer Versicherungserstattungsansprueche."

Loesung: Widget auf Ihrem Startbildschirm. Ein Tipp, um das Tracking zu starten. Kunden hinzufuegen, wenn Sie wissen, wer es ist. Notizen zum Vorfall bleiben verschluesselt. Detaillierte Timeline fuer Versicherungsanspruchsunterstuetzung exportieren.

vCISO — Mehrere Kunden

"Ich bin Teilzeit-CISO fuer 6 Unternehmen. Jedes denkt, es waere mein einziger Kunde. Zeiterfassung muss wasserdicht sein."

Loesung: Jedes Unternehmen als separater Kunde. Beratungsstunden, Meetingzeit, Projektarbeit tracken. Kein Risiko, den Auftrag von Kunde A offenzulegen, waehrend Sie fuer Kunde B arbeiten. Separate Rechnungen pro Kunde exportieren.

Fuer Profis, die Sicherheit schaetzen

Die kostenlose Version funktioniert unbegrenzt. Upgrade wenn Sie mehr Exporte benoetigen.

Kostenlos
0 €

Testen Sie die Architektur

  • Unbegrenzte Kunden/Auftraege
  • Vollstaendige E2E-Verschluesselung
  • iCloud-Sync
  • KI-Assistent
  • 1 Export pro Monat
Jetzt starten
Plus
€8,99*/Monat

Aktive Beratungspraxis

  • Unbegrenzte Kunden/Auftraege
  • Vollstaendige E2E-Verschluesselung
  • iCloud-Sync
  • KI-Assistent
  • Unbegrenzte Exporte
Kostenlose Testversion starten

*Preise in lokaler Waehrung. Der tatsaechliche Preis wird vom App Store festgelegt und kann je nach Wechselkurs variieren.

Technische FAQ

Kann ich Ihre Krypto-Implementierung pruefen?

Wir verwenden Apples CryptoKit fuer alle kryptografischen Operationen — keine eigene Kryptografie. Unsere Implementierung folgt Standardmustern. Wir sind offen fuer Ueberpruefung durch Sicherheitsforscher.

Was, wenn Apple eine CryptoKit-Schwachstelle hat?

Wir nutzen CryptoKit, weil es geprueft, hardwarebeschleunigt und von Apples Sicherheitsteam gewartet wird. Wenn eine Schwachstelle gefunden wird, aktualisieren wir mit dem OS. Das ist besser als eigene Kryptografie zu entwickeln.

Sind meine Daten in iCloud?

Ihre verschluesselten Daten werden ueber CloudKit mit Ihrem persoenlichen iCloud-Konto synchronisiert. Wir sehen sie nie. Apple sieht nur Chiffretext in Ihrem privaten CloudKit-Container. Ihre Daten beruehren nie unsere Server.

Kann ich selbst hosten?

Nein. Aber das muessen Sie nicht — wir koennen ohnehin nicht auf Ihre Daten zugreifen. Self-Hosting wuerde erfordern, dass wir Server-Infrastruktur bauen und Sie diese warten. Unsere Architektur macht das unnoetig.

Haben Sie API-Zugang?

Derzeit nicht. API-Zugang wuerde erfordern, dass wir Anfragen mit Ihren Daten verarbeiten, was mit unserem Zero-Knowledge-Modell kollidiert. Exportieren Sie nach CSV/Excel fuer Integration.

Nutzen Sie die Sicherheitsarchitektur, die Sie empfehlen wuerden

P256 + ChaCha20. Zero-Knowledge. Kostenlos starten.

Im App Store herunterladen Die Kryptografie pruefen