Lizenzen werden mit modernen Verfahren (Ed25519) signiert und von der App lokal geprüft — ein einfaches „OK" vom Server (HTTP 200) reicht nie als Berechtigung. Eine gültige Lizenz lässt sich ohne unseren geheimen Signierschlüssel nicht fälschen.
Die Geheimnisse zum Signieren von Lizenzen und zum Prüfen von Zahlungs-Webhooks verlassen nie unsere Server-Umgebung. In den Apps steckt ausschließlich der öffentliche Schlüssel, mit dem Signaturen geprüft werden.
Unsere Desktop- und iOS-Apps enthalten keine API-Schlüssel oder Zugangsdaten für Backend-Dienste. Wer ein Programm-Binary analysiert, findet höchstens öffentliche Schlüssel — keine geheimen Credentials.
Zahlungs- und Lizenz-Webhooks werden kryptografisch signiert, konstant-zeitig geprüft und bei Abweichungen — einschließlich verdächtiger Zeitstempel (Replay-Schutz) — strikt abgelehnt. Einen „im Zweifel durchwinken"-Pfad gibt es nicht.
Unsere Server-APIs akzeptieren Browser-Anfragen nur von ausdrücklich erlaubten Domains. Für lizenz- oder datenverändernde Endpunkte verwenden wir kein offenes Wildcard-CORS.
Unsere iOS-Apps enthalten keinen eingebauten externen Kauf- oder Lizenzcode, der gegen App-Store-Regel 3.1.1 verstoßen würde. Käufe und Abos folgen den von Apple vorgesehenen Wegen (StoreKit).
Lizenz-IDs behandeln wir nicht als vollwertige Geheimnisse: Sie sind hochentropisch und nicht erratbar, Anfragen sind ratenbegrenzt, und die eigentliche Berechtigung hängt immer an einer kryptografischen Signatur — nicht an der ID allein.
Wir gehen realistisch davon aus, dass sich lokale Eingriffe in eine installierte App nie vollständig verhindern lassen. Unsere Architektur ist deshalb so ausgelegt, dass solche Eingriffe maximal das eigene Gerät betreffen — niemals andere Kunden oder Daten auf unseren Servern.
Wir auditieren unsere Lizenz- und Zahlungs-Komponenten — inklusive Secret-Scans, Code-Review sowie Tests der Krypto- und Webhook-Logik — und beheben Befunde priorisiert und nachvollziehbar. Letzter Audit: Juni 2026.
Auch dort, wo wir moderne Werkzeuge (einschließlich KI-Assistenz) in der Entwicklung einsetzen, sind alle sicherheitsrelevanten Garantien als prüfbare Invarianten dokumentiert. Jede Änderung — ob von einem Menschen oder einem Assistenten vorgeschlagen — muss diese Regeln einhalten.
Wenn Sie eine Sicherheitslücke in unseren Apps, der Lizenzierung oder unseren Backend-Diensten finden, melden Sie sie bitte an [email protected]. Wir bestätigen den Eingang, halten Sie auf dem Laufenden und beheben bestätigte Probleme priorisiert. Gegen gutgläubige Sicherheitsforschung, die Daten Dritter respektiert und den Betrieb nicht stört, unternehmen wir keine rechtlichen Schritte. Maschinenlesbarer Kontakt: security.txt.