Zugriffsschutz & Sicherheit
Ihre Rechnungsdaten sind sensibel. CoolHanX schützt die Arbeitszone mit Zwei-Faktor-Anmeldung sowie IP-, Länder- und Geräte-Beschränkung — serverseitig durchgesetzt, nicht nur im Browser.
Warum E-Rechnung ein Sicherheitsthema ist
In einer E-Rechnungs-Software liegen Umsätze, Kundenlisten, Bankverbindungen und das steuerliche Archiv. Ein kompromittierter Zugang bedeutet Datenschutzvorfall und Betrugsrisiko. Viele SMB-Werkzeuge bieten hier nur ein Passwort.
CoolHanX trennt eine Arbeitszone (Ausstellen, Empfangen, Export — nur am PC, streng geschützt) von einer Kontozone (Profil, Tarif — auch mobil erreichbar). Die Schutzrichtlinie gilt serverseitig für die Arbeitszone — sie lässt sich nicht durch Umgehen des Browsers aushebeln.
| Ebene | Wirkung | Konfigurierbar |
|---|---|---|
| Zwei-Faktor (2FA) | TOTP zusätzlich zum Passwort | pro Benutzer |
| IP-Allowlist | Zugriff nur aus definierten Netzen/CIDRs | pro Mandant |
| Länder-Beschränkung | Zugriff nur aus erlaubten Ländern (ISO-2) | pro Mandant |
| Geräte-Bindung | nur registrierte, freigegebene Geräte | pro Mandant |
| PC-Pflicht (Arbeitszone) | sensible Arbeit nur am Desktop | Standard |
Selbstaussperrung ist ausgeschlossen
Eine Sicherheitsfunktion, die einen aussperrt, ist gefährlich. Deshalb prüft CoolHanX jede neue Richtlinie gegen die aktuelle Verbindung: Wer eine IP-, Länder- oder Geräteregel speichert, die ihn selbst ausschließen würde, erhält eine Ablehnung statt einer Sperre. Die Kontozone (Profil, Zahlung) bleibt zudem erreichbar, sodass im Notfall ein Weg zurück bleibt.
Datenhaltung & DSGVO
Betrieb und Daten liegen in Frankfurt am Main, DSGVO-konform, mit Auftragsverarbeitungsvertrag (AVV). Rechnungen werden GoBD-konform mit Prüfsumme versiegelt und über die gesetzliche Frist unveränderbar aufbewahrt — Löschung vor Fristablauf ist systemseitig gesperrt.
Häufige Fragen
Gilt der Schutz nur im Browser?
Nein — die Richtlinie wird serverseitig durchgesetzt. Ein Umgehen der Oberfläche hilft nicht.
Kann ich mich selbst aussperren?
Nein — eine Richtlinie, die Ihre aktuelle Verbindung ausschließen würde, wird abgelehnt statt angewendet.
Ist 2FA Pflicht?
2FA ist pro Benutzer aktivierbar und dringend empfohlen; für sensible Mandate lässt sie sich zur Vorgabe machen.
Warum ist die Arbeitszone auf den PC beschränkt?
Ausstellen, Empfangen und Export sind sensible Vorgänge; die Beschränkung reduziert die Angriffsfläche. Profil und Tarif bleiben mobil erreichbar.
Wo liegen meine Daten?
In Frankfurt am Main, DSGVO-konform, AVV inklusive — das Archiv bleibt auch bei Kündigung bis Fristende erhalten.
Arbeitszone und Kontozone — bewusst getrennt
CoolHanX trennt zwei Bereiche mit unterschiedlichem Schutzbedarf. Die Arbeitszone (Ausstellen, Empfangen, Export, Einstellungen) verarbeitet die sensibelsten Daten und ist dem Desktop vorbehalten — Touch-Geräte in fremden Netzen sind eine größere Angriffsfläche. Die Kontozone (Profil, Tarif, Zahlung) ist weniger kritisch und bleibt auch mobil erreichbar, damit im Notfall ein Weg zurück bleibt. Diese Grenze wird serverseitig gezogen, nicht nur im Browser.
| Ebene | Wirkung | Geltung |
|---|---|---|
| Zwei-Faktor (TOTP) | zweiter Faktor zusätzlich zum Passwort | pro Benutzer, empfohlen |
| IP-Allowlist | Zugriff nur aus definierten Netzen/CIDRs | pro Mandant |
| Länder-Beschränkung | Zugriff nur aus erlaubten Ländern (ISO-2) | pro Mandant |
| Geräte-Bindung | nur registrierte, freigegebene Geräte | pro Mandant |
| PC-Pflicht (Arbeitszone) | sensible Arbeit nur am Desktop | Standard |
Warum die effektive IP zählt
Für IP- und Länderregeln ist entscheidend, welche IP-Adresse als „die des Nutzers“ gilt. Hinter einem Reverse-Proxy ist das nicht die Proxy-Adresse, sondern die über den X-Forwarded-For-Header weitergereichte Client-IP. CoolHanX wertet diese effektive IP aus — der Betrieb ist so konfiguriert, dass dieser Header nur von der eigenen, vertrauenswürdigen Edge gesetzt wird, damit die Richtlinie nicht durch gefälschte Header umgangen werden kann.
Passwort-Richtlinie und Anmeldeschutz
Passwörter müssen eine Mindestlänge und Komplexität erfüllen und werden nur als Hash gespeichert, nie im Klartext. Die Anmeldung ist zusätzlich gegen Brute-Force gedrosselt (begrenzte Versuche pro Konto und Zeitfenster). In Verbindung mit TOTP-2FA ist ein einzelnes geleaktes Passwort damit allein nicht ausreichend, um Zugriff zu erlangen.
Verwandte Themen
Allgemeine Produktinformation — keine Rechts- oder Steuerberatung. Verbindliche Auskünfte gibt Ihr Steuerberater bzw. Ihre Rechtsberatung.
Bereit? In zwei Minuten startklar — ohne Kreditkarte.
Kostenloses Firmenkonto erstellen