WAF-Anbieter mit EU-Datenhaltung: worauf es bei DSGVO-Konformität ankommt
Warum deutsche Käufer nach Jurisdiktion filtern
Wer in Deutschland einen WAF-Anbieter sucht, vergleicht selten nur Funktionslisten. Die erste Frage ist oft: Wo liegen die Daten, und welchem Recht unterliegen sie? Der CLOUD Act und FISA 702 machen US-Jurisdiktion für viele Betreiber zum Ausschlusskriterium. Datensouveränität ist damit kein Marketingwort, sondern ein Auswahlkriterium — und genau dort ist Smart WAF positioniert.
Was DSGVO-Konformität konkret bedeutet
DSGVO-Konformität ist kein Siegel, das man kauft, sondern eine Reihe nachprüfbarer Eigenschaften:
- EU-Datenhaltung by design. Unsere Edge-Nodes laufen in der EU (Hetzner, OVH, Scaleway). Traffic-Metadaten bleiben architekturbedingt in der Region — nicht als Zusatzoption, die man erst konfigurieren muss.
- Konfigurierbare Aufbewahrung und Löschung. Log-Aufbewahrung ist einstellbar, und das Recht auf Löschung ist Teil der Grundausstattung.
- Lückenloser Audit-Log. Jeder schreibende Vorgang landet in einem unveränderlichen, nur-anfügenden (append-only) Audit-Log — nachvollziehbar, wer wann was geändert hat.
Die Technik hinter dem Filter
Ein WAF-Anbieter sollte benennen können, was tatsächlich läuft. Bei uns:
- Zwei Coraza-Engines (proxy-wasm 0.5.0 und libcoraza FFI) in einem Dataplane-Image, pro Route wählbar.
- OWASP Core Rule Set 4.26 auf beiden Engines — der gepflegte Community-Standard gegen SQL-Injection, XSS und Remote Code Execution.
- Challenge-Leiter aus Proof-of-Work, CAPTCHA und Web Bot Auth (RFC 9421 / Ed25519) statt pauschaler Sperren.
- Pro-Tenant Let’s Encrypt über das nginx-acme-Modul — automatische Zertifikate ab der ersten DNS-Änderung.
Ehrlich über die Grenzen
Wir tragen keine Zertifizierungs-Badges zur Schau, die wir nicht halten, und nennen keine Kundenzahlen, die wir nicht belegen können — für einen Sicherheitsanbieter ist eine leere Wand glaubwürdiger als eine gefälschte. Wir sind kein globales CDN und bieten keinen kostenlosen Self-Service-Tarif. Unser Latenzziel ist ein Design-Budget von ≤5 ms; wir geben keine Produktions-Benchmarkzahlen an, die wir nicht auf Produktionshardware erreicht haben.
Wenn EU-Datenhaltung Ihr Auswahlkriterium ist, nennen Sie uns Ihre Domain.