Architektur & Roadmap
Für Entwickler, Investoren und Partner. Transparenz über Aufbau, Technologieentscheidungen und nächste Schritte.
Geplante Sicherheitsarchitektur
Phase 1 – Aktuell (Beta)
| Komponente | Status |
|---|---|
| HTTPS/TLS | ✓ Aktiv |
| Auth (Supabase) | ✓ Aktiv |
| Row Level Security | ✓ Aktiv |
| SHA-256 Hashing | ✓ Aktiv |
| E2E Verschlüsselung (RSA-2048) | ✓ Aktiv |
| Datei-Verschlüsselung (AES-256) | ✓ Aktiv |
| MFA (TOTP Authenticator) | ✓ Aktiv |
| SHA-256 Hashing (öffentliche Smacks) | ✓ Aktiv |
| AES-256-GCM Integritätsprüfung (Nachrichten) | ✓ Aktiv |
| Schlüsselbund (bis 12 Schlüssel) | ✓ Aktiv |
| PWA (iOS & Android) | ✓ Aktiv |
| Push-Benachrichtigungen | ✓ Aktiv |
| Blockchain-Nachweis | ⏳ Geplant |
Phase 2 – Verschlüsselung
RSA-2048 Schlüsselpaar
Jeder Nutzer erhält ein lokales Schlüsselpaar. Private Key verlässt nie das Gerät. Public Key wird im Profil gespeichert.
Ende-zu-Ende Verschlüsselung
Nachrichten werden mit dem Public Key des Empfängers verschlüsselt bevor sie den Browser verlassen. Zero-Knowledge für Smackcheck.
SHA-256 Nachweispfad
Jede Nachricht erhält einen kryptografischen Hash. Manipulation ist sofort erkennbar – unabhängig von der Blockchain.
Manipulationsschutz
Smackcheck verwendet zwei Methoden zur Sicherstellung der Nachrichtenintegrität – je nach Nachrichtentyp.
✓ SHA-256 – Öffentliche Smacks
Jeder öffentliche Beitrag im Feed wird mit einem SHA-256 Hash versehen. Nutzer können per Klick verifizieren dass der Inhalt seit dem Zeitpunkt der Veröffentlichung nicht verändert wurde. Der Hash ist öffentlich einsehbar und unabhängig prüfbar.
🔒 AES-256-GCM – Private Nachrichten
Private Nachrichten nutzen AES-256-GCM – einen authentifizierten Verschlüsselungsalgorithmus. GCM (Galois/Counter Mode) beinhaltet eine kryptographische Integritätsprüfung: Jede Manipulation des verschlüsselten Inhalts – auch einzelner Bits – wird beim Entschlüsseln sofort erkannt und die Nachricht abgelehnt. Das ist technisch stärker als ein separater SHA-256 Hash.
Schlüsselperioden – Selektive Entschlüsselung
Smackcheck bietet ein einzigartiges Konzept das sonst nur in Enterprise-Security-Systemen vorkommt: nutzergesteuerte Forward Secrecy. Jeder Verschlüsselungsschlüssel öffnet nur die Nachrichten die in seiner Periode gesendet wurden.
🔑 Wie es funktioniert
Jeder Nutzer besitzt einen oder mehrere private Schlüssel. Jeder Schlüssel entspricht einer Zeitperiode. Nachrichten die mit Schlüssel A verschlüsselt wurden, können nur mit Schlüssel A gelesen werden – nicht mit Schlüssel B.
Nutzer können jederzeit einen neuen Schlüssel generieren. Ältere Nachrichten bleiben geschützt und sind nur mit dem entsprechenden alten Schlüssel lesbar.
💼 Anwendungsbeispiele
Kanzleien: Separater Schlüssel pro Fall oder Quartal. Fall abgeschlossen → neuer Schlüssel. Ältere Mandantenkommunikation bleibt isoliert.
Arztpraxen: Quartalsweise Schlüssel. Für Prüfungen kann selektiv ein Zeitraum offengelegt werden – ohne andere Zeiträume zu kompromittieren.
Unternehmen: Mitarbeiter verlässt das Unternehmen → neuer Schlüssel. Frühere Kommunikation bleibt mit altem Schlüssel geschützt.
⚡ Alleinstellungsmerkmal
Kein anderer Messenger – weder Signal, WhatsApp noch Telegram – bietet manuelle Schlüsselkontrolle auf Nutzerebene. Smackcheck gibt Ihnen die volle Kontrolle darüber, welcher Zeitraum der Kommunikation wann und für wen einsehbar ist.
Zertifizierte Infrastruktur
Smackcheck setzt auf vollständig europäische Infrastruktur mit zertifizierten Komponenten.
🏆 ISO/IEC 27001:2022
Unsere Datenbankinfrastruktur läuft auf Supabase – seit Mai 2026 ISO/IEC 27001:2022 zertifiziert. Der internationale Standard für Informationssicherheits-Managementsysteme. Relevant für Kanzleien, Arztpraxen und Unternehmen mit Compliance-Anforderungen.
🇩🇪 Vollständig europäisch
Frontend: All-Inkl, Gunzenhausen Bayern
Datenbank & Auth: Supabase Frankfurt (ISO 27001)
Zahlungen: Stripe Europe, Dublin (EU)
Kein US-Cloud-Anbieter. Kein Datentransfer außerhalb der EU.
Datenschutz & Compliance
Smackcheck ist nach DSGVO konzipiert. Alle Daten verbleiben in der EU. Für B2B-Kunden stehen Auftragsverarbeitungsverträge bereit.
🗑 Löschkonzept
| Datenart | Aufbewahrung |
|---|---|
| Nachrichten (verschlüsselt) | Bis zur manuellen Löschung durch den Nutzer |
| Öffentliche Smacks | Bis zur Löschung durch den Verfasser |
| Kontodaten | Bis zur Kontolöschung + 6 Monate |
| Zahlungsdaten | 10 Jahre (steuerrechtliche Pflicht, via Stripe) |
| Dateien (verschlüsselt) | Bis zur Löschung durch den Nutzer |
| Server-Logs | Max. 30 Tage (Supabase Standard) |
Nutzer können ihr Konto und alle Daten jederzeit vollständig löschen lassen. Anfragen an: ferdinand@smackcheck.com
📋 Auftragsverarbeitungsvertrag (AVV)
Für B2B-Kunden – insbesondere im Gesundheitswesen und bei Kanzleien – stellt Smackcheck einen AVV gemäß Art. 28 DSGVO bereit.
Der AVV regelt:
→ Zweck und Dauer der Verarbeitung
→ Art der verarbeiteten Daten
→ Technische und organisatorische Maßnahmen (TOM)
→ Unterauftragnehmer (Supabase, Stripe)
→ Weisungsbefugnis des Auftraggebers
🚨 Incident Response
Im Fall eines Sicherheitsvorfalls gilt:
Innerhalb 24h: Interne Analyse, Supabase-Benachrichtigung, Schadensbegrenzung
Innerhalb 72h: Meldung an die zuständige Datenschutzbehörde gemäß Art. 33 DSGVO
Unverzüglich: Benachrichtigung betroffener Nutzer gemäß Art. 34 DSGVO, sofern hohes Risiko besteht
Da alle Nachrichten clientseitig verschlüsselt sind, ist der Schaden eines Server-Einbruchs auf Metadaten begrenzt – Inhalte bleiben durch RSA-2048 und AES-256-GCM geschützt.
📊 Datenschutz-Folgenabschätzung (DSFA)
Für den Einsatz mit Patientendaten oder besonders sensiblen personenbezogenen Daten ist eine DSFA gemäß Art. 35 DSGVO erforderlich. Smackcheck unterstützt B2B-Kunden bei der Durchführung ihrer DSFA durch vollständige Dokumentation der technischen Architektur und Datenflüsse.
Status: In Vorbereitung für Phase 3 – gemeinsam mit zertifizierten Datenschutzberatern.
Smackcheck API – Verbindliche Kommunikation als Infrastruktur
Smackcheck ist nicht nur eine Messaging-Plattform. Es ist eine offene Infrastruktur für verbindliche, verschlüsselte Kommunikation – die andere Stellen in ihre eigenen Workflows einbinden können.
Das Prinzip
Kanzleien, Arztpraxen, Notare, Behörden und Unternehmen integrieren Smackcheck über eine REST-API in ihre bestehenden Systeme. Sie erhalten damit sofort: verifizierte Identitäten, E2E-Verschlüsselung, SHA-256 Hashing und – in Phase 4 – Blockchain-Nachweis pro Nachricht und Dokument.
📨 Nachricht senden
POST /api/v1/message
{
"to": "@handle",
"content": "...",
"encrypt": true,
"blockchain_anchor": true
}
Gibt zurück: Nachricht-ID, SHA-256 Hash, Blockchain-Referenz (Phase 4).
✓ Zustellung verifizieren
GET /api/v1/verify/{hash}
→ {
"delivered": true,
"timestamp": "...",
"hash_valid": true,
"chain_ref": "..."
}
Manipulationssicherer Nachweis – unabhängig von Smackcheck prüfbar.
📄 Dokument ankern
POST /api/v1/anchor
{
"document_hash": "sha256:...",
"recipient": "@handle",
"metadata": {}
}
Für Arztbriefe, Verträge, Bescheide. Hash auf der Blockchain verankert.
🔔 Webhook
POST /api/v1/webhook
{
"url": "https://...",
"events": [
"message.delivered",
"message.read"
]
}
Echtzeit-Benachrichtigung bei Zustellung und Lesebestätigung.
💼 Anwendungsbeispiele
Arztpraxis: Befund wird über Smackcheck-API verschlüsselt zugestellt. Hash auf Blockchain. Patient bestätigt Empfang. Arztbrief rechtssicher dokumentiert.
Kanzlei: Mandantenkorrespondenz über API integriert. Alle Nachrichten E2E-verschlüsselt, Zustellung nachweisbar, Zeitstempel unveränderlich.
Behörde / Amt: Bescheid wird über Smackcheck versendet. Eingangsbestätigung automatisch. Kein Einschreiben per Post mehr nötig.
Notar: Beteiligte einer Transaktion erhalten alle Dokumente gleichzeitig, verschlüsselt, mit Lesebestätigung und Blockchain-Nachweis.
📋 Status
| Feature | Status |
|---|---|
| Supabase REST API via PostgREST | ✓ Aktiv |
| Öffentliche API v1 | ⏳ Phase 3 |
| Webhook-Unterstützung | ⏳ Phase 3 |
| Blockchain-Ankerpunkt | ⏳ Phase 4 |
| API-Schlüssel & Authentifizierung | ⏳ Phase 3 |
Geplante Blockchain-Integration
Warum Blockchain – und warum nicht sofort?
Die Blockchain-Schicht löst ein spezifisches Problem: unveränderliche, dezentrale Zeitstempel. Jede Nachricht soll beweisbar zu einem bestimmten Zeitpunkt existiert haben – ohne dass Smackcheck selbst als vertrauenswürdige Instanz gelten muss.
Wir haben bewusst entschieden, die Blockchain-Integration erst nach Product-Market-Fit umzusetzen. Gründe: regulatorische Komplexität (BaFin, Token-Klassifizierung), Entwicklungsaufwand (3-6 Monate), Gas-Fees und Skalierungsrisiken.
Die Datenbankstruktur ist bereits vollständig blockchain-ready – alle relevanten Felder (chain_ref, sha256_hash) sind vorbereitet.
SMK Token & Preismodell
Anti-Spam durch Mikro-Gebühr
Das Kernprinzip: 0.001 SMK pro Nachricht. Für einen echten Nutzer ist das irrelevant. Für einen Spam-Bot der Millionen Nachrichten versendet, macht es das Geschäftsmodell kaputt.
| Paket | Nachrichten | Preis | Pro Nachricht |
|---|---|---|---|
| Neukunde | 150 | Gratis | – |
| Starter | 150 | 2,99 € | ~0,020 € |
| Plus | 500 | 7,99 € | ~0,016 € |
| Pro | 1.500 | 19,99 € | ~0,013 € |
| Business | 5.000 | 49,99 € | ~0,010 € |
Unit Economics
Privat (B2C)
Ø 150 Nachrichten/Monat = 2,99 €/Monat pro Nutzer. Bei 10.000 aktiven Nutzern: ~30.000 €/Monat.
Business (B2B)
10 Mitarbeiter × 500 Nachrichten/Monat = 5.000 Nachrichten = 49,99 €/Monat pro Unternehmen. Bei 1.000 Unternehmen: ~50.000 €/Monat.
Langfristig
Premium-Features: Team-Konten, API-Zugang, Audit-Export, SLA – höhere Margen als Token-Verkauf.
Roadmap
Rechtlicher Rahmen
DSGVO
Datenverarbeitung auf Basis von Einwilligung (Art. 6 Abs. 1 lit. a). Server in Deutschland. Kein Tracking, kein Profiling, keine Datenweitergabe an Dritte.
Token-Klassifizierung
SMK ist als Utility Token konzipiert – keine Renditeversprechen, kein Investment-Charakter. BaFin-Konsultation vor Token-Launch geplant.
§203 StGB
Für Arztpraxen und Kanzleien relevant: Berufsgeheimnis-konforme Kommunikation durch Ende-zu-Ende Verschlüsselung (Phase 3).
Interesse an einer Zusammenarbeit?
Ob Investment, technische Partnerschaft oder früher Pilot-Kunde – wir freuen uns über den Austausch.
Kontakt aufnehmen →