PowerArchiver nutzt den Microsoft CryptoAPI Enhanced Cryptographic Provider — NIST-CMVP-zertifiziert, validiert unter FIPS 140-2. Dasselbe Krypto-Modul wird mit Windows Server ausgeliefert und in zahlreichen Bundesbehörden eingesetzt.
NIST-CMVP-Programm →DFARS 252.204-7012 schreibt FIPS-validierte Kryptografie für Controlled Unclassified Information (CUI) vor. Da PowerArchiver die Validierung von der Microsoft CryptoAPI erbt, erfüllen Bereitstellungen die technische DFARS-Anforderung ohne gesonderten Zertifizierungsaufwand oder -kosten.
Für Bundesauftragnehmer →PowerArchiver veröffentlicht ein öffentliches Voluntary Product Accessibility Template (VPAT), das die Section-508-Konformität dokumentiert. Erforderlich für bundesfinanzierte Einrichtungen und zunehmend in landesrechtlicher Beschaffung vorgeschrieben.
VPAT (PDF) herunterladen →| Validierung | Behörde | Geltungsbereich | Referenz |
|---|---|---|---|
| FIPS 140-2 | NIST CMVP | Kryptographisches Modul (AES, SHA-2, RSA, HMAC) · Validierungsunterlagen bei der Enterprise-Edition | CMVP-Zertifikatsliste |
| DFARS 252.204-7012 | DoD | CUI-Schutz — übernimmt FIPS 140-2-Validierung · Enterprise-Edition | Selbstauskunft unterstützt |
| Section 508 | Föderale Barrierefreiheit (29 U.S.C. § 794d) | UI-Barrierefreiheit für föderal geförderte Nutzung | VPAT-PDF |
| GDPR-konform | EU-GDPR Art. 32 (technische Maßnahmen) | Verschlüsselung im Ruhezustand & bei der Übertragung · keine PII-Verarbeitung im Produkt | Architekturerklärung auf Anfrage |
| FERPA-kompatibel | US-Bildungsministerium | Angemessene Methoden zum Schutz von Schülerunterlagen | Architekturerklärung auf Anfrage |
| HIPAA-kompatibel | US-HHS | FIPS-validiertes AES = anerkannte Schutzmaßnahme für PHI im Ruhezustand · Validierung bei der Enterprise-Edition | Architekturerklärung auf Anfrage |
| DoD-Wipe (DoD 5220.22-M) | DoD-Deklassifizierung | Integriertes sicheres Löschen von Quelldateien nach der Archivierung | Im Admin-Handbuch dokumentiert |
| Format | Verschlüsselung | Schlüsselstärke | Dateinamen-Verschlüsselung | Hinweise |
|---|---|---|---|---|
| PAE2 | AES-256 (CBC + HMAC) | 256 Bit | Ja (Standard) | Empfohlen — PA-eigen, FIPS-validiert, Encrypt-then-MAC |
| 7z | AES-256 | 256 Bit | Ja (optional) | Werkzeug-übergreifend kompatibel · 7-Zip, p7zip, weitere |
| ZIP (AES) | AES-256 (WinZip AE-2) | 256 Bit | Nein (ZIP-Limitierung) | Werkzeug-übergreifend kompatibel · WinZip, 7-Zip, weitere ZIP-AES-Tools |
| ZIP (Legacy) | ZipCrypto | 96 Bit, schwach | Nein | Nur Lesezugriff · nicht für neue Archive verwenden |
| OpenPGP | AES-256 + RSA-4096 / ECC | 256 Bit symmetrisch, 4096 Bit RSA | n. v. (PGP-Datei) | Standard-OpenPGP (RFC 4880) · interoperabel |
Schreiben Sie an security@conexware.com mit technischen Details, Reproduktionsschritten und Auswirkungsanalyse. PGP-verschlüsselte E-Mails werden akzeptiert — öffentlicher Schlüssel auf Anfrage.
Erste Bestätigung innerhalb von 2 Werktagen. Triage und Schweregradbewertung innerhalb von 5 Werktagen. Der Patch-Zeitplan hängt vom Schweregrad ab — kritische Probleme werden für Notfall-Releases priorisiert.
Wir koordinieren die öffentliche Offenlegung mit den Meldenden. Standardfenster: 90 Tage von der Bestätigung bis zur öffentlichen Bekanntmachung, bei komplexen Fällen verlängerbar. Meldende werden in der Bekanntmachung genannt, sofern sie nicht Anonymität wünschen.
Marketing-/Webseiten-Probleme (powerarchiver.com), Social-Engineering-Angriffe auf ConeXware-Mitarbeiter und physische Angriffe. Wir betreiben kein bezahltes Bug-Bounty-Programm, würdigen aber verantwortungsvolle Offenlegungen öffentlich.
Sicherheits-Bekanntmachungen — falls ausgegeben — werden in den PowerArchiver News mit dem Tag security-advisory veröffentlicht. Abonnieren Sie den Security-Advisory-Feed, um Benachrichtigungen zu erhalten.
Schreiben Sie an compliance@conexware.com mit Institution / Unternehmen und Beschaffungskontext. Antwort am selben Werktag bei Standardanfragen.
Das kryptografische Modul ist FIPS-140-2-validiert. PowerArchiver delegiert alle kryptografischen Operationen (AES, SHA, RSA, HMAC) an den Microsoft CryptoAPI Enhanced Cryptographic Provider, der die NIST-CMVP-Zertifizierung trägt. Die Anwendung PowerArchiver implementiert keine eigene Kryptografie, daher ist keine separate Validierung der App erforderlich — die maßgebliche Validierung (die kryptografischen Primitive) liegt bei Microsoft und wird von jeder Anwendung übernommen, die CryptoAPI im FIPS-Modus verwendet. Dasselbe Muster nutzen Windows Server, BitLocker und die meisten Enterprise-Windows-Programme, die regulierte Daten verarbeiten.
SOC 2 prüft die operativen Kontrollen einer Dienstleistungsorganisation — es gilt für SaaS / gehostete Dienste. PowerArchiver ist Desktop-Software, die auf Ihrer Hardware läuft; wir betreiben keinen Dienst, der Ihre Daten verarbeitet. Das SOC-2-Rahmenwerk lässt sich auf ein Produkt wie PowerArchiver nicht zwanglos anwenden. ConeXware (das Unternehmen) unterhält operative Kontrollen auf Unternehmensebene; verlangt Ihre Beschaffung ausdrücklich eine SOC-2-Bescheinigung als Lieferantenrisikokontrolle, wenden Sie sich an compliance@conexware.com mit den konkreten Kontrollzielen — meist können wir unsere bestehende FIPS-/DFARS-Validierungskette auf Ihre Anforderungen abbilden.
Ja. Ist Windows mit dem lokalen FIPS-Policy-Flag konfiguriert (HKLMSystemCurrentControlSetControlLsaFipsAlgorithmPolicy), arbeitet der CryptoAPI-Provider im reinen FIPS-Modus und weist Nicht-FIPS-Algorithmen zurück. PowerArchiver übernimmt diesen Modus und beschränkt sich auf FIPS-zugelassene Algorithmen (AES-256, SHA-2, RSA, HMAC). Über das OS-Flag hinaus ist keine PowerArchiver-Konfiguration nötig.
Die ältere ZIP-Verschlüsselung (ZipCrypto, auch PKZIP-Verschlüsselung genannt) ist unter mehreren bekannten Angriffen gebrochen und sollte für neue Archive nicht verwendet werden. PowerArchiver unterstützt sie zur Lesekompatibilität mit älteren Archiven, doch die Erstellungs-UI nutzt standardmäßig AES-256. Admins können die Verschlüsselungswahl per MSI-Eigenschaften sperren — siehe das Bereitstellungs-Handbuch für den Registry-/GPO-Schlüssel, der die Legacy-ZipCrypto-Option vollständig aus der Endnutzer-Ansicht entfernt.
Nein. PowerArchiver ist Desktop-Software — Dateien bleiben auf Ihrem Rechner. Keine Telemetrie, keine Analytik, kein Cloud-Upload von Dateiinhalten. Die Lizenzaktivierung kontaktiert ConeXware einmal zur Aktivierung sowie bei optionalen Update-Prüfungen; das ist die einzige ausgehende Verbindung in der Standardkonfiguration. Das Produkt liest Ihre Archivinhalte nie aus und überträgt sie nirgendwohin. Genau deshalb laufen GDPR-/FERPA-/HIPAA-Workflows sauber an PowerArchiver vorbei — das Produkt ist im regulatorischen Sinne kein Datenverarbeiter.
Nein. PowerArchiver nutzt kryptografische Standardprimitive (AES, RSA, OpenPGP), umgesetzt durch die Microsoft CryptoAPI. Es gibt keinen Generalschlüssel, keine Hintertür, keinen Recovery-Treuhanddienst — wenn Sie Passwort oder privaten Schlüssel verlieren, sind die Daten nicht wiederherstellbar. Wir können sie auch nicht auf Anordnung wiederherstellen. Das ist der Trade-off, validierte Kryptografie korrekt einzusetzen; deshalb gelten diese Algorithmen auch als vertrauenswürdig für bundesfinanzierte Forschung und DoD-konforme Workflows.
Koordinierte Offenlegung in einem Standardfenster von 90 Tagen, bei komplexen Fällen verlängerbar. Meldungen gehen an security@conexware.com. Erste Bestätigung innerhalb von 2 Werktagen, Triage innerhalb von 5. Die öffentliche Bekanntmachung folgt nach Auslieferung des Patches. Meldende werden genannt, sofern sie nicht Anonymität wünschen. Wir betreiben kein bezahltes Bug-Bounty, doch jede verantwortungsvolle Offenlegung erhält eine öffentliche Würdigung. Vollständige Richtlinie oben.
