Ist Obhut schon ein vollständiger Cloudflare-Ersatz?

Nein. Die Vision ist ein souveräner Edge-Security-Stack für Europa. Der erste Baustein ist Obhut Access: sicherer Zugriff auf interne Anwendungen ohne offene Ports.

Warum nicht einfach ein Open-Source-Projekt hosten?

Wir lernen von Open Source und bewerten Projekte wie Caddy, Traefik, Pomerium oder oauth2-proxy als Referenz. Die strategischen Kernservices bauen wir selbst, weil das Kontrolle, Datenhoheit und Unabhängigkeit von fremder Infrastruktur sichert.

Wo werden Daten verarbeitet?

Das Architekturziel ist Betrieb in Deutschland beziehungsweise der EU mit klar benannten Subprozessoren. Konkrete Hosting-Entscheidungen werden dokumentiert, bevor echte Kundendaten fließen.

Gibt es Tracker auf dieser Website?

Nein. Diese Website enthält keine Analytics, keine Werbetracker und keine Drittanbieter-Embeds. Der Cookie-Hinweis speichert nur lokal, dass er gesehen wurde.

In der Design-Partner-Phase gibt es keine Lizenzkosten. Faire und transparente Preise folgen, sobald der Produktivbetrieb gemeinsam mit ersten Partnern steht.

Souveräner Edge-Stack aus Deutschland

Sicherer Zugriff auf interne Anwendungen — ohne offene Ports, ohne VPN.

Obhut entwickelt die europäische Alternative zu den US-Hyperscalern für Sicherheit am Internet-Übergang — eigene Kerntechnologie, Betrieb unter EU-Recht, offene Roadmap. Heute live: Zero-Trust-Zugriff auf interne Anwendungen ohne offene Ports. Geplant: Edge-Schutz, WAF, DNS.

Frühe Demo anfragen Roadmap ansehen

Ohne offene Ports
Souverän, EU zuerst
Keine Tracker
Eigene Kerntechnologie

Frühzugang

Frühe Demo anfragen

Kurz beschreiben, welche interne Anwendung geschützt werden soll. Ihre Anfrage geht direkt an Obhut – ohne Tracker und ohne Drittanbieter.

Schritt 1 · Der Zugriffspfad

Browser

Obhut Edge

prüft Session, Regel und Hostname

Outbound-Tunnel

ausgehend aufgebaut, keine offenen Ports

Agent

Private Anwendung

bleibt hinter geschlossener Firewall

Jede Anfrage durchläuft die Zugriffsprüfung, bevor sie die interne Anwendung erreicht.

Für wen wir bauen

Gedacht für Teams, die Zugriffe erklären müssen.

Obhut richtet sich an Organisationen in DACH, für die Nachvollziehbarkeit, Datenresidenz und Betriebshoheit keine Kür sind, sondern Voraussetzung.

Mittelstand

Interne Tools, Admin-Panels und Monitoring sicher erreichbar machen, ohne ein eigenes Security-Team aufzubauen.

Öffentlicher Sektor

Behörden und Einrichtungen, die deutschen Betrieb und klare Datenwege gegenüber Prüfern belegen müssen.

Regulierte Branchen

Finanz, Gesundheit und Industrie mit Anforderungen aus DORA, NIS2 und internen Audits.

SaaS- und Plattform-Teams

Entwicklungs- und Betriebsteams, die private Umgebungen ohne VPN-Komplexität freigeben wollen.

Das Problem

Offene Ports vergrößern die Angriffsfläche. VPNs sind aufwendig zu betreiben und schwer nachvollziehbar.

Wer interne Anwendungen erreichbar macht, öffnet meist Ports oder verteilt VPN-Zugänge. Beides vergrößert die Angriffsfläche und macht Zugriffe schwer nachvollziehbar.

Ports bleiben geschlossen

Der Agent verbindet sich ausgehend zur Obhut Edge. Interne Anwendungen müssen nicht öffentlich lauschen und tauchen nicht in Portscans auf.

Zugriff vor der Anwendung

Obhut prüft Identität und Zugriffsregel, bevor eine Anfrage die interne Anwendung erreicht. Unautorisierte Anfragen kommen nicht durch.

Nachvollziehbar von Anfang an

Jede Entscheidung wird als Zugriffsereignis protokolliert, mit Identität, Regel und Zeitpunkt. Das hält den Compliance-Pfad nachvollziehbar.

So funktioniert es

Vier Schritte von der privaten App zur geschützten URL.

Kein Umbau Ihrer Anwendung, kein offener Port, kein eigenes Identity-System. Der Agent läuft daneben und baut nur ausgehende Verbindungen auf.

Agent installieren

Der Obhut Agent läuft neben Ihrer privaten Anwendung und meldet sich mit einem Enrollment-Secret bei der Steuerebene an.

Ausgehend verbinden

Der Agent baut eine ausgehende Verbindung zur Obhut Edge auf. Es bleibt kein eingehender Port offen.

Zugriff prüfen

Die Edge prüft Identität über OIDC und Ihre Zugriffsregel, bevor eine Anfrage weitergeleitet wird.

Audit schreiben

Jede erlaubte oder abgelehnte Anfrage erzeugt ein Zugriffsereignis mit Identität, Regel, Ziel und Zeitpunkt.

Produkt

Obhut Access besteht aus vier Bausteinen.

Wir bauen die strategischen Kernservices selbst: Agent, Edge, Zugriffsregeln und Audit. Open Source dient als Referenz, nicht als Produktkern.

Outbound-only Agent

Läuft neben der privaten Anwendung und baut ausschließlich ausgehende Verbindungen auf. Keine eingehenden Ports, keine öffentliche Erreichbarkeit der App.

Enrollment über kurzlebiges Secret
Weiterleitung an einen konfigurierten Upstream
Meldet Health und Version zurück

Identitätsbasierte Edge

Nimmt öffentliche HTTPS-Anfragen an, terminiert TLS, prüft Identität und Regel und leitet nur erlaubte Anfragen durch den Tunnel weiter.

Hostname-Routing auf Tenant-Ressourcen
Zugriffsentscheidung vor dem Proxy
Sendet Zugriffsereignisse an die Audit-Pipeline

Erweiterbares Regelmodell

Startet bewusst einfach: erlauben nach E-Mail-Domain oder Gruppe. Später Gruppen, IdP-Integration und Enterprise-Policies, ohne den Kern neu zu bauen.

Start: Domain- und Gruppen-Regeln
Später: SAML, SCIM und IdP-Gruppen
Jede Regel ist tenant-isoliert

Nachvollziehbares Zugriffsprotokoll

Jede Zugriffsentscheidung wird als Ereignis protokolliert. Security und Compliance arbeiten mit demselben Log, statt es im Nachhinein aus mehreren Quellen zu rekonstruieren.

Identität, Regel, Ziel und Zeitpunkt je Anfrage
Abfrage je Tenant
Spätere Exporte für Compliance-Prüfungen

Die große Richtung

Ein europäischer Security-Stack, der nicht bei Zero Trust stehen bleibt.

Wir starten mit Access, danach folgen Edge, Policies, WAF, DNS und weitere Sicherheitsdienste aus einer deutschen SaaS heraus. Souveränität ist dabei kein Etikett, sondern Architektur.

Access zuerst

Der erste Keil ist sicherer App-Zugriff für interne Tools, Admin-Panels und operative Systeme.

Eigene Kerntechnologie

Wir nutzen Open Source als Referenz, bauen die strategischen Kernservices aber selbst. Mehr eigener Datenpfad, weniger austauschbarer Wrapper.

DACH als erster Markt

Mittelstand, regulierte Unternehmen und Teams, die deutschen Betrieb und klare Nachweise brauchen.

Kein Wrapper über fremder Infrastruktur

Eigene Technologie in Agent, Edge, Policy und Audit heißt: Ihr Datenpfad läuft nicht über fremde Infrastruktur, und Sie bleiben unabhängig.

Status & Roadmap

Wo Obhut heute steht — und wohin es geht.

Ein souveräner Edge-Stack als europäische Alternative zu den US-Hyperscalern, Schritt für Schritt. Wir trennen klar, was heute live ist, von dem, was als Nächstes kommt.

Live

In Arbeit

Geplant

In Recherche

Obhut Access entsteht gerade mit unseren ersten Design-Partnern. Edge-Schutz, WAF und DNS folgen Schritt für Schritt — die Roadmap zeigt, was als Nächstes kommt.

Roadmap ansehen Änderungsprotokoll

Warum jetzt

Es geht nicht um den Tunnel, sondern um nachvollziehbare Zugriffsentscheidungen.

DACH-Unternehmen müssen Zugriffe, Lieferketten und Datenflüsse erklären können. Obhut soll genau dort anfangen: am Übergang zwischen öffentlichem Internet und interner Anwendung.

Für Security-Leads

Weniger offene Angriffsfläche, klare Zugriffsentscheidungen und ein Datenpfad, der auditierbar gedacht ist.

Für Geschäftsführung

Eine deutsche Alternative zu US-dominierten Edge-Stacks, ohne am ersten Tag den gesamten Stack umzuziehen.

Für regulierte Teams

Souveränität, Nachweise und Subprozessoren werden Produktbestandteil, nicht PDF-Anhang kurz vor dem Einkauf.

Für spätere Käufer

Eigene Kerntechnologie in Agent, Edge, Policy und Audit – keine Wrapper-Schicht über fremden Komponenten, sondern selbst kontrollierter Datenpfad.

Einordnung

Souveräner Einstieg statt US-Edge-Stack von Tag eins.

Wir ersetzen am ersten Tag keinen kompletten Hyperscaler-Stack. Wir lösen das erste Problem sauber und souverän. Die Vision wächst von dort.

Fähigkeit	Obhut	US-Hyperscaler (z. B. Cloudflare)
Zugriff ohne offene Ports	Outbound-only Agent	Möglich, oft mit mehr Konfiguration
Betrieb in Deutschland/EU	Als Architekturziel	Meist US-Anbieter und US-Recht
Eigene Kerntechnologie	Agent, Edge, Policy, Audit	Sehr ausgereift und breit
Nachweise als Produktbestandteil	Von Anfang an mitgedacht	Vorhanden, oft als Add-on
Breite des Stacks heute	Access zuerst, Rest folgt	DNS, CDN, WAF, DDoS, Workers
Datenfluss-Transparenz	Klar dokumentiert	Abhängig vom Anbieter

Ehrliche Einordnung: Reichweite und Reife großer US-Stacks sind real. Obhut wählt bewusst Fokus und Souveränität als Einstieg.

Erfüllt
Teilweise oder mit mehr Aufwand
Heute bewusst nicht im Fokus

Vollständiger Vergleich: Cloudflare-Alternative

Wie wir bauen

Prinzipien, die das Produkt formen.

Diese Grundsätze sind kein Marketing-Anstrich. Sie stehen in unseren Entscheidungsunterlagen und prägen jede Zeile Code.

Kernservices selbst bauen

Strategische Bausteine entstehen im Haus. Open Source wird studiert und als Referenz genutzt, nicht als Produktkern verkauft.

Souveränität als Architektur

Deutscher Betrieb, EU-Recht und klare Datenflüsse sind Designentscheidungen, keine Marketing-Etiketten.

Ehrlich über den Stand

Was heute gilt, bleibt sauber von der Vision getrennt. Keine erfundenen Zertifikate, keine Schein-Referenzen.

Boring by design

Sicherheitssoftware soll vorhersehbar sein. Wir nutzen bewährte UI-Bausteine und klare Abläufe statt visueller Effekte.

Tenant-Isolation überall

Jedes Schema, jede Regel, jedes Log und jede Tunnel-Zuordnung trägt Tenant-Bezug. Isolation ist ein Produktmerkmal.

Erst beweisen, dann skalieren

Ein privater Service hinter geschlossenen Ports, erreichbar über Obhut-Login. Erst wenn das trägt, kommt der Ausbau.

Unser Anspruch

Europa braucht keinen weiteren Wrapper über fremder Infrastruktur. Es braucht eigene Sicherheitstechnologie, die man prüfen, betreiben und verstehen kann. Wir fangen beim Zugriff an und denken den ganzen Stack souverän.

Das Gründerteam

Obhut

Design-Partner-Programm

Mitbauen, bevor es ein Preisschild gibt.

Wir suchen wenige Design-Partner aus DACH, die ihre erste interne Anwendung mit uns absichern und die Roadmap mitprägen.

Was Sie bekommen

Direkten Draht zum Gründerteam
Frühen Zugriff auf Agent, Edge und Dashboard
Einfluss auf Regeln, Nachweise und Prioritäten
Begleitung bei der ersten geschützten Anwendung

Was wir suchen

Eine konkrete interne Anwendung zum Schützen
Ansprechpartner aus Security oder Betrieb
Bereitschaft zu ehrlichem Feedback
Sitz oder Betrieb im DACH-Raum

Was es kostet

In der Design-Partner-Phase keine Lizenzkosten
Kein Vertrieb, kein Druck, kein Lock-in
Später faire, transparente Preise
Gemeinsame Entscheidung über den Produktivbetrieb

Design-Partner werden Mehr zum Programm

FAQ

Die wichtigsten Fragen vor dem ersten Call.

Die Website soll verkaufen, aber nicht überversprechen. Was heute gilt, bleibt sauber von der Vision getrennt.