Prüf es selbst
Glaub uns nicht — überprüf es
Die meisten Apps bitten dich, ihren Datenschutz-Versprechen zu glauben. Kontoo lässt dich sie beweisen. Alles hier unten kannst du selbst auf deinem Gerät nachprüfen, mit Werkzeugen, die du schon hast — deinem Browser, einem Texteditor, ein paar Zeilen Standard-Code. Kein Konto, kein Insiderwissen nötig. Würde etwas davon nicht stimmen, sähest du es sofort.
1. „Keine externen Requests" — schau in den Netzwerk-Tab
Der stärkste Datenschutz-Claim ist zugleich der am leichtesten prüfbare: Während du Kontoo nutzt, verlässt nichts über deine Finanzen dein Gerät. Das kannst du direkt sehen.
- Öffne web.kontoo.app in deinem Browser.
- Öffne die Entwicklerwerkzeuge (
F12oder Rechtsklick → „Untersuchen") und wechsle auf den Netzwerk-Tab. - Nutze die App: leg einen Haushalt an, trag Einnahmen und Ausgaben ein, wechsle die Bereiche.
- Beobachte die Anfrageliste. Du siehst die App-eigenen Dateien einmal laden (HTML, JS, CSS, Schriften
— alle von
kontoo.app), und danach geht keine Anfrage mit deinen Daten irgendwohin. Kein Analytics-Ping, kein Tracker, kein „Nach-Hause-Telefonieren".
2. Die Content-Security-Policy — lies sie je Seite
Ein Netzwerk-Tab zeigt, was passiert ist; die Content-Security-Policy (CSP) ist die
vom Browser erzwungene Regel dafür, was überhaupt passieren darf. Kontoo setzt eine CSP als
<meta>-Tag in jeder Seite — schau in den Seitenquelltext (Strg+U) und lies
die Content-Security-Policy-Zeile selbst. Sie unterscheidet sich je Host, und wir wollen präzise
statt schmeichelhaft sein:
| Seite | connect-src (ausgehende Verbindungen) | Was das heißt |
|---|---|---|
| Diese Site & die Rechner ( kontoo.app) | connect-src 'none' |
Der Browser blockiert jede ausgehende Verbindung. Die Rechner und Inhaltsseiten können buchstäblich nicht nach Hause telefonieren. |
| Die App ( web.kontoo.app) | connect-src 'self' https: |
Hier sind wir ehrlich: Die Richtlinie erlaubt HTTPS-Verbindungen. Das ist nur dafür da, dass der optionale Ende-zu-Ende-verschlüsselte Sync den von dir eingetragenen Server erreichen kann. Ohne eingerichteten Sync baut die App keine Verbindung auf — nachprüfbar in Abschnitt 1. |
Wir sprechen das bewusst an: Es wäre leicht zu schreiben „die App erlaubt keine Verbindungen", aber das wäre falsch. Die korrekte Aussage ist: Die CSP der App erlaubt HTTPS, und das einzige Feature, das das nutzt, ist der Sync, den du selbst aktivierst. Die Marketing- und Rechner-Seiten dagegen erlauben nichts — beide Policies kannst du im Seitenquelltext bestätigen.
3. Zero-Knowledge-Sync — der Server sieht immer nur Chiffrat
Wenn du den Geräte-Sync aktivierst, bekommt der Server genau das hier — und kann trotzdem nichts lesen. Das ist dieselbe Kryptografie wie beim verschlüsselten Backup, vollständig dokumentiert auf der Datenformat-Seite.
- Deine Daten werden auf deinem Gerät verschlüsselt, bevor irgendetwas gesendet wird: PBKDF2-SHA-256 (600.000 Iterationen) leitet einen Schlüssel aus deiner Passphrase ab, dann verschlüsselt AES-256-GCM den Haushalt. Der Server sieht weder Passphrase noch Schlüssel.
- Das Blob liegt unter einer aus deiner Passphrase abgeleiteten ID — ein separater PBKDF2-Hash. Der Server kennt weder deinen Namen, noch ein Konto, noch einen Weg, die ID zu erraten.
- Was der Server tatsächlich speichert, ist nur dieser Umschlag — keinerlei Klartext:
{ "ts": <Zeitstempel>,
"env": { "format": "hbk1", "iter": 600000,
"salt": "<Base64>", "iv": "<Base64>", "ct": "<Base64>" } }
Der ganze Sync-Server ist ein ~100-Zeilen-Cloudflare-Worker, der nichts tut außer dieses Chiffrat-Blob unter seiner ID zu speichern und wieder herauszugeben. Er hat keine Nutzer-Datenbank, kein Login, keine Möglichkeit, den Inhalt zu lesen. Du kannst in etwa fünf Minuten deine eigene Kopie betreiben — dann sind nicht einmal wir dazwischen.
Das Beste: Du kannst deine Daten selbst entschlüsseln, ganz ohne Kontoo, in jedem Browser oder in
Node.js. Die Datenformat-Seite zeigt die exakten ~8 Zeilen Standard-WebCrypto,
die einen hbk1-Umschlag zurück in dein lesbares JSON verwandeln. Wenn du es entschlüsseln kannst
und der Server nicht, ist der „Zero-Knowledge"-Claim kein Marketing — er ist Mathematik, die du selbst
ausführen kannst.
4. Kein Lock-in — deine Daten sind auch ohne uns lesbar
Nachprüfbarkeit brächte wenig, wärst du trotzdem gefangen. Bist du nicht. Kontoo exportiert deinen Haushalt
als reines JSON (jeder Texteditor), als CSV (jede Tabellenkalkulation) oder als
verschlüsseltes .hbk-Backup — und jedes dieser Formate ist offen dokumentiert, sodass du
(oder ein beliebiges Werkzeug) es für immer lesen kannst. Das vollständige Schema, die CSV-Spalten und das
Entschlüsselungs-Rezept findest du auf der Datenformat-Seite. Auch wenn es
Kontoo morgen nicht mehr gäbe, kämst du an alles heran.
Diese Seite beschreibt, wie Kontoo funktioniert und wie du es überprüfst. Sollte hier etwas nicht mehr zu dem passen, was du beobachtest, ist das ein Fehler — bitte sag uns Bescheid.