Icon phone
Kontakt
kontakt@tuuva.systems
[+49] 421 705117 Wir melden uns schnellstmöglich.
Icon eMail
Newsletter
Icon Sharing
Folge uns
Icon Blog
Blog
Coming soon too
Der tuuva.systems Blog wird in Kürze online sein.
Image 2-devices

Mehr Fragen zu  kumppani?

Hier gibt es schon ein paar Antworten.
Weitere werden folgen.
Zur Demo
Gratis anmelden
Security icon

Unser Sicherheitskonzept

kumppani ist eine Web App. Aber unsere App hat ein spezielles Sicherheitskonzept.
Wie funktionieren Web Apps normalerweise?
Eine klassische Online Web Applikation führt sämtliche Operationen auf einem sogenannten Server aus. Ein Server ist ein besonders rechenstarker Computer, der irgendwo in der Welt steht, viele Anwender gleichzeitig bedient (deshalb Server) und mit einer Datenbank verbunden ist, die die Daten der angeschlossenen Anwender speichert. Die Geräte der Anwender (sie heißen dann in der Fachsprache "Clients") dienen mit Hilfe des Browsers (Firefox, Chrome, Safari,...) nur noch der Anzeige und Steuerung. Die Funktionalität der App ist komplett ausgelagert auf den Server.
Eine der Konsequenzen besteht darin, dass alle Anwenderdaten für den Server verfügbar sein müssen. Um das sicher zu ermöglichen und zugleich zu verhindern, dass unberechtigte Personen sich Zugang verschaffen, existieren viele Sicherheitsmaßnahmen. Aktuell sind z.B. üblich
- die sogenannte Transportverschlüsselung (zu erkennen am Sicherheitsschloss vor der Adresse im Browserfenster),
- die Authentifizierung des Nutzers durch ein Passwort (und zunehmend durch einen zweiten Faktor auf einem anderen Kanal),
- die Nutzerdaten werden in den Datenbanken des Anbieters grundsätzlich verschlüsselt gespeichert und nur zum Verarbeiten kurzfristig entschlüsselt,
- die dafür erforderlichen Schlüssel werden auf getrennten Systemen ebenfalls verschlüsselt gespeichert.
Trotz aller Bemühungen gelingt es Unberechtigten immer wieder, an den Sicherheitsvorkehrungen vorbei in Server eindringen und die dort vorhandenen Daten zu abzugreifen. Das lässt sich niemals 100%ig ausschließen, aber maximal erschweren durch eine saubere Architektur. Aber leider gibt keine IT-System, das nicht früher oder später eine bis dahin unbekannte unbekannte Sicherheits­lücke aufweist. Allein durch das hohe Tempo der Weiterentwicklung enstehen immer wieder bisher unbekannte Angriffsflächen. In der IT gibt es keine 100%ige Sicherheit, kann es nicht geben. Das gilt selbstverständlich nicht nur für Serversysteme, sondern auch für die Geräte der User von Online Anwendungen.
Weder die konsequente Einhaltung der DSGVO, noch ein Server­standort in der EU sind da ein Gegenmittel. Für Heilberufe als Berufsgeheimnisträger ist das ein sehr wichtiges Thema mit zahlreichen rechtlichen Aspekten.
Was macht kumppani anders?
Man kann eine Web App aber auch so bauen, dass ein Abgreifen von sensiblen Daten im Serversystem eines Diensteanbieters noch mehr erschwert wird. Dazu wird die App in den Browser auf dem Gerät des Anwenders oder der Anwenderin verlagert. Sie läuft dann clientseitig. Auf der Serverseite gibt es dann einen Webserver zur Auslieferung der Webseite mit der Anwendung und eine Datenbank. Aber bevor die Daten zur Synchronisation mit anderen Geräten des Users zur Datenbank geschickt werden, werden sie im Browser des Users verschlüsselt mit einem Schlüssel, den nur er oder sie haben, und der nicht in die Cloud übertragen wird. Alle Operationen und die dafür erforderliche Entschlüsselung der Daten finden im Gerät des Nutzers statt. Das kann wie im Falle von kumppani noch zusätzlich mit einer Speicherung der Daten im Gerät des Nutzers (genauer gesagt in der Datenbank des Browsers) verbunden werden, das muss aber nicht.
Der Vorteil einer Web App, sie auf verschiedenen Geräte parallel benutzen zu können, wird dadurch gewährleistet, dass die Daten im Gerät des Anwenders verschlüsselt und nur in diesem verschlüsselten Zustand auf die Remote-Datenbank übertragen werden. Einen Anwendungsserver im oben beschriebenen Sinne braucht es nicht, und den Schlüssel zum Lesen der Daten benötigen wir auch nicht. Allerdings, das sei nicht verschwiegen, hat nun der Nutzer die Verantwortung für den Schlüssel. Ein erfolgreicher Angriff auf das Nutzergerät kann im schlimmsten falle auch bei dieser Architektur dazu führen, dass sensible Daten abgefriffen werden. Das ist der Deal: Die Sicherheit, einen Datendiebstahl in der Cloud vermeiden zu können, gegen die Verantwortung, das eigene System sauber zu halten und auf den Schlüssel aufzupassen (z.B. durch einen Export auf einen USB-Stick). Da muss ein jeder sich entscheiden, beides gleichzeitg geht nicht.
Allerdings sei darauf hingewiesen, dass auch in allen anderen Szenarien von Computereinsatz ein erfolgreicher Einbruch in ein Nutzergerät mit dramatischen Folgen für die sensiblen Daten verbunden sein kann. Das Abgreifen von Passwörtern z.B. öffnet den Angreifern auch bei nativen oder serverseitigen Online Anwendungen die Tür zu Daten. Deshalb haben Vorsicht und Schutzmaßnahmen bei Geräten, die mit dem Internet verbunden sind, größte Bedeutung. Gegen diese Gefahren hilft auch unsere Architektur nicht. Allerdings - allein durch das Erlauschen des Passwortes (z.B. durch einen Keylogger) für das Einloggen bei kumppani erhält ein Angreifer noch keinen Zugang zu den Daten. Er muss so viel Kontrolle über das Gerät erlangen, dass er aus dem Browser den Schlüssel zu sich exportieren kann.
Der Anwender überträgt selbst diesen Schlüssel ohne Umweg über uns direkt auf die Geräte, die er nutzen will (am schnellsten via QR-Code). Erst dann können weitere Geräte die Daten aus der Remote-Datenbank entschlüsseln. Dieses Prinzip heißt clientseitige Ende-zu-Ende-Verschlüsselung.
Aus der schon erwähnten Tatsache, dass bei kumppani die Daten in einer Browser-Datenbank im Nutzergerät vorhanden sind, ergibt sich als weiterer Vorteil unserer Lösung, dass die Anwendung auch dann funktioniert, wenn mal keine Internetverbindung besteht. Sie ist offline-fähig.
Sobald wieder eine Netzverbindung besteht, synchronisiert die Datenbank in Hintergrund automatisch alle Daten.

Hinweise zur Benutzung und bekannte Probleme

Welche Browser kann ich verwenden?

Vorab die Kurzfassung: Wir unterstützen alle aktuellen Browser auf allen üblichen Betriebssystemen. Unsere App funktioniert nicht mit dem Internet Explorer, aber den hat ja nun sogar Microsoft ausgemustert.
Wir empfehlen die Verwendung des Firefox, denn der Firefox-Browser wird entwickelt von der Mozilla Stiftung. Das Geschäftsmodell von Mozilla beruht auf Spenden und nicht auf der Monetarisierung von Nutzerdaten. Das passt sehr gut zu unseren Ansatz der Datenverschlüsselung.
Etwas ausführlicher:
kumppani arbeitet im Browser und verwendet dafür viele aktuelle Webtechniken.
Deshalb ist zur Benutzung ein aktueller Browser erforderlich. Geeignet sind grundsätzlich: Firefox, Chrome, Safari, Edge & Opera. Diese Browser testen wir regelmäßig in Windows, Linux, macOS, iOS und Android. Der alte Internet Explorer ist von einer Verwendung ausgeschlossen.
Leider gibt es zwischen den Browsern immer wieder Unterschiede, welche Webtechniken eingebaut sind und auch in Art, wie das geschieht.
Die großen Konkurrenten sind Apple und Google. Mikrosoft ist aus diesen Wettbewerb ausgestiegen und verwedet als technische Basis für Edge Chromium, die freie Version von Chrome. Und was viele nicht wissen: in iOS Geräten sehen Firefox und Chrome zwar fast genau so aus wie überall sonst, aber Apple zwingt alle Browserhersteller als technische Basis die Safari-Technik zu benutzen.
Und Apple ist in der Übernahme neuer Webtechniken, die sehr häufig von Google vorangetrieben werden, für uns aber durchaus nützlich wären, zögerlich. Bisher haben wir diesen Spagat ganz gut geschafft. Der aktuelle Prototyp der App unterscheidet sich in den verschiedenen Systemen nicht.
Ob das langfristig in jeden Detail so bleiben wird, hängt von den Entscheidungen der Hersteller ab.

Bekannte Probleme

Nach dem Anlegen eines neuen Accounts bzw. bei der erstmaligen Anmeldung mit einem bereits bestehenden Account auf einem neuen Gerät kann es in seltenen Fällen passieren, dass der Browser die Daten im Kalender nicht anzeigt und die App anscheinend nicht richtig startet.
Hintergrund: Die Anmeldeprozedur hat noch einen kleinen Bug, wodurch kumppani nicht in allen Situationen die Daten sofort vollständig lädt und anzeigt. Der ist aber bereits identifiziert unhd wird mit einem der nächsten Updates behoben.
Lösung: Das Fenster neu laden.

Zukünftige Features

Roadmap bis Ende 2022
Im Moment ist kumppani eine Praxissoftware mit allen wichtigen Grundfunktionen zur Rechnungserstellung und Patientendokumentation. Einiges an Komfortfunktionen (z.B. Exportfunktion, Erinnerungen, GebüH- und ICD-10 Integration) ist noch in Arbeit.
Die aktuelle Frage lautet, ob die Grundidee überzeugt und des Potential der App deutlich wird bzw. bei ausreichend Menschen einen Nerv trifft.
Und daran schließt sich die nächste Frage an, durch welche weiteren neuen Funktionen oder Verbesserungen bereits bestehender Funktionen das Potential schnell in eine für viele Heilberufe spannende und nutzbare All-in-One Praxisverwaltung übergeht.
Wir wollen im Dialog mit unseren frühen Nutzer*innen die App in eine gute Richtung weiterentwickeln. Der Initiator der App, unser Geschäftführer Thomas Naujokat, hat als praktizierender Heilpraktiker für Psychotherapie natürlich selbst etliche Ideen für weitere Verbesserungen.
Aber wir sind nun an einem Punkt, wo wir auch anderen zuhören wollen. Deshalb gibt es zum jetzigen Zeitpunkt keine festgelegte Roadmap für die kommenden 18 Monate.
Natürlich haben auch wir Vorstellungen.
  1. Gesetzt ist der Einbau der echten der Offline-Fähigkeit (PWA).
  2. Schon jetzt viel nachgefragt ist das Teilen von eigenen Kalendern und das Anzeigen von Google Kalendern.
  3. Außerdem ist eine Mehrnutzerverwaltung in Vorbereitung, weil diese schon nachgefragt wird.
  4. Kommen wird bald des Exportieren von Texten und Notizen als PDF.
  5. Wir werden die Einstellungsseite überarbeiten und erweitern.
  6. Die GoBD-Konformität und die Steuerberater-Anbindung sind ein wichtiges Thema. Die Grundlagen sind bereits gelegt. Unveränderbarkeit und Nachvollziehbarkeit sind implementiert.
  7. Wir arbeiten an Erinnerungen für Termine und Aufgaben.
  8. Wir fragen uns, ob eine schlanker SMTP-Server interessant wäre, der den Versand von Mails direkt aus der App heraus erlaubt.
  9. Wir fragen uns, ob Nutzer*innen ein Dashboard haben wollen, das ihnen gleich beim Öffnen der App einen Überblick über den Tag und aktuellen Stand aller Abläufe gibt.
Wir rufen alle Interessenten auf, sich an dieser Diskussion zu beteiligen. Jede Stimme wird ernst genommen. Unsere Grundregel lautet: Wenn drei Menschen etwas explizit (nicht) wollen, hat es auf jeden Fall Bedeutung für die Zukunft einer App.

Fragen zum Abo

Die aktuell verfügbare Version nennen wir Grundversion.. Die Benutzung ist kostenlos, aber wir halten einem ernsthaften geschäftlichen Einsatz für machbar. Thomas Naujokat geht mit seiner Praxis immer vorneweg... Aber das Jahr 2021 ist weiterhin eine Zeit der Überprüfung und Ausbesserung von Fehlern, deshalb übernehmen keine Gewährleistung oder Haftung für Ausfälle.
Sie bietet aber schon alle notwendigen Kemfunktionen einer Praxis-App für freie Heilberufe. Sobald wir noch einige zusätzliche Features und technische Anforderungen abgearbeitet haben, wird die Bezahlversion starten. Als Termin peilen wir den 1. April 2022 an.
Nach dem Ende der laufenden Phase gewährleisten wir die für einen ernsthaften Einsatz notwendige Funktionsstabilität und Datenkonsistenz. Dann ist die Benutzung nicht mehr kostenlos. Wir werden die Nutzer mit einem Account davon rechtzeitig in Kenntnis setzen.

Die lange Geschichte dahinter

(erzählt aus der Sicht des Initiators und Gründers)
"Ich bin Diplom-Psychologe und arbeite seit 1998 als Heilpraktiker für Psychotherapie, Coach und Berater für Berufs­findung. Schon sehr bald war ich auf der Suche nach einer Praxisverwaltung, die mir Ver­waltungs­aufgaben abnimmt, fand aber nichts, was mich überzeugt hätte.
Mein Interesse für IT hatte ich bereits 20 Jahre vorher, in meinem ersten Studium entdeckt (ich bin auch promovierter Biologie) und damals ganz praktisch einen Apple II mit einem handgestrickten A/D-Wandler hinter ein Messgerät gebastelt.
Seitdem habe ich mich mit IT kontinuierlich nebenher beschäftigt. Die Suche nach einem rundum passenden Programm blieb jedoch bis zuletzt erfolglos. Welche Features ich mir von einem solchen Programm wünschte und wünsche, ist in der Demo-Version unserer App Wirklichkeit geworden. Bis vor kurzem gab es keine Praxisverwaltung, die meine Feature-Wunschliste auch nur annähernd erfüllte (mal ganz abgesehen von den wenig einladenden Nutzer­ober­flächen). Aber als ich dann vor gut 6 Jahren wirklich startete, sah es noch trüber aus. Kein vollwertiger Kalender, keine freie Definition von Leistungen, keine Steuer­berücksichtigung und ohne Windows ging gar nichts.
Aber selbst jetzt im Jahre 2021 gibt es keine vergleich­bare Praxisverwaltung, die eine "Überall"-Funktion (Syncing von Handy, Tablet, Laptop) mit echter Daten­sicherheit, Rechts­sicherheit und Offline-Fähigkeit verbindet.
Ich hatte jedoch damals nicht die blasseste Ahnung, was mich auf dem Wege zum nun vorzeigbaren Prototyp erwartete. Die hinter uns liegenden Jahre waren eine Zeit größter Heraus­forderungen. Eine schmerz­hafte inhaltliche Lernkurve, eine intensive Schulung in Durchhalte­vermögen und Disziplin, ein heftiges Auf und Ab von Hoffnung und Enttäuschung. Ich hatte und habe weiter den Ehrgeiz, diese App ohne die Abhängigkeit von Geldgebern zu entwickeln und weiter zu verbessern.
Das macht es natürlich nicht einfacher, das berühmte 4-Stunden-täglich-neberbei-Startup, hier wurde es Wirklich­keit. Jetzt nach einer langen Zeit des Machen und Tuns: ihr da draußen möget nun feststellen, dass ihr noch gar nicht wusstet, wie sehr kumppani euer Leben verbessert Sunglasses emoj."
Bremen, Mai 2021
Dr. Thomas Naujokat
­