Architektur & Souveränität

Technischer Stack

Die Infrastruktur von Singulr basiert vollständig auf dokumentierten und prüfbaren Open-Source-Komponenten. Keine Abhängigkeit von einem proprietären Anbieter, keine geschlossenen Erweiterungen, kein technisches Vendor Lock-in.

Forge-Engine

Forgejo 15.x LTS, unter GPL v3+. Forgejo ist ein Community-Fork von Gitea, gepflegt von Codeberg e.V. (Deutschland), mit offener Governance und einer öffentlichen Roadmap.

Datenbank

PostgreSQL 17, unter PostgreSQL-Lizenz (BSD-äquivalent).

Reverse Proxy & TLS

Caddy 2, unter Apache-2.0-Lizenz. Let's Encrypt-Zertifikate werden automatisch erneuert. HTTP/2 und HTTP/3 sind aktiv.

Host-Betriebssystem

Ubuntu 26.04 LTS, mit aktivierten unbeaufsichtigten Sicherheitsupdates.

Containerisierung

Docker Compose für die Orchestrierung der Applikationsdienste. Persistente Daten auf dedizierten Volumes, vollständig gesichert und reproduzierbar.

Der gesamte Stack lässt sich identisch auf einer fremden Infrastruktur reproduzieren. Kein Komponent ist proprietär zu Singulr.

Eingliederung in die souveräne europäische Föderation

Der europäische öffentliche Sektor baut bereits seine souveränen Forges auf, auf verschiedenen freien Fundamenten:

• code.overheid.nl (Niederlande), Soft Launch April 2026, für die niederländischen Verwaltungen — auf Forgejo;
• opencode.de (Deutschland), für den deutschen öffentlichen Sektor — auf GitLab (ZenDiS);
• code.europa.eu (Europäische Union), für die Institutionen der Union — auf GitLab.

Unterschiedliche Git-Engines (Forgejo, GitLab), ein und derselbe Anspruch: Code, der unter europäischer Rechtsordnung und unter Kontrolle gehostet wird. Singulr hat sich für Forgejo entschieden (Community-Fork von Gitea unter GPL-v3+-Lizenz, unterstützt von Codeberg e.V.) und betreibt dieses Fundament für die privaten, gemeinnützigen und lokalen Organisationen, die diese öffentlichen Vorhaben nicht abdecken. Souveränität definiert sich durch die Rechtsordnung und die Kontrolle, nicht durch die Wahl einer bestimmten Git-Engine.

Physisches Hosting

Die Produktionsserver von Singulr werden in Belgien gehostet, bei Behostings (Diogenius SPRL), in den Rechenzentren InterXion BRU1 (Zaventem) und BRU3 (Nossegem), in der Region Brüssel.

Die Wahl eines belgischen Hosts ist nicht nebensächlich. Sie garantiert, dass die physischen Maschinen, auf denen die Singulr-Dienste laufen, dem belgischen und europäischen Recht unterliegen, ohne extraterritoriale Anwendung eines fremden Rechts.

Back-ups

Die täglichen Back-ups werden clientseitig mit restic (AES-256) verschlüsselt und anschließend in einer Hetzner Storage Box in Deutschland (Rechenzentrum Falkenstein) gespeichert. Der Entschlüsselungsschlüssel verbleibt unter ausschließlicher Kontrolle von Singulr. Hetzner hat als Kaltspeicher keinen Zugriff auf die Daten im Klartext.

Aufbewahrungsrichtlinie: 7 tägliche Back-ups, 4 wöchentliche, 12 monatliche. Wiederherstellungen werden regelmäßig getestet.

Überwachung

Die Verfügbarkeit der Dienste wird aus der Europäischen Union von Better Stack (Tschechien) überwacht. Die Probes prüfen die Produktionsdomains alle drei Minuten. Alarme werden per E-Mail und mobile Benachrichtigung versendet.

Rechtliche Souveränität

Juristische Einheit

Singulr ist eine Marke von Singulr ASBL, einer Vereinigung ohne Gewinnerzielungsabsicht nach belgischem Recht, geregelt durch das Gesetzbuch über die Gesellschaften und Vereinigungen vom 23. März 2019, mit Gesellschaftssitz in der Avenue Louise 231, 1050 Brüssel, Belgien. Eintragung im belgischen Unternehmensregister (KBO): [BCE À COMPLÉTER POST-DÉPÔT E-GREFFE].

Zugänge und Verträge werden mit Singulr ASBL geschlossen, unterliegen belgischem Recht, mit Zuständigkeit der Gerichte des Gerichtsbezirks Brüssel.

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten unterliegt der Datenschutz-Grundverordnung (EU 2016/679) und dem belgischen Gesetz vom 30. Juli 2018. Die Datenschutzerklärung beschreibt die durchgeführten Verarbeitungen, die Rechtsgrundlagen, die Speicherfristen und die ausübbaren Rechte.

Genannte Auftragsverarbeiter

Singulr nutzt eine begrenzte Anzahl von Auftragsverarbeitern, alle in der Europäischen Union ansässig:

• Behostings (Diogenius SPRL), Belgien — Hosting der Produktionsserver.
• Hetzner Online GmbH, Deutschland — Speicherung der clientseitig verschlüsselten Back-ups.
• Better Stack (Better Stack Hosting s.r.o.), Tschechien — externe Verfügbarkeitsüberwachung.
• Brevo (Sendinblue SA), Frankreich — transaktionale E-Mails (Passwort-Rücksetzungen, Benachrichtigungen).

Keine Extraterritorialität

Singulr unterliegt ausschließlich dem belgischen und europäischen Recht. Etwaige Anfragen ausländischer Behörden werden gemäß den in diesem Rahmen vorgesehenen Verfahren der justiziellen Zusammenarbeit behandelt.

Operative Sicherheit

Transport

Sämtlicher eingehende Verkehr wird mit TLS 1.2 oder 1.3 verschlüsselt. HSTS ist aktiviert mit max-age=63072000 (zwei Jahre) und includeSubDomains. Kein unverschlüsselter Port ist freigegeben.

Authentifizierung & Zugriffsschutz

Authentifizierung per Passwort mit modernem Hashing (bcrypt). SSH-Schlüssel werden für den Zugriff auf Git-Repositories unterstützt. Fehlgeschlagene Authentifizierungsversuche werden von fail2ban überwacht, mit automatischer Sperrung ab einem konfigurierten Schwellenwert.

Antwort-Header

Die Standard-HTTP-Sicherheitsheader werden angewendet: Strict-Transport-Security, X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN, Referrer-Policy: strict-origin-when-cross-origin, restriktive Permissions-Policy. Der Server-Header ist verborgen.

Updates

Das Host-Betriebssystem installiert automatisch unbeaufsichtigte Sicherheitsupdates. Die Versionen von Forgejo, PostgreSQL und Caddy werden aktiv verfolgt, mit Bereitstellung von Sicherheitspatches innerhalb der im SLA des gebuchten Plans dokumentierten Fristen.

Kontinuität

Die Dienstkontinuität beruht auf drei unabhängigen Schichten:

1. Tägliche verschlüsselte Back-ups, gespeichert bei einem von der primären Hosting-Provider getrennten Anbieter (Hetzner Deutschland vs. Behostings Belgien), mit mehrstufiger Aufbewahrung.
2. Externe Überwachung der Anwendungsverfügbarkeit von einem Dritt-Anbieter (Better Stack), unabhängig von den beiden vorgenannten, mit Echtzeit-Alarmen.
3. Dokumentierte Wiederherstellungsprozedur, getestet, die den vollständigen Wiederaufbau eines Singulr-Dienstes auf einer neuen Infrastruktur allein auf Basis der Back-ups ermöglicht.

Bei Ausfall des primären Hosting-Anbieters kann der Dienst bei einem belgischen oder europäischen Drittanbieter auf Basis der Back-ups wiederaufgebaut werden, ohne Abhängigkeit von einem proprietären Software-Anbieter.

Was Singulr derzeit nicht anbietet

Aus Ehrlichkeit gegenüber den Organisationen, die die Lösung evaluieren, hier die Funktionen, die zum Veröffentlichungsdatum dieser Seite nicht im Singulr-Umfang enthalten sind:

• Kein integrierter Continuous-Integration- und Deployment-Dienst (CI/CD). Forgejo Actions ist verfügbar, erfordert jedoch einen dedizierten Runner, der in den Cloud-Plänen standardmäßig nicht enthalten ist.
• Kein gehostetes Docker- oder OCI-Registry.
• Kein gehosteter Paketverwaltungsdienst (npm, Maven, PyPI).
• Keine clientseitige Verschlüsselung der Git-Repositories selbst. Die TLS-Verschlüsselung schützt den Transport; die AES-256-Verschlüsselung schützt die Back-ups. Die Repositories im Ruhezustand auf dem Primärserver sind nicht von Singulr verschlüsselt (sie können je nach Hosting-Konfiguration auf Festplattenebene verschlüsselt sein).
• Keine vertragliche SLA für kostenlose oder Evaluierungspläne. SLAs sind an kostenpflichtige Pläne gebunden.

Diese Punkte können sich weiterentwickeln. Singulr bevorzugt es, keine spekulative Roadmap anzukündigen, und jede Ergänzung zum Zeitpunkt ihrer Inbetriebnahme zu dokumentieren.

Souveränes europäisches Ökosystem

Singulr deckt den Baustein Git-Forge ab. Eine vollständige Infrastruktur erfordert weitere Bausteine: verwaltete Datenbanken, Objektspeicher, Rechenleistung, CDN, Observability, Transaktions-E-Mail. Für jeden dieser Bausteine existieren souveräne europäische Anbieter.

Diese Liste belegt zum Zeitpunkt der Veröffentlichung, dass ein zu 100 % souveräner europäischer Stack heute technisch zusammenstellbar ist. Singulr verkauft oder betreibt diese Dienste nicht und unterhält keinerlei kommerzielle Beziehung zu diesen Anbietern.

Verwaltete Datenbanken und Rechenleistung

Scaleway (französische SAS, Paris), Clever Cloud (französische SAS, Nantes), OVHcloud (französische SAS, Roubaix).

Speicher, Server und Infrastruktur

Hetzner (deutsche GmbH, Gunzenhausen, Rechenzentren in Deutschland und Finnland), Infomaniak (Schweizer AG, Genf, Kontrolle am 13. Mai 2026 an eine gemeinnützige Stiftung schweizerischen Rechts übertragen, um die Unveräußerlichkeit zu garantieren).

Transaktions- und Marketing-E-Mail

Brevo (französische SAS, Paris), Mailjet (französische SAS, Paris).

Kriterium für diese Liste: Gesellschaftssitz in Europa (EU oder Schweiz), europäische Gerichtsbarkeit für die Verträge anwendbar, physische Infrastruktur in Europa lokalisiert. Lösungen, die auf einer US-amerikanischen Hyperscaler-Infrastruktur (AWS, GCP, Azure) laufen, sind hier nicht aufgeführt, da ihr Status hinsichtlich des CLOUD Act und FISA 702 nicht gleichwertig ist.

Technischer Kontakt

Technische Fragen zur Architektur, zu den Sicherheitszusagen oder zu den Modalitäten einer Migration von einem Drittanbieter können an contact@singulr.be gerichtet werden.

Ein technisches Sondierungsgespräch kann auf Anfrage und unverbindlich vereinbart werden.