Ein technischer Tiefgang in Budgies Offline-First-Architektur: Wie SQLite, AES-256-Verschlüsselung und Gerät-zu-Gerät-Synchronisierung Ihre Finanzdaten vollständig privat halten.
Wenn Sie die meisten Apps zur Ausgabenverfolgung öffnen, passiert im Hintergrund etwas, das Sie möglicherweise nicht bemerken: Ihre Transaktionsdaten, Kontosalden und Ausgabegewohnheiten werden auf Server hochgeladen, die Sie nicht kontrollieren. Diese Server können sich überall auf der Welt befinden, werden von Teams verwaltet, die Sie nie getroffen haben, und sind durch Sicherheitspraktiken geschützt, die Sie nicht überprüfen können.
Budgie verfolgt einen grundlegend anderen Ansatz. Ihre Finanzdaten verlassen niemals Ihr Gerät. Dies ist keine Marketingaussage oder eine vereinfachte Erklärung einer komplexeren Realität. Es ist eine wörtliche Beschreibung der Funktionsweise der App auf Code-Ebene.
In diesem Artikel werden wir genau erläutern, wie Budgie Ihre Finanzdaten von der Cloud fernhält. Wir behandeln die Datenbankarchitektur, die Verschlüsselungsimplementierung, die Synchronisierungsmechanismen und die Sicherheitspraktiken, die dies ermöglichen. Wenn Sie Budgie evaluieren und verstehen möchten, worauf Sie vertrauen, gibt Ihnen dieser Leitfaden das vollständige technische Bild.
Im Kern von Budgie steht eine Local-First-Architektur, die auf SQLite aufgebaut ist — der am weitesten verbreiteten Datenbank-Engine der Welt. SQLite läuft auf Milliarden von Geräten und hat sich über mehr als zwei Jahrzehnte bewährt. Es ist dieselbe Datenbank, die Ihren Browserverlauf, Ihre mobilen Kontakte und zahllose andere Anwendungen antreibt, die zuverlässigen lokalen Speicher benötigen.
Cloud-basierte Ausgabentracker verwenden typischerweise Datenbanken wie PostgreSQL, MySQL oder MongoDB, die auf entfernten Servern laufen. Wenn Sie eine Transaktion hinzufügen, reist sie über das Internet zu einem Rechenzentrum, wird verarbeitet, und dann kehrt eine Bestätigung auf Ihr Gerät zurück. Diese Architektur schafft mehrere Probleme:
Netzwerkabhängigkeit: Sie können nicht auf Ihre Daten zugreifen, ohne eine Internetverbindung zu haben. Versuchen Sie, eine Ausgabe in der U-Bahn oder in einem Gebiet mit schlechter Abdeckung hinzuzufügen, und Sie stecken fest.
Latenz: Jede Operation erfordert einen Hin- und Rückweg zum Server. Selbst bei schnellen Verbindungen fügt dies jeder Aktion eine spürbare Verzögerung hinzu.
Datenexposition: Ihre Finanzdaten existieren auf Servern, die gehackt, gerichtlich vorgeladen oder von Mitarbeitern mit Administratorrechten eingesehen werden könnten.
Serviceabhängigkeit: Wenn das Unternehmen schließt, übernommen wird oder längere Ausfälle erleidet, verschwindet Ihr Zugang zu Ihrer eigenen Finanzhistorie.
SQLite beseitigt all diese Probleme. Die Datenbankdatei befindet sich auf Ihrem Gerät, Operationen erfolgen in Mikrosekunden, und Ihre Daten bleiben unter Ihrer physischen Kontrolle.
Wenn Sie eine Transaktion in Budgie erstellen, passiert auf technischer Ebene Folgendes:
Es gibt keine Hintergrundsynchronisierung, die stillschweigend Ihre Daten hochlädt. Es gibt kein Analyseereignis, das aufzeichnet, wofür Sie Geld ausgegeben haben. Die Operation beginnt und endet auf Ihrem Gerät.
Die SQLite-Datenbankdatei wird in einem geschützten Verzeichnis gespeichert, auf das nur Budgie zugreifen kann. Unter iOS ist dies das sandboxierte Documents-Verzeichnis der App. Unter Android ist es der interne App-Speicher, den andere Anwendungen nicht lesen können.
Viele Apps, die behaupten, die Privatsphäre zu respektieren, sammeln dennoch anonymisierte Nutzungsdaten, Absturzberichte oder Analyseereignisse. Diese Datenströme können mehr offenbaren, als Sie vielleicht erwarten. Selbst ohne Ihren Namen können Nutzungsmuster identifizierend sein.
Budgie enthält keinerlei Analyse-SDKs. Wir verwenden weder Firebase Analytics, Mixpanel, Amplitude noch einen ähnlichen Dienst. Wir sammeln keine Absturzberichte über Drittanbieterdienste. Wir erfassen nicht, welche Funktionen Sie nutzen, wie oft Sie die App öffnen oder in welchen Kategorien Sie Geld ausgeben.
Das liegt nicht daran, dass uns die Verbesserung des Produkts egal wäre. Im Gegenteil. Aber wir haben uns entschieden, Feedback durch direkte Gespräche mit Nutzern und Beiträge der Open-Source-Community zu sammeln, anstatt durch eine Ueberwachungsinfrastruktur.
Die lokale Datenspeicherung ist die erste Schutzschicht. Die Verschlüsselung ist die zweite. Selbst wenn jemand physischen Zugang zu Ihrem Gerät erhält, sollten Ihre Finanzdaten ohne Ihre Autorisierung unlesbar bleiben.
Budgie verschlüsselt Ihre Datenbank mit AES-256, demselben Verschlüsselungsstandard, der von Regierungen und Finanzinstitutionen weltweit verwendet wird. AES-256 wurde durch keinen öffentlich bekannten Angriff geknackt. Ein Brute-Force-Versuch, einen 256-Bit-Schlüssel zu knacken, würde mehr Energie erfordern, als im beobachtbaren Universum existiert.
Wenn Ihre Datenbank verschlüsselt ist, erscheint die Datei auf der Festplatte als zufällige Binärdaten. Ohne den richtigen Schlüssel ist es rechnerisch unmöglich, aussagekräftige Informationen zu extrahieren.
Der Verschlüsselungsschlüssel verlässt nie Ihr Gerät und berührt nie unsere Server, da wir keine Server haben, die Benutzerdaten verarbeiten. So funktioniert die Schlüsselverwaltung:
Schlüsselableitung: Ihr Verschlüsselungsschlüssel wird aus den Anmeldedaten Ihres Geräts mit branchenüblichen Schlüsselableitungsfunktionen abgeleitet. Das bedeutet, der Schlüssel ist einzigartig für Ihr Gerät und kann nirgendwo anders rekonstruiert werden.
Sichere Speicherung: Der abgeleitete Schlüssel wird in plattformspezifischen sicheren Enklaven gespeichert. Unter iOS ist das der Keychain. Unter Android ist es der Android Keystore, unterstützt durch Hardware-Sicherheitsmodule, wenn verfügbar.
Schlüsselisolierung: Jedes Gerät hat seinen eigenen Verschlüsselungsschlüssel. Es gibt keinen Hauptschlüssel, der alle Benutzerdatenbanken entschlüsseln könnte, weil ein solcher Schlüssel schlicht nicht existiert.
Speicherschutz: Schlüssel werden nur dann im Speicher gehalten, wenn sie für Datenbankoperationen benötigt werden, und werden gelöscht, wenn die App in den Hintergrund wechselt oder geschlossen wird.
Diese Architektur bedeutet, dass selbst wenn jemand Ihr Gerät stiehlt, er Ihre Finanzdaten nicht lesen kann, ohne auch die Sicherheit Ihres Geräts zu kompromittieren (es mit Ihrer Biometrie oder Ihrem Zugangscode zu entsperren).
Die Datenbankverschlüsselung schützt Ihre Daten in mehreren Szenarien:
Gerätediebstahl: Ein Dieb kann Ihr Telefon nicht an einen Computer anschließen und lesbare Finanzdaten extrahieren.
Forensische Analyse: Selbst mit ausgefeilten forensischen Werkzeugen kann die verschlüsselte Datenbank ohne den Schlüssel nicht sinnvoll analysiert werden.
Kompromittierung von Backups: Wenn das Backup Ihres Geräts kompromittiert wird, bleibt die verschlüsselte Datenbank darin geschützt.
App-Datenextraktion: Auf gerooteten oder gejailbreakten Geräten, wo die App-Sandbox umgangen werden kann, schützt die Verschlüsselung die Daten weiterhin.
Eine der häufigsten Fragen zu Offline-First-Apps lautet: Wie bekomme ich meine Daten auf ein neues Gerät? Budgie löst dies durch eine Gerät-zu-Gerät-Synchronisierung ohne Cloud-Vermittler.
Wenn Sie Ihre Daten auf ein neues Gerät übertragen möchten, nutzt Budgie direkte Peer-to-Peer-Kommunikation. So funktioniert der Prozess:
Der entscheidende Punkt ist, dass zu keinem Zeitpunkt lesbare Finanzdaten durch eine Drittanbieter-Infrastruktur fließen. Selbst das temporäre Relay, das zur Erkennung verwendet wird, wenn sich die Geräte nicht im selben Netzwerk befinden, sieht nur verschlüsselte Daten, die es nicht interpretieren kann.
Traditionelle Cloud-Synchronisierung stützt sich auf einen zentralen Server als Quelle der Wahrheit bei Konflikten. Wenn Sie eine Transaktion auf zwei Geräten bearbeiten, entscheidet der Server, welche Version gewinnt.
Budgie verwendet einen anderen Ansatz, basierend auf konfliktfreien replizierten Datentypen (CRDTs) und operationalen Transformationen. Jede Aenderung wird als Operation mit Zeitstempel und Geräteidentifikator aufgezeichnet. Bei der Synchronisierung:
Das bedeutet, Sie können Budgie auf mehreren Geräten nutzen, die sich gelegentlich synchronisieren, wenn sie im selben Netzwerk sind, und Ihre Daten werden schließlich zu einem konsistenten Zustand konvergieren, ohne Datenverlust.
Lassen Sie uns offen über die Kompromisse sprechen. Cloud-Synchronisierung ist bequemer. Sie müssen nicht im selben Netzwerk sein. Sie müssen keine Synchronisierung manuell starten. Aenderungen werden automatisch im Hintergrund übertragen.
Budgies Gerät-zu-Gerät-Synchronisierung erfordert mehr Beteiligung des Nutzers. Sie müssen die Synchronisierung explizit auslösen, wenn Sie Daten übertragen möchten. Beide Geräte müssen erreichbar sein — entweder im selben lokalen Netzwerk oder beide mit dem Internet verbunden für den relay-gestützten Handshake.
Wir glauben, dass dieser Kompromiss für Finanzdaten lohnenswert ist. Der Komfort automatischer Cloud-Synchronisierung wird damit bezahlt, dass Ihre Daten auf Servern existieren, die Sie nicht kontrollieren. Für viele Datentypen ist dieser Kompromiss akzeptabel. Für Ihre vollständige Finanzhistorie sind wir der Meinung, dass lokale Kontrolle die zusätzlichen Schritte wert ist.
Die meisten Apps zur Ausgabenverfolgung, die Banksynchronisierung anbieten, verwenden Plaid, Yodlee oder ähnliche Aggregationsdienste. Diese Dienste funktionieren, indem sie Ihre Bankzugangsdaten oder OAuth-Token sammeln und dann in Ihrem Namen auf Ihr Konto zugreifen. Ihre Transaktionshistorie fließt über deren Server, bevor sie Ihre App erreicht.
Budgie verfolgt beim Bankdatenimport einen anderen Ansatz.
Der privateste Weg, Bankdaten in Budgie zu integrieren, ist der manuelle Import. Die meisten Banken ermöglichen den Download der Transaktionshistorie in Standardformaten wie CSV, OFX oder QIF. Sie laden diese Datei direkt von Ihrer Bank herunter, und Budgie importiert sie lokal auf Ihrem Gerät.
Kein Dritter sieht jemals Ihre Bankdaten. Keine Zugangsdaten werden mit irgendjemandem geteilt. Der Prozess sieht so aus:
Die Analyse und Kategorisierung erfolgen vollständig auf Ihrem Gerät. Budgie beinhaltet Mustererkennung für gängige Transaktionsformate der großen Banken, und Sie können Kategorisierungsregeln anpassen, die lokal angewendet werden.
Wir hätten Plaid integrieren können. Es wäre für uns einfacher zu implementieren und für die Nutzer bequemer gewesen. Ein Klick und Ihre Transaktionen erscheinen automatisch.
Aber dieser Komfort hat Kosten, die für Nutzer oft unsichtbar sind:
Datenspeicherung: Aggregationsdienste speichern Ihre Transaktionshistorie auf ihren Servern, manchmal unbefristet.
Zugriff durch Dritte: Ihre Bankdaten fließen durch Infrastruktur, die von Unternehmen betrieben wird, deren Geschäftsmodell von Daten abhängt.
Zugangsdaten-Exposition: Einige Dienste speichern Ihre Bankzugangsdaten und schaffen damit ein hochwertiges Ziel für Angreifer.
Regulatorisches Risiko: Ihre Daten unterliegen den Rechtsordnungen und Anfragen der Länder, in denen sich diese Server befinden.
Manueller Import erfordert mehr Aufwand, stellt aber sicher, dass Ihre Bankdaten denselben Datenschutzgarantien unterliegen wie der Rest von Budgie: Sie verlassen nie Ihr Gerät, und kein Dritter hat jemals Zugang.
Wir erkunden Möglichkeiten für unterstützten Bankimport, die die Datenschutzgarantien aufrechterhalten würden. Dies könnte lokales Parsen von Bank-E-Mails, Integration mit Open-Banking-APIs, die OAuth ohne Weitergabe von Zugangsdaten verwenden, oder Partnerschaften mit datenschutzorientierten Finanzdatenanbietern umfassen, die unter strengen Datenverarbeitungsvereinbarungen arbeiten.
Jede zukünftige Lösung wird unser Kernprinzip bewahren: Ihre Finanzdaten bleiben auf Ihrem Gerät, verschlüsselt und unter Ihrer Kontrolle.
Alles, was wir in diesem Artikel beschrieben haben, kann durch Prüfung unseres Quellcodes verifiziert werden. Budgie ist Open Source, und wir glauben, dass diese Transparenz für jede Anwendung, die mit sensiblen Finanzdaten umgeht, unerlässlich ist.
Unser vollständiger Quellcode ist auf GitHub verfügbar. Sie finden ihn in unserem [Open-Source-Bereich](/#open-source), wo der Repository-Link bereitgestellt wird.
Das Repository umfasst:
Es gibt keine privaten Repositories, die den "echten" Code enthalten, der Ihre Daten anders verarbeitet. Was Sie sehen, ist das, was auf Ihrem Gerät läuft.
Wenn Sie unsere Datenschutzaussagen verifizieren möchten, sind hier die Schlüsselbereiche zur Prüfung:
Netzwerkschicht: Suchen Sie nach HTTP-Clients, Fetch-Aufrufen oder Socket-Verbindungen. Sie werden feststellen, dass die Netzwerknutzung beschränkt ist auf:
Datenbankschicht: Untersuchen Sie die Drizzle-ORM-Schemas und Repository-Klassen. Sie können genau nachverfolgen, wie Daten von der Benutzereingabe zur Datenbankspeicherung fließen — alles lokal.
Analytik und Tracking: Suchen Sie nach einer Initialisierung von Analyse-SDKs. Sie werden weder Firebase noch Amplitude, Mixpanel oder eine ähnliche Integration finden.
Drittanbieter-SDKs: Überprüfen Sie den Abhängigkeitsbaum. Wir minimieren externe Abhängigkeiten, und jede wird sorgfältig ausgewählt, um datenschutzinvasive Bibliotheken zu vermeiden.
Wir laden Sicherheitsforscher, Datenschutzvertreter und technisch neugierige Nutzer ein, unseren Code zu prüfen. Wenn Sie etwas finden, das unseren Datenschutzaussagen widerspricht, möchten wir davon erfahren.
Wir arbeiten an vollständig reproduzierbaren Builds, die es Ihnen ermöglichen würden, den Quellcode selbst zu kompilieren und zu verifizieren, dass die Binärdatei mit dem übereinstimmt, was über die App Stores verteilt wird. Dies ist der Goldstandard für verifizierbare Software und steht auf unserer Roadmap.
Ueber die Architektur hinaus ist die Art und Weise, wie wir Budgie entwickeln und pflegen, für Ihre Sicherheit von Bedeutung.
Jede Abhängigkeit in Budgie wird vor der Aufnahme auf Datenschutzimplikationen bewertet. Wir vermeiden gezielt:
Dies schränkt unsere Auswahl im Vergleich zu Entwicklern, die den Datenschutz nicht priorisieren, erheblich ein. Aber es bedeutet, dass Sie darauf vertrauen können, dass das Oeffnen von Budgie Ihre Aktivitäten nicht still an ein Dutzend verschiedener Datensammlungsdienste meldet.
Open-Source-Software hängt von einer Kette von Abhängigkeiten ab, und jedes Glied in dieser Kette könnte Schwachstellen oder Datenschutzprobleme einführen. Unsere Sicherheitspraktiken umfassen:
Regelmäßige Abhängigkeitsprüfungen: Wir verwenden automatisierte Werkzeuge, um bekannte Schwachstellen in unserem Abhängigkeitsbaum zu erkennen.
Philosophie minimaler Abhängigkeiten: Wir bevorzugen die eigene Implementierung von Funktionalität gegenüber dem Hinzufügen von Abhängigkeiten, um die Angriffsfläche zu reduzieren.
Quellcode-Review für kritische Pfade: Abhängigkeiten, die Verschlüsselung, Datenbankoperationen oder sensible Datenpfade berühren, werden manuell überprüft.
Lock-Datei-Integrität: Abhängigkeitsversionen werden gesperrt, um Supply-Chain-Angriffe durch kompromittierte Paket-Updates zu verhindern.
Wenn Sie eine Sicherheitslücke in Budgie entdecken, möchten wir mit Ihnen zusammenarbeiten, um sie verantwortungsvoll zu beheben. Kontaktinformationen für Sicherheitsberichte sind in unserem Repository verfügbar. Wir verpflichten uns zu:
Ihre Daten existieren nur auf Ihrem Gerät. Wenn Sie Ihr Telefon verlieren, ohne vorher mit einem anderen Gerät synchronisiert oder ein verschlüsseltes Backup erstellt zu haben, sind Ihre Daten verloren. Das ist der Datenschutzkompromiss: Wir können Ihnen nicht bei der Datenwiederherstellung helfen, weil wir Ihre Daten nicht haben. Wir empfehlen regelmäßige Backups auf Ihren eigenen Speicher.
Wir können Ihre Daten weder an Strafverfolgungsbehörden noch an irgendjemand anderen weitergeben, weil wir sie nicht haben. Es gibt keinen Server, der vorgeladen werden kann, keine Datenbank, die abgefragt werden kann, und kein Backup, das übergeben werden kann. Ihre Daten befinden sich auf Ihrem Gerät, geschützt durch die Sicherheit Ihres Geräts und die Verschlüsselung von Budgie.
Unsere Verschlüsselung verwendet Standard-Bibliotheksimplementierungen von AES-256 aus plattformspezifischen Sicherheitsframeworks (iOS CryptoKit, Android Keystore). Diese Implementierungen werden von Apple und Google entwickelt und auditiert. Unsere Integration ist im Open-Source-Code zur Community-Überprüfung dokumentiert.
Budgie unterstützt den Export Ihrer vollständigen Finanzhistorie in Standardformaten (CSV, JSON). Sie sind Eigentümer Ihrer Daten und können sie mitnehmen. Der Export erfolgt lokal und erzeugt eine Datei, die Sie mit jeder anderen Anwendung verwenden können.
Wir sammeln anonymisierte Absturzberichte über die Mechanismen der App Stores (App Store Connect für iOS, Google Play Console für Android). Diese Berichte enthalten keine Finanzdaten. Wir verwenden sie, um Fehler zu beheben, die Abstürze verursachen. Keine weiteren Daten werden über irgendeinen Kanal gesammelt.
Ende-zu-Ende-verschlüsselte Cloud-Synchronisierung würde Server erfordern, um verschlüsselte Blobs zu speichern. Obwohl der Inhalt verschlüsselt wäre, wären Metadaten weiterhin sichtbar: wann Sie synchronisieren, wie viel Daten Sie haben, Synchronisierungsmuster, die Nutzungsgewohnheiten offenbaren könnten. Die Gerät-zu-Gerät-Synchronisierung eliminiert selbst diese Metadaten-Exposition.
Ihre Finanzdaten erzählen die vollständige Geschichte Ihres Lebens. Wo Sie wohnen, wo Sie einkaufen, was Ihnen wichtig ist, welche Herausforderungen Sie meistern, welche Hoffnungen Sie hegen. Diese Daten sind gerade deshalb wertvoll, weil sie so aufschlussreich sind.
Budgie existiert, weil wir glauben, dass Sie diese intimen Informationen nicht für die Bequemlichkeit der Ausgabenverfolgung eintauschen sollten. Jede architektonische Entscheidung — von SQLite über lokale Verschlüsselung bis hin zur Gerät-zu-Gerät-Synchronisierung — ist darauf ausgelegt, diese Informationen dort zu halten, wo sie hingehören: unter Ihrer Kontrolle.
Wir haben unseren Ansatz im Detail beschrieben, nicht weil wir glauben, dass jeder Datenbankarchitekturen verstehen muss, sondern weil wir der Meinung sind, dass Sie es verdienen zu wissen, was genau eine App mit Ihren sensiblen Daten macht. Wir laden Sie ein, unsere Aussagen zu überprüfen, unseren Code zu untersuchen und uns an den Datenschutzstandards zu messen, die wir uns gesetzt haben.
Für weitere Details zu unserer Sicherheitsarchitektur besuchen Sie unseren [Sicherheitsbereich](/#security). Um den vollständigen Quellcode einzusehen und alles zu verifizieren, was wir beschrieben haben, schauen Sie sich unseren [Open-Source-Bereich](/#open-source) an.
Bereit, einen Ausgabentracker auszuprobieren, der Ihre Privatsphäre respektiert? [Treten Sie der Warteliste bei](/#waitlist) und gehören Sie zu den Ersten, die Finanzverwaltung ohne Ueberwachung erleben.
2025-01-27
Eine detaillierte technische Analyse, wie cloudbasierte Budget-Apps Ihre Finanzdaten durch Plaid-Integrationen, Datenlecks und Drittanbieter-Aggregation sammeln, teilen und offenlegen.
Artikel lesen→2025-02-12
Erfahren Sie, warum Offline-First-Architektur der einzige Weg ist, finanzielle Privatsphäre zu garantieren. Entdecken Sie die verborgenen Gefahren von Cloud-Apps und wie Budgie Ihre Daten schützt.
Artikel lesen→Treten Sie der Budgie-Warteliste bei und erleben Sie als Erste wirklich private Ausgabenverfolgung.
Warteliste beitreten