Eviworx
Eviworx

Technical Whitepaper

Eviworx Enterprise ITSM Platform

Version 1.0

April 2026

Eviworx Software UG

Zusammenfassung

Eviworx ist eine Enterprise-Grade ITSM-Plattform mit 37 integrierten Modulen, Blockchain-ähnlicher SHA-256 Audit-Chain und Zero-Trust Sicherheitsarchitektur. FIPS 140-2 ready (PBKDF2-SHA512, TOTP SHA-256). Das System ist vollständig On-Premise deploybar via 12 spezialisierten Docker-Containern (inkl. Traefik API-Gateway und Report-Generator) und bietet Multi-Instance-Fähigkeit mit Distributed Locks. Mit Features wie MFA/TOTP, 4-Augen-Prinzip, Entra ID SSO, Microsoft Graph API, ClamAV-Integration und einer vollständigen Workflow-Engine adressiert Eviworx die Anforderungen compliance-orientierter Mittelstands- und Enterprise-Kunden. Verfügbar in 5 Sprachen (DE, EN, ES, FR, IT).

Inhaltsverzeichnis

  1. 1. Einleitung
  2. 2. System-Architektur
  3. 3. Security & Compliance
  4. 4. Kern-Module
  5. 5. Workflow-Engine
  6. 6. SLA-Management
  7. 7. Cost Management & Contracts/Licenses
  8. 8. Deployment & Skalierung
  9. 9. Integrationen
  10. 10. Use Cases
  11. 11. Technische Spezifikationen
  12. 12. Roadmap

1. Einleitung

1.1 Problemstellung

Moderne IT-Service-Management-Lösungen stehen vor wachsenden Herausforderungen: Compliance-Anforderungen (ISO 27001, NIS2, DSGVO), fehlende Nachvollziehbarkeit von Änderungen, mangelnde Integration zwischen Ticketing, Assets und Workflows sowie hohe Kosten für Cloud-basierte SaaS-Lösungen bei gleichzeitig steigenden Datenschutzbedenken.

Insbesondere im Mittelstand und bei regulierten Branchen besteht Bedarf an On-Premise-Lösungen mit revisionssicheren Audit-Trails, die gleichzeitig modern, skalierbar und wartungsarm sind.

1.2 Lösungsansatz

Eviworx adressiert diese Herausforderungen durch:

  • Blockchain-ähnliche Audit-Chain: SHA-256 Hash-Verkettung macht nachträgliche Manipulationen mathematisch nachweisbar
  • Zero-Trust Security: AV-Worker ohne Dateizugriff, SSRF-Protection, automatisches PII-Scrubbing
  • Container-basiertes Deployment: 12 spezialisierte Container (inkl. Traefik API-Gateway) für modulare, skalierbare Architektur
  • 37 integrierte Module: Von Tickets über Assets bis Workflow-Automation – alles aus einer Hand
  • Multi-Instance Ready: Distributed Locks ermöglichen Active-Active-Deployments

2. System-Architektur

2.1 Container-Übersicht

Eviworx besteht aus 12 spezialisierten Containern, die über Docker Compose orchestriert werden:

Traefik API-Gateway
Reverse-Proxy, TLS-Terminierung, Routing, Rate-Limiting
Frontend
React SPA mit NGINX Proxy, HTTPS
Backend
Node.js API, Prisma ORM, JWT Auth
PostgreSQL
Persistenz, Row-Level Security
Redis
Caching, Queues (BullMQ), Locks
Email-Worker
Background Email-Processing, BullMQ Consumer
Job-Worker
Scheduled Jobs, Cron, Multi-Instance Support
Workflow-Engine
BPM, 8 Node-Typen, SLA-Monitoring
Notification-Worker
Multi-Channel Dispatch (Email, Teams via Bot Framework, Webex)
Report-Generator
Custom Reports, PDF/XLSX-Generierung, Scheduled Reports
Virus-Scanner
Virus-Scanner Daemon, Automatische Signature-Updates
AV-Worker
Scan-Orchestrator (Zero-Trust, keine File-Access)

12 Container für Production-Deployment (inkl. Traefik API-Gateway und Report-Generator)

2.2 Datenmodell

Das System basiert auf 202 Datenbank-Modellen, organisiert in 37 Domain-Modulen:

  • Auth & Identity (8 Modelle): User, Agent, Roles, AgentGroups, MFA/TOTP
  • ITSM Core (19 Modelle): Tickets, Incidents, Problems, Changes
  • Assets (18 Modelle): Asset, Type, Category, Relations, Handover
  • Workflows (11 Modelle): Templates, Instances, Steps, Timer-Jobs
  • Notifications (12 Modelle): Templates, Delivery-Logs, Digest-Queue
  • Contracts & Licenses (12 Modelle): Publishers, Products, Assignments
  • Audit & Compliance (6 Modelle): Events, Chain-Head, Legal-Hold
  • Knowledge Base (10 Modelle): Articles, E-Library, Tags
  • CronJobs & Automation (5 Modelle): Jobs, Executions, Worker-Instances, Heartbeats
  • Weitere: SLA, Settings, Analytics, Forms, Search, etc.

3. Security & Compliance

3.1 SHA-256 Audit-Chain

Die Audit-Chain ist das Herzstück der Compliance-Features:

Funktionsweise

  1. Jedes Audit-Event erhält einen SHA-256 Hash über: userId + timestamp + domain + action + oldData + newData + prevHash
  2. Der prevHash verknüpft das Event mit dem vorherigen Event (Blockchain-Prinzip)
  3. Ein DB-Trigger berechnet den Hash während des Inserts (Server-Side, nicht manipulierbar)
  4. AuditChainHead speichert lastHash und lastSequence pro Organisation
  5. Manipulation eines historischen Events würde die gesamte Kette brechen

Automatisches PII-Scrubbing

Der AuditScrubber redaktiert automatisch:

  • Denylist: password, token, apiKey, secret, jwt, credentials, privateKey
  • PII-Felder: email, phone, ssn, iban, creditCard, passport, nationalId, address, gps
  • Pattern-Erkennung: Bearer-Tokens, AWS-Keys, Base64-Secrets, Private Keys (-----BEGIN)

Markierung: containsPII: boolean und redactedFields: string[]

Redis-Fallback

Events werden in Memory-Buffer gepuffert (5s Flush-Intervall). Bei DB-Ausfall: Fallback zu Redis (7-Tage TTL). Automatic Recovery beim Service-Start. CRITICAL Events werden sofort geflushed.

3.2 Zero-Trust Virus-Scanning

Sicherheits-Architektur ohne Kompromisse:

Architektur-Prinzip

  • AV-Worker hat KEINEN Dateizugriff: Sendet nur Pfade an Virus-Scanner via TCP
  • Virus-Scanner liest vom eigenen Volume: Read-Only Mount der Upload-Directory
  • Verhindert Malware-Ausführung: Worker-Prozess kann infizierte Dateien nicht öffnen
  • Backend handhabt Quarantine: Attachment-Status = INFECTED, 7-Tage Retention

Scan-Workflow

  1. Backend API liefert Attachments mit Status PENDING
  2. Optimistic Locking: PENDING → SCANNING (409 bei Conflict)
  3. AV-Worker sendet Pfad an Virus-Scanner: zSCAN /app/uploads/...
  4. Virus-Scanner scannt (2-Minute Timeout), Response: OK oder FOUND
  5. Result-Reporting: CLEAN / INFECTED / ERROR zurück zum Backend
  6. Backend setzt Attachment-Status und handhabt Quarantine

3.3 4-Augen-Prinzip

Multi-Approver-System mit flexiblen Strategien:

ALL (Standard)
Alle Approver müssen genehmigen. Härteste Stufe. Standard für Changes.
ANY
Ein beliebiger Approver kann genehmigen. Schnellere Freigabe.
MAJORITY
Mehr als 50% der Approver müssen zustimmen. Demokratische Entscheidung.
QUORUM
Konfigurierbare Mindestanzahl an Genehmigungen. Flexibel skalierbar.
Approval Groups
Benannte Gruppen mit Mitgliederverwaltung. Deadlines pro Approval. Eskalation bei Überschreitung.
Self-Approval-Schutz
Ersteller kann eigene Anträge nicht genehmigen. Separation of Duties. Rejection-Handling: FAIL, REASSIGN, ESCALATE.

Auto-Approval

Approval-Logik via Conditions:

  • Field-basiert: amount < 1000 → Auto-Approve
  • Permission-basiert: User hat tickets.delete → Auto-Approve
  • Role-basiert: User ist ADMIN → Auto-Approve

3.4 Weitere Security-Features

  • SSRF-Protection: IP-Range Blocking (127.*, 10.*, 172.16-31.*, 192.168.*, 169.254.*), DNS-Validierung, Cloud-Metadata-Blocking (AWS/Azure/GCP)
  • 3-Layer RBAC-Caching: Token → Redis (5min TTL) → Database. Critical Actions erzwingen DB-Revalidation.
  • Entra ID SSO: OAuth 2.0, Group-to-Role Mapping mit Priority-Konfliktauflösung, Auto-Sync
  • Session Management: 12h Max Duration (Server-side), Token-Blacklist (Redis), HttpOnly Cookies
  • MFA/TOTP: Multi-Faktor-Authentifizierung für alle User. TOTP SHA-256 gemäß FIPS-Standards. Konfigurierbar pro User in den Security-Settings.
  • FIPS 140-2 Ready: Kryptografie-Migration von bcrypt auf PBKDF2-SHA512. TOTP SHA-256. FIPS-kompatible Docker-Images verfügbar. (Keine offizielle FIPS-Zertifizierung, aber Einhaltung der kryptografischen Standards.)
  • DSGVO Data-Breach-Flow: Integrierter Meldeprozess bei Incidents. Evidence-Checklisten. Kategorie-Management für Incident-Typen.
  • Redis Authentication: Passwort-geschützter Redis-Zugang für zusätzliche Absicherung der Cache- und Queue-Layer.

4. Kern-Module

37 Domain-Module decken alle Aspekte eines modernen ITSM ab. Highlights:

ITSM Core
Tickets, Incidents, Problems, Changes mit Status-Maschinen
Asset Management
Clustering, Relations, QR/PDF-Handover, Policies
Workflow Engine
8 Node-Typen, Auto-Approval, SLA, Timer-Events
Contracts & Licenses
Software-Publisher, Compliance-Tracking
CronJobs & Automation
Scheduled Jobs mit UI, 15+ Action-Types, Multi-Instance Ready
Knowledge Base
KB-Artikel, E-Library, Tag-System

5. Workflow-Engine

5.1 Node-Typen (8 Stück)

MANUAL_TASK
Manuelle Aufgabe für User. Status: ASSIGNED → wartet auf Completion.
APPROVAL
Genehmigungsschritt. Auto-Approval/Reject möglich.
AUTOMATED_ACTION
Email, Webhook, Ticket-Ops. Sofort COMPLETED.
NOTIFICATION
Multi-Channel (Email, Teams, Webex). Sofort COMPLETED.
DATA_COLLECTION
Formularerfassung. Wartet auf User-Submit.
TIMER_EVENT
Zeitverzögerung (Fix oder Termin). TimerChecker löst aus.
PARALLEL_GATEWAY
Parallele Branch-Ausführung. Wartet auf alle Branches.
CONDITIONAL_BRANCH
Bedingte Routing-Logik mit Condition-Evaluator.

5.2 SLA-Monitoring

3-Level Eskalation basierend auf Überdue-Dauer:

  • Level 0: 0-8 Stunden → Standard-Notification
  • Level 1: 8-24 Stunden → Eskalation an Manager
  • Level 2: >24 Stunden → Höchste Eskalationsstufe

SLA-Check-Intervall: 5 Minuten (konfigurierbar). Business-Hours-Berechnung mit Absence-Tracking.

6. SLA-Management

6.1 Entity-spezifische SLAs

Das System unterstützt SLAs für 3 Entity-Typen: Tickets, Incidents, Problems. Jeder Typ hat eigene Response- und Resolution-Targets basierend auf Priorität.

Tickets
HIGH: 2h Response, 8h Resolution. MEDIUM: 4h/24h. LOW: 8h/72h.
Incidents
P1: 15min Response, 4h Resolution. P2: 30min/8h. P3: 2h/24h. P4: 8h/72h.

6.2 Business Hours Intelligence

  • Automatische Feiertags-Berücksichtigung: Land + Region (z.B. Bayern)
  • Timezone-aware: Europe/Berlin, UTC, etc.
  • Pause/Resume: SLA pausiert bei ON_HOLD oder WAITING_FOR_CUSTOMER
  • Nur Business-Minutes zählen: 4h-SLA Mo 16:00 → Di 11:00 (nicht Mo 20:00!)

6.3 3-Stufen Eskalation

Level 1: Warning (80%)
Notification an Assignee + Group Lead
Level 2: Breach (100%)
Auto-Reassign + Manager-Alert
Level 3: Critical (>100%)
Höchste Eskalation + Director-Notification

7. Cost Management & Contracts/Licenses

7.1 Automatische Kostenberechnung

Beliebige Billing-Cycles werden automatisch normalisiert:

Beispiele

  • €100 alle 2 Wochen → €216/Monat → €2.592/Jahr
  • €150 quartalsweise → €50/Monat → €600/Jahr
  • €1000 jährlich → €83,33/Monat → €1.000/Jahr
  • €15/Seat × 50 Seats = €750/Monat bei Seat-basierter Lizenz

7.2 Vertragstypen & Lizenzmodelle

7 Vertragstypen

  • • LICENSE_SUBSCRIPTION
  • • LICENSE_VOLUME
  • • MAINTENANCE
  • • SUPPORT / SLA
  • • LEASE
  • • OTHER

12 Lizenztypen

  • • PERPETUAL, SUBSCRIPTION
  • • VOLUME, OEM, SITE
  • • USER, DEVICE, CONCURRENT
  • • TRIAL, FREEWARE
  • • OPEN_SOURCE, OTHER

7.3 TCO-Forecasting & Compliance

  • Upcoming Renewals: 30/60/90 Tage Forecast für auslaufende Verträge
  • Seat-Tracking: Purchased vs. Used. Over-Assignment Detection.
  • Verschlüsselte Keys: AES-256-GCM mit IP-Logging beim Abruf
  • Bulk-Ops: Massenhafte Link/Unlink, Status-Änderungen, Assignments
  • Exports: CSV/XLSX/PDF mit vollständigem Audit-Trail

8. Deployment & Skalierung

Docker Compose Deployment

Single-Command Start: docker compose up -d --build

  • Volumes: postgres_data, redis_data, uploads, quarantine, clamav_data
  • Networks: Traefik-Managed mit automatischem Service-Discovery
  • Health-Checks: Backend, Virus-Scanner, Worker-Services (/settings?section=system-status)
  • Structured JSON-Logging: Alle eigenen Container loggen im strukturierten JSON-Format mit traceId, spanId, correlationId, requestId und Service-Identifier. Kompatibel mit Elastic Stack, Datadog, Grafana Loki etc.
  • Restart-Policy: unless-stopped

Multi-Instance Support

Distributed Locks (Redis-basiert) ermöglichen Active-Active-Deployments. Job-Worker, Workflow-Engine und Timer-Checker nutzen Global Locks für Koordination.

9. Integrationen

Verfügbar

  • Traefik API-Gateway: Reverse-Proxy mit TLS-Terminierung, automatischem Routing und Rate-Limiting
  • Entra ID SSO: OAuth 2.0, Group-to-Role Mapping mit Priority-Konfliktauflösung, Auto-Sync
  • Microsoft Teams (Bot Framework): Notification-Adapter via Bot Framework (Migration von Webhook)
  • Webex: Notification-Adapter für Cisco Webex Teams
  • IMAP/SMTP: Multi-Mailbox-Support für Mailbox-Polling und Versand via BullMQ Queue. Individuelle E-Mail-Signaturen pro Mailbox. Sichtbarkeitssteuerung: Tickets aus bestimmten Mailboxen nur für autorisierte Teams/Agents sichtbar.
  • Microsoft Graph API: Native Email-Integration ohne IMAP/SMTP. ProcessReply + Dismiss-Support. E-Mail-Signaturen. Multi-Mailbox mit VerifyTLS-Option (ja/nein konfigurierbar).
  • Webhooks: Externe HTTP-Requests mit SSRF-Protection (IP-Range Blocking, DNS-Validierung)
  • REST API: API-Keys für programmatischen Zugriff, Template-Permission-Checks

In Entwicklung (Roadmap)

  • Slack: Notification-Adapter für Slack-Channels und Direct Messages

10. Use Cases

Use Case 1: Compliance-orientierter Mittelstand

Szenario: Unternehmen mit ISO 27001-Zertifizierung benötigt revisionssichere Nachweise für alle IT-Änderungen.
Lösung: SHA-256 Audit-Chain protokolliert alle Changes, Problems und Incidents. Chain-Verification beweist Integrität. PII-Scrubbing garantiert DSGVO-Konformität.

Use Case 2: On-Prem-Anforderung (Datenschutz)

Szenario: Gesundheitsdienstleister darf keine sensiblen Daten in Cloud-SaaS speichern.
Lösung: Vollständiges On-Prem-Deployment via Docker Compose. Alle Daten bleiben im eigenen Rechenzentrum. Zero-Trust Virus-Scan verhindert Malware-Upload ohne externe Services.

Use Case 3: Automatisierte Workflows (Employee Onboarding)

Szenario: HR-Onboarding mit Approvals, Asset-Handover, Account-Provisionierung.
Lösung: Workflow-Engine mit 8 Node-Typen orchestriert: 1) APPROVAL (Manager genehmigt), 2) AUTOMATED_ACTION (Account anlegen via Webhook), 3) MANUAL_TASK (IT übergibt Laptop), 4) NOTIFICATION (Welcome-Email). SLA-Monitoring trackt Verzögerungen.

11. Technische Spezifikationen

Backend

  • Runtime: Node.js 20+
  • Framework: Express.js
  • ORM: Prisma (PostgreSQL)
  • Auth: JWT (RS256)
  • API: RESTful

Frontend

  • Framework: React 19+
  • Build: Vite
  • UI: Tailwind CSS
  • Proxy: NGINX
  • HTTPS: Let's Encrypt ready

Datenbank

  • DBMS: PostgreSQL 15+
  • Modelle: 202
  • RLS: Row-Level Security
  • Trigger: Audit-Hash-Berechnung

Cache & Queues

  • Cache: Redis 7+
  • Queues: BullMQ
  • Locks: Redis Distributed Locks
  • Pub/Sub: Redis Channels

Security

  • Virus-Scan: Virus-Scanner
  • Hash: SHA-256 (FIPS 140-2 ready)
  • Passwords: PBKDF2-SHA512
  • MFA: TOTP SHA-256
  • Encryption: AES-256-GCM
  • SSO: Entra ID OAuth 2.0

Deployment

  • Container: Docker
  • Orchestration: Docker Compose
  • Volumes: 5 Named Volumes
  • Standard-Ports für HTTP/HTTPS, API, Datenbank

12. Roadmap

Kürzlich implementiert

  • Microsoft Graph API Email: Native Email-Integration ohne IMAP/SMTP mit ProcessReply + Dismiss
  • Microsoft Teams Bot Framework: Migration von Webhook zu Bot Framework
  • FIPS 140-2 Ready: Kryptografie-Migration auf PBKDF2-SHA512, TOTP SHA-256
  • MFA/TOTP: Multi-Faktor-Authentifizierung für alle User
  • Traefik API-Gateway: Neues API-Gateway mit TLS-Terminierung
  • Report-Generator: Neuer Container für Custom Reports
  • 5 Sprachen: DE, EN, ES, FR, IT vollständig
  • DSGVO Data-Breach-Flow: Integrierter Meldeprozess bei Incidents

Geplante Features (2026)

  • Slack Integration: Notification-Adapter für Slack-Channels und Direct Messages
  • Mobile App (iOS/Android): Native Apps für Agents mit Offline-Support und Push-Notifications (React Native)
  • Advanced Analytics: ML-basierte Ticket-Klassifikation, Predictive SLA-Breach Detection, Cost Forecasting mit historischen Daten
  • Unified Workplace & NOC-Dashboard: Erweitertes Dashboard-System mit konfigurierbaren Widgets und Echtzeit-Monitoring

© 2026 Eviworx Software UG • Marktstraße 2, 63263 Neu-Isenburg

info@eviworx.com • https://eviworx.com