Was macht das eigentlich?

Kodo stellt ChatGPT, Google, Siri, Yelp und ein paar anderen Orten dieselben Fragen, die deine Nachbarn stellen, etwa "bester Friseur in der Nähe" oder "gute Tacos in der Innenstadt". Wir sehen, ob du auftauchst. Wenn nicht, sagen wir dir, was fehlt, und führen dich durch die Behebung. Die meisten Verbesserungen dauern fünf Minuten und kosten nichts.

Ist mein Geschäft auf ChatGPT?

Vielleicht. ChatGPT empfiehlt nur etwa 1 von 100 lokalen Geschäften für eine bestimmte Suche, also sind die meisten Läden unsichtbar, bis jemand die Basics in Ordnung bringt. Tipp deinen Firmennamen oben in den Check ein und du siehst in rund 30 Sekunden genau, wo du auftauchst und wo nicht.

Muss ich technisch sein, um Kodo zu nutzen?

Nein. Wenn du deinen Firmennamen tippen kannst, kannst du Kodo nutzen. Der Bericht ist in klarer Sprache. Jede Verbesserung hat eine Ein-Knopf-Option oder eine kurze Schritt-für-Schritt-Anleitung. Kein Code, keine Konfigurationsdatei, kein Marketing-Jargon. Wenn etwas unklar ist, sag uns Bescheid und wir formulieren es neu.

Der erste Check ist kostenlos. Danach bekommst du für $19 im Monat monatliches Tracking für ein Geschäft und zehn Suchen, die dir wichtig sind. $39 im Monat ergänzt Bewertungen, Einträge und drei Konkurrenten. $79 im Monat ist alles inklusive, mit unbegrenzten Suchen, automatischen Posts und automatisierten Bewertungsanfragen. Kein Vertrag, jederzeit kündbar.

Warum zählt das jetzt?

Mehr als die Hälfte der Verbraucher hat letztes Jahr KI-Tools genutzt, um ein lokales Geschäft zu finden, gegenüber weniger als einem Fünftel im Jahr davor (BrightLocal 2025). Wenn jemand ChatGPT oder Siri nach einem Friseur, einem Restaurant oder einer Werkstatt fragt, wählt die KI eine Handvoll Namen aus. Wenn du nicht dabei bist, sieht dich der Kunde nie.

Was unterscheidet Kodo von anderen Tools?

Die meisten lokalen SEO-Tools sind für Marketer gebaut, nicht für Inhaber. Sie nutzen Wörter wie "Citation", "Schema" und "Share of Voice" und kosten $50 bis $300 im Monat. Kodo startet bei $19, spricht klare Sprache und konzentriert sich darauf, was KI-Assistenten über dich sagen, nicht nur Google. Wir sind für die Person gebaut, die den Laden führt.

Was zeigt mir der kostenlose Check eigentlich?

Eine einzelne Note, wie KI dich heute sieht, drei konkrete Dinge, die dir schaden (in klaren Worten, etwa "deinem Google-Profil fehlen Fotos"), einen direkten Vergleich mit einem Konkurrenten in der Nähe und drei vorgeschlagene Verbesserungen. Die erste Verbesserung ist immer kostenlos. Das Ganze dauert rund 30 Sekunden.

Kann ich Kodo vor dem Bezahlen ausprobieren?

Ja. Der Sofort-Check auf der Startseite ist kostenlos und fragt nicht nach deiner Karte. Bezahlte Pläne enthalten eine 14-tägige kostenlose Testphase, damit du sehen kannst, wie monatliches Tracking und Verbesserungen funktionieren, bevor etwas berechnet wird. Wenn es in diesen 14 Tagen nicht nützlich ist, hör einfach auf. Wir verfolgen dich nicht.

Sicherheit · Kodo

Infrastruktur

Kodo läuft auf Vercel für Hosting und Compute, mit einer gemanagten Postgres-Datenbank (Neon) für Anwendungsdaten. Wenn wir Objektspeicher brauchen (zum Beispiel die PDF-Berichte im Gewinnen-Plan), nutzen wir Vercel Blob. Unsere primäre Deployment-Region sind die USA. Vercel übernimmt Edge-Traffic, TLS-Terminierung und DDoS-Abwehr am Netzwerk-Edge. Neon übernimmt Datenbank-Replikation, Point-in-Time-Recovery und gemanagte Backups.

Beide Anbieter veröffentlichen ihre eigene Sicherheitsdokumentation, die du direkt lesen kannst: vercel.com/security und neon.tech/security. Beide sind SOC 2 Type II zertifiziert.

Verschlüsselung

Der gesamte Datenverkehr zwischen deinem Browser und Kodo wird mit TLS 1.2 oder höher verschlüsselt. Wir akzeptieren keine Verbindungen über einfaches HTTP. Datenbankverbindungen von unseren Anwendungsservern zu Postgres sind ebenfalls TLS-verschlüsselt. Daten in Ruhe in der Datenbank werden vom Datenbankanbieter mit AES-256 verschlüsselt. Gemanagte Backups werden mit demselben Standard verschlüsselt.

Wir speichern keine Passwörter. Die Authentifizierung übernimmt Clerk, das branchenüblichen Passwort-Hash nutzt und moderne passwortlose Optionen unterstützt (Passkeys, Magic Links, Social Sign-in).

Authentifizierung und Zugriff

Die Endnutzer-Authentifizierung übernimmt Clerk. Clerk unterstützt Multi-Faktor-Authentifizierung (MFA) für Konten, die es aktivieren, und wir empfehlen, es einzuschalten. Sitzungen nutzen sichere HTTP-only-Cookies mit gesetzten Secure- und SameSite-Flags.

Der interne Zugriff auf Produktionssysteme ist auf das kleine Team von Ingenieuren begrenzt, die ihn brauchen, um den Dienst zu betreiben. Jedes Teammitglied meldet sich an Anbieter-Konsolen über Single Sign-on mit erforderlicher MFA an. Der Zugriff auf die Produktionsdatenbank wird protokolliert. Wir rotieren Zugangsdaten nach einem festen Zeitplan und sofort, wenn sich die Rolle eines Teammitglieds ändert.

Anwendungssicherheit

Die Anwendung folgt üblichen Web-Sicherheitspraktiken:

Content Security Policy Header, um zu begrenzen, welche Skripte und Ressourcen der Browser lädt.
Strict Transport Security (HSTS), damit Browser sich weigern, mit Kodo über einfaches HTTP zu sprechen.
Sichere, HTTP-only, SameSite-Cookies für jeden Sitzungszustand.
Parametrisierte Datenbankabfragen über unser ORM. Wir bauen kein SQL durch String-Verkettung, was die Tür für Injection an der Quelle schließt.
Serverseitige Eingabevalidierung auf jedem API-Endpunkt, mit Schema-Validierungs-Bibliotheken.
Rate Limiting auf öffentlichen Endpunkten (einschließlich des kostenlosen Checks), um Missbrauch und Credential-Stuffing-Versuche zu verlangsamen.
Dependency Scanning bei jedem Pull Request, damit wir merken, wenn eine Bibliothek, die wir nutzen, eine bekannte Schwachstelle hat.

Drittanbieter-Verarbeiter

Wir nutzen eine kurze Liste von Anbietern, um das Produkt zu liefern. Jeder wurde gewählt, weil sein Sicherheitsstand gut dokumentiert und für die Daten, die er behandelt, angemessen ist:

Vercel für Hosting, Edge-Compute und TLS.
Neon für gemanagtes Postgres, Backups und Point-in-Time-Recovery.
Clerk für Endnutzer-Authentifizierung und Sitzungsverwaltung.
Stripe für Zahlungsabwicklung. Stripe ist PCI-DSS Level 1 zertifiziert. Wir sehen oder speichern nie vollständige Kartennummern; Stripe übernimmt das alles auf der eigenen Infrastruktur.
Resend für transaktionale E-Mails (deinen Bericht, monatliche Updates, Sicherheitshinweise).
KI-Assistenz-APIs von OpenAI, Anthropic, Google und xAI, genutzt, um die Checks zu machen, die wir versprechen. Wir schicken die öffentlichen Fragen, die ein Kunde stellen würde (zum Beispiel "bester Friseur in Kreuzberg"). Wir schicken keine Kontodaten oder persönlichen Informationen.

Die vollständige Anbieterliste und was jeder verarbeitet, lebt in unserer Datenschutzrichtlinie.

Monitoring und Reaktion auf Vorfälle

Wir überwachen die Produktion auf ungewöhnliche Traffic-Muster, Fehlerspitzen und fehlgeschlagene Authentifizierungsversuche. Kritische Hinweise rufen den Bereitschafts-Ingenieur. Wir prüfen Logs wöchentlich und nach jedem bedeutsamen Vorfall.

Wenn wir einen Sicherheitsvorfall entdecken, der Nutzerdaten betrifft, benachrichtigen wir betroffene Nutzer ohne unangemessene Verzögerung, in jedem Fall innerhalb von 72 Stunden nach Bestätigung des Vorfalls. Das entspricht der DSGVO-Benachrichtigungsfrist. Der Hinweis sagt dir, was passiert ist, welche Daten betroffen waren, was wir dagegen getan haben und was (wenn überhaupt) du auf deiner Seite tun solltest.

Backups und Wiederherstellung

Die Datenbank wird täglich vom gemanagten Postgres-Anbieter gesichert, mit Point-in-Time-Recovery für die letzten 7 Tage. Backups sind verschlüsselt und in derselben Region wie die primäre Datenbank gespeichert. Wir testen das Wiederherstellungsverfahren vierteljährlich gegen eine Staging-Umgebung, damit wir wissen, dass es tatsächlich funktioniert, bevor wir es brauchen.

Datenschutz und Datenminimierung

Wir sammeln das Minimum, das nötig ist, um den Check zu fahren und den Bericht zu liefern: deinen Firmennamen, die Stadt, in der du bist, und (in bezahlten Plänen) die E-Mail-Adresse, an die wir Updates schicken. Wir fragen im kostenlosen Check nicht nach deiner Karte. Wir verkaufen keine Daten. Wir teilen deine Kontoinformationen nicht mit anderen Kunden.

Die vollständige Aufschlüsselung dessen, was wir sammeln, wie lange wir es behalten und wie man die Löschung beantragt, lebt in der Datenschutzrichtlinie.

Was wir noch nicht tun

Bei den Lücken ehrlich zu sein zählt genauso wie die Praktiken aufzulisten. Hier ist, was wir heute nicht haben:

SOC 2 Zertifizierung. Wir folgen den Praktiken, nach denen ein SOC 2 Audit sucht, aber wir sind noch nicht zertifiziert. Wir planen, SOC 2 Type II anzustreben, während wir wachsen.
Formelles Bug-Bounty-Programm. Wir betreiben noch kein bezahltes Bounty. Wir akzeptieren und reagieren auf Schwachstellenberichte an [email protected] (siehe unten).
Eigene Sicherheitsfragebögen für Enterprise-Beschaffung. Wir konzentrieren uns auf kleine Geschäfte, nicht auf Enterprise-Beschaffungszyklen. Wenn du eine tiefe Sicherheitsprüfung für eine große Organisation brauchst, ist Kodo noch nicht das Richtige.
Penetrationstest-Berichte auf Anfrage. Wir machen interne Sicherheitsprüfungen bei jedem größeren Release. Drittanbieter-Penetrationstests stehen auf der Roadmap.

Eine Schwachstelle melden

Wenn du denkst, dass du ein Sicherheitsproblem in Kodo gefunden hast, maile bitte an [email protected]. Füge die Schritte zur Reproduktion bei, die Auswirkung, die du vermutest, und jeden Proof-of-Concept, den du teilen möchtest. Wir antworten innerhalb von 5 Werktagen, meist innerhalb von 1.

Wir gehen nicht rechtlich gegen Sicherheitsforschung in gutem Glauben vor, solange du nicht auf Nutzerdaten zugreifst, die über das hinausgehen, was nötig ist, um das Problem zu beweisen, du den Dienst für andere Nutzer nicht beeinträchtigst und du uns ein angemessenes Fenster gibst, das Problem zu beheben, bevor du es öffentlich machst.

Zuletzt aktualisiert: 28. Mai 2026. Kodo ist ein kleines Team. Diese Seite beschreibt unsere aktuellen Praktiken, keine Zertifizierung. Wir aktualisieren sie, während sich das Produkt entwickelt.

Ist Kodo SOC 2 zertifiziert?

Noch nicht. Wir folgen den Sicherheitspraktiken, nach denen ein SOC 2 Audit sucht (Verschlüsselung in Bewegung und in Ruhe, begrenzter und auditierter Produktionszugriff, gemanagte Backups, Reaktion auf Vorfälle), und wir planen, SOC 2 Type II zu verfolgen, während wir wachsen. Wenn du heute einen zertifizierten Anbieter brauchst, ist Kodo noch nicht das Richtige.

Wo werden meine Daten gespeichert?

Auf gemanagtem Postgres (Neon) in den USA, mit täglichen verschlüsselten Backups und Point-in-Time-Recovery für die letzten 7 Tage. Das Anwendungs-Hosting läuft auf Vercel, ebenfalls in einer US-Region. Beide Anbieter sind SOC 2 Type II zertifiziert.

Ist die Verbindung zu Kodo verschlüsselt?

Ja. Der gesamte Datenverkehr zwischen deinem Browser und Kodo nutzt TLS 1.2 oder höher. Wir akzeptieren keine einfachen HTTP-Verbindungen. Dieselbe TLS-Verschlüsselung schützt die Verbindungen zwischen unseren Servern und der Datenbank.

Wie melde ich ein Sicherheitsproblem?

Maile an [email protected] mit Schritten zur Reproduktion, der Auswirkung, die du vermutest, und jedem Proof-of-Concept. Wir antworten innerhalb von 5 Werktagen. Wir gehen nicht rechtlich gegen Forschung in gutem Glauben vor, die Nutzerdaten respektiert und uns ein angemessenes Fenster gibt, das Problem zu beheben.

Bietet ihr einen Sicherheitsfragebogen für Enterprise-Beschaffung?

Noch nicht. Kodo ist für kleine Geschäfte gebaut, also füllen wir derzeit keine eigenen Sicherheitsfragebögen für Enterprise-Beschaffungsteams aus. Die Praktiken, denen wir folgen, sind auf dieser Seite aufgelistet. Wenn du mehr brauchst, melde dich und wir sagen dir ehrlich, ob wir helfen können.

Sicherheit bei Kodo