Skip to content

Sicherheit

Mehrstufiger Schutz, von Grund auf.

Zuletzt aktualisiert — Februar 2026

Architektur

InvestTracker wurde mit einer sicherheitsorientierten Architektur entwickelt. Ihre Finanzdaten werden im Ruhezustand und bei der Übertragung verschlüsselt, durch strenge Zugriffskontrollen geschützt und isoliert, sodass niemand — weder andere Benutzer, noch Dritte, noch wir selbst — auf Ihre Bestände zugreifen kann.

Authentifizierung

  • Sichere AuthentifizierungBenutzerregistrierung, Anmeldung und Sitzungsverwaltung verwenden branchenübliche Protokolle. Passwörter werden mit bcrypt gehasht und niemals im Klartext gespeichert.
  • Serverseitige SitzungsvalidierungJede authentifizierte Anfrage wird serverseitig überprüft, indem der Authentifizierungsdienst direkt aufgerufen wird, anstatt dem JWT allein zu vertrauen.
  • Middleware-SchutzAlle Dashboard-Routen werden durch Middleware geschützt, die den Sitzungsstatus vor dem Rendern überprüft.

Datenisolierung

Jede Datenbanktabelle ist durch strenge Zugriffskontrollrichtlinien geschützt. Abfragen werden automatisch auf den authentifizierten Benutzer beschränkt, was eine vollständige Datenisolierung auf Datenbankebene gewährleistet — nicht nur auf Anwendungsebene. Ein Benutzer kann unter keinen Umständen die Daten eines anderen Benutzers lesen oder ändern.

Administrative Operationen (Cron-Jobs, Massen-Snapshots) verwenden einen separaten privilegierten Schlüssel mit expliziten Autorisierungsprüfungen und werden niemals dem Client ausgesetzt.

API-Routensicherheit

  • Cron-Endpunktegeschützt durch ein geheimes Bearer-Token. Wenn das Geheimnis nicht konfiguriert ist, gibt der Endpunkt einen 500-Fehler zurück und verweigert die Ausführung.
  • Export-Endpunkteüberprüfen die Benutzeridentität und bestätigen den Portfoliobesitz, bevor Daten zurückgegeben werden.
  • Keine öffentlichen APIses gibt keine nicht authentifizierten Endpunkte, die Benutzerdaten offenlegen.

Transportsicherheit

  • Der gesamte Datenverkehr zwischen Client und Server verwendet HTTPS / TLS.
  • Datenbankverbindungen verwenden TLS-verschlüsselte Kanäle.
  • API-Aufrufe an Drittanbieter (Marktdaten, E-Mail) erfolgen ausschließlich über HTTPS vom Server — niemals vom Browser.

HTTP-Sicherheitsheader

Die Anwendung setzt bei jeder Antwort die folgenden Sicherheitsheader:

  • X-Content-Type-Options: nosniff
  • X-Frame-Options: DENY
  • Referrer-Policy: strict-origin-when-cross-origin
  • Permissions-Policy: camera=(), microphone=(), geolocation=()
  • Content-Security-Policybeschränkt Skriptquellen, blockiert Framing und begrenzt Verbindungen auf genehmigte Domains.

Datenverschlüsselung

  • Im Ruhezustandalle Daten werden im Ruhezustand mit AES-256 verschlüsselt.
  • Bei der Übertragungalle Daten werden während der Übertragung über TLS 1.2+ verschlüsselt.
  • AnmeldedatenPasswörter werden mit bcrypt gehasht. API-Schlüssel und Geheimnisse werden als Umgebungsvariablen gespeichert, niemals im Quellcode oder in der Datenbank.

Abhaengigkeitsverwaltung

Abhaengigkeiten werden regelmaessig ueberprueft. Die Anwendung verwendet einen gesperrten Abhaengigkeitsbaum, um Supply-Chain-Angriffe durch ungepruefte Paketaktualisierungen zu verhindern.

Alle npm-Pakete werden kontinuierlich mit automatisierten Audit-Tools auf bekannte Schwachstellen ueberwacht. Kritische und schwerwiegende Probleme werden innerhalb von 48 Stunden nach Bekanntwerden behoben. Unser Abhaengigkeitsbaum ist ueber eine Paket-Lock-Datei gesperrt, wodurch sichergestellt wird, dass Builds reproduzierbar und immun gegen Supply-Chain-Injektionsangriffe durch transitive Abhaengigkeitsupdates sind.

Verantwortungsvolle Offenlegung

Wenn Sie eine Sicherheitsluecke entdecken, melden Sie diese bitte vertraulich an support@investtracker.app. Wir nehmen alle Meldungen ernst und werden umgehend antworten. Einzelheiten zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzrichtlinie.

Wir bestaetigen den Eingang aller Schwachstellenberichte innerhalb von 48 Stunden und sind bestrebt, innerhalb von 30 Tagen eine Korrektur bereitzustellen. Wenn Sie sensible Details mitteilen muessen, kontaktieren Sie uns direkt per E-Mail und wir stellen Ihnen einen sicheren Kanal zur Verfuegung.

Branchenstandards

Unsere Sicherheitspraktiken orientieren sich an fuehrenden Branchenrahmenwerken: