API-Ebene: Alle REST-Anfragekörper und Pfadparameter werden durch Schema-Validierung geprüft. Ungültige Anfragen werden vor Erreichen der Geschäftslogik abgelehnt.

Datenbankebene: Ausschliesslich parametrisierte Abfragen — keine Zeichenkettenverkettung, kein rohes SQL. Dies verhindert SQL-Injection per Design.

WAF-Ebene: JSON-Content-Type wird auf API-Anfragen erzwungen. Bekannte Injection-Muster werden automatisch blockiert.

Frontend-Ebene: Vue 3 Auto-Escaping in Templates. Sichere DOM-Verarbeitung für HTML-Inhalte (kein direktes Einfügen von Roh-HTML).

Datei-Uploads: Grössenprüfung und Content-Type-Validierung bei Dokumenten-Uploads.

Fehlerbehandlung: Fehlermeldungen enthalten keine Stacktraces oder internen Details. 404 und 403 werden ohne Body zurückgegeben. Fehlerberichte werden automatisch von PII bereinigt.