███████╗███████╗ ██████╗██╗ ██╗██████╗ ██╗████████╗██╗ ██╗
██╔════╝██╔════╝██╔════╝██║ ██║██╔══██╗██║╚══██╔══╝╚██╗ ██╔╝
███████╗█████╗ ██║ ██║ ██║██████╔╝██║ ██║ ╚████╔╝
╚════██║██╔══╝ ██║ ██║ ██║██╔══██╗██║ ██║ ╚██╔╝
███████║███████╗╚██████╗╚██████╔╝██║ ██║██║ ██║ ██║
╚══════╝╚══════╝ ╚═════╝ ╚═════╝ ╚═╝ ╚═╝╚═╝ ╚═╝ ╚═╝
TaxLogic.local nimmt die Sicherheit Ihrer Daten sehr ernst. Da die Anwendung sensible Steuerdaten verarbeitet, ist Sicherheit ein Kernprinzip unserer Architektur.
TaxLogic.local takes the security of your data very seriously. Since the application processes sensitive tax data, security is a core principle of our architecture.
┌─────────────────────────────────────────────────────────────┐
│ LOKALE VERARBEITUNG │
├─────────────────────────────────────────────────────────────┤
│ │
│ ┌────────────────┐ ┌────────────────┐ │
│ │ Ihre Daten │ │ Lokales LLM │ │
│ │ (SQLite) │ ←→ │ (Ollama) │ │
│ └────────────────┘ └────────────────┘ │
│ │ │ │
│ ▼ ▼ │
│ ┌────────────────────────────────────────┐ │
│ │ Ihr Computer - OFFLINE │ │
│ │ Keine Cloud-Verbindung │ │
│ │ Keine Telemetrie │ │
│ └────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────┘
| Feature | Beschreibung | Status |
|---|---|---|
| Lokale Verarbeitung | Alle Daten bleiben auf Ihrem Gerät | ✅ Implementiert |
| Keine Telemetrie | Kein Tracking, keine Analytics | ✅ Implementiert |
| Context Isolation | Electron-Sicherheitsmechanismus | ✅ Implementiert |
| Node Integration Off | Renderer hat keinen Node.js-Zugriff | ✅ Implementiert |
| Content Security Policy | XSS-Schutz | ✅ Implementiert |
| Secure IPC | Sichere Inter-Process Communication | ✅ Implementiert |
Wenn Sie eine Sicherheitslücke in TaxLogic.local entdecken, bitten wir Sie um verantwortungsvolle Offenlegung.
If you discover a security vulnerability in TaxLogic.local, we ask for responsible disclosure.
❌ NICHT öffentlich melden:
- Keine GitHub Issues für Sicherheitslücken
- Keine öffentlichen Diskussionen
✅ Bitte melden an:
oder nutzen Sie GitHub Security Advisories (privat).
Bitte geben Sie folgende Informationen an:
## Vulnerability Report
### Zusammenfassung
[Kurze Beschreibung der Schwachstelle]
### Betroffene Version
[z.B. 1.0.0-alpha]
### Schritte zur Reproduktion
1. [Erster Schritt]
2. [Zweiter Schritt]
3. [...]
### Erwartetes Verhalten
[Was sollte passieren]
### Tatsächliches Verhalten
[Was passiert stattdessen]
### Auswirkungen
[Mögliche Auswirkungen der Schwachstelle]
### Proof of Concept (optional)
[Code oder Screenshots]
### Vorgeschlagene Lösung (optional)
[Ihre Empfehlung]| Schweregrad | Erste Antwort | Fix-Ziel |
|---|---|---|
| Kritisch | 24 Stunden | 7 Tage |
| Hoch | 48 Stunden | 14 Tage |
| Mittel | 7 Tage | 30 Tage |
| Niedrig | 14 Tage | 90 Tage |
| Schweregrad | Kriterien |
|---|---|
| Kritisch | Datenexfiltration, Remote Code Execution, Auth Bypass |
| Hoch | Lokale Privilege Escalation, sensible Datenlecks |
| Mittel | Denial of Service, nicht-kritische Informationslecks |
| Niedrig | Geringe Auswirkung, theoretische Schwachstellen |
| Version | Unterstützt | Sicherheitsupdates |
|---|---|---|
| 1.0.x (alpha) | ✅ Ja | ✅ Ja |
| < 1.0.0 | ❌ Nein | ❌ Nein |
Hinweis: Als Alpha-Software empfehlen wir regelmäßige Updates.
- Defense in Depth - Mehrere Sicherheitsebenen
- Least Privilege - Minimale Berechtigungen
- Secure by Default - Sichere Standardeinstellungen
- Fail Secure - Bei Fehlern sicher fehlschlagen
// ✅ KORREKT: Sichere Konfiguration
const mainWindow = new BrowserWindow({
webPreferences: {
contextIsolation: true, // Isolation aktiviert
nodeIntegration: false, // Node.js im Renderer deaktiviert
sandbox: true, // Sandbox aktiviert
preload: path.join(__dirname, 'preload.js')
}
});
// ❌ FALSCH: Unsichere Konfiguration
const mainWindow = new BrowserWindow({
webPreferences: {
contextIsolation: false, // NIEMALS!
nodeIntegration: true, // NIEMALS!
}
});// ✅ KORREKT: Input validieren
ipcMain.handle('db:save-profile', async (event, profile: unknown) => {
// Schema-Validierung mit Zod
const validatedProfile = UserProfileSchema.parse(profile);
return dbService.saveProfile(validatedProfile);
});
// ❌ FALSCH: Keine Validierung
ipcMain.handle('db:save-profile', async (event, profile) => {
return dbService.saveProfile(profile); // Unsicher!
});// ✅ KORREKT: Parametrisierte Abfragen
db.run('SELECT * FROM users WHERE id = ?', [userId]);
// ❌ FALSCH: SQL Injection möglich
db.run(`SELECT * FROM users WHERE id = '${userId}'`); // NIEMALS!// ✅ KORREKT: API-Keys aus Environment
const apiKey = process.env.ANTHROPIC_API_KEY;
// ❌ FALSCH: Hardcoded Secrets
const apiKey = 'sk-ant-123456789'; // NIEMALS!Vor dem Erstellen eines Pull Requests:
- Keine Secrets im Code (API-Keys, Passwörter)
- Keine Logging von sensiblen Daten
- Input-Validierung implementiert
- Keine
eval()odernew Function() - Keine unsicheren Electron-Einstellungen
- Abhängigkeiten auf Vulnerabilities geprüft
Bei jedem Release:
-
npm auditausgeführt - Abhängigkeiten aktualisiert
- Sicherheitsrelevante PRs geprüft
- SECURITY.md aktuell
- Keine bekannten kritischen Vulnerabilities
# Vulnerabilities prüfen
npm audit
# Automatische Fixes
npm audit fix
# Detaillierter Bericht
npm audit --json > security-report.jsonLetzte Prüfung: 2026-02-11
Kritische Vulnerabilities: 0 (Produktion)
Hohe Vulnerabilities: 26 (nur Dev-Dependencies)
Hinweis: Vulnerabilities in Dev-Dependencies betreffen nicht die ausgelieferte Anwendung.
Wir danken den folgenden Personen für ihre verantwortungsvolle Meldung von Sicherheitslücken:
| Name | Datum | Schweregrad |
|---|---|---|
| Noch keine Meldungen | - | - |
Möchten Sie hier erscheinen? Melden Sie Schwachstellen verantwortungsvoll!
- OWASP Electron Security Checklist
- Electron Security Best Practices
- Austrian Data Protection Authority (DSB)
- GDPR Compliance
Für Sicherheitsfragen:
- 📧 security@taxlogic.local
- 🔐 GitHub Security Advisories
Letzte Aktualisierung / Last updated: 2026-02-11