Sämtliche Geheimnisse (API-Schlüssel, Datenbank-Zugangsdaten, Zertifikate) werden über AWS SSM Parameter Store als verschlüsselte Zeichenketten (SecureString) gespeichert, geschützt durch KMS-Verschlüsselung. Die Verteilung an die Anwendung erfolgt automatisiert und verschlüsselt — ohne manuelle Schritte.

Geheimnisse werden niemals im Quellcode, in committed Umgebungsdateien oder in Logs gespeichert. Ein automatischer Secret-Scanner prüft jeden Commit in der CI/CD-Pipeline auf versehentlich eingebrachte Zugangsdaten. Beim Produktionsstart wird validiert, dass keine Entwicklungs- oder Testschlüssel eingesetzt werden — die Anwendung verweigert den Start bei Erkennung solcher Schlüssel.

Fehlerberichte werden automatisch von personenbezogenen Daten bereinigt (PII-Scrubbing).