123-MPU – Security-Analyse & Production-Readiness einer Lovable-Plattform

123-MPU – Security-Analyse & Production-Readiness einer Lovable-Plattform

123-MPU

123-MPU unterstützt Menschen bei der Vorbereitung auf die Medizinisch-Psychologische Untersuchung (MPU) und digitalisiert mit dem „MPU Manager" das gesamte Klientenmanagement — von der Beratung bis zum Klientenportal.

Mehr über das Projekt

Intensivcheck und technische Analyse einer mit Lovable gebauten Multi-Tenant-SaaS-Plattform: Security- & RLS-Audit, Threat Model, Skalierbarkeits- und Kostenanalyse plus konkrete Handlungsempfehlungen für den sicheren Go-Live.

Projektzeitraum

01/2026 – 02/2026

Kategorie

Security-Audit / Tech Review / Beratung

Branche

Verkehrspsychologie / MPU-Vorbereitung (SaaS)

Meine Rolle

Technical Auditor & Berater (Security-Analyse, Testing, Handlungsempfehlungen)

Ausgangssituation

Der Kunde hatte mit Lovable und Supabase den „MPU Manager" gebaut — ein Multi-Tenant-Klientenmanagementsystem mit sensiblen personenbezogenen Daten, Dokumenten und Videoaufzeichnungen. Vor der Produktivsetzung stellten sich die kritischen Fragen aller Vibe-Coding-Apps: Ist die Tenant-Isolation wirklich dicht? Funktionieren die RLS-Policies — oder existieren sie nur? Was passiert bei 100 oder 1.000 aktiven Nutzern?

Lösung

Umfassende technische Analyse der gesamten Plattform: Multi-Tenant-Architektur und Datenbank-Design, systematische Cross-Tenant-Penetrationstests der RLS-Policies, Secrets- und API-Key-Scanning, Auth- und Magic-Link-Security, Storage- und Video-Zugriffskontrolle sowie Review der API-Integrationen (Zoom, LearningSuite, Calendly, Stripe). Ergänzt um ein Threat Model, eine Skalierbarkeits- und Kostenstrukturanalyse, eine dokumentierte Findings-Datenbank mit Bug-Reports und eine priorisierte „Ship-Ready"-Checkliste mit konkretem Maßnahmenplan in fünf Phasen.

Technologie-Stack

  • Lovable + Supabase (Row Level Security, Storage, Edge Functions)
  • Multi-Tenant-Security-Testing (Cross-Tenant-Zugriffe, Query-Manipulation, JWT-Validierung)
  • API-Integrationen: Zoom, LearningSuite, Calendly, Stripe (Webhook-Security)
  • Threat Modeling & CWE-basierte Schwachstellenanalyse
  • Performance- & Kostenstruktur-Analyse (Connection Pooling, Rate Limiting, Edge Functions)

Ergebnis & Impact

  • Kritische Schwachstellen und Bugs vor dem Go-Live identifiziert und dokumentiert
  • Priorisierter 5-Phasen-Maßnahmenplan bis zur „Ship-Ready"-Plattform
  • Klares Threat Model und Zielbild: was „sicher genug für den Markt" konkret bedeutet
  • Fundierte Entscheidungsgrundlage für Produktivsetzung und Skalierung