Handwerk
Wie wir bauen.
Vier Prinzipien. Kein Slang, kein Hype. Diese Seite ist für CTOs, die wissen wollen, ob unsere Methodik zu ihrer Risikoneigung passt.
01 — WRITE
Externalisiere Entscheidungen.
Bevor wir Code schreiben, schreiben wir Architektur-Dokumente. Jedes Feature beginnt mit einem PRP (Product Requirements Prompt) — einem strukturierten Markdown-Dokument, das Problem, Zielgruppe, Architektur-Entscheidungen, Alternativen und Begründung festhält.
Die Regel: Was nicht im Architektur-Dokument steht, existiert nicht. Implizite Annahmen werden expliziert oder fallen weg. Das verlangsamt den Start eines Features um Stunden — und beschleunigt das Ende um Wochen, weil keine Diskussionen revisitet werden müssen.
Wir nennen das Framework intern WISC — Write, Isolate, Select, Compress. Vier Direktiven, die steuern, wie ein Engineer (menschlich oder agentisch) Kontext aufbaut und Entscheidungen trifft.
02 — COMPLIANCE-INVARIANTEN
Compliance vor Convenience.
Sicherheits-Invarianten sind keine Sprintziele, sondern Architektur-Pflichten. Bei OneLog gelten diese Invarianten ausnahmslos:
- Row-Level-Security auf jeder Tabelle, die Mandanten-Daten enthält. Default-Deny. Force-Mode aktiv.
- ABAC-Policies auf jedem API-Endpoint. Default-Deny. Kein Zugriff ohne explizite Policy.
- Audit-Ledger mit Post-Quantum-Signatur auf jedem sicherheitsrelevanten Event. Hash-Chain für Manipulationsschutz.
- Sovereign-Cloud-Pflicht. Kein US-Hyperscaler. Kein US-SDK. EU-LLM, EU-SMTP, EU-Storage.
- Secrets über Secret-Manager. Hardcoded Keys werden vom Pre-Commit-Hook abgelehnt — kein Diskussionsspielraum.
Wer eine Invariante umgehen will, schreibt eine ADR (Architecture Decision Record) mit Begründung. Die ADR landet im Repo. Geprüft. Dokumentiert. Auditierbar.
03 — TEST-BEFORE-DONE
Kein „sollte funktionieren". Nur grüne Pipelines zählen.
Bevor wir Fertig melden, läuft die komplette Build- und Test-Pipeline grün. In jeder Sprache, jedes Mal, ohne Ausnahme. Bei Fehlern geht der Engineer (oder Agent) autonom in eine Korrektur-Schleife — analysiert, fixt, re-validiert. Erst nach grünem Build kommt die Antwort an den User.
Das gilt auch für KI-generierten Inhalt: Bevor ein automatisch erstelltes Dokument akzeptiert wird, durchläuft es eine Eval-Pipeline mit Score-Schwelle. Halluzinations-Check, Compliance-Check, Tone-of-Voice-Check. Schwelle nicht erreicht → Überarbeitung, erneuter Eval-Lauf.
04 — AGENTIC BY DEFAULT
Ein Klick im UI ist UX-Schuld.
Wir bauen keine Dashboards für menschliche Klick-Arbeit. Wir bauen Plattformen, die Probleme erkennen, lösen und protokollieren — bevor ein Operator sie sieht. Dashboards sind Eskalations-Pfade, keine Arbeitsoberflächen.
Das ist mehr als „Automation". Es ist eine architektonische Wette: wenn ein Problem deterministisch lösbar ist, wird es deterministisch gelöst. Wenn es probabilistisch lösbar ist, wird es vom Hive-Mind-Agent-Set gelöst und im Audit-Ledger protokolliert. Nur wenn beide Pfade scheitern, sieht ein Mensch das Problem — und dann mit allem Kontext.
Das verändert das Geschäftsmodell unserer Kunden: ein MSP-Techniker, der heute 50 Geräte betreut, betreut mit OneLog 500. Nicht durch mehr Klicks pro Stunde — sondern durch dramatisch weniger nötige Klicks.
Stack-Wahl, kurz
Womit wir bauen — und warum.
Backend
Go (typsicher, kompiliert, deployed als Single-Binary), FastAPI (für Python-LLM-Workloads). PostgreSQL mit RLS. Redis für Caches.
Frontend
React 18 + TypeScript + Vite + Tailwind. Capacitor für iOS/Android-Shells. Astro für statische Sites.
Cloud
STACKIT Sovereign Cloud (BSI C5, deutsches RZ). Caddy + Docker Compose. Git-basiertes Deploy, kein SCP.
Krypto & Auth
Ed25519 (EdDSA), Dilithium3 für Audit-Signaturen, MFA via TOTP + WebAuthn, AES-256 für sensible Inhalte at-rest.
Billing
Lexoffice (GoBD-konform), Revolut Business (SEPA). Reader-App-Pricing, kein Apple/Google IAP-Cut.
Was wir nicht nehmen
Kein Firebase, kein Auth0, kein Mixpanel, kein Google Analytics, kein US-Hyperscaler. Auch nicht „nur ein bisschen".