diff --git a/backend/src/controllers/stressfreiEmail.controller.ts b/backend/src/controllers/stressfreiEmail.controller.ts
index 45529040..f7e949f1 100644
--- a/backend/src/controllers/stressfreiEmail.controller.ts
+++ b/backend/src/controllers/stressfreiEmail.controller.ts
@@ -6,10 +6,18 @@ import { canAccessCustomer, canAccessStressfreiEmail } from '../utils/accessCont
 import { ApiError } from '../utils/apiError.js';
 
 // Pentest 71.3 (INFO): `parseInt(...)` ohne NaN-Check gab bei
-// `/stressfrei-emails/abc/...` einen generischen 500 zurück. Nicht
-// kritisch, aber irreführend und log-spammend.
+// `/stressfrei-emails/abc/...` einen generischen 500 zurück.
+//
+// Pentest 77.3 (LOW): `Number.isInteger(parseInt(...))` ließ Floats
+// und Exponential-Notation durch – `4.0`, `4.5`, `4e1` werden alle
+// zu `4` geparst und treffen die echte ID 4. Fix: erst gegen
+// `/^\d+$/` validieren, dann erst parsen.
 function requireIdParam(req: AuthRequest, res: Response, paramName: string): number | null {
   const raw = req.params[paramName];
+  if (typeof raw !== 'string' || !/^\d+$/.test(raw)) {
+    res.status(400).json({ success: false, error: `Ungültige ID: ${raw}` } as ApiResponse);
+    return null;
+  }
   const parsed = Number.parseInt(raw, 10);
   if (!Number.isInteger(parsed) || parsed < 1) {
     res.status(400).json({ success: false, error: `Ungültige ID: ${raw}` } as ApiResponse);
diff --git a/docs/todo.md b/docs/todo.md
index 6986c4f8..2f8cb380 100644
--- a/docs/todo.md
+++ b/docs/todo.md
@@ -97,6 +97,18 @@ isolierte Instanz (keine Multi-Tenancy im Code), Provisioning + Abrechnung
 
 ## ✅ Erledigt
 
+- [x] **🔒 Pentest 77.3 (LOW): `requireIdParam` ließ Float-IDs durch**
+  - `Number.isInteger(parseInt('4.5'))` ist `true`, weil `parseInt`
+    den Nachkomma-Teil silent abschneidet. Damit traf `/.../4.5/...`
+    auf die echte ID 4 statt 400 zurückzuliefern. Gleiches gilt für
+    `4.0` und Exp-Notation `4e1`.
+  - Fix: vorm Parsen Regex `/^\d+$/` auf die rohe `req.params.<name>`-
+    Eingabe. Nur reine Ziffern erlaubt – keine Floats, Exp, Vorzeichen,
+    Whitespace, Hex.
+  - Smoke-Test (17 Cases): `4.0`, `4.5`, `4e1`, `4E2`, `0`, `-4`, `+4`,
+    `0x10`, `1.0e0`, leading/trailing Space alle abgelehnt; `1`, `4`,
+    `100`, `9999999` durchgewunken.
+
 - [x] **🐞 Stressfrei-Adressen: doppelte E-Mails beim Anlegen erlaubt**
   - Bug: User konnte dieselbe Adresse zweimal beim selben Kunden
     anlegen (siehe Screenshot mit 2× `max.mustermann@...`). `createEmail`