Security-Hardening Runde 10: Security-Monitoring + Alerting

Defense-in-Depth für alles, was in den ersten 9 Runden nicht durch Code
verhindert wurde: zumindest gesehen + alarmiert werden.

📊 SecurityEvent-Tabelle (Prisma)
- Type/Severity/IP/User/Endpoint + Indexen für Filter+Threshold-Detection
- Trennt sich vom AuditLog: AuditLog ist forensisch + hash-gekettet,
  SecurityEvent ist optimiert für Realtime-Alerting + Aggregation.

🪝 Hooks an kritischen Stellen
- Login (Success/Failed) – auth.controller
- Logout, Password-Reset (Request + Confirm) – auth.controller
- Rate-Limit-Hit – middleware/rateLimit
- IDOR-403 – utils/accessControl (canAccessCustomer / canAccessContract)
- SSRF-Block – emailProvider.controller (test-connection + test-mail-access)
- JWT-Reject (alg=none, expired, manipuliert) – middleware/auth

🚨 Threshold-Detection + Alerting (securityAlert.service.ts)
- Cron jede Minute: prüft Brute-Force-Patterns je IP
  - 10× LOGIN_FAILED in 60 min  → CRITICAL Brute-Force-Verdacht
  -  5× ACCESS_DENIED in 5 min  → CRITICAL IDOR-Probing-Verdacht
  -  3× SSRF_BLOCKED in 60 min  → CRITICAL SSRF-Probing
  -  3× TOKEN_REJECTED HIGH in 5 min → CRITICAL JWT-Manipulation
- CRITICAL-Events: Sofort-Alert per E-Mail (debounced)
- Cron stündlich: Digest mit HIGH+MEDIUM-Events (wenn aktiviert)
- Sofort-Alert + Digest laufen über System-E-Mail-Provider
  (gleicher Pfad wie Geburtstagsgrüße, Passwort-Reset)

🖥 Frontend: Settings → "Sicherheits-Monitoring"
- Alert-E-Mail-Adresse + Digest-Toggle
- Test-Alert-Button + Digest-jetzt-Button
- Stats-Cards pro Severity (CRITICAL/HIGH/MEDIUM/LOW/INFO)
- Filter (Type/Severity/Search/IP) + Pagination
- Auto-Refresh alle 30 s
- Verlinkt aus Settings-Übersicht (settings:read Permission)

🧪 Live-verifiziert
- Login-Fehlversuch → LOGIN_FAILED Event
- Portal probt 4× fremde Customer-IDs → 4× ACCESS_DENIED
- SSRF-Probe (169.254.169.254) → SSRF_BLOCKED Event
- 12× LOGIN_FAILED simuliert → Cron erzeugt CRITICAL nach ≤60s
- CRITICAL-Sofort-Alert binnen 30s zugestellt
- Test-Alert-Button: E-Mail zugestellt
- Hourly-Digest mit 5 Events: E-Mail mit Tabelle zugestellt

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

backend/src/middleware/rateLimit.ts

@@ -1,8 +1,28 @@
 /**
  * Rate-Limiting-Middleware für sensible Endpoints (Login, Passwort-Reset).
  * Schützt gegen Brute-Force- und Credential-Stuffing-Angriffe.
+ *
+ * Wenn ein Limit überschritten wird, emit() wir zusätzlich ein
+ * SecurityEvent (RATE_LIMIT_HIT) – damit der Monitoring-View und das
+ * Alert-System sehen, wenn jemand auf die Tür hämmert.
  */
 import rateLimit from 'express-rate-limit';
+import { emit as emitSecurityEvent, contextFromRequest } from '../services/securityMonitor.service.js';
+
+function onLimitReached(label: string, severity: 'MEDIUM' | 'HIGH') {
+  return (req: any, _res: any) => {
+    const ctx = contextFromRequest(req);
+    emitSecurityEvent({
+      type: 'RATE_LIMIT_HIT',
+      severity,
+      message: `Rate-Limit überschritten: ${label}`,
+      ipAddress: ctx.ipAddress,
+      userEmail: req.body?.email,
+      endpoint: ctx.endpoint,
+      details: { limiter: label },
+    });
+  };
+}
 
 /**
  * Login: 10 Versuche pro 15 Minuten pro IP.
@@ -19,6 +39,10 @@ export const loginRateLimiter = rateLimit({
   },
   // Erfolgreiche Logins zählen nicht gegen das Limit
   skipSuccessfulRequests: true,
+  handler: (req, res, _next, options) => {
+    onLimitReached('login', 'HIGH')(req, res);
+    res.status(options.statusCode).json(options.message);
+  },
 });
 
 /**
@@ -34,4 +58,8 @@ export const passwordResetRateLimiter = rateLimit({
     success: false,
     error: 'Zu viele Passwort-Reset-Anfragen. Bitte in einer Stunde erneut versuchen.',
   },
+  handler: (req, res, _next, options) => {
+    onLimitReached('password-reset', 'MEDIUM')(req, res);
+    res.status(options.statusCode).json(options.message);
+  },
 });