fix(csp): frame-ancestors auf 'self' – PDF-Vorschau-iframe ging nicht

Das CSP `frame-ancestors 'none'` blockte ALLE iframe-Embeddings, auch same-origin – damit ließ sich die annotierte PDF-Vorschau im Editor für PDF-Auftragsvorlagen nicht laden. Browser zeigten je nach Variante "Verbindung abgelehnt" oder einen CSP-Violation-Fehler. CSP überschreibt X-Frame-Options, der alte SAMEORIGIN-Header reichte also nicht aus. Auf 'self' wechseln: eigene App darf eigene Resourcen embeden, externe Sites weiterhin gesperrt (was X-Frame-Options bereits regelt). Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
factory-import: --save-as-builtin Flag + README-Überarbeitung
2026-05-07 20:10:42 +02:00 · 2026-05-07 20:04:02 +02:00 · 2026-05-07 19:51:19 +02:00 · 2026-05-07 19:41:16 +02:00 · 2026-05-07 19:26:33 +02:00 · 2026-05-07 18:27:18 +02:00
117 changed files with 8352 additions and 1696 deletions
@@ -46,6 +46,15 @@ backups
 backend/uploads
 backend/backups
 # Daten-Verzeichnis (Bind-Mounts zur Laufzeit, nicht im Build-Context)
 data/
 # Plesk-Test (nicht für Container)
 plesktest/
 # Backup-Klone des Repos
 opencrm-backup-*/
 # Prisma migrations (included, but not dev db)
 *.db
 *.db-journal
@@ -0,0 +1,76 @@
 # OpenCRM – zentrale Konfiguration
 # ==================================
 # Kopiere diese Datei zu .env und passe die Werte an.
 # Diese .env wird sowohl vom Backend (npm run dev) als auch von Docker
 # Compose verwendet.
 # ============== PORTS (extern erreichbar auf dem Host) ==============
 OPENCRM_PORT=3010      # Backend + Frontend (alles unter einer URL)
 ADMINER_PORT=8090      # Adminer (Datenbank-UI). 8081 ist häufig schon belegt.
 DB_PORT=3306           # MariaDB extern (für lokale Tools/Dev). 0 = nicht freigeben.
 # ============== DATEN-PFADE (Bind-Mounts) ==============
 # Relativ zum Projektverzeichnis. Werden zur Laufzeit angelegt.
 DATA_DIR=./data
 DB_DATA_DIR=./data/db
 UPLOADS_DIR=./data/uploads
 FACTORY_DEFAULTS_DIR=./data/factory-defaults
 BACKUPS_DIR=./data/backups
 # ============== DATENBANK ==============
 # Der App-User (DB_USER) wird beim ersten Start automatisch von MariaDB
 # angelegt (über MARIADB_USER/MARIADB_PASSWORD im docker-compose) – mit
 # GRANT ALL PRIVILEGES auf ${DB_NAME}.*. Damit nutzt das Backend NICHT root.
 # DB_ROOT_PASSWORD ist nur für Adminer / Notfall-Wartung.
 DB_HOST=localhost            # Im Container überschreibt docker-compose das auf "db"
 DB_NAME=opencrm
 DB_USER=opencrm
 DB_PASSWORD=change-this-password
 DB_ROOT_PASSWORD=change-this-root-password
 # Connection-String wird aus den DB_*-Komponenten zusammengebaut (dotenv-expand).
 # Manuell überschreiben nur wenn Sonderfälle (z.B. extra Query-Parameter).
 # Hinweis: für lokales Dev mit MariaDB im Container nutze DB_HOST=localhost,
 # weil docker-compose den DB-Port auf 127.0.0.1:DB_PORT mappt.
 DATABASE_URL=mysql://${DB_USER}:${DB_PASSWORD}@${DB_HOST}:${DB_PORT}/${DB_NAME}
 # ============== SECURITY ==============
 # JWT-Secret: min. 32 Zeichen. Generieren: openssl rand -hex 64
 JWT_SECRET=change-this-to-a-very-long-random-secret-please-rotate-before-production
 JWT_EXPIRES_IN=7d
 # Encryption-Key für Portal-Credentials: GENAU 64 Hex-Zeichen.
 # Generieren: openssl rand -hex 32
 ENCRYPTION_KEY=change-this-to-64-hex-characters-please-rotate-before-production-xx
 # Server
 NODE_ENV=development
 PORT=3001                  # Backend-internal Port (Dev: localhost:3001)
 LISTEN_ADDR=0.0.0.0        # In Docker = 0.0.0.0, in Bare-Metal-Production = 127.0.0.1
 # CORS – nur in Production setzen, wenn Frontend auf separater Domain läuft.
 # Beispiel: CORS_ORIGINS=https://crm.deine-domain.de
 # CORS_ORIGINS=
 # HTTPS-only-Header (HSTS + upgrade-insecure-requests) – NUR aktivieren, wenn
 # wirklich ein TLS-Proxy (Caddy/Traefik/Nginx) vor OpenCRM steht. Sonst sperrt
 # sich der Browser bei direktem http://ip:port-Zugriff selbst aus
 # (ERR_SSL_PROTOCOL_ERROR auf den Assets).
 HTTPS_ENABLED=false
 # ============== ADMINER (DB-UI) ==============
 # Theme-Auswahl. Verfügbare Designs im offiziellen adminer:latest Image:
 #   adminer-dark, brade, bueltge, dracula, esterka, flat, galkaev,
 #   haeckel, hever, konya, lavender-light, lucas-sandery, mancave,
 #   mvt, nette, ng9, nicu, pappu687, paranoiq, pepa-linha, pokorny,
 #   price, rmsoft, rmsoft_blue, rmsoft_blue-dark, win98
 # Empfehlung: dracula (dark) oder adminer-dark – beide modern.
 ADMINER_DESIGN=dracula
 # ============== SEED ==============
 # Bei leerer DB seedet der Container automatisch (legt admin@admin.com / admin
 # + Stammdaten an) – nichts zu konfigurieren.
 # Nur wenn man eine NICHT-leere DB nochmal forciert seeden will (z.B. nach
 # Reset / Stammdaten-Update), kurz auf 'true' setzen, neu starten, dann
 # wieder zurück.
 RUN_SEED=false
@@ -0,0 +1,41 @@
 # Root-Gitignore: gemeinsame Patterns für Repo-Root + nested Verzeichnisse
 # (backend/, frontend/, docker/ haben zusätzlich eigene .gitignore-Files)
 # Environment – echte Secrets blocken, .env.example weiter mittracken
 .env
 .env.local
 .env.*.local
 !.env.example
 # OS
 .DS_Store
 Thumbs.db
 # IDE
 .idea/
 .vscode/
 *.swp
 *.swo
 # Logs
 *.log
 npm-debug.log*
 # Temp
 tmp/
 *.tmp
 *.bak
 # Docker-Bind-Mounts: Inhalt nicht tracken, Verzeichnisstruktur via .gitkeep behalten
 data/db/*
 !data/db/.gitkeep
 data/uploads/*
 !data/uploads/.gitkeep
 data/factory-defaults/*
 !data/factory-defaults/.gitkeep
 data/backups/*
 !data/backups/.gitkeep
 # Factory-Defaults-Drop-Box (Export-ZIPs zwischen dev/prod hin und her)
 factory-exports/*
 !factory-exports/.gitkeep
@@ -2,6 +2,8 @@
 Web-basiertes CRM-System für Kundenverwaltung mit Verträgen (Energie, Telekommunikation, KFZ-Versicherung).
 **Version: 1.1.0** ([Changelog](#changelog))
 ## Features
 - **Kundenverwaltung**: Privat- und Geschäftskunden mit Stammdaten
@@ -11,6 +13,9 @@ Web-basiertes CRM-System für Kundenverwaltung mit Verträgen (Energie, Telekomm
 - **Zähler**: Strom-/Gaszähler mit Zählerstandhistorie
 - **Rechnungen**: Rechnungsverwaltung für Energieverträge mit Dokumenten-Upload
 - **Vertrags-Cockpit**: Dashboard zur Überwachung offener Aufgaben (fehlende Dokumente, Rechnungen)
 - **Auto-Vertragsstatus**: Lieferbestätigung-Upload setzt `DRAFT` → `ACTIVE` (mit Vertragsbeginn),
  Kündigungsbestätigung-Upload setzt `ACTIVE` → `CANCELLED` (mit Datum),
  nightly-Cron setzt `ACTIVE`-Verträge mit abgelaufenem `endDate` auf `EXPIRED`
 - **Verträge**:
  - Energie (Strom, Gas)
  - Telekommunikation (DSL, Glasfaser, Mobilfunk, TV)
@@ -20,7 +25,14 @@ Web-basiertes CRM-System für Kundenverwaltung mit Verträgen (Energie, Telekomm
 - **Email-Provisionierung**: Automatische E-Mail-Weiterleitung bei Plesk/cPanel/DirectAdmin
 - **Berechtigungssystem**: Admin, Mitarbeiter, Nur-Lesen, Kundenportal
 - **Verschlüsselte Zugangsdaten**: Portal-Passwörter AES-256-GCM verschlüsselt
- **DSGVO-Compliance**: Audit-Logging, Einwilligungsverwaltung, Datenexport, Löschanfragen
+- **DSGVO-Compliance**: Audit-Logging mit Hash-Chain-Integritätsprüfung,
  Einwilligungsverwaltung, Datenexport, Löschanfragen
 - **Sicherheits-Monitoring**: Realtime-Logging von Login-Fehlversuchen, IDOR-Abwehr,
  SSRF-Blocks, JWT-Manipulation; Threshold-Detection (Brute-Force, IDOR-Probing) mit
  Sofort-E-Mail-Alerts und stündlichem Digest – siehe Einstellungen → Monitoring
 - **Production-Hardening**: 10 dokumentierte Hardening-Runden inkl. CORS, Helmet,
  IDOR-Schutz, Rate-Limiting, SSRF/DNS-Rebinding-Block, Per-File-Ownership-Check, mehr
  in [docs/SECURITY-HARDENING.md](docs/SECURITY-HARDENING.md)
 - **Developer-Tools**: Datenbank-Browser und interaktives ER-Diagramm
 ## Tech Stack
@@ -35,32 +47,62 @@ Web-basiertes CRM-System für Kundenverwaltung mit Verträgen (Energie, Telekomm
 > - Express 4.x → `@types/express@^4.17.x`
 > - Express 5.x → `@types/express@^5.x` (erst bei offiziellem Release empfohlen)
 ## Quick-Start mit Docker (empfohlen)
 Komplettes Setup mit MariaDB + OpenCRM + Adminer (DB-UI) in 3 Befehlen:
 ```bash
 git clone <repository-url>
 cd opencrm
 cp .env.example .env       # Werte anpassen, Secrets rotieren!
 docker compose up -d
 ```
 Browser:
 - **CRM**: http://localhost:3010 (Login: `admin@admin.com` / `admin`)
 - **Datenbank-UI** (Adminer): http://localhost:8081 (Server: `db`, User: `root`, DB: `opencrm`)
 Alle persistenten Daten liegen in `./data/`:
 | Pfad | Inhalt |
 |------|--------|
 | `./data/db/` | MariaDB-Datafiles |
 | `./data/uploads/` | User-Uploads (PDFs, Bilder) |
 | `./data/factory-defaults/` | Stammdaten-Kataloge |
 | `./data/backups/` | DB-Backups (`npm run db:backup`) |
 Ports + Pfade konfigurierst du in `./.env` (Default-Werte siehe `.env.example`).
 > **Erste Inbetriebnahme:** In der `.env` einmalig `RUN_SEED=true` setzen,
 > `docker compose up -d` ausführen, dann wieder auf `false`. Danach existiert
 > der initiale Admin-User `admin@admin.com` / `admin`.
 ## Voraussetzungen
- Node.js 18+ (empfohlen: 20+)
+- Docker & Docker Compose v2
- Docker & Docker Compose
+- Für Backend-Entwicklung außerhalb von Docker: Node.js 20+ und npm
 - npm
-## Installation
+## Installation für Entwicklung (ohne Container)
 ### 1. Repository klonen
 ```bash
 git clone <repository-url>
 cd opencrm
 cp .env.example .env       # Konfiguration anpassen
 ```
-### 2. MariaDB-Datenbank starten
+### 2. MariaDB-Container starten
 ```bash
-docker-compose up -d
+docker compose up -d db
 ```
-Dies startet einen MariaDB-Container mit:
+Das startet nur die Datenbank (mit Daten in `./data/db/`).
- **Port:** 3306
+Konfiguration kommt aus `./.env`:
- **Datenbank:** opencrm
+
- **Root-Passwort:** rootpassword
+- **Port:** wie in `DB_PORT` (Standard: 3306, intern auf 127.0.0.1)
- **Benutzer:** opencrm / opencrm123
+- **Datenbank/User/Passwort:** wie in `DB_*`-Variablen
 Warte ca. 10 Sekunden bis die Datenbank bereit ist.
@@ -140,6 +182,39 @@ Nach dem Seed sind folgende Zugangsdaten verfügbar:
 - **E-Mail:** admin@admin.com
 - **Passwort:** admin
 > **Wichtig:** Vor dem ersten Production-Deployment das Default-Passwort sofort
 > ändern und Secrets rotieren – siehe [Production-Deployment](#production-deployment).
 ## Production-Deployment
 Vor dem öffentlichen Schalten der Instanz muss in der Production-`.env`:
 ```env
 NODE_ENV=production
 # Pflicht-Rotation – per `openssl rand` neu generieren!
 JWT_SECRET=$(openssl rand -hex 64)              # min. 32 Zeichen
 ENCRYPTION_KEY=$(openssl rand -hex 32)          # genau 64 Hex-Zeichen
 # Backend nur lokal lauschen lassen, public-Verkehr läuft über Reverse-Proxy
 LISTEN_ADDR=127.0.0.1
 # Bei separatem Frontend-Host: erlaubte Origins
 CORS_ORIGINS=https://crm.deine-domain.de
 ```
 Plus:
 - **Reverse-Proxy** (Nginx/Plesk) so konfigurieren, dass `X-Forwarded-For` hart auf
  die echte Client-IP gesetzt wird (nicht nur angefügt) – sonst Rate-Limit-Bypass möglich.
 - **Default-Admin-Passwort ändern** (admin@admin.com / admin).
 - **Manuelle Test-Checkliste** aus [docs/TESTING.md](docs/TESTING.md) einmal komplett
  durchklicken.
 - **Monitoring konfigurieren**: Einstellungen → Sicherheits-Monitoring → Alert-E-Mail
  hinterlegen, Test-Alert senden, Digest aktivieren.
 - Vollständige Hardening-Story + restliche Trade-offs:
  [docs/SECURITY-HARDENING.md](docs/SECURITY-HARDENING.md)
 ## Developer-Tools aktivieren
 Die Developer-Tools (Datenbankstruktur, ER-Diagramm) sind standardmäßig für Admins verfügbar. Falls der Menüpunkt nicht erscheint:
@@ -203,12 +278,17 @@ Falls der API-Key-Button in Plesk nicht vorhanden ist, lässt er sich auch per S
 ```bash
 # API-Key generieren (läuft nicht ab)
-plesk bin secret_key --create -ip-address <IP-DEINES-SERVERS> -description "OpenCRM"
+# WICHTIG: -ip-address weglassen, wenn der Key von beliebigen IPs genutzt werden soll!
 plesk bin secret_key --create -description "OpenCRM"
-# Beispiel:
+# Alternativ mit IP-Einschränkung (nur Zugriffe von dieser IP sind erlaubt):
-plesk bin secret_key --create -ip-address 0.0.0.0 -description "OpenCRM"
+plesk bin secret_key --create -ip-address <IP-DES-CRM-SERVERS> -description "OpenCRM"
 ```
 > **Achtung:** `-ip-address 0.0.0.0` funktioniert **nicht** wie bei anderen Tools!
 > Plesk prüft exakt gegen die eingetragene IP. Für "alle IPs erlauben" muss der
 > `-ip-address`-Parameter komplett weggelassen werden.
 Der Befehl gibt den Key direkt zurück. Diesen kopieren und im CRM eintragen.
 **Alle API-Keys anzeigen:**
@@ -986,8 +1066,9 @@ Folgende Felder werden in Audit-Logs gefiltert:
 ## Factory-Defaults: Stammdaten-Kataloge teilen
 Das **Factory-Defaults**-System erlaubt den Export und Import von
-Stammdaten-Katalogen (Anbieter, Tarife, PDF-Vorlagen usw.) zwischen verschiedenen
+Stammdaten-Katalogen (Anbieter, Tarife, PDF-Auftragsvorlagen, HTML-Standardtexte)
-OpenCRM-Installationen. Es ist bewusst **streng abgegrenzt** zu Datenbank-Backups:
+zwischen verschiedenen OpenCRM-Installationen. Es ist bewusst **streng abgegrenzt**
 zu Datenbank-Backups:
 ### Abgrenzung
@@ -995,64 +1076,117 @@ OpenCRM-Installationen. Es ist bewusst **streng abgegrenzt** zu Datenbank-Backup
 |---|---|---|
 | Anbieter, Tarife, Kündigungsfristen, Laufzeiten, Kategorien | ✅ | ✅ |
 | PDF-Auftragsvorlagen (inkl. Dateien + Feldzuordnungen) | ✅ | ✅ |
 | HTML-Standardtexte: Datenschutzerklärung, Impressum, Vollmacht-Vorlage, Website-Datenschutz | ✅ | ✅ |
 | **Kundendaten, Verträge, Dokumente** | ❌ | ✅ |
 | **Emails, SMTP-/IMAP-Zugangsdaten** | ❌ | ✅ |
-| **System-Einstellungen, Datenschutzerklärungen, Impressum** | ❌ | ✅ |
+| **Secrets, JWT, Encryption-Keys, User-Accounts** | ❌ | ✅ |
 | Zwischen verschiedenen Installationen teilbar | ✅ | ❌ (zu firmen-spezifisch) |
-> **Kurz:** Factory-Defaults = reine Kataloge, Backup = alles.
+> **Kurz:** Factory-Defaults = generische Stammdaten + rechtliche Standardtexte,
 > Backup = die komplette Instanz.
-### Export (Installation A → ZIP)
+### Drei Wege, eine ZIP zu transportieren
 Es gibt drei Pfade, je nachdem wo die ZIP gerade liegen soll:
 | Wo | Pfad | Wann |
 |---|---|---|
 | **Laufende DB einer Instanz** | UI-Upload oder `./factory-import.sh` | Bestehende Live-Instanz updaten |
 | **Drop-Box im Repo** (`factory-exports/`) | `./factory-export.sh` legt ab, `./factory-import.sh` liest | Transfer zwischen dev und prod via `scp` |
 | **Werkseinstellung im Image** (`backend/factory-defaults/`) | `./factory-import.sh --save-as-builtin` oder manuell entpacken | Neue VMs sollen die Defaults beim allerersten Start mitbringen |
 Alle drei sind unabhängig, **alle drei zusammen** decken den typischen Workflow ab.
 ### Export
 **Variante A – UI:**
 1. **Einstellungen** → **Factory-Defaults** öffnen
-2. Übersicht prüfen (Anzahl pro Kategorie)
+2. Button **„Factory-Defaults exportieren"** klicken
-3. Button **„Factory-Defaults exportieren"** klicken
+3. ZIP wird als `factory-defaults-YYYY-MM-DD.zip` heruntergeladen
-4. ZIP wird als `factory-defaults-YYYY-MM-DD.zip` heruntergeladen
+
 **Variante B – CLI (für scp-Transfers):**
 ```bash
 ./factory-export.sh                                  # → factory-exports/factory-defaults-…zip
 OPENCRM_URL=https://crm.prod.example.de \
  OPENCRM_EMAIL=admin@example.de ./factory-export.sh # gegen Prod-Instanz
 ```
 Ohne `OPENCRM_PASSWORD` wird das Passwort interaktiv abgefragt. Der Zielordner
 `factory-exports/` ist gitignored – die ZIPs landen also nicht ins Repo.
 **ZIP-Struktur:**
 ```
-factory-defaults-2026-04-23.zip
+factory-defaults-2026-05-07-1949.zip
 ├── manifest.json                      # Version + Datum + Counts
-├── providers/
+├── providers/providers.json
 │   └── providers.json                 # Anbieter inkl. zugehöriger Tarife
 ├── contract-meta/
-│   ├── cancellation-periods.json      # Kündigungsfristen (Code + Beschreibung)
+│   ├── cancellation-periods.json
-│   ├── contract-durations.json        # Laufzeiten (Code + Beschreibung)
+│   ├── contract-durations.json
-│   └── contract-categories.json       # Kategorien (Strom, Gas, DSL, ...)
+│   └── contract-categories.json
-└── pdf-templates/
+├── pdf-templates/
-    ├── pdf-templates.json             # Vorlagen-Metadaten + Feldzuordnungen
+│   ├── pdf-templates.json
-    └── *.pdf                          # Die eigentlichen PDF-Dateien
+│   └── *.pdf                          # Die eigentlichen PDF-Dateien
 └── app-settings/
    └── app-settings.json              # HTML-Templates (Whitelist-only)
 ```
-Die ZIP kann an andere Installationen weitergegeben werden
+### Import
 (Partner, Test-System, neue Installation).
-### Import (ZIP → Installation B)
+**Variante A – UI:**
 1. **Einstellungen** → **Factory-Defaults**
 2. Bereich **Import** → **„ZIP hochladen"** → Datei wählen
 3. Erfolgs-Box zeigt Counts pro Kategorie
-1. ZIP herunterladen bzw. erhalten
+**Variante B – CLI:**
-2. Inhalt nach `backend/factory-defaults/` entpacken (Unterordnerstruktur beibehalten)
+```bash
-3. Im Backend-Verzeichnis ausführen:
+./factory-import.sh                                  # nimmt jüngste ZIP aus factory-exports/
-   ```bash
+./factory-import.sh ./factory-exports/foo.zip        # explizite ZIP
-   npm run seed:defaults
+./factory-import.sh --save-as-builtin                # zusätzlich ins Image-Default
-   ```
+./factory-import.sh --save-as-builtin ./foo.zip      # entpacken (siehe unten)
 ```
 Konfigurierbar per ENV: `OPENCRM_URL`, `OPENCRM_EMAIL`, `OPENCRM_PASSWORD`.
 **Variante C – Container-Bare-Metal (für Migration / mehrere ZIPs zusammenführen):**
 ```bash
 # Inhalt der ZIP nach backend/factory-defaults/ entpacken (Unterordner beibehalten)
 cd backend && npm run seed:defaults
 ```
 **Beispiel-Output:**
 ```
-📦 Factory-Defaults werden eingespielt...
+✓ Anbieter: 10
-
+✓ Tarife: 4
-  ✓ Anbieter: 7, Tarife: 12
+✓ Kündigungsfristen: 18
-  ✓ Kündigungsfristen: 5
+✓ Laufzeiten: 18
-  ✓ Laufzeiten: 4
+✓ Vertragskategorien: 8
-  ✓ Vertragskategorien: 8
+✓ PDF-Vorlagen: 2
-  ✓ PDF-Vorlagen: 3
+✓ HTML-Templates: 2
 ✅ Factory-Defaults erfolgreich eingespielt.
 ```
-### Mehrere ZIPs kombinieren
+### `--save-as-builtin`: ZIP zur Werkseinstellung machen
-Du kannst mehrere Exporte in `backend/factory-defaults/` übereinanderlegen –
+Mit `--save-as-builtin` entpackt `factory-import.sh` die ZIP nach **erfolgreichem
-JSON-Dateien werden automatisch gemerged:
+DB-Import** zusätzlich in `backend/factory-defaults/`. Beim nächsten
 `docker-compose up --build` landen die Defaults im Image. Frisch hochgezogene
 VMs bringen sie dann beim ersten Start automatisch mit (Auto-Seed-Pfad im
 Container-Entrypoint).
 ```bash
 # typischer Sync prod → dev → Image-Default
 ssh prod './factory-export.sh'
 scp prod:opencrm/factory-exports/factory-defaults-*.zip factory-exports/
 ./factory-import.sh --save-as-builtin
 docker-compose up -d --build           # neuer Build, neue VMs starten direkt mit Defaults
 ```
 Der Inhalt von `backend/factory-defaults/` wird beim `--save-as-builtin` vorher
 geleert (außer `README.md` und `.gitkeep`), damit nichts Veraltetes liegen
 bleibt.
 ### Mehrere ZIPs kombinieren (CLI-only, Variante C)
 `backend/factory-defaults/` darf mehrere `*.json` pro Unterordner haben –
 `npm run seed:defaults` merged sie automatisch:
 ```
 backend/factory-defaults/
@@ -1062,44 +1196,121 @@ backend/factory-defaults/
    eigene.json        # 5 eigene Anbieter
 ```
-Das Import-Script liest **alle** `*.json` im jeweiligen Unterordner und merged per
+Bei gleichem Unique-Key gewinnt der zuletzt gelesene Eintrag. Der UI-/HTTP-Import
-unique Key (letzter Eintrag gewinnt). Duplikate sind also unproblematisch.
+nimmt nur eine ZIP entgegen – für Merges nutze `npm run seed:defaults`.
 ### Idempotenz
-Das Script nutzt ausschließlich Prisma `upsert`:
+Alle Pfade nutzen Prisma `upsert`:
 - **Neue Einträge** werden angelegt
- **Bestehende Einträge** (per unique Key: `name`, `code`) werden aktualisiert
+- **Bestehende Einträge** (per unique Key: `name` / `code` / `key`) werden aktualisiert
 - Nichts wird gelöscht
-Du kannst `npm run seed:defaults` also beliebig oft ausführen, ohne Datenverlust
+Du kannst Imports also beliebig oft hintereinander ausführen, ohne Datenverlust
 oder Duplikate.
-### PDF-Dateien beim Import
+### PDF-Dateien
-Beim Import werden PDF-Vorlagen aus `factory-defaults/pdf-templates/*.pdf` nach
+Beim Import werden PDF-Vorlagen aus dem ZIP nach `uploads/pdf-templates/`
-`uploads/pdf-templates/` kopiert und die Pfade in der DB entsprechend gesetzt.
+kopiert (mit eindeutigem Suffix) und die `templatePath`-Spalte entsprechend
-Beim Re-Import wird die alte Datei in `uploads/` entsorgt und durch die neue
+gesetzt. Beim Re-Import wird die alte Datei in `uploads/` entsorgt und durch
-ersetzt.
+die neue ersetzt.
 ### AppSettings-Whitelist
 Beim Import werden nur die Keys mit AppSetting-Schreibzugriff gewährt, die auch
 exportiert werden – aktuell:
 - `privacyPolicyHtml`
 - `imprintHtml`
 - `authorizationTemplateHtml`
 - `websitePrivacyPolicyHtml`
 Andere Keys (SMTP, JWT, etc.) werden mit einer Warnung ignoriert. Whitelist ist
 in [`backend/src/services/factoryDefaults.service.ts`](backend/src/services/factoryDefaults.service.ts)
 zentral gepflegt.
 ### Auto-Seed beim Erst-Deploy
 Bei einer **frischen** Installation (leere DB) spielt der Container-Entrypoint
 nach dem Prisma-Seed automatisch das Built-in-Verzeichnis ein:
 ```
 [entrypoint] DB ist leer (User-Count=0) – Auto-Seed wird ausgeführt
 [entrypoint] Spiele eingebaute Factory-Defaults ein…
  ✓ Anbieter: 10, Tarife: 4
  …
 ```
 Bei bestehenden Installs passiert das **nicht** – nur frische DBs.
 ### Berechtigungen
 | Aktion | Berechtigung |
 |--------|--------------|
 | Factory-Defaults Vorschau | `settings:read` |
-| Factory-Defaults Export | `settings:update` |
+| Factory-Defaults Export (UI/CLI) | `settings:update` |
-| Factory-Defaults Import (CLI) | Server-Zugang (SSH/Shell) |
+| Factory-Defaults Import (UI/CLI) | `settings:update` |
 | Werkseinstellungen ändern (`--save-as-builtin` / `npm run seed:defaults`) | Server-Zugang (SSH/Shell) |
-### Typischer Einsatzzweck
+### Typische Einsatzzwecke
- **Neue Installation aufsetzen**: Eine Kollegen-ZIP importieren und sofort mit
+- **Neue VM aufsetzen**: ZIP einmalig nach `backend/factory-defaults/` entpacken
-  gepflegtem Anbieter- und Vorlagenkatalog loslegen
+  (oder per `--save-as-builtin`), dann `docker-compose up --build` – die
  Werkseinstellungen sind beim ersten Start automatisch drin.
 - **Prod-Stand zurück nach dev synchronisieren**: `./factory-export.sh` auf prod,
  `scp` ins dev, `./factory-import.sh --save-as-builtin` lokal – damit ist
  sowohl die dev-DB aktuell als auch der nächste Image-Build.
 - **Vorlagen-Paket teilen**: Eine ZIP mit nur PDF-Vorlagen weitergeben
-  (die anderen Ordner einfach aus der ZIP entfernen vor dem Entpacken)
+  (andere Ordner aus der ZIP entfernen vor dem Entpacken).
 - **Anbieter-Paket teilen**: ZIP mit nur `providers/` weitergeben
 - **Versionskontrolle**: Die entpackten JSON-Dateien unter Versionskontrolle
  stellen (außerhalb von `backend/factory-defaults/`, da der Ordner gitignored ist)
 ## Changelog
 ### 1.1.0 (2026-05-01)
 **Production-readiness** – die Version, die wirklich öffentlich gehen darf.
 - 🛡 **Security-Hardening**: 10 Runden statisches + dynamisches Audit, vollständig
  dokumentiert in [docs/SECURITY-HARDENING.md](docs/SECURITY-HARDENING.md)
  (CORS/Helmet/JWT, IDOR-Schutz an 30+ Endpoints, Mass-Assignment-Whitelists,
  Zip-Slip, Path-Traversal, Login-Timing-Side-Channel, XFF-Rate-Limit-Bypass,
  Customer-Liste-Leak, SSRF + DNS-Rebinding, Per-File-Ownership statt
  freiem `/api/uploads`, JWT-Logout, Audit-Log-Hash-Chain).
 - 🚨 **Sicherheits-Monitoring**: neue `SecurityEvent`-Tabelle + Hooks an Login,
  Logout, Rate-Limit-Hit, IDOR-Abwehr, SSRF-Block, Password-Reset, JWT-Reject.
  Threshold-Detection (Brute-Force, IDOR-Probing, SSRF-Probing) erzeugt
  CRITICAL-Events. **Sofort-E-Mail-Alerts** für CRITICAL + **stündlicher Digest**
  für HIGH/MEDIUM. UI in Einstellungen → Monitoring mit Filter, Pagination,
  Log-leeren (mit optionalem Tage-Filter) und Test-Alert-Button.
 - 🔄 **Auto-Vertragsstatus**:
  - Lieferbestätigung-Upload → `DRAFT` → `ACTIVE` + `startDate`
  - Kündigungsbestätigung-Upload → `ACTIVE` → `CANCELLED` + `cancellationConfirmationDate`
    (mit Datums-Modal beim Upload)
  - Nightly-Cron 02:00: alle `ACTIVE`-Verträge mit `endDate < heute` → `EXPIRED`
 - 🔐 **Lazy bcrypt-Rehash**: Bestandshashes mit Cost 10 werden beim nächsten
  Login transparent auf Cost 12 geupgradet.
 - 🚪 **Logout-Endpoint** `POST /api/auth/logout`: invalidiert JWTs serverseitig
  über `tokenInvalidatedAt`.
 - 📦 **`npm audit fix`**: 8 transitive Vulnerabilities gefixt (lodash,
  path-to-regexp, undici, minimatch).
 ### 1.0.0
 Erste Release-Version.
 - Kunden-, Vertrags-, Adress-, Bankkarten-, Ausweis- und Zählerverwaltung
 - Energie-/Telekommunikations-/KFZ-Verträge mit typspezifischen Details
 - Vertrags-Cockpit mit Rechnungsprüfung
 - E-Mail-Client mit Anhang-Verwaltung
 - DSGVO-Compliance: Audit-Log, Einwilligungen, Datenexport, Löschanfragen
 - PDF-Auftragsvorlagen-System mit visueller Feldzuordnung
 - Factory-Defaults für Stammdaten-Kataloge
 - Mandantenfähigkeit über `customerEmailLabel` pro Provider
 - Passwort-Reset-Flow + Rate-Limiting + Auto-Geburtstagsgrüße
 ## Lizenz
 MIT
@@ -1,13 +0,0 @@
 # Database - Root für Migrationen, opencrm-User für Runtime
 DATABASE_URL="mysql://root:rootpassword@localhost:3306/opencrm"
 # JWT
 JWT_SECRET="change-this-to-a-very-long-random-secret-in-production"
 JWT_EXPIRES_IN="7d"
 # Encryption (for portal credentials) - generate with: openssl rand -hex 32
 ENCRYPTION_KEY="0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef"
 # Server
 PORT=3001
 NODE_ENV=development
@@ -1,3 +1,9 @@
 # Backend nutzt seit v1.1 die zentrale Root-.env im Projektverzeichnis.
 # → siehe ../.env.example für alle Variablen
 #
 # Diese Datei bleibt als Legacy-Fallback: wenn /.env nicht existiert,
 # liest das Backend backend/.env (z.B. für isolierte Backend-Tests).
 # Database
 DATABASE_URL="mysql://user:password@localhost:3306/opencrm"
@@ -4,10 +4,11 @@ node_modules/
 # Build
 dist/
-# Environment
+# Environment – echte Secrets blocken, .env.example weiter mittracken
 .env
 .env.local
 .env.*.local
 !.env.example
 # Database Backups (can be large, keep folder structure)
 prisma/backups/*
@@ -0,0 +1,71 @@
 # Multi-Stage Build: Frontend bauen, dann Backend bauen, dann schlankes Runtime-Image
 # ---------------------------------------------------------------------------------
 # Alle Stages auf node:20-slim (Debian-basiert) – dann passt die Prisma-Query-
 # Engine (glibc + openssl) zur Runtime.
 # ============== STAGE 1: Frontend bauen ==============
 FROM node:20-slim AS frontend-builder
 WORKDIR /build/frontend
 COPY frontend/package.json frontend/package-lock.json ./
 RUN npm ci --no-audit --no-fund --prefer-offline
 COPY frontend/ ./
 RUN npm run build
 # Output: /build/frontend/dist/
 # ============== STAGE 2: Backend bauen (TS → JS) ==============
 FROM node:20-slim AS backend-builder
 WORKDIR /build/backend
 RUN apt-get update && apt-get install -y --no-install-recommends openssl \
    && rm -rf /var/lib/apt/lists/*
 COPY backend/package.json backend/package-lock.json ./
 RUN npm ci --no-audit --no-fund --prefer-offline
 COPY backend/prisma ./prisma
 RUN npx prisma generate
 COPY backend/tsconfig.json ./
 COPY backend/src ./src
 RUN npx tsc
 # Output: /build/backend/dist/
 # ============== STAGE 3: Runtime ==============
 # Debian-slim statt Alpine: Prisma-Engines erwarten libssl 1.1, das in Alpine 3.19+
 # nicht mehr verfügbar ist. Slim hat openssl 3 ABI-kompatibel + native binaries.
 FROM node:20-slim
 WORKDIR /app
 # OpenSSL für Prisma-Query-Engine + wget für Healthcheck
 RUN apt-get update && apt-get install -y --no-install-recommends openssl wget \
    && rm -rf /var/lib/apt/lists/*
 # Nur Production-Dependencies + Prisma-Client
 COPY backend/package.json backend/package-lock.json ./
 RUN npm ci --omit=dev --no-audit --no-fund --prefer-offline && npm cache clean --force
 # Build-Artefakte aus Stage 2
 COPY --from=backend-builder /build/backend/dist ./dist
 COPY --from=backend-builder /build/backend/node_modules/.prisma ./node_modules/.prisma
 COPY --from=backend-builder /build/backend/node_modules/@prisma ./node_modules/@prisma
 COPY backend/prisma ./prisma
 # Frontend-Build ins public/-Verzeichnis (wird in production-Mode statisch ausgeliefert)
 COPY --from=frontend-builder /build/frontend/dist ./public
 # Eingebaute Werkseinstellungen ins Image: bei Erstinstallation (leerer DB) zieht
 # der Entrypoint sie via tsx scripts/seed-factory-defaults.ts ein. Liegt in einem
 # eigenen Pfad – `factory-defaults/` selbst kann über Bind-Mount überlagert werden.
 COPY backend/factory-defaults /app/factory-defaults-builtin
 COPY backend/scripts /app/scripts
 # Daten-Verzeichnisse (werden via Bind-Mount überlagert; hier nur als Fallback)
 RUN mkdir -p uploads factory-defaults prisma/backups
 # Healthcheck
 HEALTHCHECK --interval=30s --timeout=5s --start-period=20s --retries=3 \
  CMD wget --quiet --tries=1 --spider "http://localhost:${PORT:-3001}/api/health" || exit 1
 # Beim Start: prisma db push (idempotent), dann node
 COPY backend/docker-entrypoint.sh /usr/local/bin/docker-entrypoint.sh
 RUN chmod +x /usr/local/bin/docker-entrypoint.sh
 ENTRYPOINT ["docker-entrypoint.sh"]
 CMD ["node", "dist/index.js"]
@@ -0,0 +1,126 @@
 #!/bin/sh
 # Container-Start:
 #   1) Auf DB warten
 #   2) Auto-Baseline für bestehende DBs (db-push-Ära ohne _prisma_migrations)
 #   3) `prisma migrate deploy` (idempotent, datenerhaltend)
 #   4) Auto-Seed bei leerer User-Tabelle (oder RUN_SEED=true)
 # Neue Schema-Änderung anlegen (lokal, im Dev): npm run schema:sync
 set -e
 # DATABASE_URL aus DB_*-Komponenten bauen, falls nicht explizit gesetzt.
 # Wichtig: encodeURIComponent für DB_USER + DB_PASSWORD, damit Sonderzeichen
 # wie $, !, #, @, :, / etc. nicht die URL-Authority-Syntax brechen.
 # Wir nutzen node-eval (ist eh installiert), kein extra-Tool wie jq nötig.
 if [ -z "$DATABASE_URL" ] && [ -n "$DB_USER" ] && [ -n "$DB_PASSWORD" ] && [ -n "$DB_NAME" ]; then
  DATABASE_URL=$(node -e "
    const u = encodeURIComponent(process.env.DB_USER);
    const p = encodeURIComponent(process.env.DB_PASSWORD);
    const h = process.env.DB_HOST || 'db';
    const port = process.env.DB_PORT || '3306';
    const n = process.env.DB_NAME;
    process.stdout.write(\`mysql://\${u}:\${p}@\${h}:\${port}/\${n}\`);
  ")
  export DATABASE_URL
  echo "[entrypoint] DATABASE_URL aus DB_*-Komponenten gebaut (host=${DB_HOST:-db})"
 fi
 echo "[entrypoint] Warte auf Datenbank…"
 # Erst auf DB-Verfügbarkeit warten via einfachem Connect-Check.
 # Wir nutzen Prisma's interne Engine, kein extra mysql-client nötig.
 TRIES=30
 until node -e "
  const { PrismaClient } = require('@prisma/client');
  const p = new PrismaClient();
  p.\$queryRaw\`SELECT 1\`
    .then(() => p.\$disconnect().then(() => process.exit(0)))
    .catch(() => process.exit(1));
 " 2>/dev/null; do
  TRIES=$((TRIES - 1))
  if [ "$TRIES" -le 0 ]; then
    echo "[entrypoint] DB nicht erreichbar – Abbruch"
    exit 1
  fi
  echo "[entrypoint] DB noch nicht bereit – retry in 2s ($TRIES Versuche übrig)"
  sleep 2
 done
 echo "[entrypoint] DB erreichbar"
 # Auto-Baseline: Wenn die DB Anwendungs-Tabellen enthält (z.B. User), aber noch
 # keine _prisma_migrations-Tabelle, dann ist es eine "alte" DB, die früher mit
 # `prisma db push` synced wurde. Wir markieren 0_init als bereits angewendet,
 # damit `migrate deploy` nicht versucht, alle Tabellen nochmal anzulegen.
 NEEDS_BASELINE=$(node -e "
  const { PrismaClient } = require('@prisma/client');
  const p = new PrismaClient();
  (async () => {
    try {
      const dbName = process.env.DB_NAME;
      const tables = await p.\$queryRawUnsafe(
        \`SELECT TABLE_NAME FROM information_schema.TABLES WHERE TABLE_SCHEMA = ?\`,
        dbName
      );
      const names = tables.map(t => t.TABLE_NAME);
      const hasMigrations = names.includes('_prisma_migrations');
      const hasUserTable  = names.includes('User');
      // Existing DB (User da) ohne Migrations-Tracking => Baseline nötig
      if (hasUserTable && !hasMigrations) process.stdout.write('yes');
      else process.stdout.write('no');
    } catch (e) {
      process.stdout.write('no');
    } finally {
      await p.\$disconnect();
    }
  })();
 " 2>/dev/null)
 if [ "$NEEDS_BASELINE" = "yes" ]; then
  echo "[entrypoint] Bestehende DB ohne Migrations-Tracking erkannt – markiere 0_init als angewendet (Baseline)"
  npx prisma migrate resolve --applied 0_init || echo "[entrypoint] Baseline fehlgeschlagen – fahre trotzdem fort"
 fi
 # Migrations anwenden (idempotent: bereits angewendete werden übersprungen).
 # Im Gegensatz zu `db push` löscht `migrate deploy` keine Daten — Schema-
 # Änderungen werden über versionierte Migrations-Files unter prisma/migrations/
 # eingespielt. Neue Migration anlegen mit: npm run schema:sync (lokal, dev).
 echo "[entrypoint] Wende Migrations an…"
 if ! npx prisma migrate deploy; then
  echo "[entrypoint] migrate deploy fehlgeschlagen – Abbruch"
  exit 1
 fi
 echo "[entrypoint] DB-Schema aktuell"
 # Auto-Seed: wenn die User-Tabelle leer ist (= Erstinstallation), automatisch seeden.
 # RUN_SEED=true erzwingt Seed auch bei nicht-leerer DB (z.B. nach Reset).
 USER_COUNT=$(node -e "
  const { PrismaClient } = require('@prisma/client');
  const p = new PrismaClient();
  p.user.count()
    .then((n) => { process.stdout.write(String(n)); process.exit(0); })
    .catch(() => { process.stdout.write('-1'); process.exit(0); });
 " 2>/dev/null)
 RAN_SEED=false
 if [ "${RUN_SEED:-false}" = "true" ]; then
  echo "[entrypoint] RUN_SEED=true – seede DB (Force)"
  if npx prisma db seed; then RAN_SEED=true; else echo "[entrypoint] Seed fehlgeschlagen oder schon gelaufen – ignoriert"; fi
 elif [ "$USER_COUNT" = "0" ]; then
  echo "[entrypoint] DB ist leer (User-Count=0) – Auto-Seed wird ausgeführt"
  if npx prisma db seed; then RAN_SEED=true; else echo "[entrypoint] Auto-Seed fehlgeschlagen – ignoriert"; fi
 else
  echo "[entrypoint] DB enthält $USER_COUNT User – kein Seed nötig"
 fi
 # Eingebaute Factory-Defaults nach Erstinstallation einspielen.
 # Das ist die Werkseinstellung für neue VMs: PDF-Vorlagen, Anbieter, Tarife,
 # HTML-Templates – alles aus /app/factory-defaults-builtin/. Erfolgt nur wenn
 # der Auto-Seed gerade lief (= frische DB), sonst werden Updates auf
 # bestehenden Installationen nicht ungewollt überschrieben.
 if [ "$RAN_SEED" = "true" ] && [ -d /app/factory-defaults-builtin ] \
   && [ -n "$(ls -A /app/factory-defaults-builtin 2>/dev/null | grep -v -E '^(README\.md|\.gitkeep)$')" ]; then
  echo "[entrypoint] Spiele eingebaute Factory-Defaults ein…"
  FACTORY_DEFAULTS_DIR=/app/factory-defaults-builtin npx tsx scripts/seed-factory-defaults.ts \
    || echo "[entrypoint] Factory-Defaults-Seed fehlgeschlagen – ignoriert"
 fi
 echo "[entrypoint] Starte Backend…"
 exec "$@"
@@ -18,15 +18,21 @@ backend/factory-defaults/
 │   ├── cancellation-periods.json   # Kündigungsfristen
 │   ├── contract-durations.json     # Vertragslaufzeiten
 │   └── contract-categories.json    # Vertragskategorien (Strom/Gas/DSL/...)
-└── pdf-templates/
+├── pdf-templates/
-    ├── pdf-templates.json          # Metadaten + Feldzuordnungen
+│   ├── pdf-templates.json          # Metadaten + Feldzuordnungen
-    └── *.pdf                       # PDF-Vorlagen-Dateien
+│   └── *.pdf                       # PDF-Vorlagen-Dateien
 └── app-settings/
    └── app-settings.json           # HTML-Templates: Datenschutz / Impressum /
                                    # Vollmacht / Website-Datenschutz
 ```
 **Was NICHT enthalten ist:** Kundendaten, Verträge, Dokumente, E-Mails, SMTP-Einstellungen,
-Datenschutzerklärungen oder andere AppSettings. Dafür gibt es den separaten
+Secrets oder benutzerspezifische AppSettings. Dafür gibt es den separaten
 **Datenbank-Backup-Export** (Einstellungen → Datenbank & Zurücksetzen).
 Bei den AppSettings ist nur eine **Whitelist** vorgesehen (HTML-Texte für rechtliche
 Standardpflichten) – andere Keys werden beim Import ignoriert.
 ---
 ## Export (aus einer bestehenden Installation)
@@ -46,7 +52,8 @@ factory-defaults-2026-04-23.zip
 ├── contract-meta/contract-durations.json
 ├── contract-meta/contract-categories.json
 ├── pdf-templates/pdf-templates.json
-└── pdf-templates/*.pdf
+├── pdf-templates/*.pdf
 └── app-settings/app-settings.json
 ```
 Die ZIP kann an andere Installationen weitergegeben werden – z.B. für Test-Systeme,
@@ -56,7 +63,15 @@ neue Installationen oder Partner-Setups.
 ## Import (in eine andere Installation)
-### Schritt-für-Schritt
+### Variante A: Über die UI (empfohlen)
 1. Im Ziel-CRM als Admin einloggen
 2. **Einstellungen → Factory-Defaults**
 3. Im Bereich **Import** auf **„ZIP hochladen"** klicken
 4. Die exportierte ZIP wählen – der Import läuft direkt
 5. Erfolgsmeldung zeigt Counts pro Kategorie an
 ### Variante B: Über die CLI (für Bare-Metal / Migration / mehrere ZIPs zusammenführen)
 1. **ZIP herunterladen** (aus einer Export-Installation oder von einer Vorlage)
 2. **Inhalt entpacken** in diesen Ordner (`backend/factory-defaults/`),
@@ -234,6 +249,24 @@ Array von Providern, jeweils inkl. zugehöriger Tarife:
 **Unique Key:** `name`
 **Wichtig:** Die `pdfFilename` muss zu einer PDF-Datei im selben Ordner passen.
 ### `app-settings/app-settings.json`
 HTML-Standardtexte als Werkseinstellung. Es ist eine **Whitelist** aktiv – andere Keys
 werden beim Import ignoriert (Schutz vor versehentlichem Überschreiben von Secrets).
 ```json
 [
  { "key": "privacyPolicyHtml",        "value": "<h1>Datenschutzerklärung</h1>..." },
  { "key": "imprintHtml",              "value": "<h1>Impressum</h1>..." },
  { "key": "authorizationTemplateHtml","value": "<h1>Vollmacht</h1>..." },
  { "key": "websitePrivacyPolicyHtml", "value": "<h1>Website-Datenschutz</h1>..." }
 ]
 ```
 **Unique Key:** `key`
 **Erlaubte Keys:** `privacyPolicyHtml`, `imprintHtml`, `authorizationTemplateHtml`,
 `websitePrivacyPolicyHtml`.
 ---
 ## Berechtigungen
@@ -242,6 +275,7 @@ Array von Providern, jeweils inkl. zugehöriger Tarife:
 |--------|--------------|
 | Factory-Defaults Vorschau | `settings:read` |
 | Factory-Defaults Export (UI) | `settings:update` |
 | Factory-Defaults Import (UI) | `settings:update` |
 | Factory-Defaults Import (CLI) | Server-Zugang (SSH/Shell) |
 ---
@@ -1,12 +1,12 @@
 {
  "name": "opencrm-backend",
-  "version": "1.0.0",
+  "version": "1.1.0",
  "lockfileVersion": 3,
  "requires": true,
  "packages": {
    "": {
      "name": "opencrm-backend",
-      "version": "1.0.0",
+      "version": "1.1.0",
      "dependencies": {
        "@prisma/client": "^5.22.0",
        "adm-zip": "^0.5.16",
@@ -14,15 +14,20 @@
        "bcryptjs": "^2.4.3",
        "cors": "^2.8.5",
        "dotenv": "^16.4.5",
        "dotenv-expand": "^13.0.0",
        "express": "^4.21.1",
        "express-rate-limit": "^8.4.0",
        "express-validator": "^7.2.0",
        "helmet": "^8.1.0",
        "imapflow": "^1.2.8",
        "jsonwebtoken": "^9.0.2",
        "mailparser": "^3.9.3",
        "multer": "^1.4.5-lts.1",
        "node-cron": "^4.2.1",
        "nodemailer": "^7.0.13",
        "pdf-lib": "^1.17.1",
        "pdfkit": "^0.17.2",
        "tsx": "^4.19.2",
        "undici": "^6.23.0"
      },
      "devDependencies": {
@@ -35,10 +40,10 @@
        "@types/mailparser": "^3.4.6",
        "@types/multer": "^1.4.12",
        "@types/node": "^22.9.0",
        "@types/node-cron": "^3.0.11",
        "@types/nodemailer": "^7.0.9",
        "@types/pdfkit": "^0.17.4",
        "prisma": "^5.22.0",
        "tsx": "^4.19.2",
        "typescript": "^5.6.3"
      }
    },
@@ -49,7 +54,6 @@
      "cpu": [
        "ppc64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "aix"
@@ -65,7 +69,6 @@
      "cpu": [
        "arm"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "android"
@@ -81,7 +84,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "android"
@@ -97,7 +99,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "android"
@@ -113,7 +114,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "darwin"
@@ -129,7 +129,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "darwin"
@@ -145,7 +144,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "freebsd"
@@ -161,7 +159,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "freebsd"
@@ -177,7 +174,6 @@
      "cpu": [
        "arm"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -193,7 +189,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -209,7 +204,6 @@
      "cpu": [
        "ia32"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -225,7 +219,6 @@
      "cpu": [
        "loong64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -241,7 +234,6 @@
      "cpu": [
        "mips64el"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -257,7 +249,6 @@
      "cpu": [
        "ppc64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -273,7 +264,6 @@
      "cpu": [
        "riscv64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -289,7 +279,6 @@
      "cpu": [
        "s390x"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -305,7 +294,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -321,7 +309,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "netbsd"
@@ -337,7 +324,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "netbsd"
@@ -353,7 +339,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "openbsd"
@@ -369,7 +354,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "openbsd"
@@ -385,7 +369,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "openharmony"
@@ -401,7 +384,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "sunos"
@@ -417,7 +399,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "win32"
@@ -433,7 +414,6 @@
      "cpu": [
        "ia32"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "win32"
@@ -449,7 +429,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "win32"
@@ -507,7 +486,8 @@
    "node_modules/@pinojs/redact": {
      "version": "0.4.0",
      "resolved": "https://registry.npmjs.org/@pinojs/redact/-/redact-0.4.0.tgz",
-      "integrity": "sha512-k2ENnmBugE/rzQfEcdWHcCY+/FM3VLzH9cYEsbdsoqrvzAKRhUZeRNhAZvB8OitQJ1TBed3yqWtdjzS6wJKBwg=="
+      "integrity": "sha512-k2ENnmBugE/rzQfEcdWHcCY+/FM3VLzH9cYEsbdsoqrvzAKRhUZeRNhAZvB8OitQJ1TBed3yqWtdjzS6wJKBwg==",
      "license": "MIT"
    },
    "node_modules/@pkgjs/parseargs": {
      "version": "0.11.0",
@@ -744,6 +724,13 @@
        "undici-types": "~6.21.0"
      }
    },
    "node_modules/@types/node-cron": {
      "version": "3.0.11",
      "resolved": "https://registry.npmjs.org/@types/node-cron/-/node-cron-3.0.11.tgz",
      "integrity": "sha512-0ikrnug3/IyneSHqCBeslAhlK2aBfYek1fGo4bP4QnZPmiqSGRK+Oy7ZMisLWkesffJvQ1cqAcBnJC+8+nxIAg==",
      "dev": true,
      "license": "MIT"
    },
    "node_modules/@types/nodemailer": {
      "version": "7.0.9",
      "resolved": "https://registry.npmjs.org/@types/nodemailer/-/nodemailer-7.0.9.tgz",
@@ -975,6 +962,7 @@
      "version": "1.0.0",
      "resolved": "https://registry.npmjs.org/atomic-sleep/-/atomic-sleep-1.0.0.tgz",
      "integrity": "sha512-kNOjDqAh7px0XWNI+4QbzoiR/nTkHAWNud2uvnJquD1/x5a7EQZMJT0AczqK0Qn67oY/TTQ1LbUKajZpp3I9tQ==",
      "license": "MIT",
      "engines": {
        "node": ">=8.0.0"
      }
@@ -1058,9 +1046,10 @@
      }
    },
    "node_modules/brace-expansion": {
-      "version": "2.0.2",
+      "version": "2.1.0",
-      "resolved": "https://registry.npmjs.org/brace-expansion/-/brace-expansion-2.0.2.tgz",
+      "resolved": "https://registry.npmjs.org/brace-expansion/-/brace-expansion-2.1.0.tgz",
-      "integrity": "sha512-Jt0vHyM+jmUBqojB7E1NIYadt0vI0Qxjxd2TErW94wDz+E2LAm5vKMXXwg6ZZBTHPuUlDgQHKXvjGBdfcF1ZDQ==",
+      "integrity": "sha512-TN1kCZAgdgweJhWWpgKYrQaMNHcDULHkWwQIspdtjV4Y5aurRdZpjAqn6yX3FPqTA9ngHCc4hJxMAMgGfve85w==",
      "license": "MIT",
      "dependencies": {
        "balanced-match": "^1.0.0"
      }
@@ -1449,6 +1438,33 @@
        "url": "https://dotenvx.com"
      }
    },
    "node_modules/dotenv-expand": {
      "version": "13.0.0",
      "resolved": "https://registry.npmjs.org/dotenv-expand/-/dotenv-expand-13.0.0.tgz",
      "integrity": "sha512-aBfBS8eYIeXmpHI9ThIlA7/WLq+SLt18iXUZhb52rW89QLKQFoIpPG1bPeewoPZsTyjSSO3T7234FBVUM1V2rA==",
      "license": "BSD-2-Clause",
      "dependencies": {
        "dotenv": "^17.4.2"
      },
      "engines": {
        "node": ">=12"
      },
      "funding": {
        "url": "https://dotenvx.com"
      }
    },
    "node_modules/dotenv-expand/node_modules/dotenv": {
      "version": "17.4.2",
      "resolved": "https://registry.npmjs.org/dotenv/-/dotenv-17.4.2.tgz",
      "integrity": "sha512-nI4U3TottKAcAD9LLud4Cb7b2QztQMUEfHbvhTH09bqXTxnSie8WnjPALV/WMCrJZ6UV/qHJ6L03OqO3LcdYZw==",
      "license": "BSD-2-Clause",
      "engines": {
        "node": ">=12"
      },
      "funding": {
        "url": "https://dotenvx.com"
      }
    },
    "node_modules/dunder-proto": {
      "version": "1.0.1",
      "resolved": "https://registry.npmjs.org/dunder-proto/-/dunder-proto-1.0.1.tgz",
@@ -1543,7 +1559,6 @@
      "version": "0.27.2",
      "resolved": "https://registry.npmjs.org/esbuild/-/esbuild-0.27.2.tgz",
      "integrity": "sha512-HyNQImnsOC7X9PMNaCIeAm4ISCQXs5a5YasTXVliKv4uuBo1dKrG0A+uQS8M5eXjVMnLg3WgXaKvprHlFJQffw==",
      "dev": true,
      "hasInstallScript": true,
      "bin": {
        "esbuild": "bin/esbuild"
@@ -1662,6 +1677,24 @@
        "url": "https://opencollective.com/express"
      }
    },
    "node_modules/express-rate-limit": {
      "version": "8.4.0",
      "resolved": "https://registry.npmjs.org/express-rate-limit/-/express-rate-limit-8.4.0.tgz",
      "integrity": "sha512-gDK8yiqKxrGta+3WtON59arrrw6GLmadA1qoFgYXzdcch8fmKDID2XqO8itsi3f1wufXYPT51387dN6cvVBS3Q==",
      "license": "MIT",
      "dependencies": {
        "ip-address": "10.1.0"
      },
      "engines": {
        "node": ">= 16"
      },
      "funding": {
        "url": "https://github.com/sponsors/express-rate-limit"
      },
      "peerDependencies": {
        "express": ">= 4.11"
      }
    },
    "node_modules/express-validator": {
      "version": "7.3.1",
      "resolved": "https://registry.npmjs.org/express-validator/-/express-validator-7.3.1.tgz",
@@ -1752,7 +1785,6 @@
      "version": "2.3.3",
      "resolved": "https://registry.npmjs.org/fsevents/-/fsevents-2.3.3.tgz",
      "integrity": "sha512-5xoDfX+fL7faATnagmWPpbFtwh/R77WmMMqqHGS65C3vvB0YHrgF+B1YmZ3441tMj5n63k0212XNoJwzlhffQw==",
      "dev": true,
      "hasInstallScript": true,
      "optional": true,
      "os": [
@@ -1809,7 +1841,6 @@
      "version": "4.13.0",
      "resolved": "https://registry.npmjs.org/get-tsconfig/-/get-tsconfig-4.13.0.tgz",
      "integrity": "sha512-1VKTZJCwBrvbd+Wn3AOgQP/2Av+TfTCOlE4AcRJE72W1ksZXbAx8PPBR9RzgTeSPzlPMHrbANMH3LbltH73wxQ==",
      "dev": true,
      "dependencies": {
        "resolve-pkg-maps": "^1.0.0"
      },
@@ -1882,6 +1913,15 @@
        "he": "bin/he"
      }
    },
    "node_modules/helmet": {
      "version": "8.1.0",
      "resolved": "https://registry.npmjs.org/helmet/-/helmet-8.1.0.tgz",
      "integrity": "sha512-jOiHyAZsmnr8LqoPGmCjYAaiuWwjAPLgY8ZX2XrmHawt99/u1y6RgrZMTeoPfpUbV96HOalYgz1qzkRbw54Pmg==",
      "license": "MIT",
      "engines": {
        "node": ">=18.0.0"
      }
    },
    "node_modules/html-to-text": {
      "version": "9.0.5",
      "resolved": "https://registry.npmjs.org/html-to-text/-/html-to-text-9.0.5.tgz",
@@ -1965,19 +2005,31 @@
      ]
    },
    "node_modules/imapflow": {
-      "version": "1.2.8",
+      "version": "1.3.3",
-      "resolved": "https://registry.npmjs.org/imapflow/-/imapflow-1.2.8.tgz",
+      "resolved": "https://registry.npmjs.org/imapflow/-/imapflow-1.3.3.tgz",
-      "integrity": "sha512-ym7FF2tKOlOzfRvxehs4eLkhjP8Mme3sSp2tcxEbyoeJuJwtEWxaVDv12+DnaMG2LXm0zuQGWZiClq31FLPUNg==",
+      "integrity": "sha512-lx7nWcUDfNgITEKYYfunUDqJ3LT6ImuiA1ReqJepVEA2nqBQNUqa3ppF7Yz5CNjuDYG95pmzsCcNqRjMrwh/Vg==",
      "license": "MIT",
      "dependencies": {
-        "@zone-eu/mailsplit": "5.4.8",
+        "@zone-eu/mailsplit": "5.4.9",
        "encoding-japanese": "2.2.0",
        "iconv-lite": "0.7.2",
        "libbase64": "1.3.0",
-        "libmime": "5.3.7",
+        "libmime": "5.3.8",
        "libqp": "2.1.1",
-        "nodemailer": "7.0.13",
+        "nodemailer": "8.0.7",
-        "pino": "10.3.0",
+        "pino": "10.3.1",
-        "socks": "2.8.7"
+        "socks": "2.8.8"
      }
    },
    "node_modules/imapflow/node_modules/@zone-eu/mailsplit": {
      "version": "5.4.9",
      "resolved": "https://registry.npmjs.org/@zone-eu/mailsplit/-/mailsplit-5.4.9.tgz",
      "integrity": "sha512-Qq7k6FzA5SmGf5HFPcr17gE7M+O1gttlmWn7tlGUlhGsbbjUaBL/4cEWIwExeCzqu5+kyZJ91mcBZbQ9zEwwYA==",
      "license": "(MIT OR EUPL-1.1+)",
      "dependencies": {
        "libbase64": "1.3.0",
        "libmime": "5.3.8",
        "libqp": "2.1.1"
      }
    },
    "node_modules/imapflow/node_modules/iconv-lite": {
@@ -1995,6 +2047,27 @@
        "url": "https://opencollective.com/express"
      }
    },
    "node_modules/imapflow/node_modules/libmime": {
      "version": "5.3.8",
      "resolved": "https://registry.npmjs.org/libmime/-/libmime-5.3.8.tgz",
      "integrity": "sha512-ZrCY+Q66mPvasAfjsQ/IgahzoBvfE1VdtGRpo1hwRB1oK3wJKxhKA3GOcd2a6j7AH5eMFccxK9fBoCpRZTf8ng==",
      "license": "MIT",
      "dependencies": {
        "encoding-japanese": "2.2.0",
        "iconv-lite": "0.7.2",
        "libbase64": "1.3.0",
        "libqp": "2.1.1"
      }
    },
    "node_modules/imapflow/node_modules/nodemailer": {
      "version": "8.0.7",
      "resolved": "https://registry.npmjs.org/nodemailer/-/nodemailer-8.0.7.tgz",
      "integrity": "sha512-pkjE4mkBzQjdJT4/UmlKl3pX0rC9fZmjh7c6C9o7lv66Ac6w9WCnzPzhbPNxwZAzlF4mdq4CSWB5+FbK6FWCow==",
      "license": "MIT-0",
      "engines": {
        "node": ">=6.0.0"
      }
    },
    "node_modules/inherits": {
      "version": "2.0.4",
      "resolved": "https://registry.npmjs.org/inherits/-/inherits-2.0.4.tgz",
@@ -2187,9 +2260,10 @@
      }
    },
    "node_modules/lodash": {
-      "version": "4.17.21",
+      "version": "4.18.1",
-      "resolved": "https://registry.npmjs.org/lodash/-/lodash-4.17.21.tgz",
+      "resolved": "https://registry.npmjs.org/lodash/-/lodash-4.18.1.tgz",
-      "integrity": "sha512-v2kDEe57lecTulaDIuNTPy3Ry4gLGJ6Z1O3vE1krgXZNrsQ+LFTGHVxVjcXPs17LhbZVGedAJv8XZ1tvj5FvSg=="
+      "integrity": "sha512-dMInicTPVE8d1e5otfwmmjlxkZoUpiVLwyeTdUsi/Caj/gfzzblBcCE5sRHV/AsjuCmxWrte2TNGSYuCeCq+0Q==",
      "license": "MIT"
    },
    "node_modules/lodash.includes": {
      "version": "4.3.0",
@@ -2232,18 +2306,19 @@
      "integrity": "sha512-JNAzZcXrCt42VGLuYz0zfAzDfAvJWW6AfYlDBQyDV5DClI2m5sAmK+OIO7s59XfsRsWHp02jAJrRadPRGTt6SQ=="
    },
    "node_modules/mailparser": {
-      "version": "3.9.3",
+      "version": "3.9.8",
-      "resolved": "https://registry.npmjs.org/mailparser/-/mailparser-3.9.3.tgz",
+      "resolved": "https://registry.npmjs.org/mailparser/-/mailparser-3.9.8.tgz",
-      "integrity": "sha512-AnB0a3zROum6fLaa52L+/K2SoRJVyFDk78Ea6q1D0ofcZLxWEWDtsS1+OrVqKbV7r5dulKL/AwYQccFGAPpuYQ==",
+      "integrity": "sha512-7jSlFGXiianVnhnb6wdutJFloD34488nrHY7r6FNqwXAhZ7YiJDYrKKTxZJ0oSrXcAPHm8YoYnh97xyGtrBQ3w==",
      "license": "MIT",
      "dependencies": {
        "@zone-eu/mailsplit": "5.4.8",
        "encoding-japanese": "2.2.0",
        "he": "1.2.0",
        "html-to-text": "9.0.5",
        "iconv-lite": "0.7.2",
-        "libmime": "5.3.7",
+        "libmime": "5.3.8",
        "linkify-it": "5.0.0",
-        "nodemailer": "7.0.13",
+        "nodemailer": "8.0.5",
        "punycode.js": "2.3.1",
        "tlds": "1.261.0"
      }
@@ -2263,6 +2338,27 @@
        "url": "https://opencollective.com/express"
      }
    },
    "node_modules/mailparser/node_modules/libmime": {
      "version": "5.3.8",
      "resolved": "https://registry.npmjs.org/libmime/-/libmime-5.3.8.tgz",
      "integrity": "sha512-ZrCY+Q66mPvasAfjsQ/IgahzoBvfE1VdtGRpo1hwRB1oK3wJKxhKA3GOcd2a6j7AH5eMFccxK9fBoCpRZTf8ng==",
      "license": "MIT",
      "dependencies": {
        "encoding-japanese": "2.2.0",
        "iconv-lite": "0.7.2",
        "libbase64": "1.3.0",
        "libqp": "2.1.1"
      }
    },
    "node_modules/mailparser/node_modules/nodemailer": {
      "version": "8.0.5",
      "resolved": "https://registry.npmjs.org/nodemailer/-/nodemailer-8.0.5.tgz",
      "integrity": "sha512-0PF8Yb1yZuQfQbq+5/pZJrtF6WQcjTd5/S4JOHs9PGFxuTqoB/icwuB44pOdURHJbRKX1PPoJZtY7R4VUoCC8w==",
      "license": "MIT-0",
      "engines": {
        "node": ">=6.0.0"
      }
    },
    "node_modules/math-intrinsics": {
      "version": "1.1.0",
      "resolved": "https://registry.npmjs.org/math-intrinsics/-/math-intrinsics-1.1.0.tgz",
@@ -2326,11 +2422,12 @@
      }
    },
    "node_modules/minimatch": {
-      "version": "9.0.5",
+      "version": "9.0.9",
-      "resolved": "https://registry.npmjs.org/minimatch/-/minimatch-9.0.5.tgz",
+      "resolved": "https://registry.npmjs.org/minimatch/-/minimatch-9.0.9.tgz",
-      "integrity": "sha512-G6T0ZX48xgozx7587koeX9Ys2NYy6Gmv//P89sEte9V9whIapMNF4idKxnW2QtCcLiTWlb/wfCabAtAFWhhBow==",
+      "integrity": "sha512-OBwBN9AL4dqmETlpS2zasx+vTeWclWzkblfZk7KTA5j3jeOONz/tRCnZomUyvNg83wL5Zv9Ss6HMJXAgL8R2Yg==",
      "license": "ISC",
      "dependencies": {
-        "brace-expansion": "^2.0.1"
+        "brace-expansion": "^2.0.2"
      },
      "engines": {
        "node": ">=16 || 14 >=14.17"
@@ -2397,6 +2494,15 @@
        "node": ">= 0.6"
      }
    },
    "node_modules/node-cron": {
      "version": "4.2.1",
      "resolved": "https://registry.npmjs.org/node-cron/-/node-cron-4.2.1.tgz",
      "integrity": "sha512-lgimEHPE/QDgFlywTd8yTR61ptugX3Qer29efeyWw2rv259HtGBNn1vZVmp8lB9uo9wC0t/AT4iGqXxia+CJFg==",
      "license": "ISC",
      "engines": {
        "node": ">=6.0.0"
      }
    },
    "node_modules/nodemailer": {
      "version": "7.0.13",
      "resolved": "https://registry.npmjs.org/nodemailer/-/nodemailer-7.0.13.tgz",
@@ -2436,6 +2542,7 @@
      "version": "2.1.2",
      "resolved": "https://registry.npmjs.org/on-exit-leak-free/-/on-exit-leak-free-2.1.2.tgz",
      "integrity": "sha512-0eJJY6hXLGf1udHwfNftBqH+g73EU4B504nZeKpz1sYRKafAghwxEJunB2O7rDZkL4PGfsMVnTXZ2EjibbqcsA==",
      "license": "MIT",
      "engines": {
        "node": ">=14.0.0"
      }
@@ -2505,9 +2612,10 @@
      }
    },
    "node_modules/path-to-regexp": {
-      "version": "0.1.12",
+      "version": "0.1.13",
-      "resolved": "https://registry.npmjs.org/path-to-regexp/-/path-to-regexp-0.1.12.tgz",
+      "resolved": "https://registry.npmjs.org/path-to-regexp/-/path-to-regexp-0.1.13.tgz",
-      "integrity": "sha512-RA1GjUVMnvYFxuqovrEqZoxxW5NUZqbwKtYz/Tt7nXerk0LbLblQmrsgdeOxV5SFHf0UDggjS/bSeOZwt1pmEQ=="
+      "integrity": "sha512-A/AGNMFN3c8bOlvV9RreMdrv7jsmF9XIfDeCd87+I8RNg6s78BhJxMu69NEMHBSJFxKidViTEdruRwEk/WIKqA==",
      "license": "MIT"
    },
    "node_modules/pdf-lib": {
      "version": "1.17.1",
@@ -2554,9 +2662,10 @@
      }
    },
    "node_modules/pino": {
-      "version": "10.3.0",
+      "version": "10.3.1",
-      "resolved": "https://registry.npmjs.org/pino/-/pino-10.3.0.tgz",
+      "resolved": "https://registry.npmjs.org/pino/-/pino-10.3.1.tgz",
-      "integrity": "sha512-0GNPNzHXBKw6U/InGe79A3Crzyk9bcSyObF9/Gfo9DLEf5qj5RF50RSjsu0W1rZ6ZqRGdzDFCRBQvi9/rSGPtA==",
+      "integrity": "sha512-r34yH/GlQpKZbU1BvFFqOjhISRo1MNx1tWYsYvmj6KIRHSPMT2+yHOEb1SG6NMvRoHRF0a07kCOox/9yakl1vg==",
      "license": "MIT",
      "dependencies": {
        "@pinojs/redact": "^0.4.0",
        "atomic-sleep": "^1.0.0",
@@ -2578,6 +2687,7 @@
      "version": "3.0.0",
      "resolved": "https://registry.npmjs.org/pino-abstract-transport/-/pino-abstract-transport-3.0.0.tgz",
      "integrity": "sha512-wlfUczU+n7Hy/Ha5j9a/gZNy7We5+cXp8YL+X+PG8S0KXxw7n/JXA3c46Y0zQznIJ83URJiwy7Lh56WLokNuxg==",
      "license": "MIT",
      "dependencies": {
        "split2": "^4.0.0"
      }
@@ -2585,7 +2695,8 @@
    "node_modules/pino-std-serializers": {
      "version": "7.1.0",
      "resolved": "https://registry.npmjs.org/pino-std-serializers/-/pino-std-serializers-7.1.0.tgz",
-      "integrity": "sha512-BndPH67/JxGExRgiX1dX0w1FvZck5Wa4aal9198SrRhZjH3GxKQUKIBnYJTdj2HDN3UQAS06HlfcSbQj2OHmaw=="
+      "integrity": "sha512-BndPH67/JxGExRgiX1dX0w1FvZck5Wa4aal9198SrRhZjH3GxKQUKIBnYJTdj2HDN3UQAS06HlfcSbQj2OHmaw==",
      "license": "MIT"
    },
    "node_modules/png-js": {
      "version": "1.0.0",
@@ -2637,7 +2748,8 @@
          "type": "opencollective",
          "url": "https://opencollective.com/fastify"
        }
-      ]
+      ],
      "license": "MIT"
    },
    "node_modules/proxy-addr": {
      "version": "2.0.7",
@@ -2660,9 +2772,10 @@
      }
    },
    "node_modules/qs": {
-      "version": "6.14.1",
+      "version": "6.14.2",
-      "resolved": "https://registry.npmjs.org/qs/-/qs-6.14.1.tgz",
+      "resolved": "https://registry.npmjs.org/qs/-/qs-6.14.2.tgz",
-      "integrity": "sha512-4EK3+xJl8Ts67nLYNwqw/dsFVnCf+qR7RgXSK9jEEm9unao3njwMDdmsdvoKBKHzxd7tCYz5e5M+SnMjdtXGQQ==",
+      "integrity": "sha512-V/yCWTTF7VJ9hIh18Ugr2zhJMP01MY7c5kh4J870L7imm6/DIzBsNLTXzMwUA3yZ5b/KBqLx8Kp3uRvd7xSe3Q==",
      "license": "BSD-3-Clause",
      "dependencies": {
        "side-channel": "^1.1.0"
      },
@@ -2676,7 +2789,8 @@
    "node_modules/quick-format-unescaped": {
      "version": "4.0.4",
      "resolved": "https://registry.npmjs.org/quick-format-unescaped/-/quick-format-unescaped-4.0.4.tgz",
-      "integrity": "sha512-tYC1Q1hgyRuHgloV/YXs2w15unPVh8qfu/qCTfhTYamaw7fyhumKa2yGpdSo87vY32rIclj+4fWYQXUMs9EHvg=="
+      "integrity": "sha512-tYC1Q1hgyRuHgloV/YXs2w15unPVh8qfu/qCTfhTYamaw7fyhumKa2yGpdSo87vY32rIclj+4fWYQXUMs9EHvg==",
      "license": "MIT"
    },
    "node_modules/range-parser": {
      "version": "1.2.1",
@@ -2728,9 +2842,10 @@
      }
    },
    "node_modules/readdir-glob/node_modules/minimatch": {
-      "version": "5.1.6",
+      "version": "5.1.9",
-      "resolved": "https://registry.npmjs.org/minimatch/-/minimatch-5.1.6.tgz",
+      "resolved": "https://registry.npmjs.org/minimatch/-/minimatch-5.1.9.tgz",
-      "integrity": "sha512-lKwV/1brpG6mBUFHtb7NUmtABCb2WZZmm2wNiOA5hAb8VdCS4B3dtMWyvcoViccwAW/COERjXLt0zP1zXUN26g==",
+      "integrity": "sha512-7o1wEA2RyMP7Iu7GNba9vc0RWWGACJOCZBJX2GJWip0ikV+wcOsgVuY9uE8CPiyQhkGFSlhuSkZPavN7u1c2Fw==",
      "license": "ISC",
      "dependencies": {
        "brace-expansion": "^2.0.1"
      },
@@ -2742,6 +2857,7 @@
      "version": "0.2.0",
      "resolved": "https://registry.npmjs.org/real-require/-/real-require-0.2.0.tgz",
      "integrity": "sha512-57frrGM/OCTLqLOAh0mhVA9VBMHd+9U7Zb2THMGdBUoZVOtGbJzjxsYGDJ3A9AYYCP4hn6y1TVbaOfzWtm5GFg==",
      "license": "MIT",
      "engines": {
        "node": ">= 12.13.0"
      }
@@ -2750,7 +2866,6 @@
      "version": "1.0.0",
      "resolved": "https://registry.npmjs.org/resolve-pkg-maps/-/resolve-pkg-maps-1.0.0.tgz",
      "integrity": "sha512-seS2Tj26TBVOC2NIc2rOe2y2ZO7efxITtLZcGSOnHHNOQ7CkiUBfw0Iw2ck6xkIhPwLhKNLS8BO+hEpngQlqzw==",
      "dev": true,
      "funding": {
        "url": "https://github.com/privatenumber/resolve-pkg-maps?sponsor=1"
      }
@@ -2783,6 +2898,7 @@
      "version": "2.5.0",
      "resolved": "https://registry.npmjs.org/safe-stable-stringify/-/safe-stable-stringify-2.5.0.tgz",
      "integrity": "sha512-b3rppTKm9T+PsVCBEOUR46GWI7fdOs00VKZ1+9c1EWDaDMvjQc6tUwuFyIprgGgTcWoVHSKrU8H31ZHA2e0RHA==",
      "license": "MIT",
      "engines": {
        "node": ">=10"
      }
@@ -2963,17 +3079,19 @@
      "version": "4.2.0",
      "resolved": "https://registry.npmjs.org/smart-buffer/-/smart-buffer-4.2.0.tgz",
      "integrity": "sha512-94hK0Hh8rPqQl2xXc3HsaBoOXKV20MToPkcXvwbISWLEs+64sBq5kFgn2kJDHb1Pry9yrP0dxrCI9RRci7RXKg==",
      "license": "MIT",
      "engines": {
        "node": ">= 6.0.0",
        "npm": ">= 3.0.0"
      }
    },
    "node_modules/socks": {
-      "version": "2.8.7",
+      "version": "2.8.8",
-      "resolved": "https://registry.npmjs.org/socks/-/socks-2.8.7.tgz",
+      "resolved": "https://registry.npmjs.org/socks/-/socks-2.8.8.tgz",
-      "integrity": "sha512-HLpt+uLy/pxB+bum/9DzAgiKS8CX1EvbWxI4zlmgGCExImLdiad2iCwXT5Z4c9c3Eq8rP2318mPW2c+QbtjK8A==",
+      "integrity": "sha512-NlGELfPrgX2f1TAAcz0WawlLn+0r3FyhhCRpFFK2CemXenPYvzMWWZINv3eDNo9ucdwme7oCHRY0Jnbs4aIkog==",
      "license": "MIT",
      "dependencies": {
-        "ip-address": "^10.0.1",
+        "ip-address": "^10.1.1",
        "smart-buffer": "^4.2.0"
      },
      "engines": {
@@ -2981,10 +3099,20 @@
        "npm": ">= 3.0.0"
      }
    },
    "node_modules/socks/node_modules/ip-address": {
      "version": "10.2.0",
      "resolved": "https://registry.npmjs.org/ip-address/-/ip-address-10.2.0.tgz",
      "integrity": "sha512-/+S6j4E9AHvW9SWMSEY9Xfy66O5PWvVEJ08O0y5JGyEKQpojb0K0GKpz/v5HJ/G0vi3D2sjGK78119oXZeE0qA==",
      "license": "MIT",
      "engines": {
        "node": ">= 12"
      }
    },
    "node_modules/sonic-boom": {
-      "version": "4.2.0",
+      "version": "4.2.1",
-      "resolved": "https://registry.npmjs.org/sonic-boom/-/sonic-boom-4.2.0.tgz",
+      "resolved": "https://registry.npmjs.org/sonic-boom/-/sonic-boom-4.2.1.tgz",
-      "integrity": "sha512-INb7TM37/mAcsGmc9hyyI6+QR3rR1zVRu36B0NeGXKnOOLiZOfER5SA+N7X7k3yUYRzLWafduTDvJAfDswwEww==",
+      "integrity": "sha512-w6AxtubXa2wTXAUsZMMWERrsIRAdrK0Sc+FUytWvYAhBJLyuI4llrMIC1DtlNSdI99EI86KZum2MMq3EAZlF9Q==",
      "license": "MIT",
      "dependencies": {
        "atomic-sleep": "^1.0.0"
      }
@@ -2993,6 +3121,7 @@
      "version": "4.2.0",
      "resolved": "https://registry.npmjs.org/split2/-/split2-4.2.0.tgz",
      "integrity": "sha512-UcjcJOWknrNkF6PLX83qcHM6KHgVKNkV62Y8a5uYDVv9ydGQVwAHMKqHdJje1VTWpljG0WYpCDhrCdAOYH4TWg==",
      "license": "ISC",
      "engines": {
        "node": ">= 10.x"
      }
@@ -3146,6 +3275,7 @@
      "version": "4.0.0",
      "resolved": "https://registry.npmjs.org/thread-stream/-/thread-stream-4.0.0.tgz",
      "integrity": "sha512-4iMVL6HAINXWf1ZKZjIPcz5wYaOdPhtO8ATvZ+Xqp3BTdaqtAwQkNmKORqcIo5YkQqGXq5cwfswDwMqqQNrpJA==",
      "license": "MIT",
      "dependencies": {
        "real-require": "^0.2.0"
      },
@@ -3183,7 +3313,6 @@
      "version": "4.21.0",
      "resolved": "https://registry.npmjs.org/tsx/-/tsx-4.21.0.tgz",
      "integrity": "sha512-5C1sg4USs1lfG0GFb2RLXsdpXqBSEhAaA/0kPL01wxzpMqLILNxIxIOKiILz+cdg/pLnOUxFYOR5yhHU666wbw==",
      "dev": true,
      "dependencies": {
        "esbuild": "~0.27.0",
        "get-tsconfig": "^4.7.5"
@@ -3234,9 +3363,10 @@
      "integrity": "sha512-ARDJmphmdvUk6Glw7y9DQ2bFkKBHwQHLi2lsaH6PPmz/Ka9sFOBsBluozhDltWmnv9u/cF6Rt87znRTPV+yp/A=="
    },
    "node_modules/undici": {
-      "version": "6.23.0",
+      "version": "6.25.0",
-      "resolved": "https://registry.npmjs.org/undici/-/undici-6.23.0.tgz",
+      "resolved": "https://registry.npmjs.org/undici/-/undici-6.25.0.tgz",
-      "integrity": "sha512-VfQPToRA5FZs/qJxLIinmU59u0r7LXqoJkCzinq3ckNJp3vKEh7jTWN589YQ5+aoAC/TGRLyJLCPKcLQbM8r9g==",
+      "integrity": "sha512-ZgpWDC5gmNiuY9CnLVXEH8rl50xhRCuLNA97fAUnKi8RRuV4E6KG31pDTsLVUKnohJE0I3XDrTeEydAXRw47xg==",
      "license": "MIT",
      "engines": {
        "node": ">=18.17"
      }
@@ -1,10 +1,10 @@
 {
  "name": "opencrm-backend",
-  "version": "1.0.0",
+  "version": "1.1.0",
  "description": "OpenCRM Backend API",
  "main": "dist/index.js",
  "prisma": {
-    "seed": "tsx prisma/seed.ts"
+    "seed": "npx tsx prisma/seed.ts"
  },
  "scripts": {
    "dev": "tsx watch src/index.ts",
@@ -12,6 +12,7 @@
    "start": "node dist/index.js",
    "db:migrate": "prisma migrate dev",
    "db:push": "prisma db push",
    "schema:sync": "prisma migrate dev --name auto_$(date +%Y%m%d_%H%M%S)",
    "db:seed": "tsx prisma/seed.ts",
    "db:studio": "prisma studio",
    "db:backup": "tsx prisma/backup-data.ts",
@@ -25,15 +26,20 @@
    "bcryptjs": "^2.4.3",
    "cors": "^2.8.5",
    "dotenv": "^16.4.5",
    "dotenv-expand": "^13.0.0",
    "express": "^4.21.1",
    "express-rate-limit": "^8.4.0",
    "express-validator": "^7.2.0",
    "helmet": "^8.1.0",
    "imapflow": "^1.2.8",
    "jsonwebtoken": "^9.0.2",
    "mailparser": "^3.9.3",
    "multer": "^1.4.5-lts.1",
    "node-cron": "^4.2.1",
    "nodemailer": "^7.0.13",
    "pdf-lib": "^1.17.1",
    "pdfkit": "^0.17.2",
    "tsx": "^4.19.2",
    "undici": "^6.23.0"
  },
  "devDependencies": {
@@ -46,10 +52,10 @@
    "@types/mailparser": "^3.4.6",
    "@types/multer": "^1.4.12",
    "@types/node": "^22.9.0",
    "@types/node-cron": "^3.0.11",
    "@types/nodemailer": "^7.0.9",
    "@types/pdfkit": "^0.17.4",
    "prisma": "^5.22.0",
    "tsx": "^4.19.2",
    "typescript": "^5.6.3"
  }
 }
@@ -1,12 +1,15 @@
 /**
 * Datenbank-Backup Script
 *
- * Exportiert alle Daten als JSON-Dateien für die Wiederherstellung nach Migrationen.
+ * Exportiert ALLE Daten als JSON-Dateien für die Wiederherstellung nach Migrationen.
 *
 * Verwendung:
- *   npx ts-node prisma/backup-data.ts
+ *   npm run db:backup
 *
- * Erstellt einen Ordner 'backups/YYYY-MM-DD_HH-mm-ss/' mit JSON-Dateien pro Tabelle.
+ * Erstellt einen Ordner 'prisma/backups/YYYY-MM-DDTHH-mm-ss/' mit JSON-Dateien pro Tabelle.
 *
 * Die Tabellen sind nach Abhängigkeitsreihenfolge sortiert (Level 0 = keine FKs, dann aufsteigend).
 * Damit kann das Restore-Script sie in der gleichen Reihenfolge einspielen, ohne FK-Verletzungen.
 */
 import { PrismaClient } from '@prisma/client';
@@ -28,7 +31,7 @@ async function main() {
  // Tabellen in Abhängigkeitsreihenfolge (unabhängige zuerst)
  const tables = [
-    // Level 0: Keine Abhängigkeiten
+    // ============ Level 0: Reine Stammdaten/Kataloge ============
    { name: 'Permission', query: () => prisma.permission.findMany() },
    { name: 'Role', query: () => prisma.role.findMany() },
    { name: 'SalesPlatform', query: () => prisma.salesPlatform.findMany() },
@@ -37,40 +40,58 @@ async function main() {
    { name: 'ContractDuration', query: () => prisma.contractDuration.findMany() },
    { name: 'AppSetting', query: () => prisma.appSetting.findMany() },
    { name: 'EmailProviderConfig', query: () => prisma.emailProviderConfig.findMany() },
-    { name: 'EnergyProvider', query: () => prisma.energyProvider.findMany() },
+    { name: 'Provider', query: () => prisma.provider.findMany() },
-    { name: 'TelecomProvider', query: () => prisma.telecomProvider.findMany() },
+    { name: 'PdfTemplate', query: () => prisma.pdfTemplate.findMany() },
    { name: 'AuditRetentionPolicy', query: () => prisma.auditRetentionPolicy.findMany() },
-    // Level 1: Abhängig von Level 0
+    // ============ Level 1: Abhängig von Level 0 ============
    { name: 'RolePermission', query: () => prisma.rolePermission.findMany() },
    { name: 'User', query: () => prisma.user.findMany() },
    { name: 'Customer', query: () => prisma.customer.findMany() },
    { name: 'Tariff', query: () => prisma.tariff.findMany() },
-    // Level 2: Abhängig von Level 1
+    // ============ Level 2: Abhängig von Customer ============
    { name: 'UserRole', query: () => prisma.userRole.findMany() },
-    { name: 'CustomerRepresentative', query: () => prisma.customerRepresentative.findMany() },
+    { name: 'Address', query: () => prisma.address.findMany() },
-    { name: 'StressfreiEmail', query: () => prisma.stressfreiEmail.findMany() },
+    { name: 'BankCard', query: () => prisma.bankCard.findMany() },
-    { name: 'Contract', query: () => prisma.contract.findMany() },
+    { name: 'IdentityDocument', query: () => prisma.identityDocument.findMany() },
    { name: 'Meter', query: () => prisma.meter.findMany() },
    { name: 'StressfreiEmail', query: () => prisma.stressfreiEmail.findMany() },
    { name: 'CustomerRepresentative', query: () => prisma.customerRepresentative.findMany() },
    { name: 'CustomerConsent', query: () => prisma.customerConsent.findMany() },
    { name: 'DataDeletionRequest', query: () => prisma.dataDeletionRequest.findMany() },
-    // Level 3: Abhängig von Level 2
+    // ============ Level 3: Contracts + abhängige ============
-    { name: 'CachedEmail', query: () => prisma.cachedEmail.findMany() },
+    { name: 'Contract', query: () => prisma.contract.findMany() },
-    { name: 'ContractTask', query: () => prisma.contractTask.findMany() },
+    { name: 'RepresentativeAuthorization', query: () => prisma.representativeAuthorization.findMany() },
    { name: 'MeterReading', query: () => prisma.meterReading.findMany() },
    { name: 'ContractNote', query: () => prisma.contractNote.findMany() },
    { name: 'ContractDocument', query: () => prisma.contractDocument.findMany() },
-    // Level 4: Abhängig von Level 3
+    // ============ Level 4: Vertragstyp-Details + Sub-Tabellen ============
    { name: 'ContractTaskSubtask', query: () => prisma.contractTaskSubtask.findMany() },
    // Vertragstyp-spezifische Details
    { name: 'EnergyContractDetails', query: () => prisma.energyContractDetails.findMany() },
-    { name: 'TelecomContractDetails', query: () => prisma.telecomContractDetails.findMany() },
+    { name: 'InternetContractDetails', query: () => prisma.internetContractDetails.findMany() },
    { name: 'MobileContractDetails', query: () => prisma.mobileContractDetails.findMany() },
    { name: 'TvContractDetails', query: () => prisma.tvContractDetails.findMany() },
    { name: 'CarInsuranceDetails', query: () => prisma.carInsuranceDetails.findMany() },
    { name: 'ContractMeter', query: () => prisma.contractMeter.findMany() },
    { name: 'ContractDocument', query: () => prisma.contractDocument.findMany() },
    { name: 'ContractHistoryEntry', query: () => prisma.contractHistoryEntry.findMany() },
    { name: 'ContractTask', query: () => prisma.contractTask.findMany() },
    { name: 'Invoice', query: () => prisma.invoice.findMany() },
    { name: 'MeterReading', query: () => prisma.meterReading.findMany() },
    // ============ Level 5: Sub-Tabellen der Sub-Tabellen ============
    { name: 'ContractTaskSubtask', query: () => prisma.contractTaskSubtask.findMany() },
    { name: 'PhoneNumber', query: () => prisma.phoneNumber.findMany() },
    { name: 'SimCard', query: () => prisma.simCard.findMany() },
    // ============ Level 6: Logs & Emails (wachsende Tabellen) ============
    { name: 'CachedEmail', query: () => prisma.cachedEmail.findMany() },
    { name: 'EmailLog', query: () => prisma.emailLog.findMany() },
    { name: 'AuditLog', query: () => prisma.auditLog.findMany() },
  ];
  let totalRecords = 0;
  const stats: { table: string; count: number }[] = [];
  const skipped: string[] = [];
  for (const table of tables) {
    try {
@@ -79,7 +100,7 @@ async function main() {
      totalRecords += count;
      stats.push({ table: table.name, count });
-      // JSON-Datei schreiben
+      // JSON-Datei schreiben (Date-Felder als ISO-String)
      const filePath = path.join(backupDir, `${table.name}.json`);
      fs.writeFileSync(filePath, JSON.stringify(data, null, 2));
@@ -87,20 +108,26 @@ async function main() {
      console.log(`${status} ${table.name}: ${count} Einträge`);
    } catch (error: any) {
      // Tabelle existiert möglicherweise nicht (bei älteren Schema-Versionen)
-      console.log(`⚠️  ${table.name}: Übersprungen (${error.message?.slice(0, 50)}...)`);
+      skipped.push(table.name);
      console.log(`⚠️  ${table.name}: Übersprungen (${error.message?.slice(0, 80)}...)`);
    }
  }
  // Backup-Info speichern
  const backupInfo = {
    timestamp: new Date().toISOString(),
    schemaVersion: 'current',
    totalRecords,
    tables: stats,
    skippedTables: skipped,
  };
  fs.writeFileSync(path.join(backupDir, '_backup-info.json'), JSON.stringify(backupInfo, null, 2));
  console.log(`\n✅ Backup abgeschlossen!`);
  console.log(`   📊 ${totalRecords} Datensätze in ${stats.filter(s => s.count > 0).length} Tabellen`);
  if (skipped.length > 0) {
    console.log(`   ⚠️  ${skipped.length} Tabellen übersprungen: ${skipped.join(', ')}`);
  }
  console.log(`   📁 Gespeichert in: ${backupDir}\n`);
 }
@@ -0,0 +1,989 @@
 -- CreateTable
 CREATE TABLE `PdfTemplate` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NULL,
    `providerName` VARCHAR(191) NULL,
    `templatePath` VARCHAR(191) NOT NULL,
    `originalName` VARCHAR(191) NOT NULL,
    `fieldMapping` LONGTEXT NOT NULL,
    `phoneFieldPrefix` VARCHAR(191) NULL,
    `maxPhoneFields` INTEGER NULL DEFAULT 8,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `PdfTemplate_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `EmailLog` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `fromAddress` VARCHAR(191) NOT NULL,
    `toAddress` VARCHAR(191) NOT NULL,
    `subject` VARCHAR(191) NOT NULL,
    `context` VARCHAR(191) NOT NULL,
    `customerId` INTEGER NULL,
    `triggeredBy` VARCHAR(191) NULL,
    `smtpServer` VARCHAR(191) NOT NULL,
    `smtpPort` INTEGER NOT NULL,
    `smtpEncryption` VARCHAR(191) NOT NULL,
    `smtpUser` VARCHAR(191) NOT NULL,
    `success` BOOLEAN NOT NULL,
    `messageId` VARCHAR(191) NULL,
    `errorMessage` TEXT NULL,
    `smtpResponse` TEXT NULL,
    `sentAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    INDEX `EmailLog_sentAt_idx`(`sentAt`),
    INDEX `EmailLog_customerId_idx`(`customerId`),
    INDEX `EmailLog_success_idx`(`success`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `AppSetting` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `key` VARCHAR(191) NOT NULL,
    `value` TEXT NOT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `AppSetting_key_key`(`key`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `User` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `email` VARCHAR(191) NOT NULL,
    `password` VARCHAR(191) NOT NULL,
    `firstName` VARCHAR(191) NOT NULL,
    `lastName` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `tokenInvalidatedAt` DATETIME(3) NULL,
    `passwordResetToken` VARCHAR(191) NULL,
    `passwordResetExpiresAt` DATETIME(3) NULL,
    `whatsappNumber` VARCHAR(191) NULL,
    `telegramUsername` VARCHAR(191) NULL,
    `signalNumber` VARCHAR(191) NULL,
    `customerId` INTEGER NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `User_email_key`(`email`),
    UNIQUE INDEX `User_passwordResetToken_key`(`passwordResetToken`),
    UNIQUE INDEX `User_customerId_key`(`customerId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Role` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Role_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Permission` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `resource` VARCHAR(191) NOT NULL,
    `action` VARCHAR(191) NOT NULL,
    UNIQUE INDEX `Permission_resource_action_key`(`resource`, `action`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `RolePermission` (
    `roleId` INTEGER NOT NULL,
    `permissionId` INTEGER NOT NULL,
    PRIMARY KEY (`roleId`, `permissionId`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `UserRole` (
    `userId` INTEGER NOT NULL,
    `roleId` INTEGER NOT NULL,
    PRIMARY KEY (`userId`, `roleId`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Customer` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerNumber` VARCHAR(191) NOT NULL,
    `type` ENUM('PRIVATE', 'BUSINESS') NOT NULL DEFAULT 'PRIVATE',
    `salutation` VARCHAR(191) NULL,
    `firstName` VARCHAR(191) NOT NULL,
    `lastName` VARCHAR(191) NOT NULL,
    `companyName` VARCHAR(191) NULL,
    `foundingDate` DATETIME(3) NULL,
    `birthDate` DATETIME(3) NULL,
    `birthPlace` VARCHAR(191) NULL,
    `email` VARCHAR(191) NULL,
    `phone` VARCHAR(191) NULL,
    `mobile` VARCHAR(191) NULL,
    `taxNumber` VARCHAR(191) NULL,
    `businessRegistrationPath` VARCHAR(191) NULL,
    `commercialRegisterPath` VARCHAR(191) NULL,
    `commercialRegisterNumber` VARCHAR(191) NULL,
    `privacyPolicyPath` VARCHAR(191) NULL,
    `consentHash` VARCHAR(191) NULL,
    `notes` TEXT NULL,
    `portalEnabled` BOOLEAN NOT NULL DEFAULT false,
    `portalEmail` VARCHAR(191) NULL,
    `portalPasswordHash` VARCHAR(191) NULL,
    `portalPasswordEncrypted` VARCHAR(191) NULL,
    `portalLastLogin` DATETIME(3) NULL,
    `portalPasswordResetToken` VARCHAR(191) NULL,
    `portalPasswordResetExpiresAt` DATETIME(3) NULL,
    `portalTokenInvalidatedAt` DATETIME(3) NULL,
    `lastBirthdayGreetingYear` INTEGER NULL,
    `useInformalAddress` BOOLEAN NOT NULL DEFAULT false,
    `autoBirthdayGreeting` BOOLEAN NOT NULL DEFAULT false,
    `autoBirthdayChannel` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Customer_customerNumber_key`(`customerNumber`),
    UNIQUE INDEX `Customer_consentHash_key`(`consentHash`),
    UNIQUE INDEX `Customer_portalEmail_key`(`portalEmail`),
    UNIQUE INDEX `Customer_portalPasswordResetToken_key`(`portalPasswordResetToken`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CustomerRepresentative` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `representativeId` INTEGER NOT NULL,
    `notes` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `CustomerRepresentative_customerId_representativeId_key`(`customerId`, `representativeId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `RepresentativeAuthorization` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `representativeId` INTEGER NOT NULL,
    `isGranted` BOOLEAN NOT NULL DEFAULT false,
    `grantedAt` DATETIME(3) NULL,
    `withdrawnAt` DATETIME(3) NULL,
    `source` VARCHAR(191) NULL,
    `documentPath` VARCHAR(191) NULL,
    `notes` TEXT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `RepresentativeAuthorization_customerId_representativeId_key`(`customerId`, `representativeId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Address` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `type` ENUM('DELIVERY_RESIDENCE', 'BILLING') NOT NULL DEFAULT 'DELIVERY_RESIDENCE',
    `street` VARCHAR(191) NOT NULL,
    `houseNumber` VARCHAR(191) NOT NULL,
    `postalCode` VARCHAR(191) NOT NULL,
    `city` VARCHAR(191) NOT NULL,
    `country` VARCHAR(191) NOT NULL DEFAULT 'Deutschland',
    `isDefault` BOOLEAN NOT NULL DEFAULT false,
    `ownerCompany` VARCHAR(191) NULL,
    `ownerFirstName` VARCHAR(191) NULL,
    `ownerLastName` VARCHAR(191) NULL,
    `ownerStreet` VARCHAR(191) NULL,
    `ownerHouseNumber` VARCHAR(191) NULL,
    `ownerPostalCode` VARCHAR(191) NULL,
    `ownerCity` VARCHAR(191) NULL,
    `ownerPhone` VARCHAR(191) NULL,
    `ownerMobile` VARCHAR(191) NULL,
    `ownerEmail` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `BankCard` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `accountHolder` VARCHAR(191) NOT NULL,
    `iban` VARCHAR(191) NOT NULL,
    `bic` VARCHAR(191) NULL,
    `bankName` VARCHAR(191) NULL,
    `expiryDate` DATETIME(3) NULL,
    `documentPath` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `IdentityDocument` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `type` ENUM('ID_CARD', 'PASSPORT', 'DRIVERS_LICENSE', 'OTHER') NOT NULL DEFAULT 'ID_CARD',
    `documentNumber` VARCHAR(191) NOT NULL,
    `issuingAuthority` VARCHAR(191) NULL,
    `issueDate` DATETIME(3) NULL,
    `expiryDate` DATETIME(3) NULL,
    `documentPath` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `licenseClasses` VARCHAR(191) NULL,
    `licenseIssueDate` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `EmailProviderConfig` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `type` ENUM('PLESK', 'CPANEL', 'DIRECTADMIN') NOT NULL,
    `apiUrl` VARCHAR(191) NOT NULL,
    `apiKey` VARCHAR(191) NULL,
    `username` VARCHAR(191) NULL,
    `passwordEncrypted` VARCHAR(191) NULL,
    `domain` VARCHAR(191) NOT NULL,
    `defaultForwardEmail` VARCHAR(191) NULL,
    `imapServer` VARCHAR(191) NULL,
    `imapPort` INTEGER NULL DEFAULT 993,
    `smtpServer` VARCHAR(191) NULL,
    `smtpPort` INTEGER NULL DEFAULT 465,
    `imapEncryption` ENUM('SSL', 'STARTTLS', 'NONE') NOT NULL DEFAULT 'SSL',
    `smtpEncryption` ENUM('SSL', 'STARTTLS', 'NONE') NOT NULL DEFAULT 'SSL',
    `allowSelfSignedCerts` BOOLEAN NOT NULL DEFAULT false,
    `systemEmailAddress` VARCHAR(191) NULL,
    `systemEmailPasswordEncrypted` VARCHAR(191) NULL,
    `customerEmailLabel` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `isDefault` BOOLEAN NOT NULL DEFAULT false,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `EmailProviderConfig_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `StressfreiEmail` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `email` VARCHAR(191) NOT NULL,
    `platform` VARCHAR(191) NULL,
    `notes` TEXT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `isProvisioned` BOOLEAN NOT NULL DEFAULT false,
    `provisionedAt` DATETIME(3) NULL,
    `provisionError` TEXT NULL,
    `hasMailbox` BOOLEAN NOT NULL DEFAULT false,
    `emailPasswordEncrypted` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CachedEmail` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `stressfreiEmailId` INTEGER NOT NULL,
    `folder` ENUM('INBOX', 'SENT') NOT NULL DEFAULT 'INBOX',
    `messageId` VARCHAR(191) NOT NULL,
    `uid` INTEGER NOT NULL,
    `subject` VARCHAR(191) NULL,
    `fromAddress` VARCHAR(191) NOT NULL,
    `fromName` VARCHAR(191) NULL,
    `toAddresses` TEXT NOT NULL,
    `ccAddresses` TEXT NULL,
    `receivedAt` DATETIME(3) NOT NULL,
    `textBody` LONGTEXT NULL,
    `htmlBody` LONGTEXT NULL,
    `hasAttachments` BOOLEAN NOT NULL DEFAULT false,
    `attachmentNames` TEXT NULL,
    `contractId` INTEGER NULL,
    `assignedAt` DATETIME(3) NULL,
    `assignedBy` INTEGER NULL,
    `isAutoAssigned` BOOLEAN NOT NULL DEFAULT false,
    `isRead` BOOLEAN NOT NULL DEFAULT false,
    `isStarred` BOOLEAN NOT NULL DEFAULT false,
    `isDeleted` BOOLEAN NOT NULL DEFAULT false,
    `deletedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `CachedEmail_contractId_idx`(`contractId`),
    INDEX `CachedEmail_stressfreiEmailId_folder_receivedAt_idx`(`stressfreiEmailId`, `folder`, `receivedAt`),
    INDEX `CachedEmail_stressfreiEmailId_isDeleted_idx`(`stressfreiEmailId`, `isDeleted`),
    UNIQUE INDEX `CachedEmail_stressfreiEmailId_messageId_folder_key`(`stressfreiEmailId`, `messageId`, `folder`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Meter` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `meterNumber` VARCHAR(191) NOT NULL,
    `type` ENUM('ELECTRICITY', 'GAS') NOT NULL,
    `tariffModel` ENUM('SINGLE', 'DUAL') NOT NULL DEFAULT 'SINGLE',
    `location` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `MeterReading` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `meterId` INTEGER NOT NULL,
    `readingDate` DATETIME(3) NOT NULL,
    `value` DOUBLE NOT NULL,
    `valueNt` DOUBLE NULL,
    `unit` VARCHAR(191) NOT NULL DEFAULT 'kWh',
    `notes` VARCHAR(191) NULL,
    `reportedBy` VARCHAR(191) NULL,
    `status` ENUM('RECORDED', 'REPORTED', 'TRANSFERRED') NOT NULL DEFAULT 'RECORDED',
    `transferredAt` DATETIME(3) NULL,
    `transferredBy` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `SalesPlatform` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `contactInfo` TEXT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `SalesPlatform_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CancellationPeriod` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `code` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `CancellationPeriod_code_key`(`code`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractDuration` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `code` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `ContractDuration_code_key`(`code`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Provider` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `portalUrl` VARCHAR(191) NULL,
    `usernameFieldName` VARCHAR(191) NULL,
    `passwordFieldName` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Provider_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Tariff` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `providerId` INTEGER NOT NULL,
    `name` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Tariff_providerId_name_key`(`providerId`, `name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractCategory` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `code` VARCHAR(191) NOT NULL,
    `name` VARCHAR(191) NOT NULL,
    `icon` VARCHAR(191) NULL,
    `color` VARCHAR(191) NULL,
    `sortOrder` INTEGER NOT NULL DEFAULT 0,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `ContractCategory_code_key`(`code`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Contract` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractNumber` VARCHAR(191) NOT NULL,
    `customerId` INTEGER NOT NULL,
    `type` ENUM('ELECTRICITY', 'GAS', 'DSL', 'CABLE', 'FIBER', 'MOBILE', 'TV', 'CAR_INSURANCE') NOT NULL,
    `status` ENUM('DRAFT', 'PENDING', 'ACTIVE', 'CANCELLED', 'EXPIRED', 'DEACTIVATED') NOT NULL DEFAULT 'DRAFT',
    `contractCategoryId` INTEGER NULL,
    `addressId` INTEGER NULL,
    `billingAddressId` INTEGER NULL,
    `bankCardId` INTEGER NULL,
    `identityDocumentId` INTEGER NULL,
    `salesPlatformId` INTEGER NULL,
    `cancellationPeriodId` INTEGER NULL,
    `contractDurationId` INTEGER NULL,
    `previousContractId` INTEGER NULL,
    `previousProviderId` INTEGER NULL,
    `previousCustomerNumber` VARCHAR(191) NULL,
    `previousContractNumber` VARCHAR(191) NULL,
    `providerId` INTEGER NULL,
    `tariffId` INTEGER NULL,
    `providerName` VARCHAR(191) NULL,
    `tariffName` VARCHAR(191) NULL,
    `customerNumberAtProvider` VARCHAR(191) NULL,
    `contractNumberAtProvider` VARCHAR(191) NULL,
    `priceFirst12Months` VARCHAR(191) NULL,
    `priceFrom13Months` VARCHAR(191) NULL,
    `priceAfter24Months` VARCHAR(191) NULL,
    `startDate` DATETIME(3) NULL,
    `endDate` DATETIME(3) NULL,
    `commission` DOUBLE NULL,
    `cancellationLetterPath` VARCHAR(191) NULL,
    `cancellationConfirmationPath` VARCHAR(191) NULL,
    `cancellationLetterOptionsPath` VARCHAR(191) NULL,
    `cancellationConfirmationOptionsPath` VARCHAR(191) NULL,
    `cancellationConfirmationDate` DATETIME(3) NULL,
    `cancellationConfirmationOptionsDate` DATETIME(3) NULL,
    `wasSpecialCancellation` BOOLEAN NOT NULL DEFAULT false,
    `portalUsername` VARCHAR(191) NULL,
    `portalPasswordEncrypted` VARCHAR(191) NULL,
    `stressfreiEmailId` INTEGER NULL,
    `nextReviewDate` DATETIME(3) NULL,
    `notes` TEXT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Contract_contractNumber_key`(`contractNumber`),
    UNIQUE INDEX `Contract_previousContractId_key`(`previousContractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractDocument` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `documentType` VARCHAR(191) NOT NULL,
    `documentPath` VARCHAR(191) NOT NULL,
    `originalName` VARCHAR(191) NOT NULL,
    `notes` TEXT NULL,
    `uploadedBy` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    INDEX `ContractDocument_contractId_idx`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractHistoryEntry` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `title` VARCHAR(191) NOT NULL,
    `description` TEXT NULL,
    `isAutomatic` BOOLEAN NOT NULL DEFAULT false,
    `createdBy` VARCHAR(191) NOT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractTask` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `title` VARCHAR(191) NOT NULL,
    `description` TEXT NULL,
    `status` ENUM('OPEN', 'COMPLETED') NOT NULL DEFAULT 'OPEN',
    `visibleInPortal` BOOLEAN NOT NULL DEFAULT false,
    `createdBy` VARCHAR(191) NULL,
    `completedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractTaskSubtask` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `taskId` INTEGER NOT NULL,
    `title` VARCHAR(191) NOT NULL,
    `status` ENUM('OPEN', 'COMPLETED') NOT NULL DEFAULT 'OPEN',
    `createdBy` VARCHAR(191) NULL,
    `completedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `EnergyContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `meterId` INTEGER NULL,
    `maloId` VARCHAR(191) NULL,
    `annualConsumption` DOUBLE NULL,
    `annualConsumptionKwh` DOUBLE NULL,
    `basePrice` DOUBLE NULL,
    `unitPrice` DOUBLE NULL,
    `unitPriceNt` DOUBLE NULL,
    `bonus` DOUBLE NULL,
    `previousProviderName` VARCHAR(191) NULL,
    `previousCustomerNumber` VARCHAR(191) NULL,
    UNIQUE INDEX `EnergyContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractMeter` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `energyContractDetailsId` INTEGER NOT NULL,
    `meterId` INTEGER NOT NULL,
    `position` INTEGER NOT NULL DEFAULT 0,
    `installedAt` DATETIME(3) NULL,
    `removedAt` DATETIME(3) NULL,
    `finalReading` DOUBLE NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    INDEX `ContractMeter_energyContractDetailsId_idx`(`energyContractDetailsId`),
    UNIQUE INDEX `ContractMeter_energyContractDetailsId_meterId_key`(`energyContractDetailsId`, `meterId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Invoice` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `energyContractDetailsId` INTEGER NULL,
    `contractId` INTEGER NULL,
    `invoiceDate` DATETIME(3) NOT NULL,
    `invoiceType` ENUM('INTERIM', 'FINAL', 'NOT_AVAILABLE') NOT NULL,
    `documentPath` VARCHAR(191) NULL,
    `notes` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `Invoice_energyContractDetailsId_idx`(`energyContractDetailsId`),
    INDEX `Invoice_contractId_idx`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `InternetContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `downloadSpeed` INTEGER NULL,
    `uploadSpeed` INTEGER NULL,
    `routerModel` VARCHAR(191) NULL,
    `routerSerialNumber` VARCHAR(191) NULL,
    `installationDate` DATETIME(3) NULL,
    `internetUsername` VARCHAR(191) NULL,
    `internetPasswordEncrypted` VARCHAR(191) NULL,
    `propertyType` VARCHAR(191) NULL,
    `propertyLocation` VARCHAR(191) NULL,
    `connectionLocation` VARCHAR(191) NULL,
    `homeId` VARCHAR(191) NULL,
    `activationCode` VARCHAR(191) NULL,
    UNIQUE INDEX `InternetContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `PhoneNumber` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `internetContractDetailsId` INTEGER NOT NULL,
    `phoneNumber` VARCHAR(191) NOT NULL,
    `isMain` BOOLEAN NOT NULL DEFAULT false,
    `sipUsername` VARCHAR(191) NULL,
    `sipPasswordEncrypted` VARCHAR(191) NULL,
    `sipServer` VARCHAR(191) NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `MobileContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `requiresMultisim` BOOLEAN NOT NULL DEFAULT false,
    `dataVolume` DOUBLE NULL,
    `includedMinutes` INTEGER NULL,
    `includedSMS` INTEGER NULL,
    `deviceModel` VARCHAR(191) NULL,
    `deviceImei` VARCHAR(191) NULL,
    `phoneNumber` VARCHAR(191) NULL,
    `simCardNumber` VARCHAR(191) NULL,
    UNIQUE INDEX `MobileContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `SimCard` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `mobileDetailsId` INTEGER NOT NULL,
    `phoneNumber` VARCHAR(191) NULL,
    `simCardNumber` VARCHAR(191) NULL,
    `pin` VARCHAR(191) NULL,
    `puk` VARCHAR(191) NULL,
    `isMultisim` BOOLEAN NOT NULL DEFAULT false,
    `isMain` BOOLEAN NOT NULL DEFAULT false,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `TvContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `receiverModel` VARCHAR(191) NULL,
    `smartcardNumber` VARCHAR(191) NULL,
    `package` VARCHAR(191) NULL,
    UNIQUE INDEX `TvContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CarInsuranceDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `licensePlate` VARCHAR(191) NULL,
    `hsn` VARCHAR(191) NULL,
    `tsn` VARCHAR(191) NULL,
    `vin` VARCHAR(191) NULL,
    `vehicleType` VARCHAR(191) NULL,
    `firstRegistration` DATETIME(3) NULL,
    `noClaimsClass` VARCHAR(191) NULL,
    `insuranceType` ENUM('LIABILITY', 'PARTIAL', 'FULL') NOT NULL DEFAULT 'LIABILITY',
    `deductiblePartial` DOUBLE NULL,
    `deductibleFull` DOUBLE NULL,
    `policyNumber` VARCHAR(191) NULL,
    `previousInsurer` VARCHAR(191) NULL,
    UNIQUE INDEX `CarInsuranceDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `AuditLog` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `userId` INTEGER NULL,
    `userEmail` VARCHAR(191) NOT NULL,
    `userRole` TEXT NULL,
    `customerId` INTEGER NULL,
    `isCustomerPortal` BOOLEAN NOT NULL DEFAULT false,
    `action` ENUM('CREATE', 'READ', 'UPDATE', 'DELETE', 'EXPORT', 'ANONYMIZE', 'LOGIN', 'LOGOUT', 'LOGIN_FAILED') NOT NULL,
    `sensitivity` ENUM('LOW', 'MEDIUM', 'HIGH', 'CRITICAL') NOT NULL DEFAULT 'MEDIUM',
    `resourceType` VARCHAR(191) NOT NULL,
    `resourceId` VARCHAR(191) NULL,
    `resourceLabel` VARCHAR(191) NULL,
    `endpoint` VARCHAR(191) NOT NULL,
    `httpMethod` VARCHAR(191) NOT NULL,
    `ipAddress` VARCHAR(191) NOT NULL,
    `userAgent` TEXT NULL,
    `changesBefore` LONGTEXT NULL,
    `changesAfter` LONGTEXT NULL,
    `changesEncrypted` BOOLEAN NOT NULL DEFAULT false,
    `dataSubjectId` INTEGER NULL,
    `legalBasis` VARCHAR(191) NULL,
    `success` BOOLEAN NOT NULL DEFAULT true,
    `errorMessage` TEXT NULL,
    `durationMs` INTEGER NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `hash` VARCHAR(191) NULL,
    `previousHash` VARCHAR(191) NULL,
    INDEX `AuditLog_userId_idx`(`userId`),
    INDEX `AuditLog_customerId_idx`(`customerId`),
    INDEX `AuditLog_resourceType_resourceId_idx`(`resourceType`, `resourceId`),
    INDEX `AuditLog_dataSubjectId_idx`(`dataSubjectId`),
    INDEX `AuditLog_action_idx`(`action`),
    INDEX `AuditLog_createdAt_idx`(`createdAt`),
    INDEX `AuditLog_sensitivity_idx`(`sensitivity`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CustomerConsent` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `consentType` ENUM('DATA_PROCESSING', 'MARKETING_EMAIL', 'MARKETING_PHONE', 'DATA_SHARING_PARTNER') NOT NULL,
    `status` ENUM('GRANTED', 'WITHDRAWN', 'PENDING') NOT NULL DEFAULT 'PENDING',
    `grantedAt` DATETIME(3) NULL,
    `withdrawnAt` DATETIME(3) NULL,
    `source` VARCHAR(191) NULL,
    `documentPath` VARCHAR(191) NULL,
    `version` VARCHAR(191) NULL,
    `ipAddress` VARCHAR(191) NULL,
    `createdBy` VARCHAR(191) NOT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `CustomerConsent_customerId_idx`(`customerId`),
    INDEX `CustomerConsent_consentType_idx`(`consentType`),
    INDEX `CustomerConsent_status_idx`(`status`),
    UNIQUE INDEX `CustomerConsent_customerId_consentType_key`(`customerId`, `consentType`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `DataDeletionRequest` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `status` ENUM('PENDING', 'IN_PROGRESS', 'COMPLETED', 'PARTIALLY_COMPLETED', 'REJECTED') NOT NULL DEFAULT 'PENDING',
    `requestedAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `requestSource` VARCHAR(191) NOT NULL,
    `requestedBy` VARCHAR(191) NOT NULL,
    `processedAt` DATETIME(3) NULL,
    `processedBy` VARCHAR(191) NULL,
    `deletedData` LONGTEXT NULL,
    `retainedData` LONGTEXT NULL,
    `retentionReason` TEXT NULL,
    `proofDocument` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `DataDeletionRequest_customerId_idx`(`customerId`),
    INDEX `DataDeletionRequest_status_idx`(`status`),
    INDEX `DataDeletionRequest_requestedAt_idx`(`requestedAt`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `AuditRetentionPolicy` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `resourceType` VARCHAR(191) NOT NULL,
    `sensitivity` ENUM('LOW', 'MEDIUM', 'HIGH', 'CRITICAL') NULL,
    `retentionDays` INTEGER NOT NULL,
    `description` VARCHAR(191) NULL,
    `legalBasis` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `AuditRetentionPolicy_resourceType_sensitivity_key`(`resourceType`, `sensitivity`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `SecurityEvent` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `type` ENUM('LOGIN_FAILED', 'LOGIN_SUCCESS', 'RATE_LIMIT_HIT', 'ACCESS_DENIED', 'SSRF_BLOCKED', 'PASSWORD_RESET_REQUEST', 'PASSWORD_RESET_CONFIRM', 'LOGOUT', 'TOKEN_REJECTED', 'PERMISSION_CHANGED', 'SUSPICIOUS') NOT NULL,
    `severity` ENUM('INFO', 'LOW', 'MEDIUM', 'HIGH', 'CRITICAL') NOT NULL,
    `message` TEXT NOT NULL,
    `ipAddress` VARCHAR(191) NULL,
    `userId` INTEGER NULL,
    `customerId` INTEGER NULL,
    `userEmail` VARCHAR(191) NULL,
    `endpoint` VARCHAR(191) NULL,
    `details` JSON NULL,
    `alerted` BOOLEAN NOT NULL DEFAULT false,
    `alertedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    INDEX `SecurityEvent_type_createdAt_idx`(`type`, `createdAt`),
    INDEX `SecurityEvent_severity_createdAt_idx`(`severity`, `createdAt`),
    INDEX `SecurityEvent_ipAddress_createdAt_idx`(`ipAddress`, `createdAt`),
    INDEX `SecurityEvent_alerted_severity_idx`(`alerted`, `severity`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `User` ADD CONSTRAINT `User_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `RolePermission` ADD CONSTRAINT `RolePermission_roleId_fkey` FOREIGN KEY (`roleId`) REFERENCES `Role`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `RolePermission` ADD CONSTRAINT `RolePermission_permissionId_fkey` FOREIGN KEY (`permissionId`) REFERENCES `Permission`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `UserRole` ADD CONSTRAINT `UserRole_userId_fkey` FOREIGN KEY (`userId`) REFERENCES `User`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `UserRole` ADD CONSTRAINT `UserRole_roleId_fkey` FOREIGN KEY (`roleId`) REFERENCES `Role`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CustomerRepresentative` ADD CONSTRAINT `CustomerRepresentative_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CustomerRepresentative` ADD CONSTRAINT `CustomerRepresentative_representativeId_fkey` FOREIGN KEY (`representativeId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `RepresentativeAuthorization` ADD CONSTRAINT `RepresentativeAuthorization_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `RepresentativeAuthorization` ADD CONSTRAINT `RepresentativeAuthorization_representativeId_fkey` FOREIGN KEY (`representativeId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Address` ADD CONSTRAINT `Address_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `BankCard` ADD CONSTRAINT `BankCard_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `IdentityDocument` ADD CONSTRAINT `IdentityDocument_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `StressfreiEmail` ADD CONSTRAINT `StressfreiEmail_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CachedEmail` ADD CONSTRAINT `CachedEmail_stressfreiEmailId_fkey` FOREIGN KEY (`stressfreiEmailId`) REFERENCES `StressfreiEmail`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CachedEmail` ADD CONSTRAINT `CachedEmail_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Meter` ADD CONSTRAINT `Meter_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `MeterReading` ADD CONSTRAINT `MeterReading_meterId_fkey` FOREIGN KEY (`meterId`) REFERENCES `Meter`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Tariff` ADD CONSTRAINT `Tariff_providerId_fkey` FOREIGN KEY (`providerId`) REFERENCES `Provider`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_contractCategoryId_fkey` FOREIGN KEY (`contractCategoryId`) REFERENCES `ContractCategory`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_addressId_fkey` FOREIGN KEY (`addressId`) REFERENCES `Address`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_billingAddressId_fkey` FOREIGN KEY (`billingAddressId`) REFERENCES `Address`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_bankCardId_fkey` FOREIGN KEY (`bankCardId`) REFERENCES `BankCard`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_identityDocumentId_fkey` FOREIGN KEY (`identityDocumentId`) REFERENCES `IdentityDocument`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_salesPlatformId_fkey` FOREIGN KEY (`salesPlatformId`) REFERENCES `SalesPlatform`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_cancellationPeriodId_fkey` FOREIGN KEY (`cancellationPeriodId`) REFERENCES `CancellationPeriod`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_contractDurationId_fkey` FOREIGN KEY (`contractDurationId`) REFERENCES `ContractDuration`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_previousContractId_fkey` FOREIGN KEY (`previousContractId`) REFERENCES `Contract`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_previousProviderId_fkey` FOREIGN KEY (`previousProviderId`) REFERENCES `Provider`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_providerId_fkey` FOREIGN KEY (`providerId`) REFERENCES `Provider`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_tariffId_fkey` FOREIGN KEY (`tariffId`) REFERENCES `Tariff`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_stressfreiEmailId_fkey` FOREIGN KEY (`stressfreiEmailId`) REFERENCES `StressfreiEmail`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractDocument` ADD CONSTRAINT `ContractDocument_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractHistoryEntry` ADD CONSTRAINT `ContractHistoryEntry_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractTask` ADD CONSTRAINT `ContractTask_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractTaskSubtask` ADD CONSTRAINT `ContractTaskSubtask_taskId_fkey` FOREIGN KEY (`taskId`) REFERENCES `ContractTask`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `EnergyContractDetails` ADD CONSTRAINT `EnergyContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `EnergyContractDetails` ADD CONSTRAINT `EnergyContractDetails_meterId_fkey` FOREIGN KEY (`meterId`) REFERENCES `Meter`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractMeter` ADD CONSTRAINT `ContractMeter_energyContractDetailsId_fkey` FOREIGN KEY (`energyContractDetailsId`) REFERENCES `EnergyContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractMeter` ADD CONSTRAINT `ContractMeter_meterId_fkey` FOREIGN KEY (`meterId`) REFERENCES `Meter`(`id`) ON DELETE RESTRICT ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Invoice` ADD CONSTRAINT `Invoice_energyContractDetailsId_fkey` FOREIGN KEY (`energyContractDetailsId`) REFERENCES `EnergyContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Invoice` ADD CONSTRAINT `Invoice_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `InternetContractDetails` ADD CONSTRAINT `InternetContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `PhoneNumber` ADD CONSTRAINT `PhoneNumber_internetContractDetailsId_fkey` FOREIGN KEY (`internetContractDetailsId`) REFERENCES `InternetContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `MobileContractDetails` ADD CONSTRAINT `MobileContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `SimCard` ADD CONSTRAINT `SimCard_mobileDetailsId_fkey` FOREIGN KEY (`mobileDetailsId`) REFERENCES `MobileContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `TvContractDetails` ADD CONSTRAINT `TvContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CarInsuranceDetails` ADD CONSTRAINT `CarInsuranceDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CustomerConsent` ADD CONSTRAINT `CustomerConsent_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,354 +0,0 @@
 -- CreateTable
 CREATE TABLE `User` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `email` VARCHAR(191) NOT NULL,
    `password` VARCHAR(191) NOT NULL,
    `firstName` VARCHAR(191) NOT NULL,
    `lastName` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `customerId` INTEGER NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `User_email_key`(`email`),
    UNIQUE INDEX `User_customerId_key`(`customerId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Role` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Role_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Permission` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `resource` VARCHAR(191) NOT NULL,
    `action` VARCHAR(191) NOT NULL,
    UNIQUE INDEX `Permission_resource_action_key`(`resource`, `action`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `RolePermission` (
    `roleId` INTEGER NOT NULL,
    `permissionId` INTEGER NOT NULL,
    PRIMARY KEY (`roleId`, `permissionId`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `UserRole` (
    `userId` INTEGER NOT NULL,
    `roleId` INTEGER NOT NULL,
    PRIMARY KEY (`userId`, `roleId`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Customer` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerNumber` VARCHAR(191) NOT NULL,
    `type` ENUM('PRIVATE', 'BUSINESS') NOT NULL DEFAULT 'PRIVATE',
    `salutation` VARCHAR(191) NULL,
    `firstName` VARCHAR(191) NOT NULL,
    `lastName` VARCHAR(191) NOT NULL,
    `companyName` VARCHAR(191) NULL,
    `email` VARCHAR(191) NULL,
    `phone` VARCHAR(191) NULL,
    `mobile` VARCHAR(191) NULL,
    `taxNumber` VARCHAR(191) NULL,
    `businessRegistration` TEXT NULL,
    `commercialRegister` VARCHAR(191) NULL,
    `notes` TEXT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Customer_customerNumber_key`(`customerNumber`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Address` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `type` ENUM('DELIVERY_RESIDENCE', 'BILLING') NOT NULL DEFAULT 'DELIVERY_RESIDENCE',
    `street` VARCHAR(191) NOT NULL,
    `houseNumber` VARCHAR(191) NOT NULL,
    `postalCode` VARCHAR(191) NOT NULL,
    `city` VARCHAR(191) NOT NULL,
    `country` VARCHAR(191) NOT NULL DEFAULT 'Deutschland',
    `isDefault` BOOLEAN NOT NULL DEFAULT false,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `BankCard` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `accountHolder` VARCHAR(191) NOT NULL,
    `iban` VARCHAR(191) NOT NULL,
    `bic` VARCHAR(191) NULL,
    `bankName` VARCHAR(191) NULL,
    `expiryDate` DATETIME(3) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `IdentityDocument` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `type` ENUM('ID_CARD', 'PASSPORT', 'DRIVERS_LICENSE', 'OTHER') NOT NULL DEFAULT 'ID_CARD',
    `documentNumber` VARCHAR(191) NOT NULL,
    `issuingAuthority` VARCHAR(191) NULL,
    `issueDate` DATETIME(3) NULL,
    `expiryDate` DATETIME(3) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Meter` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `meterNumber` VARCHAR(191) NOT NULL,
    `type` ENUM('ELECTRICITY', 'GAS') NOT NULL,
    `location` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `MeterReading` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `meterId` INTEGER NOT NULL,
    `readingDate` DATETIME(3) NOT NULL,
    `value` DOUBLE NOT NULL,
    `unit` VARCHAR(191) NOT NULL DEFAULT 'kWh',
    `notes` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `SalesPlatform` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `contactInfo` TEXT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `SalesPlatform_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Contract` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractNumber` VARCHAR(191) NOT NULL,
    `customerId` INTEGER NOT NULL,
    `type` ENUM('ELECTRICITY', 'GAS', 'DSL', 'FIBER', 'MOBILE', 'TV', 'CAR_INSURANCE') NOT NULL,
    `status` ENUM('DRAFT', 'PENDING', 'ACTIVE', 'CANCELLED', 'EXPIRED') NOT NULL DEFAULT 'DRAFT',
    `addressId` INTEGER NULL,
    `bankCardId` INTEGER NULL,
    `identityDocumentId` INTEGER NULL,
    `salesPlatformId` INTEGER NULL,
    `previousContractId` INTEGER NULL,
    `providerName` VARCHAR(191) NULL,
    `tariffName` VARCHAR(191) NULL,
    `customerNumberAtProvider` VARCHAR(191) NULL,
    `startDate` DATETIME(3) NULL,
    `endDate` DATETIME(3) NULL,
    `cancellationPeriod` INTEGER NULL,
    `commission` DOUBLE NULL,
    `portalUsername` VARCHAR(191) NULL,
    `portalPasswordEncrypted` VARCHAR(191) NULL,
    `notes` TEXT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Contract_contractNumber_key`(`contractNumber`),
    UNIQUE INDEX `Contract_previousContractId_key`(`previousContractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `EnergyContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `meterId` INTEGER NULL,
    `annualConsumption` DOUBLE NULL,
    `basePrice` DOUBLE NULL,
    `unitPrice` DOUBLE NULL,
    `bonus` DOUBLE NULL,
    `previousProviderName` VARCHAR(191) NULL,
    `previousCustomerNumber` VARCHAR(191) NULL,
    UNIQUE INDEX `EnergyContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `InternetContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `downloadSpeed` INTEGER NULL,
    `uploadSpeed` INTEGER NULL,
    `routerModel` VARCHAR(191) NULL,
    `routerSerialNumber` VARCHAR(191) NULL,
    `installationDate` DATETIME(3) NULL,
    UNIQUE INDEX `InternetContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `PhoneNumber` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `internetContractDetailsId` INTEGER NOT NULL,
    `phoneNumber` VARCHAR(191) NOT NULL,
    `isMain` BOOLEAN NOT NULL DEFAULT false,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `MobileContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `phoneNumber` VARCHAR(191) NULL,
    `simCardNumber` VARCHAR(191) NULL,
    `dataVolume` DOUBLE NULL,
    `includedMinutes` INTEGER NULL,
    `includedSMS` INTEGER NULL,
    `deviceModel` VARCHAR(191) NULL,
    `deviceImei` VARCHAR(191) NULL,
    UNIQUE INDEX `MobileContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `TvContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `receiverModel` VARCHAR(191) NULL,
    `smartcardNumber` VARCHAR(191) NULL,
    `package` VARCHAR(191) NULL,
    UNIQUE INDEX `TvContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CarInsuranceDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `licensePlate` VARCHAR(191) NULL,
    `hsn` VARCHAR(191) NULL,
    `tsn` VARCHAR(191) NULL,
    `vin` VARCHAR(191) NULL,
    `vehicleType` VARCHAR(191) NULL,
    `firstRegistration` DATETIME(3) NULL,
    `noClaimsClass` VARCHAR(191) NULL,
    `insuranceType` ENUM('LIABILITY', 'PARTIAL', 'FULL') NOT NULL DEFAULT 'LIABILITY',
    `deductiblePartial` DOUBLE NULL,
    `deductibleFull` DOUBLE NULL,
    `policyNumber` VARCHAR(191) NULL,
    `previousInsurer` VARCHAR(191) NULL,
    UNIQUE INDEX `CarInsuranceDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `User` ADD CONSTRAINT `User_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `RolePermission` ADD CONSTRAINT `RolePermission_roleId_fkey` FOREIGN KEY (`roleId`) REFERENCES `Role`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `RolePermission` ADD CONSTRAINT `RolePermission_permissionId_fkey` FOREIGN KEY (`permissionId`) REFERENCES `Permission`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `UserRole` ADD CONSTRAINT `UserRole_userId_fkey` FOREIGN KEY (`userId`) REFERENCES `User`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `UserRole` ADD CONSTRAINT `UserRole_roleId_fkey` FOREIGN KEY (`roleId`) REFERENCES `Role`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Address` ADD CONSTRAINT `Address_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `BankCard` ADD CONSTRAINT `BankCard_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `IdentityDocument` ADD CONSTRAINT `IdentityDocument_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Meter` ADD CONSTRAINT `Meter_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `MeterReading` ADD CONSTRAINT `MeterReading_meterId_fkey` FOREIGN KEY (`meterId`) REFERENCES `Meter`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_addressId_fkey` FOREIGN KEY (`addressId`) REFERENCES `Address`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_bankCardId_fkey` FOREIGN KEY (`bankCardId`) REFERENCES `BankCard`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_identityDocumentId_fkey` FOREIGN KEY (`identityDocumentId`) REFERENCES `IdentityDocument`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_salesPlatformId_fkey` FOREIGN KEY (`salesPlatformId`) REFERENCES `SalesPlatform`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_previousContractId_fkey` FOREIGN KEY (`previousContractId`) REFERENCES `Contract`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `EnergyContractDetails` ADD CONSTRAINT `EnergyContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `EnergyContractDetails` ADD CONSTRAINT `EnergyContractDetails_meterId_fkey` FOREIGN KEY (`meterId`) REFERENCES `Meter`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `InternetContractDetails` ADD CONSTRAINT `InternetContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `PhoneNumber` ADD CONSTRAINT `PhoneNumber_internetContractDetailsId_fkey` FOREIGN KEY (`internetContractDetailsId`) REFERENCES `InternetContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `MobileContractDetails` ADD CONSTRAINT `MobileContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `TvContractDetails` ADD CONSTRAINT `TvContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CarInsuranceDetails` ADD CONSTRAINT `CarInsuranceDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,5 +0,0 @@
 -- AlterTable
 ALTER TABLE `BankCard` ADD COLUMN `documentPath` VARCHAR(191) NULL;
 -- AlterTable
 ALTER TABLE `IdentityDocument` ADD COLUMN `documentPath` VARCHAR(191) NULL;
@@ -1,3 +0,0 @@
 -- AlterTable
 ALTER TABLE `Customer` ADD COLUMN `birthDate` DATETIME(3) NULL,
    ADD COLUMN `birthPlace` VARCHAR(191) NULL;
@@ -1,3 +0,0 @@
 -- AlterTable
 ALTER TABLE `IdentityDocument` ADD COLUMN `licenseClasses` VARCHAR(191) NULL,
    ADD COLUMN `licenseIssueDate` DATETIME(3) NULL;
@@ -1,14 +0,0 @@
 /*
  Warnings:
  - You are about to drop the column `businessRegistration` on the `Customer` table. All the data in the column will be lost.
  - You are about to drop the column `commercialRegister` on the `Customer` table. All the data in the column will be lost.
 */
 -- AlterTable
 ALTER TABLE `Customer` DROP COLUMN `businessRegistration`,
    DROP COLUMN `commercialRegister`,
    ADD COLUMN `businessRegistrationPath` VARCHAR(191) NULL,
    ADD COLUMN `commercialRegisterNumber` VARCHAR(191) NULL,
    ADD COLUMN `commercialRegisterPath` VARCHAR(191) NULL,
    ADD COLUMN `foundingDate` DATETIME(3) NULL;
@@ -1,31 +0,0 @@
 /*
  Warnings:
  - You are about to drop the column `cancellationPeriod` on the `Contract` table. All the data in the column will be lost.
 */
 -- AlterTable
 ALTER TABLE `Contract` DROP COLUMN `cancellationPeriod`,
    ADD COLUMN `cancellationPeriodId` INTEGER NULL,
    ADD COLUMN `priceAfter24Months` VARCHAR(191) NULL,
    ADD COLUMN `priceFirst12Months` VARCHAR(191) NULL,
    ADD COLUMN `priceFrom13Months` VARCHAR(191) NULL;
 -- AlterTable
 ALTER TABLE `Customer` ADD COLUMN `privacyPolicyPath` VARCHAR(191) NULL;
 -- CreateTable
 CREATE TABLE `CancellationPeriod` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `code` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `CancellationPeriod_code_key`(`code`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_cancellationPeriodId_fkey` FOREIGN KEY (`cancellationPeriodId`) REFERENCES `CancellationPeriod`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
@@ -1,18 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `contractDurationId` INTEGER NULL;
 -- CreateTable
 CREATE TABLE `ContractDuration` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `code` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `ContractDuration_code_key`(`code`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_contractDurationId_fkey` FOREIGN KEY (`contractDurationId`) REFERENCES `ContractDuration`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
@@ -1,8 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `cancellationConfirmationDate` DATETIME(3) NULL,
    ADD COLUMN `cancellationConfirmationOptionsDate` DATETIME(3) NULL,
    ADD COLUMN `cancellationConfirmationOptionsPath` VARCHAR(191) NULL,
    ADD COLUMN `cancellationConfirmationPath` VARCHAR(191) NULL,
    ADD COLUMN `cancellationLetterOptionsPath` VARCHAR(191) NULL,
    ADD COLUMN `cancellationLetterPath` VARCHAR(191) NULL,
    ADD COLUMN `wasSpecialCancellation` BOOLEAN NOT NULL DEFAULT false;
@@ -1,40 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `providerId` INTEGER NULL,
    ADD COLUMN `tariffId` INTEGER NULL;
 -- CreateTable
 CREATE TABLE `Provider` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `portalUrl` VARCHAR(191) NULL,
    `usernameFieldName` VARCHAR(191) NULL,
    `passwordFieldName` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Provider_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Tariff` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `providerId` INTEGER NOT NULL,
    `name` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Tariff_providerId_name_key`(`providerId`, `name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `Tariff` ADD CONSTRAINT `Tariff_providerId_fkey` FOREIGN KEY (`providerId`) REFERENCES `Provider`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_providerId_fkey` FOREIGN KEY (`providerId`) REFERENCES `Provider`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_tariffId_fkey` FOREIGN KEY (`tariffId`) REFERENCES `Tariff`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
@@ -1,21 +0,0 @@
 -- AlterTable
 ALTER TABLE `MobileContractDetails` ADD COLUMN `requiresMultisim` BOOLEAN NOT NULL DEFAULT false;
 -- CreateTable
 CREATE TABLE `SimCard` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `mobileDetailsId` INTEGER NOT NULL,
    `phoneNumber` VARCHAR(191) NULL,
    `simCardNumber` VARCHAR(191) NULL,
    `pin` VARCHAR(191) NULL,
    `puk` VARCHAR(191) NULL,
    `isMultisim` BOOLEAN NOT NULL DEFAULT false,
    `isMain` BOOLEAN NOT NULL DEFAULT false,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `SimCard` ADD CONSTRAINT `SimCard_mobileDetailsId_fkey` FOREIGN KEY (`mobileDetailsId`) REFERENCES `MobileContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,21 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `contractCategoryId` INTEGER NULL;
 -- CreateTable
 CREATE TABLE `ContractCategory` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `code` VARCHAR(191) NOT NULL,
    `name` VARCHAR(191) NOT NULL,
    `icon` VARCHAR(191) NULL,
    `color` VARCHAR(191) NULL,
    `sortOrder` INTEGER NOT NULL DEFAULT 0,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `ContractCategory_code_key`(`code`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_contractCategoryId_fkey` FOREIGN KEY (`contractCategoryId`) REFERENCES `ContractCategory`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
@@ -1,13 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` MODIFY `type` ENUM('ELECTRICITY', 'GAS', 'DSL', 'CABLE', 'FIBER', 'MOBILE', 'TV', 'CAR_INSURANCE') NOT NULL;
 -- AlterTable
 ALTER TABLE `InternetContractDetails` ADD COLUMN `activationCode` VARCHAR(191) NULL,
    ADD COLUMN `homeId` VARCHAR(191) NULL,
    ADD COLUMN `internetPasswordEncrypted` VARCHAR(191) NULL,
    ADD COLUMN `internetUsername` VARCHAR(191) NULL;
 -- AlterTable
 ALTER TABLE `PhoneNumber` ADD COLUMN `sipPasswordEncrypted` VARCHAR(191) NULL,
    ADD COLUMN `sipServer` VARCHAR(191) NULL,
    ADD COLUMN `sipUsername` VARCHAR(191) NULL;
@@ -1,180 +0,0 @@
 /*
  Warnings:
  - A unique constraint covering the columns `[portalEmail]` on the table `Customer` will be added. If there are existing duplicate values, this will fail.
 */
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `stressfreiEmailId` INTEGER NULL,
    MODIFY `status` ENUM('DRAFT', 'PENDING', 'ACTIVE', 'CANCELLED', 'EXPIRED', 'DEACTIVATED') NOT NULL DEFAULT 'DRAFT';
 -- AlterTable
 ALTER TABLE `Customer` ADD COLUMN `portalEmail` VARCHAR(191) NULL,
    ADD COLUMN `portalEnabled` BOOLEAN NOT NULL DEFAULT false,
    ADD COLUMN `portalLastLogin` DATETIME(3) NULL,
    ADD COLUMN `portalPasswordEncrypted` VARCHAR(191) NULL,
    ADD COLUMN `portalPasswordHash` VARCHAR(191) NULL;
 -- CreateTable
 CREATE TABLE `AppSetting` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `key` VARCHAR(191) NOT NULL,
    `value` TEXT NOT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `AppSetting_key_key`(`key`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CustomerRepresentative` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `representativeId` INTEGER NOT NULL,
    `notes` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `CustomerRepresentative_customerId_representativeId_key`(`customerId`, `representativeId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `EmailProviderConfig` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `type` ENUM('PLESK', 'CPANEL', 'DIRECTADMIN') NOT NULL,
    `apiUrl` VARCHAR(191) NOT NULL,
    `apiKey` VARCHAR(191) NULL,
    `username` VARCHAR(191) NULL,
    `passwordEncrypted` VARCHAR(191) NULL,
    `domain` VARCHAR(191) NOT NULL,
    `defaultForwardEmail` VARCHAR(191) NULL,
    `imapServer` VARCHAR(191) NULL,
    `imapPort` INTEGER NULL DEFAULT 993,
    `smtpServer` VARCHAR(191) NULL,
    `smtpPort` INTEGER NULL DEFAULT 465,
    `imapEncryption` ENUM('SSL', 'STARTTLS', 'NONE') NOT NULL DEFAULT 'SSL',
    `smtpEncryption` ENUM('SSL', 'STARTTLS', 'NONE') NOT NULL DEFAULT 'SSL',
    `allowSelfSignedCerts` BOOLEAN NOT NULL DEFAULT false,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `isDefault` BOOLEAN NOT NULL DEFAULT false,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `EmailProviderConfig_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `StressfreiEmail` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `email` VARCHAR(191) NOT NULL,
    `platform` VARCHAR(191) NULL,
    `notes` TEXT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `isProvisioned` BOOLEAN NOT NULL DEFAULT false,
    `provisionedAt` DATETIME(3) NULL,
    `provisionError` TEXT NULL,
    `hasMailbox` BOOLEAN NOT NULL DEFAULT false,
    `emailPasswordEncrypted` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CachedEmail` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `stressfreiEmailId` INTEGER NOT NULL,
    `folder` ENUM('INBOX', 'SENT') NOT NULL DEFAULT 'INBOX',
    `messageId` VARCHAR(191) NOT NULL,
    `uid` INTEGER NOT NULL,
    `subject` VARCHAR(191) NULL,
    `fromAddress` VARCHAR(191) NOT NULL,
    `fromName` VARCHAR(191) NULL,
    `toAddresses` TEXT NOT NULL,
    `ccAddresses` TEXT NULL,
    `receivedAt` DATETIME(3) NOT NULL,
    `textBody` LONGTEXT NULL,
    `htmlBody` LONGTEXT NULL,
    `hasAttachments` BOOLEAN NOT NULL DEFAULT false,
    `attachmentNames` TEXT NULL,
    `contractId` INTEGER NULL,
    `assignedAt` DATETIME(3) NULL,
    `assignedBy` INTEGER NULL,
    `isAutoAssigned` BOOLEAN NOT NULL DEFAULT false,
    `isRead` BOOLEAN NOT NULL DEFAULT false,
    `isStarred` BOOLEAN NOT NULL DEFAULT false,
    `isDeleted` BOOLEAN NOT NULL DEFAULT false,
    `deletedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `CachedEmail_contractId_idx`(`contractId`),
    INDEX `CachedEmail_stressfreiEmailId_folder_receivedAt_idx`(`stressfreiEmailId`, `folder`, `receivedAt`),
    INDEX `CachedEmail_stressfreiEmailId_isDeleted_idx`(`stressfreiEmailId`, `isDeleted`),
    UNIQUE INDEX `CachedEmail_stressfreiEmailId_messageId_folder_key`(`stressfreiEmailId`, `messageId`, `folder`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractTask` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `title` VARCHAR(191) NOT NULL,
    `description` TEXT NULL,
    `status` ENUM('OPEN', 'COMPLETED') NOT NULL DEFAULT 'OPEN',
    `visibleInPortal` BOOLEAN NOT NULL DEFAULT false,
    `createdBy` VARCHAR(191) NULL,
    `completedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractTaskSubtask` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `taskId` INTEGER NOT NULL,
    `title` VARCHAR(191) NOT NULL,
    `status` ENUM('OPEN', 'COMPLETED') NOT NULL DEFAULT 'OPEN',
    `createdBy` VARCHAR(191) NULL,
    `completedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateIndex
 CREATE UNIQUE INDEX `Customer_portalEmail_key` ON `Customer`(`portalEmail`);
 -- AddForeignKey
 ALTER TABLE `CustomerRepresentative` ADD CONSTRAINT `CustomerRepresentative_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CustomerRepresentative` ADD CONSTRAINT `CustomerRepresentative_representativeId_fkey` FOREIGN KEY (`representativeId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `StressfreiEmail` ADD CONSTRAINT `StressfreiEmail_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CachedEmail` ADD CONSTRAINT `CachedEmail_stressfreiEmailId_fkey` FOREIGN KEY (`stressfreiEmailId`) REFERENCES `StressfreiEmail`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CachedEmail` ADD CONSTRAINT `CachedEmail_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_stressfreiEmailId_fkey` FOREIGN KEY (`stressfreiEmailId`) REFERENCES `StressfreiEmail`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractTask` ADD CONSTRAINT `ContractTask_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractTaskSubtask` ADD CONSTRAINT `ContractTaskSubtask_taskId_fkey` FOREIGN KEY (`taskId`) REFERENCES `ContractTask`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,2 +0,0 @@
 -- AlterTable
 ALTER TABLE `User` ADD COLUMN `tokenInvalidatedAt` DATETIME(3) NULL;
@@ -1,5 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `billingAddressId` INTEGER NULL;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_billingAddressId_fkey` FOREIGN KEY (`billingAddressId`) REFERENCES `Address`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
@@ -1,2 +0,0 @@
 -- AlterTable
 ALTER TABLE `EnergyContractDetails` ADD COLUMN `annualConsumptionKwh` DOUBLE NULL;
@@ -1,2 +0,0 @@
 -- AlterTable
 ALTER TABLE `EnergyContractDetails` ADD COLUMN `maloId` VARCHAR(191) NULL;
@@ -1,17 +0,0 @@
 -- CreateTable
 CREATE TABLE `Invoice` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `energyContractDetailsId` INTEGER NOT NULL,
    `invoiceDate` DATETIME(3) NOT NULL,
    `invoiceType` ENUM('INTERIM', 'FINAL', 'NOT_AVAILABLE') NOT NULL,
    `documentPath` VARCHAR(191) NULL,
    `notes` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `Invoice_energyContractDetailsId_idx`(`energyContractDetailsId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `Invoice` ADD CONSTRAINT `Invoice_energyContractDetailsId_fkey` FOREIGN KEY (`energyContractDetailsId`) REFERENCES `EnergyContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,2 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `nextReviewDate` DATETIME(3) NULL;
@@ -1,2 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `contractNumberAtProvider` VARCHAR(191) NULL;
@@ -1,7 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `previousContractNumber` VARCHAR(191) NULL,
    ADD COLUMN `previousCustomerNumber` VARCHAR(191) NULL,
    ADD COLUMN `previousProviderId` INTEGER NULL;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_previousProviderId_fkey` FOREIGN KEY (`previousProviderId`) REFERENCES `Provider`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
@@ -1,15 +0,0 @@
 -- CreateTable
 CREATE TABLE `ContractHistoryEntry` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `title` VARCHAR(191) NOT NULL,
    `description` TEXT NULL,
    `isAutomatic` BOOLEAN NOT NULL DEFAULT false,
    `createdBy` VARCHAR(191) NOT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `ContractHistoryEntry` ADD CONSTRAINT `ContractHistoryEntry_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,103 +0,0 @@
 -- CreateTable
 CREATE TABLE `AuditLog` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `userId` INTEGER NULL,
    `userEmail` VARCHAR(191) NOT NULL,
    `userRole` VARCHAR(191) NULL,
    `customerId` INTEGER NULL,
    `isCustomerPortal` BOOLEAN NOT NULL DEFAULT false,
    `action` ENUM('CREATE', 'READ', 'UPDATE', 'DELETE', 'EXPORT', 'ANONYMIZE', 'LOGIN', 'LOGOUT', 'LOGIN_FAILED') NOT NULL,
    `sensitivity` ENUM('LOW', 'MEDIUM', 'HIGH', 'CRITICAL') NOT NULL DEFAULT 'MEDIUM',
    `resourceType` VARCHAR(191) NOT NULL,
    `resourceId` VARCHAR(191) NULL,
    `resourceLabel` VARCHAR(191) NULL,
    `endpoint` VARCHAR(191) NOT NULL,
    `httpMethod` VARCHAR(191) NOT NULL,
    `ipAddress` VARCHAR(191) NOT NULL,
    `userAgent` TEXT NULL,
    `changesBefore` LONGTEXT NULL,
    `changesAfter` LONGTEXT NULL,
    `changesEncrypted` BOOLEAN NOT NULL DEFAULT false,
    `dataSubjectId` INTEGER NULL,
    `legalBasis` VARCHAR(191) NULL,
    `success` BOOLEAN NOT NULL DEFAULT true,
    `errorMessage` TEXT NULL,
    `durationMs` INTEGER NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `hash` VARCHAR(191) NULL,
    `previousHash` VARCHAR(191) NULL,
    INDEX `AuditLog_userId_idx`(`userId`),
    INDEX `AuditLog_customerId_idx`(`customerId`),
    INDEX `AuditLog_resourceType_resourceId_idx`(`resourceType`, `resourceId`),
    INDEX `AuditLog_dataSubjectId_idx`(`dataSubjectId`),
    INDEX `AuditLog_action_idx`(`action`),
    INDEX `AuditLog_createdAt_idx`(`createdAt`),
    INDEX `AuditLog_sensitivity_idx`(`sensitivity`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CustomerConsent` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `consentType` ENUM('DATA_PROCESSING', 'MARKETING_EMAIL', 'MARKETING_PHONE', 'DATA_SHARING_PARTNER') NOT NULL,
    `status` ENUM('GRANTED', 'WITHDRAWN', 'PENDING') NOT NULL DEFAULT 'PENDING',
    `grantedAt` DATETIME(3) NULL,
    `withdrawnAt` DATETIME(3) NULL,
    `source` VARCHAR(191) NULL,
    `documentPath` VARCHAR(191) NULL,
    `version` VARCHAR(191) NULL,
    `ipAddress` VARCHAR(191) NULL,
    `createdBy` VARCHAR(191) NOT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `CustomerConsent_customerId_idx`(`customerId`),
    INDEX `CustomerConsent_consentType_idx`(`consentType`),
    INDEX `CustomerConsent_status_idx`(`status`),
    UNIQUE INDEX `CustomerConsent_customerId_consentType_key`(`customerId`, `consentType`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `DataDeletionRequest` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `status` ENUM('PENDING', 'IN_PROGRESS', 'COMPLETED', 'PARTIALLY_COMPLETED', 'REJECTED') NOT NULL DEFAULT 'PENDING',
    `requestedAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `requestSource` VARCHAR(191) NOT NULL,
    `requestedBy` VARCHAR(191) NOT NULL,
    `processedAt` DATETIME(3) NULL,
    `processedBy` VARCHAR(191) NULL,
    `deletedData` LONGTEXT NULL,
    `retainedData` LONGTEXT NULL,
    `retentionReason` TEXT NULL,
    `proofDocument` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `DataDeletionRequest_customerId_idx`(`customerId`),
    INDEX `DataDeletionRequest_status_idx`(`status`),
    INDEX `DataDeletionRequest_requestedAt_idx`(`requestedAt`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `AuditRetentionPolicy` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `resourceType` VARCHAR(191) NOT NULL,
    `sensitivity` ENUM('LOW', 'MEDIUM', 'HIGH', 'CRITICAL') NULL,
    `retentionDays` INTEGER NOT NULL,
    `description` VARCHAR(191) NULL,
    `legalBasis` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `AuditRetentionPolicy_resourceType_sensitivity_key`(`resourceType`, `sensitivity`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `CustomerConsent` ADD CONSTRAINT `CustomerConsent_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,10 +0,0 @@
 -- AlterTable
 ALTER TABLE `Customer` ADD COLUMN `consentHash` VARCHAR(191) NULL;
 -- AlterTable
 ALTER TABLE `User` ADD COLUMN `whatsappNumber` VARCHAR(191) NULL,
    ADD COLUMN `telegramUsername` VARCHAR(191) NULL,
    ADD COLUMN `signalNumber` VARCHAR(191) NULL;
 -- CreateIndex
 CREATE UNIQUE INDEX `Customer_consentHash_key` ON `Customer`(`consentHash`);
@@ -1,3 +1,3 @@
 # Please do not edit this file manually
 # It should be added in your version-control system (i.e. Git)
-provider = "mysql"
+provider = "mysql"
@@ -4,43 +4,40 @@
 * Stellt Daten aus einem JSON-Backup wieder her.
 *
 * Verwendung:
- *   npx ts-node prisma/restore-data.ts [backup-ordner]
+ *   npm run db:restore                          # Letztes Backup
 *   npx tsx prisma/restore-data.ts <ordner>     # Bestimmtes Backup
 *
- * Beispiele:
+ * WICHTIG: Führe vorher 'npx prisma db push' oder 'npx prisma migrate deploy' aus,
- *   npx ts-node prisma/restore-data.ts                          # Letztes Backup
+ *          damit das Schema zur DB passt!
 *   npx ts-node prisma/restore-data.ts 2025-01-31_14-30-00      # Bestimmtes Backup
 *
 * WICHTIG: Führe vorher 'npx prisma migrate deploy' oder 'npx prisma db push' aus!
 */
-import { PrismaClient } from '@prisma/client';
+import { PrismaClient, Prisma } from '@prisma/client';
 import * as fs from 'fs';
 import * as path from 'path';
 const prisma = new PrismaClient();
-// Hilfsfunktion: JSON-Datei lesen
+// Hilfsfunktion: JSON-Datei lesen (leer bei fehlender Datei)
 function readJsonFile<T>(filePath: string): T[] {
-  if (!fs.existsSync(filePath)) {
+  if (!fs.existsSync(filePath)) return [];
  try {
    const content = fs.readFileSync(filePath, 'utf-8');
    return JSON.parse(content);
  } catch {
    return [];
  }
  const content = fs.readFileSync(filePath, 'utf-8');
  return JSON.parse(content);
 }
-// Hilfsfunktion: Datum-Strings zu Date-Objekten konvertieren
+// Hilfsfunktion: ISO-Datum-Strings rekursiv zu Date-Objekten
 function convertDates(obj: any): any {
  if (obj === null || obj === undefined) return obj;
  if (typeof obj === 'string') {
    // ISO-Datumsformat erkennen
    if (/^\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}/.test(obj)) {
      return new Date(obj);
    }
    return obj;
  }
-  if (Array.isArray(obj)) {
+  if (Array.isArray(obj)) return obj.map(convertDates);
    return obj.map(convertDates);
  }
  if (typeof obj === 'object') {
    const result: any = {};
    for (const [key, value] of Object.entries(obj)) {
@@ -51,19 +48,75 @@ function convertDates(obj: any): any {
  return obj;
 }
 /**
 * Generischer Restore-Helper: nutzt createMany mit skipDuplicates
 * wenn möglich, sonst einzelnes upsert per ID.
 */
 async function restoreTable<T extends { id?: any }>(
  tableName: string,
  data: T[],
  model: any,
  options: { useCreateMany?: boolean; compositeKey?: string[] } = {},
 ): Promise<number> {
  if (data.length === 0) return 0;
  const converted = data.map(convertDates) as T[];
  // Bei einfachen Tabellen: createMany mit skipDuplicates
  if (options.useCreateMany) {
    try {
      const result = await model.createMany({
        data: converted,
        skipDuplicates: true,
      });
      return result.count;
    } catch (err: any) {
      // Fallback auf einzeln
    }
  }
  // Upsert per ID (oder Composite-Key)
  let count = 0;
  for (const item of converted) {
    try {
      if (options.compositeKey) {
        const where: any = {};
        const compositeWhere: any = {};
        for (const key of options.compositeKey) {
          compositeWhere[key] = (item as any)[key];
        }
        where[options.compositeKey.join('_')] = compositeWhere;
        await model.upsert({
          where,
          update: {},
          create: item,
        });
      } else {
        await model.upsert({
          where: { id: (item as any).id },
          update: item,
          create: item,
        });
      }
      count++;
    } catch (err: any) {
      console.log(`  ⚠️  Eintrag in ${tableName} (id=${(item as any).id}): ${err.message?.slice(0, 80)}`);
    }
  }
  return count;
 }
 async function main() {
  // Backup-Ordner bestimmen
  const backupsDir = path.join(__dirname, 'backups');
  let backupName = process.argv[2];
  if (!backupName) {
    // Neuestes Backup finden
    if (!fs.existsSync(backupsDir)) {
      console.error('❌ Kein Backup-Ordner gefunden!');
      process.exit(1);
    }
    const backups = fs.readdirSync(backupsDir)
-      .filter(f => fs.statSync(path.join(backupsDir, f)).isDirectory())
+      .filter((f) => fs.statSync(path.join(backupsDir, f)).isDirectory())
      .sort()
      .reverse();
@@ -76,18 +129,16 @@ async function main() {
  }
  const backupDir = path.join(backupsDir, backupName);
  if (!fs.existsSync(backupDir)) {
    console.error(`❌ Backup-Ordner nicht gefunden: ${backupDir}`);
    process.exit(1);
  }
  // Backup-Info lesen
  const infoPath = path.join(backupDir, '_backup-info.json');
  if (fs.existsSync(infoPath)) {
    const info = JSON.parse(fs.readFileSync(infoPath, 'utf-8'));
    console.log(`\n📅 Backup vom: ${new Date(info.timestamp).toLocaleString('de-DE')}`);
-    console.log(`📊 ${info.totalRecords} Datensätze in ${info.tables.filter((t: any) => t.count > 0).length} Tabellen\n`);
+    console.log(`📊 ${info.totalRecords} Datensätze\n`);
  }
  console.log(`🔄 Starte Wiederherstellung aus: ${backupDir}\n`);
@@ -96,362 +147,76 @@ async function main() {
  await prisma.$executeRawUnsafe('SET FOREIGN_KEY_CHECKS = 0');
  try {
-    // Tabellen in Abhängigkeitsreihenfolge wiederherstellen
+    // Tabellen in Abhängigkeitsreihenfolge (gleich wie im Backup)
-    const restoreOrder = [
+    const order: Array<{
-      // Level 0: Keine Abhängigkeiten
+      name: string;
-      {
+      model: any;
-        name: 'Permission',
+      compositeKey?: string[];
-        restore: async (data: any[]) => {
+    }> = [
-          for (const item of data) {
+      // Level 0
-            await prisma.permission.upsert({
+      { name: 'Permission', model: prisma.permission },
-              where: { id: item.id },
+      { name: 'Role', model: prisma.role },
-              update: convertDates(item),
+      { name: 'SalesPlatform', model: prisma.salesPlatform },
-              create: convertDates(item),
+      { name: 'ContractCategory', model: prisma.contractCategory },
-            });
+      { name: 'CancellationPeriod', model: prisma.cancellationPeriod },
-          }
+      { name: 'ContractDuration', model: prisma.contractDuration },
-        },
+      { name: 'AppSetting', model: prisma.appSetting },
-      },
+      { name: 'EmailProviderConfig', model: prisma.emailProviderConfig },
-      {
+      { name: 'Provider', model: prisma.provider },
-        name: 'Role',
+      { name: 'PdfTemplate', model: prisma.pdfTemplate },
-        restore: async (data: any[]) => {
+      { name: 'AuditRetentionPolicy', model: prisma.auditRetentionPolicy },
          for (const item of data) {
            await prisma.role.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'SalesPlatform',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.salesPlatform.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'ContractCategory',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.contractCategory.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'CancellationPeriod',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.cancellationPeriod.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'ContractDuration',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.contractDuration.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'AppSetting',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.appSetting.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'EmailProviderConfig',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.emailProviderConfig.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'EnergyProvider',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.energyProvider.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'TelecomProvider',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.telecomProvider.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      // Level 1
-      {
+      { name: 'RolePermission', model: prisma.rolePermission, compositeKey: ['roleId', 'permissionId'] },
-        name: 'RolePermission',
+      { name: 'User', model: prisma.user },
-        restore: async (data: any[]) => {
+      { name: 'Customer', model: prisma.customer },
-          for (const item of data) {
+      { name: 'Tariff', model: prisma.tariff },
            await prisma.rolePermission.upsert({
              where: { roleId_permissionId: { roleId: item.roleId, permissionId: item.permissionId } },
              update: {},
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'User',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.user.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'Customer',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.customer.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'Tariff',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.tariff.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
-      // Level 2
+      // Level 2: Customer-abhängig
-      {
+      { name: 'UserRole', model: prisma.userRole, compositeKey: ['userId', 'roleId'] },
-        name: 'UserRole',
+      { name: 'Address', model: prisma.address },
-        restore: async (data: any[]) => {
+      { name: 'BankCard', model: prisma.bankCard },
-          for (const item of data) {
+      { name: 'IdentityDocument', model: prisma.identityDocument },
-            await prisma.userRole.upsert({
+      { name: 'Meter', model: prisma.meter },
-              where: { userId_roleId: { userId: item.userId, roleId: item.roleId } },
+      { name: 'StressfreiEmail', model: prisma.stressfreiEmail },
-              update: {},
+      { name: 'CustomerRepresentative', model: prisma.customerRepresentative },
-              create: convertDates(item),
+      { name: 'CustomerConsent', model: prisma.customerConsent },
-            });
+      { name: 'DataDeletionRequest', model: prisma.dataDeletionRequest },
          }
        },
      },
      {
        name: 'CustomerRepresentative',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.customerRepresentative.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'StressfreiEmail',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.stressfreiEmail.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'Contract',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.contract.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'Meter',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.meter.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
-      // Level 3
+      // Level 3: Contracts
-      {
+      { name: 'Contract', model: prisma.contract },
-        name: 'CachedEmail',
+      { name: 'RepresentativeAuthorization', model: prisma.representativeAuthorization },
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.cachedEmail.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'ContractTask',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.contractTask.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'MeterReading',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.meterReading.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'ContractNote',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.contractNote.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'ContractDocument',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.contractDocument.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
-      // Level 4
+      // Level 4: Vertragstyp-Details
-      {
+      { name: 'EnergyContractDetails', model: prisma.energyContractDetails },
-        name: 'ContractTaskSubtask',
+      { name: 'InternetContractDetails', model: prisma.internetContractDetails },
-        restore: async (data: any[]) => {
+      { name: 'MobileContractDetails', model: prisma.mobileContractDetails },
-          for (const item of data) {
+      { name: 'TvContractDetails', model: prisma.tvContractDetails },
-            await prisma.contractTaskSubtask.upsert({
+      { name: 'CarInsuranceDetails', model: prisma.carInsuranceDetails },
-              where: { id: item.id },
+      { name: 'ContractMeter', model: prisma.contractMeter },
-              update: convertDates(item),
+      { name: 'ContractDocument', model: prisma.contractDocument },
-              create: convertDates(item),
+      { name: 'ContractHistoryEntry', model: prisma.contractHistoryEntry },
-            });
+      { name: 'ContractTask', model: prisma.contractTask },
-          }
+      { name: 'Invoice', model: prisma.invoice },
-        },
+      { name: 'MeterReading', model: prisma.meterReading },
      },
-      // Vertragsdetails
+      // Level 5: Sub-Tabellen
-      {
+      { name: 'ContractTaskSubtask', model: prisma.contractTaskSubtask },
-        name: 'EnergyContractDetails',
+      { name: 'PhoneNumber', model: prisma.phoneNumber },
-        restore: async (data: any[]) => {
+      { name: 'SimCard', model: prisma.simCard },
-          for (const item of data) {
+
-            await prisma.energyContractDetails.upsert({
+      // Level 6: Logs & Emails
-              where: { id: item.id },
+      { name: 'CachedEmail', model: prisma.cachedEmail },
-              update: convertDates(item),
+      { name: 'EmailLog', model: prisma.emailLog },
-              create: convertDates(item),
+      { name: 'AuditLog', model: prisma.auditLog },
            });
          }
        },
      },
      {
        name: 'TelecomContractDetails',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.telecomContractDetails.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'CarInsuranceDetails',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.carInsuranceDetails.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
    ];
    let totalRestored = 0;
    const skipped: string[] = [];
-    for (const table of restoreOrder) {
+    for (const table of order) {
      const filePath = path.join(backupDir, `${table.name}.json`);
-      const data = readJsonFile(filePath);
+      const data = readJsonFile<any>(filePath);
      if (data.length === 0) {
        console.log(`⚪ ${table.name}: Keine Daten`);
@@ -459,17 +224,23 @@ async function main() {
      }
      try {
-        await table.restore(data);
+        const count = await restoreTable(table.name, data, table.model, {
-        totalRestored += data.length;
+          compositeKey: table.compositeKey,
-        console.log(`✅ ${table.name}: ${data.length} Einträge wiederhergestellt`);
+        });
        totalRestored += count;
        console.log(`✅ ${table.name}: ${count}/${data.length} Einträge wiederhergestellt`);
      } catch (error: any) {
-        console.log(`⚠️  ${table.name}: Fehler - ${error.message?.slice(0, 80)}`);
+        skipped.push(table.name);
        console.log(`⚠️  ${table.name}: Fehler - ${error.message?.slice(0, 100)}`);
      }
    }
    console.log(`\n✅ Wiederherstellung abgeschlossen!`);
-    console.log(`   📊 ${totalRestored} Datensätze wiederhergestellt\n`);
+    console.log(`   📊 ${totalRestored} Datensätze wiederhergestellt`);
-
+    if (skipped.length > 0) {
      console.log(`   ⚠️  ${skipped.length} Tabellen mit Fehlern: ${skipped.join(', ')}`);
    }
    console.log('');
  } finally {
    // Foreign Key Checks wieder aktivieren
    await prisma.$executeRawUnsafe('SET FOREIGN_KEY_CHECKS = 1');
@@ -78,6 +78,10 @@ model User {
  isActive           Boolean   @default(true)
  tokenInvalidatedAt DateTime? // Zeitpunkt ab dem alle Tokens ungültig sind (für Zwangslogout bei Rechteänderung)
  // Passwort-Reset
  passwordResetToken     String?   @unique
  passwordResetExpiresAt DateTime?
  // Messaging-Kanäle (für Datenschutz-Link-Versand)
  whatsappNumber     String?
  telegramUsername   String?
@@ -163,6 +167,12 @@ model Customer {
  portalPasswordEncrypted      String?                         // Verschlüsseltes Passwort (für Anzeige)
  portalLastLogin              DateTime?                       // Letzte Anmeldung
  // Portal Passwort-Reset
  portalPasswordResetToken     String?        @unique
  portalPasswordResetExpiresAt DateTime?
  // Portal Session-Invalidation (nach Passwort-Reset / Rechte-Änderung)
  portalTokenInvalidatedAt     DateTime?
  // Geburtstagsmodal: Jahr in dem dem Kunden der Geburtstagsgruß gezeigt wurde (vermeidet mehrfaches Anzeigen)
  lastBirthdayGreetingYear     Int?
@@ -1103,3 +1113,53 @@ model AuditRetentionPolicy {
  @@unique([resourceType, sensitivity])
 }
 // ==================== SECURITY MONITORING ====================
 // Sicherheitsrelevante Events für Realtime-Alerting + Forensik.
 // Im Gegensatz zum AuditLog (forensisch, hash-gekettet) ist das hier
 // optimiert für schnelles Filtern + Alerting (nicht-tamper-evident, dafür
 // effizient querybar). Threshold-Detection läuft per Cron.
 enum SecurityEventType {
  LOGIN_FAILED            // falsches Passwort / unbekannter User
  LOGIN_SUCCESS           // erfolgreicher Login (informativ)
  RATE_LIMIT_HIT          // express-rate-limit hat zugeschlagen
  ACCESS_DENIED           // 403 von canAccess* (versuchter IDOR)
  SSRF_BLOCKED            // ssrfGuard hat geblockte Adresse abgefangen
  PASSWORD_RESET_REQUEST  // Reset-Mail angefordert
  PASSWORD_RESET_CONFIRM  // Reset abgeschlossen
  LOGOUT                  // expliziter Logout
  TOKEN_REJECTED          // ungültiger / abgelaufener / manipulierter JWT
  PERMISSION_CHANGED      // Admin hat Rolle/Permission geändert
  SUSPICIOUS              // generischer Catch-All
 }
 enum SecuritySeverity {
  INFO      // Login-Success, Logout
  LOW       // Einzelner failed Login, einzelner 403
  MEDIUM    // Rate-Limit-Hit, mehrere 403er
  HIGH      // SSRF-Block, JWT-Manipulation
  CRITICAL  // Threshold überschritten (>10 failed login/h, >5 403/min)
 }
 model SecurityEvent {
  id          Int                @id @default(autoincrement())
  type        SecurityEventType
  severity    SecuritySeverity
  message     String             @db.Text
  ipAddress   String?
  userId      Int?               // Mitarbeiter (falls eingeloggt)
  customerId  Int?               // Portal-Kunde (falls eingeloggt)
  userEmail   String?            // beste Schätzung – auch bei nicht eingeloggt
  endpoint    String?            // betroffener Endpoint
  details     Json?              // strukturierte Zusatzinfo
  alerted     Boolean            @default(false)  // schon per Email versendet?
  alertedAt   DateTime?
  createdAt   DateTime           @default(now())
  @@index([type, createdAt])
  @@index([severity, createdAt])
  @@index([ipAddress, createdAt])
  @@index([alerted, severity])
 }
@@ -15,7 +15,11 @@ import { PrismaClient } from '@prisma/client';
 const prisma = new PrismaClient();
-const ROOT = path.join(process.cwd(), 'factory-defaults');
+// ROOT kann via FACTORY_DEFAULTS_DIR überschrieben werden (Container-Bootstrap
 // mit eingebauten Defaults aus dem Image).
 const ROOT = process.env.FACTORY_DEFAULTS_DIR
  ? path.resolve(process.env.FACTORY_DEFAULTS_DIR)
  : path.join(process.cwd(), 'factory-defaults');
 const UPLOADS_ROOT = path.join(process.cwd(), 'uploads');
 const PDF_UPLOAD_DIR = path.join(UPLOADS_ROOT, 'pdf-templates');
@@ -61,6 +65,19 @@ interface PdfTemplateDef {
  pdfFilename: string; // Dateiname im pdf-templates/-Ordner
 }
 interface AppSettingDef {
  key: string;
  value: string;
 }
 // Whitelist – muss synchron zu factoryDefaults.service.ts sein.
 const FACTORY_DEFAULT_APP_SETTING_KEYS = new Set([
  'privacyPolicyHtml',
  'authorizationTemplateHtml',
  'imprintHtml',
  'websitePrivacyPolicyHtml',
 ]);
 /**
 * Liest alle *.json Dateien aus einem Ordner und gibt die zusammengeführten Arrays zurück.
 */
@@ -299,6 +316,31 @@ async function seedPdfTemplates() {
  console.log(`  ✓ PDF-Vorlagen: ${count}${skipped > 0 ? ` (${skipped} übersprungen)` : ''}`);
 }
 async function seedAppSettings() {
  const items = readJsonArrays<AppSettingDef>(path.join(ROOT, 'app-settings'));
  if (items.length === 0) {
    console.log('  app-settings – keine Einträge');
    return;
  }
  let count = 0;
  let skipped = 0;
  for (const s of items) {
    if (!s.key || typeof s.value !== 'string') continue;
    if (!FACTORY_DEFAULT_APP_SETTING_KEYS.has(s.key)) {
      console.warn(`  ⚠  AppSetting-Key '${s.key}' nicht auf Whitelist – übersprungen`);
      skipped++;
      continue;
    }
    await prisma.appSetting.upsert({
      where: { key: s.key },
      update: { value: s.value },
      create: { key: s.key, value: s.value },
    });
    count++;
  }
  console.log(`  ✓ HTML-Templates: ${count}${skipped > 0 ? ` (${skipped} übersprungen)` : ''}`);
 }
 async function main() {
  console.log('\n📦 Factory-Defaults werden eingespielt...\n');
@@ -313,6 +355,7 @@ async function main() {
  await seedContractDurations();
  await seedContractCategories();
  await seedPdfTemplates();
  await seedAppSettings();
  console.log('\n✅ Factory-Defaults erfolgreich eingespielt.\n');
 }
@@ -1,12 +1,14 @@
 import { Request, Response } from 'express';
 import * as authService from '../services/auth.service.js';
 import { AuthRequest, ApiResponse } from '../types/index.js';
 import prisma from '../lib/prisma.js';
 import { emit as emitSecurityEvent, contextFromRequest } from '../services/securityMonitor.service.js';
 // Mitarbeiter-Login
 export async function login(req: Request, res: Response): Promise<void> {
  const { email, password } = req.body || {};
  const ctx = contextFromRequest(req);
  try {
    const { email, password } = req.body;
    if (!email || !password) {
      res.status(400).json({
        success: false,
@@ -16,8 +18,25 @@ export async function login(req: Request, res: Response): Promise<void> {
    }
    const result = await authService.login(email, password);
    emitSecurityEvent({
      type: 'LOGIN_SUCCESS',
      severity: 'INFO',
      message: `Mitarbeiter-Login: ${email}`,
      ipAddress: ctx.ipAddress,
      userId: result.user.id,
      userEmail: email,
      endpoint: ctx.endpoint,
    });
    res.json({ success: true, data: result } as ApiResponse);
  } catch (error) {
    emitSecurityEvent({
      type: 'LOGIN_FAILED',
      severity: 'LOW',
      message: `Login-Fehlversuch (Mitarbeiter): ${email || '<leer>'}`,
      ipAddress: ctx.ipAddress,
      userEmail: email,
      endpoint: ctx.endpoint,
    });
    res.status(401).json({
      success: false,
      error: error instanceof Error ? error.message : 'Anmeldung fehlgeschlagen',
@@ -27,9 +46,9 @@ export async function login(req: Request, res: Response): Promise<void> {
 // Kundenportal-Login
 export async function customerLogin(req: Request, res: Response): Promise<void> {
  const { email, password } = req.body || {};
  const ctx = contextFromRequest(req);
  try {
    const { email, password } = req.body;
    if (!email || !password) {
      res.status(400).json({
        success: false,
@@ -39,8 +58,25 @@ export async function customerLogin(req: Request, res: Response): Promise<void>
    }
    const result = await authService.customerLogin(email, password);
    emitSecurityEvent({
      type: 'LOGIN_SUCCESS',
      severity: 'INFO',
      message: `Portal-Login: ${email}`,
      ipAddress: ctx.ipAddress,
      customerId: result.user.customerId,
      userEmail: email,
      endpoint: ctx.endpoint,
    });
    res.json({ success: true, data: result } as ApiResponse);
  } catch (error) {
    emitSecurityEvent({
      type: 'LOGIN_FAILED',
      severity: 'LOW',
      message: `Login-Fehlversuch (Portal): ${email || '<leer>'}`,
      ipAddress: ctx.ipAddress,
      userEmail: email,
      endpoint: ctx.endpoint,
    });
    res.status(401).json({
      success: false,
      error: error instanceof Error ? error.message : 'Anmeldung fehlgeschlagen',
@@ -99,6 +135,148 @@ export async function me(req: AuthRequest, res: Response): Promise<void> {
  }
 }
 /**
 * Passwort-Reset anfordern (Email + Token per Mail).
 * Immer 200 OK zurückgeben um Email-Existenz nicht preiszugeben (User-Enumeration-Schutz).
 */
 export async function requestPasswordReset(req: Request, res: Response): Promise<void> {
  try {
    const { email, userType } = req.body; // userType: 'admin' | 'portal'
    if (!email) {
      res.status(400).json({ success: false, error: 'E-Mail erforderlich' } as ApiResponse);
      return;
    }
    await authService.requestPasswordReset(email, userType === 'portal' ? 'portal' : 'admin');
    const ctx = contextFromRequest(req);
    emitSecurityEvent({
      type: 'PASSWORD_RESET_REQUEST',
      severity: 'MEDIUM',
      message: `Passwort-Reset angefordert (${userType === 'portal' ? 'Portal' : 'Mitarbeiter'}): ${email}`,
      ipAddress: ctx.ipAddress,
      userEmail: email,
      endpoint: ctx.endpoint,
      details: { userType: userType === 'portal' ? 'portal' : 'admin' },
    });
    // IMMER success senden, damit Angreifer nicht herausfinden kann welche Emails existieren
    res.json({
      success: true,
      message: 'Wenn ein Konto mit dieser E-Mail existiert, wurde ein Link zum Zurücksetzen gesendet.',
    } as ApiResponse);
  } catch (error) {
    console.error('Password reset request error:', error);
    // Auch bei Fehlern dieselbe Antwort
    res.json({
      success: true,
      message: 'Wenn ein Konto mit dieser E-Mail existiert, wurde ein Link zum Zurücksetzen gesendet.',
    } as ApiResponse);
  }
 }
 /**
 * Passwort-Reset bestätigen (Token + neues Passwort).
 */
 export async function confirmPasswordReset(req: Request, res: Response): Promise<void> {
  try {
    const { token, password } = req.body;
    if (!token || !password) {
      res.status(400).json({
        success: false,
        error: 'Token und neues Passwort erforderlich',
      } as ApiResponse);
      return;
    }
    if (password.length < 6) {
      res.status(400).json({
        success: false,
        error: 'Das Passwort muss mindestens 6 Zeichen lang sein',
      } as ApiResponse);
      return;
    }
    await authService.confirmPasswordReset(token, password);
    const ctx = contextFromRequest(req);
    emitSecurityEvent({
      type: 'PASSWORD_RESET_CONFIRM',
      severity: 'HIGH',
      message: 'Passwort-Reset abgeschlossen',
      ipAddress: ctx.ipAddress,
      endpoint: ctx.endpoint,
    });
    res.json({
      success: true,
      message: 'Passwort erfolgreich zurückgesetzt. Du kannst dich jetzt einloggen.',
    } as ApiResponse);
  } catch (error) {
    const ctx = contextFromRequest(req);
    emitSecurityEvent({
      type: 'TOKEN_REJECTED',
      severity: 'MEDIUM',
      message: 'Passwort-Reset mit ungültigem/abgelaufenem Token versucht',
      ipAddress: ctx.ipAddress,
      endpoint: ctx.endpoint,
    });
    res.status(400).json({
      success: false,
      error: error instanceof Error ? error.message : 'Passwort-Reset fehlgeschlagen',
    } as ApiResponse);
  }
 }
 /**
 * Logout: invalidiert den aktuellen JWT serverseitig durch Setzen von
 * tokenInvalidatedAt / portalTokenInvalidatedAt auf jetzt. Auth-Middleware
 * prüft dieses Feld und lehnt Tokens ab, deren `iat` davor liegt.
 *
 * Hinweis: Da JWTs stateless sind, gibt es keine echte Token-Revocation
 * ohne dieses Pattern. Logout invalidiert ALLE aktiven Sessions des Users
 * (auch andere Geräte) – akzeptabel für ein Sicherheits-Logout.
 */
 export async function logout(req: AuthRequest, res: Response): Promise<void> {
  try {
    const user = req.user as any;
    if (!user) {
      res.json({ success: true, message: 'Bereits abgemeldet' } as ApiResponse);
      return;
    }
    if (user.isCustomerPortal && user.customerId) {
      await prisma.customer.update({
        where: { id: user.customerId },
        data: { portalTokenInvalidatedAt: new Date() },
      });
    } else if (user.userId) {
      await prisma.user.update({
        where: { id: user.userId },
        data: { tokenInvalidatedAt: new Date() },
      });
    }
    const ctx = contextFromRequest(req);
    emitSecurityEvent({
      type: 'LOGOUT',
      severity: 'INFO',
      message: `Logout: ${user.email || (user.isCustomerPortal ? 'Portal-User' : 'Mitarbeiter')}`,
      ipAddress: ctx.ipAddress,
      userId: ctx.userId,
      customerId: ctx.customerId,
      userEmail: user.email,
      endpoint: ctx.endpoint,
    });
    res.json({ success: true, message: 'Abgemeldet' } as ApiResponse);
  } catch (error) {
    res.status(500).json({
      success: false,
      error: 'Fehler beim Abmelden',
    } as ApiResponse);
  }
 }
 export async function register(req: Request, res: Response): Promise<void> {
  try {
    const { email, password, firstName, lastName, roleIds } = req.body;
@@ -1,5 +1,14 @@
 import { Request, Response } from 'express';
 import * as backupService from '../services/backup.service.js';
 /**
 * Validiert Backup-Namen: nur Zeichen die auch der Backup-Generator erstellen darf
 * (ISO-Zeitstempel mit Buchstaben, Zahlen, Bindestrich, optional -N Suffix).
 * Blockt Path-Traversal-Versuche wie "../../etc/passwd".
 */
 function isValidBackupName(name: string): boolean {
  return /^[A-Za-z0-9_-]+$/.test(name) && !name.includes('..');
 }
 import { logChange } from '../services/audit.service.js';
 /**
@@ -45,8 +54,8 @@ export async function restoreBackup(req: Request, res: Response) {
  try {
    const { name } = req.params;
-    if (!name) {
+    if (!name || !isValidBackupName(name)) {
-      return res.status(400).json({ error: 'Backup-Name erforderlich' });
+      return res.status(400).json({ error: 'Ungültiger Backup-Name' });
    }
    const result = await backupService.restoreBackup(name);
@@ -79,8 +88,8 @@ export async function deleteBackup(req: Request, res: Response) {
  try {
    const { name } = req.params;
-    if (!name) {
+    if (!name || !isValidBackupName(name)) {
-      return res.status(400).json({ error: 'Backup-Name erforderlich' });
+      return res.status(400).json({ error: 'Ungültiger Backup-Name' });
    }
    const result = await backupService.deleteBackup(name);
@@ -107,8 +116,8 @@ export async function downloadBackup(req: Request, res: Response) {
  try {
    const { name } = req.params;
-    if (!name) {
+    if (!name || !isValidBackupName(name)) {
-      return res.status(400).json({ error: 'Backup-Name erforderlich' });
+      return res.status(400).json({ error: 'Ungültiger Backup-Name' });
    }
    const result = await backupService.createBackupZip(name);
@@ -11,17 +11,25 @@ import { decrypt } from '../utils/encryption.js';
 import { ApiResponse } from '../types/index.js';
 import { getCustomerTargets, getContractTargets, getIdentityDocumentTargets, getBankCardTargets, documentTargets } from '../config/documentTargets.config.js';
 import { generateEmailPdf } from '../services/pdfService.js';
 import { maybeActivateOnDeliveryConfirmation } from '../services/contractStatusScheduler.service.js';
 import { DocumentType } from '@prisma/client';
 import prisma from '../lib/prisma.js';
 import path from 'path';
 import fs from 'fs';
 import { AuthRequest } from '../types/index.js';
 import {
  canAccessCustomer,
  canAccessContract,
  canAccessCachedEmail,
 } from '../utils/accessControl.js';
 // ==================== E-MAIL LIST ====================
 // E-Mails für einen Kunden abrufen
-export async function getEmailsForCustomer(req: Request, res: Response): Promise<void> {
+export async function getEmailsForCustomer(req: AuthRequest, res: Response): Promise<void> {
  try {
    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const stressfreiEmailId = req.query.accountId ? parseInt(req.query.accountId as string) : undefined;
    const folder = req.query.folder as string | undefined; // INBOX oder SENT
    const limit = req.query.limit ? parseInt(req.query.limit as string) : 50;
@@ -47,9 +55,10 @@ export async function getEmailsForCustomer(req: Request, res: Response): Promise
 }
 // E-Mails für einen Vertrag abrufen
-export async function getEmailsForContract(req: Request, res: Response): Promise<void> {
+export async function getEmailsForContract(req: AuthRequest, res: Response): Promise<void> {
  try {
    const contractId = parseInt(req.params.contractId);
    if (!(await canAccessContract(req, res, contractId))) return;
    const folder = req.query.folder as string | undefined; // INBOX oder SENT
    const limit = req.query.limit ? parseInt(req.query.limit as string) : 50;
    const offset = req.query.offset ? parseInt(req.query.offset as string) : 0;
@@ -75,9 +84,11 @@ export async function getEmailsForContract(req: Request, res: Response): Promise
 // ==================== SINGLE EMAIL ====================
 // Einzelne E-Mail abrufen (mit Body)
-export async function getEmail(req: Request, res: Response): Promise<void> {
+export async function getEmail(req: AuthRequest, res: Response): Promise<void> {
  try {
    const id = parseInt(req.params.id);
    if (!(await canAccessCachedEmail(req, res, id))) return;
    const email = await cachedEmailService.getCachedEmailById(id);
    if (!email) {
@@ -246,12 +257,30 @@ export async function syncAccount(req: Request, res: Response): Promise<void> {
  }
 }
 // Security: verhindert Header-Injection via CRLF in E-Mail-Feldern.
 // nodemailer prüft das zwar auch selbst, aber besser vor dem Versand
 // einen sauberen 400er zurückgeben als einen unklaren SMTP-Fehler.
 function hasCRLF(value: unknown): boolean {
  if (typeof value === 'string') return /[\r\n]/.test(value);
  if (Array.isArray(value)) return value.some(hasCRLF);
  return false;
 }
 // E-Mail senden
 export async function sendEmailFromAccount(req: Request, res: Response): Promise<void> {
  try {
    const stressfreiEmailId = parseInt(req.params.id);
    const { to, cc, subject, text, html, inReplyTo, references, attachments, contractId } = req.body;
    // Header-Injection (CRLF) in Empfänger/Betreff ablehnen
    if (hasCRLF(to) || hasCRLF(cc) || hasCRLF(subject) || hasCRLF(inReplyTo) || hasCRLF(references)) {
      res.status(400).json({
        success: false,
        error: 'Ungültige Zeichen in E-Mail-Feldern (Zeilenumbrüche nicht erlaubt)',
      } as ApiResponse);
      return;
    }
    // StressfreiEmail laden
    const stressfreiEmail = await stressfreiEmailService.getEmailWithMailboxById(stressfreiEmailId);
@@ -396,9 +425,10 @@ export async function sendEmailFromAccount(req: Request, res: Response): Promise
 // ==================== ATTACHMENTS ====================
 // Anhang-Liste einer E-Mail abrufen
-export async function getAttachments(req: Request, res: Response): Promise<void> {
+export async function getAttachments(req: AuthRequest, res: Response): Promise<void> {
  try {
    const emailId = parseInt(req.params.emailId);
    if (!(await canAccessCachedEmail(req, res, emailId))) return;
    // E-Mail aus Cache laden
    const email = await cachedEmailService.getCachedEmailById(emailId);
@@ -429,11 +459,14 @@ export async function getAttachments(req: Request, res: Response): Promise<void>
 }
 // Einzelnen Anhang herunterladen
-export async function downloadAttachment(req: Request, res: Response): Promise<void> {
+export async function downloadAttachment(req: AuthRequest, res: Response): Promise<void> {
  try {
    const emailId = parseInt(req.params.emailId);
    const filename = decodeURIComponent(req.params.filename);
    // Portal-Isolation: nur eigene/vertretene Emails
    if (!(await canAccessCachedEmail(req, res, emailId))) return;
    // E-Mail aus Cache laden
    const email = await cachedEmailService.getCachedEmailById(emailId);
    if (!email) {
@@ -500,10 +533,26 @@ export async function downloadAttachment(req: Request, res: Response): Promise<v
      return;
    }
-    // Datei senden - inline (öffnen) oder attachment (download)
+    // Security: Content-Type aus IMAP kommt vom Absender und kann `text/html`
-    const disposition = req.query.view === 'true' ? 'inline' : 'attachment';
+    // o.ä. sein. Für inline-Preview nur eine Whitelist "harmloser" Typen
-    res.setHeader('Content-Type', attachment.contentType);
+    // zulassen, sonst zwingend als Download (attachment) ausliefern, um XSS
-    res.setHeader('Content-Disposition', `${disposition}; filename="${encodeURIComponent(attachment.filename)}"`);
+    // via inline-HTML-Anhang zu verhindern. Zusätzlich nosniff setzen.
    const INLINE_SAFE_TYPES = new Set([
      'application/pdf',
      'image/png', 'image/jpeg', 'image/jpg', 'image/gif', 'image/webp',
      'image/svg+xml' /* wird unten trotzdem als download erzwungen */,
      'text/plain',
    ]);
    const rawType = (attachment.contentType || 'application/octet-stream').toLowerCase();
    // SVG kann Skripte enthalten → niemals inline
    const isSafeInline = INLINE_SAFE_TYPES.has(rawType) && rawType !== 'image/svg+xml';
    const requestedDisposition = req.query.view === 'true' ? 'inline' : 'attachment';
    const disposition = requestedDisposition === 'inline' && isSafeInline ? 'inline' : 'attachment';
    // Filename: Steuerzeichen entfernen (CRLF-Injection in Header)
    const safeFilename = (attachment.filename || 'attachment').replace(/[\r\n"\\]/g, '_');
    res.setHeader('X-Content-Type-Options', 'nosniff');
    res.setHeader('Content-Type', isSafeInline ? rawType : 'application/octet-stream');
    res.setHeader('Content-Disposition', `${disposition}; filename="${encodeURIComponent(safeFilename)}"`);
    res.setHeader('Content-Length', attachment.size);
    res.send(attachment.content);
  } catch (error) {
@@ -1877,6 +1926,9 @@ export async function saveAttachmentAsContractDocument(req: Request, res: Respon
      return;
    }
    // Ownership-Check (Portal-Kunde darf nur auf eigenen/vertretenen Vertrag)
    if (!(await canAccessContract(req as AuthRequest, res, contract.id))) return;
    // Für gesendete E-Mails: Prüfen ob UID vorhanden
    if (email.folder === 'SENT' && email.uid === 0) {
      res.status(400).json({
@@ -1953,6 +2005,10 @@ export async function saveAttachmentAsContractDocument(req: Request, res: Respon
      },
    });
    // Falls Lieferbestätigung: DRAFT → ACTIVE + startDate setzen falls leer
    const deliveryDate = typeof req.body?.deliveryDate === 'string' ? req.body.deliveryDate : null;
    await maybeActivateOnDeliveryConfirmation(contract.id, documentType, req, deliveryDate);
    res.json({ success: true, data: doc } as ApiResponse);
  } catch (error) {
    console.error('saveAttachmentAsContractDocument error:', error);
@@ -6,6 +6,8 @@ import * as contractHistoryService from '../services/contractHistory.service.js'
 import * as authorizationService from '../services/authorization.service.js';
 import { ApiResponse, AuthRequest } from '../types/index.js';
 import { logChange } from '../services/audit.service.js';
 import { canAccessContract } from '../utils/accessControl.js';
 import { maybeActivateOnDeliveryConfirmation } from '../services/contractStatusScheduler.service.js';
 export async function getContracts(req: AuthRequest, res: Response): Promise<void> {
  try {
@@ -254,9 +256,64 @@ export async function createFollowUp(req: AuthRequest, res: Response): Promise<v
  }
 }
-export async function getContractPassword(req: Request, res: Response): Promise<void> {
+/**
 * VVL = Vertragsverlängerung beim selben Anbieter.
 * Erstellt einen neuen Vertrag mit allen Daten des Vorgängers (außer
 * Auftragsdokument), Startdatum = altes Start + Vertragslaufzeit.
 */
 export async function createRenewal(req: AuthRequest, res: Response): Promise<void> {
  try {
-    const password = await contractService.getContractPassword(parseInt(req.params.id));
+    const previousContractId = parseInt(req.params.id);
    const previousContract = await prisma.contract.findUnique({
      where: { id: previousContractId },
      select: { contractNumber: true },
    });
    if (!previousContract) {
      res.status(404).json({ success: false, error: 'Vorgängervertrag nicht gefunden' } as ApiResponse);
      return;
    }
    const contract = await contractService.createRenewalContract(previousContractId);
    if (!contract) {
      res.status(500).json({ success: false, error: 'VVL konnte nicht erstellt werden' } as ApiResponse);
      return;
    }
    const createdBy = req.user?.email || 'unbekannt';
    await contractHistoryService.createRenewalHistoryEntry(
      previousContractId,
      contract.contractNumber,
      createdBy,
    );
    await contractHistoryService.createNewRenewalFromPredecessorEntry(
      contract.id,
      previousContract.contractNumber,
      createdBy,
    );
    await logChange({
      req, action: 'CREATE', resourceType: 'Contract',
      resourceId: contract.id.toString(),
      label: `VVL erstellt für ${previousContract.contractNumber}`,
      customerId: contract.customerId,
    });
    res.status(201).json({ success: true, data: contract } as ApiResponse);
  } catch (error) {
    res.status(400).json({
      success: false,
      error: error instanceof Error ? error.message : 'Fehler beim Erstellen der VVL',
    } as ApiResponse);
  }
 }
 export async function getContractPassword(req: AuthRequest, res: Response): Promise<void> {
  try {
    const contractId = parseInt(req.params.id);
    if (!(await canAccessContract(req, res, contractId))) return;
    const password = await contractService.getContractPassword(contractId);
    if (password === null) {
      res.status(404).json({
        success: false,
@@ -273,9 +330,21 @@ export async function getContractPassword(req: Request, res: Response): Promise<
  }
 }
-export async function getSimCardCredentials(req: Request, res: Response): Promise<void> {
+export async function getSimCardCredentials(req: AuthRequest, res: Response): Promise<void> {
  try {
-    const credentials = await contractService.getSimCardCredentials(parseInt(req.params.simCardId));
+    const simCardId = parseInt(req.params.simCardId);
    // SimCard → MobileDetails → Contract
    const sim = await prisma.simCard.findUnique({
      where: { id: simCardId },
      select: { mobileDetails: { select: { contractId: true } } },
    });
    if (!sim?.mobileDetails) {
      res.status(404).json({ success: false, error: 'SIM-Karte nicht gefunden' } as ApiResponse);
      return;
    }
    if (!(await canAccessContract(req, res, sim.mobileDetails.contractId))) return;
    const credentials = await contractService.getSimCardCredentials(simCardId);
    res.json({ success: true, data: credentials } as ApiResponse);
  } catch (error) {
    res.status(500).json({
@@ -285,9 +354,12 @@ export async function getSimCardCredentials(req: Request, res: Response): Promis
  }
 }
-export async function getInternetCredentials(req: Request, res: Response): Promise<void> {
+export async function getInternetCredentials(req: AuthRequest, res: Response): Promise<void> {
  try {
-    const credentials = await contractService.getInternetCredentials(parseInt(req.params.id));
+    const contractId = parseInt(req.params.id);
    if (!(await canAccessContract(req, res, contractId))) return;
    const credentials = await contractService.getInternetCredentials(contractId);
    res.json({ success: true, data: credentials } as ApiResponse);
  } catch (error) {
    res.status(500).json({
@@ -297,9 +369,21 @@ export async function getInternetCredentials(req: Request, res: Response): Promi
  }
 }
-export async function getSipCredentials(req: Request, res: Response): Promise<void> {
+export async function getSipCredentials(req: AuthRequest, res: Response): Promise<void> {
  try {
-    const credentials = await contractService.getSipCredentials(parseInt(req.params.phoneNumberId));
+    const phoneNumberId = parseInt(req.params.phoneNumberId);
    // PhoneNumber → InternetDetails → Contract
    const phone = await prisma.phoneNumber.findUnique({
      where: { id: phoneNumberId },
      select: { internetDetails: { select: { contractId: true } } },
    });
    if (!phone?.internetDetails) {
      res.status(404).json({ success: false, error: 'Rufnummer nicht gefunden' } as ApiResponse);
      return;
    }
    if (!(await canAccessContract(req, res, phone.internetDetails.contractId))) return;
    const credentials = await contractService.getSipCredentials(phoneNumberId);
    res.json({ success: true, data: credentials } as ApiResponse);
  } catch (error) {
    res.status(500).json({
@@ -415,6 +499,8 @@ export async function removeContractMeter(req: AuthRequest, res: Response): Prom
 export async function getContractDocuments(req: AuthRequest, res: Response): Promise<void> {
  try {
    const contractId = parseInt(req.params.id);
    if (!(await canAccessContract(req, res, contractId))) return;
    const documents = await prisma.contractDocument.findMany({
      where: { contractId },
      orderBy: { createdAt: 'desc' },
@@ -428,7 +514,8 @@ export async function getContractDocuments(req: AuthRequest, res: Response): Pro
 export async function uploadContractDocument(req: AuthRequest, res: Response): Promise<void> {
  try {
    const contractId = parseInt(req.params.id);
-    const { documentType, notes } = req.body;
+    if (!(await canAccessContract(req, res, contractId))) return;
    const { documentType, notes, deliveryDate } = req.body;
    if (!req.file) {
      res.status(400).json({ success: false, error: 'Keine Datei hochgeladen' } as ApiResponse);
@@ -461,6 +548,9 @@ export async function uploadContractDocument(req: AuthRequest, res: Response): P
      customerId: contract?.customerId,
    });
    // Falls Lieferbestätigung: DRAFT → ACTIVE + startDate setzen falls leer
    await maybeActivateOnDeliveryConfirmation(contractId, documentType, req, deliveryDate);
    res.status(201).json({ success: true, data: doc } as ApiResponse);
  } catch (error) {
    res.status(400).json({
@@ -474,6 +564,7 @@ export async function deleteContractDocument(req: AuthRequest, res: Response): P
  try {
    const documentId = parseInt(req.params.documentId);
    const contractId = parseInt(req.params.id);
    if (!(await canAccessContract(req, res, contractId))) return;
    const doc = await prisma.contractDocument.findUnique({ where: { id: documentId } });
    if (!doc || doc.contractId !== contractId) {
@@ -4,9 +4,23 @@ import * as customerService from '../services/customer.service.js';
 import * as authService from '../services/auth.service.js';
 import { logChange } from '../services/audit.service.js';
 import { ApiResponse, AuthRequest } from '../types/index.js';
 import {
  sanitizeCustomer,
  sanitizeCustomers,
  sanitizeCustomerStrict,
  pickCustomerCreate,
  pickCustomerUpdate,
 } from '../utils/sanitize.js';
 import {
  canAccessMeter,
  canAccessAddress,
  canAccessBankCard,
  canAccessIdentityDocument,
  canAccessCustomer,
 } from '../utils/accessControl.js';
 // Customer CRUD
-export async function getCustomers(req: Request, res: Response): Promise<void> {
+export async function getCustomers(req: AuthRequest, res: Response): Promise<void> {
  try {
    const { search, type, page, limit } = req.query;
    const result = await customerService.getAllCustomers({
@@ -15,7 +29,25 @@ export async function getCustomers(req: Request, res: Response): Promise<void> {
      page: page ? parseInt(page as string) : undefined,
      limit: limit ? parseInt(limit as string) : undefined,
    });
-    res.json({ success: true, data: result.customers, pagination: result.pagination } as ApiResponse);
+    let customers = result.customers as any[];
    // Portal-Kunden: Liste auf eigenen + vertretene Kunden einschränken.
    // Ohne diesen Filter würde der List-Endpoint die komplette Kundendatenbank
    // an einen einzelnen Portal-Account preisgeben.
    if (req.user?.isCustomerPortal) {
      const allowedIds = new Set<number>();
      if (req.user.customerId) allowedIds.add(req.user.customerId);
      const represented = (req.user as any).representedCustomerIds || [];
      for (const id of represented) allowedIds.add(id);
      customers = customers.filter((c) => allowedIds.has(c.id));
    }
    // Portal-Kunden oder andere Rollen sehen kein portalPasswordEncrypted
    const canSeePasswords = req.user?.permissions?.includes('customers:update') ?? false;
    const sanitized = canSeePasswords
      ? sanitizeCustomers(customers)
      : customers.map((c) => sanitizeCustomerStrict(c)).filter(Boolean);
    res.json({ success: true, data: sanitized, pagination: result.pagination } as ApiResponse);
  } catch (error) {
    res.status(500).json({
      success: false,
@@ -24,14 +56,21 @@ export async function getCustomers(req: Request, res: Response): Promise<void> {
  }
 }
-export async function getCustomer(req: Request, res: Response): Promise<void> {
+export async function getCustomer(req: AuthRequest, res: Response): Promise<void> {
  try {
-    const customer = await customerService.getCustomerById(parseInt(req.params.id));
+    const customerId = parseInt(req.params.id);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const customer = await customerService.getCustomerById(customerId);
    if (!customer) {
      res.status(404).json({ success: false, error: 'Kunde nicht gefunden' } as ApiResponse);
      return;
    }
-    res.json({ success: true, data: customer } as ApiResponse);
+    // Portal-Kunden/Read-only sehen kein portalPasswordEncrypted
    const canSeePasswords = req.user?.permissions?.includes('customers:update') ?? false;
    const sanitized = canSeePasswords
      ? sanitizeCustomer(customer as any)
      : sanitizeCustomerStrict(customer as any);
    res.json({ success: true, data: sanitized } as ApiResponse);
  } catch (error) {
    res.status(500).json({ success: false, error: 'Fehler beim Laden des Kunden' } as ApiResponse);
  }
@@ -39,7 +78,8 @@ export async function getCustomer(req: Request, res: Response): Promise<void> {
 export async function createCustomer(req: Request, res: Response): Promise<void> {
  try {
-    const data = { ...req.body };
+    // Whitelist: nur erlaubte Felder aus req.body übernehmen
    const data: any = pickCustomerCreate(req.body);
    // Convert birthDate string to Date if present
    if (data.birthDate) {
      data.birthDate = new Date(data.birthDate);
@@ -63,7 +103,8 @@ export async function createCustomer(req: Request, res: Response): Promise<void>
 export async function updateCustomer(req: Request, res: Response): Promise<void> {
  try {
    const customerId = parseInt(req.params.id);
-    const data = { ...req.body };
+    // Whitelist: nur erlaubte Felder aus req.body übernehmen (Mass-Assignment-Schutz)
    const data: any = pickCustomerUpdate(req.body);
    // Vorherigen Stand laden für Audit
    const before = await prisma.customer.findUnique({ where: { id: customerId } });
@@ -160,18 +201,21 @@ export async function deleteCustomer(req: Request, res: Response): Promise<void>
 }
 // Addresses
-export async function getAddresses(req: Request, res: Response): Promise<void> {
+export async function getAddresses(req: AuthRequest, res: Response): Promise<void> {
  try {
-    const addresses = await customerService.getCustomerAddresses(parseInt(req.params.customerId));
+    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const addresses = await customerService.getCustomerAddresses(customerId);
    res.json({ success: true, data: addresses } as ApiResponse);
  } catch (error) {
    res.status(500).json({ success: false, error: 'Fehler beim Laden der Adressen' } as ApiResponse);
  }
 }
-export async function createAddress(req: Request, res: Response): Promise<void> {
+export async function createAddress(req: AuthRequest, res: Response): Promise<void> {
  try {
    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const address = await customerService.createAddress(customerId, req.body);
    await logChange({
      req, action: 'CREATE', resourceType: 'Address',
@@ -273,22 +317,22 @@ export async function deleteAddress(req: Request, res: Response): Promise<void>
 }
 // Bank Cards
-export async function getBankCards(req: Request, res: Response): Promise<void> {
+export async function getBankCards(req: AuthRequest, res: Response): Promise<void> {
  try {
    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const showInactive = req.query.showInactive === 'true';
-    const cards = await customerService.getCustomerBankCards(
+    const cards = await customerService.getCustomerBankCards(customerId, showInactive);
      parseInt(req.params.customerId),
      showInactive
    );
    res.json({ success: true, data: cards } as ApiResponse);
  } catch (error) {
    res.status(500).json({ success: false, error: 'Fehler beim Laden der Bankkarten' } as ApiResponse);
  }
 }
-export async function createBankCard(req: Request, res: Response): Promise<void> {
+export async function createBankCard(req: AuthRequest, res: Response): Promise<void> {
  try {
    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const card = await customerService.createBankCard(customerId, req.body);
    await logChange({
      req, action: 'CREATE', resourceType: 'BankCard',
@@ -385,22 +429,22 @@ export async function deleteBankCard(req: Request, res: Response): Promise<void>
 }
 // Identity Documents
-export async function getDocuments(req: Request, res: Response): Promise<void> {
+export async function getDocuments(req: AuthRequest, res: Response): Promise<void> {
  try {
    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const showInactive = req.query.showInactive === 'true';
-    const docs = await customerService.getCustomerDocuments(
+    const docs = await customerService.getCustomerDocuments(customerId, showInactive);
      parseInt(req.params.customerId),
      showInactive
    );
    res.json({ success: true, data: docs } as ApiResponse);
  } catch (error) {
    res.status(500).json({ success: false, error: 'Fehler beim Laden der Ausweise' } as ApiResponse);
  }
 }
-export async function createDocument(req: Request, res: Response): Promise<void> {
+export async function createDocument(req: AuthRequest, res: Response): Promise<void> {
  try {
    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const doc = await customerService.createDocument(customerId, req.body);
    await logChange({
      req, action: 'CREATE', resourceType: 'IdentityDocument',
@@ -503,22 +547,22 @@ export async function deleteDocument(req: Request, res: Response): Promise<void>
 }
 // Meters
-export async function getMeters(req: Request, res: Response): Promise<void> {
+export async function getMeters(req: AuthRequest, res: Response): Promise<void> {
  try {
    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const showInactive = req.query.showInactive === 'true';
-    const meters = await customerService.getCustomerMeters(
+    const meters = await customerService.getCustomerMeters(customerId, showInactive);
      parseInt(req.params.customerId),
      showInactive
    );
    res.json({ success: true, data: meters } as ApiResponse);
  } catch (error) {
    res.status(500).json({ success: false, error: 'Fehler beim Laden der Zähler' } as ApiResponse);
  }
 }
-export async function createMeter(req: Request, res: Response): Promise<void> {
+export async function createMeter(req: AuthRequest, res: Response): Promise<void> {
  try {
    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const meter = await customerService.createMeter(customerId, req.body);
    await logChange({
      req, action: 'CREATE', resourceType: 'Meter',
@@ -611,9 +655,11 @@ export async function deleteMeter(req: Request, res: Response): Promise<void> {
 }
 // Meter Readings
-export async function getMeterReadings(req: Request, res: Response): Promise<void> {
+export async function getMeterReadings(req: AuthRequest, res: Response): Promise<void> {
  try {
-    const readings = await customerService.getMeterReadings(parseInt(req.params.meterId));
+    const meterId = parseInt(req.params.meterId);
    if (!(await canAccessMeter(req, res, meterId))) return;
    const readings = await customerService.getMeterReadings(meterId);
    res.json({ success: true, data: readings } as ApiResponse);
  } catch (error) {
    res.status(500).json({ success: false, error: 'Fehler beim Laden der Zählerstände' } as ApiResponse);
@@ -820,9 +866,11 @@ export async function markReadingTransferred(req: AuthRequest, res: Response): P
 // ==================== PORTAL SETTINGS ====================
-export async function getPortalSettings(req: Request, res: Response): Promise<void> {
+export async function getPortalSettings(req: AuthRequest, res: Response): Promise<void> {
  try {
-    const settings = await customerService.getPortalSettings(parseInt(req.params.customerId));
+    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const settings = await customerService.getPortalSettings(customerId);
    if (!settings) {
      res.status(404).json({ success: false, error: 'Kunde nicht gefunden' } as ApiResponse);
      return;
@@ -950,10 +998,12 @@ export async function getPortalPassword(req: Request, res: Response): Promise<vo
 // ==================== REPRESENTATIVE MANAGEMENT ====================
-export async function getRepresentatives(req: Request, res: Response): Promise<void> {
+export async function getRepresentatives(req: AuthRequest, res: Response): Promise<void> {
  try {
    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    // Wer kann diesen Kunden vertreten (representedBy)?
-    const representedBy = await customerService.getRepresentedByList(parseInt(req.params.customerId));
+    const representedBy = await customerService.getRepresentedByList(customerId);
    res.json({ success: true, data: representedBy } as ApiResponse);
  } catch (error) {
    res.status(500).json({
@@ -7,6 +7,8 @@ import { ApiResponse } from '../types/index.js';
 import { testImapConnection, ImapCredentials } from '../services/imapService.js';
 import { testSmtpConnection, SmtpCredentials } from '../services/smtpService.js';
 import { decrypt } from '../utils/encryption.js';
 import { assertAllowedHost, safeResolveHost } from '../utils/ssrfGuard.js';
 import { emit as emitSecurityEvent, contextFromRequest } from '../services/securityMonitor.service.js';
 import { PrismaClient } from '@prisma/client';
 const prisma = new PrismaClient();
@@ -118,6 +120,33 @@ export async function testConnection(req: Request, res: Response): Promise<void>
      domain: req.body.domain,
    } : undefined;
    // SSRF-Guard inkl. DNS-Rebinding: testData.apiUrl-Hostname zu IP auflösen
    // und prüfen. Wenn DNS auf eine geblockte IP zeigt, abbrechen – ohne dass
    // ein zweiter Lookup zur Connection-Zeit eine andere IP liefern könnte.
    if (testData?.apiUrl) {
      try {
        const url = new URL(testData.apiUrl);
        await safeResolveHost(url.hostname, 'apiUrl-Host');
      } catch (err) {
        if (err instanceof Error && (err.message.includes('geblockte') || err.message.includes('DNS'))) {
          const ctx = contextFromRequest(req);
          emitSecurityEvent({
            type: 'SSRF_BLOCKED',
            severity: 'HIGH',
            message: err.message,
            ipAddress: ctx.ipAddress,
            userId: ctx.userId,
            userEmail: ctx.userEmail,
            endpoint: ctx.endpoint,
            details: { apiUrl: testData.apiUrl },
          });
          res.status(400).json({ success: false, error: err.message } as ApiResponse);
          return;
        }
        // URL-Parse-Fehler ignorieren – Backend reagiert sowieso mit Fehler
      }
    }
    const result = await emailProviderService.testProviderConnection({ id, testData });
    res.json({ success: result.success, data: result } as ApiResponse);
  } catch (error) {
@@ -214,24 +243,56 @@ export async function testMailAccess(req: Request, res: Response): Promise<void>
      return;
    }
    // SSRF-Guard inkl. DNS-Rebinding: Hostnames pre-resolven und gegen
    // geblockte IPs prüfen. Connection läuft danach gegen die IP, der
    // ursprüngliche Hostname wird als TLS-servername gesetzt – damit kann
    // ein zweiter DNS-Lookup keine andere IP unterschieben.
    let smtpResolved: { ip: string; servername: string };
    let imapResolved: { ip: string; servername: string };
    try {
      [smtpResolved, imapResolved] = await Promise.all([
        safeResolveHost(smtpServer, 'SMTP-Server'),
        safeResolveHost(imapServer, 'IMAP-Server'),
      ]);
    } catch (err) {
      const ctx = contextFromRequest(req);
      emitSecurityEvent({
        type: 'SSRF_BLOCKED',
        severity: 'HIGH',
        message: err instanceof Error ? err.message : 'Ungültige Server-Adresse',
        ipAddress: ctx.ipAddress,
        userId: ctx.userId,
        userEmail: ctx.userEmail,
        endpoint: ctx.endpoint,
        details: { smtpServer, imapServer },
      });
      res.status(400).json({
        success: false,
        error: err instanceof Error ? err.message : 'Ungültige Server-Adresse',
      } as ApiResponse);
      return;
    }
    // IMAP testen
    const imapCredentials: ImapCredentials = {
-      host: imapServer,
+      host: imapResolved.ip,
      port: imapPort,
      user: emailAddress,
      password,
      encryption: imapEncryption,
      allowSelfSignedCerts,
      servername: imapResolved.servername,
    };
    // SMTP testen
    const smtpCredentials: SmtpCredentials = {
-      host: smtpServer,
+      host: smtpResolved.ip,
      port: smtpPort,
      user: emailAddress,
      password,
      encryption: smtpEncryption,
      allowSelfSignedCerts,
      servername: smtpResolved.servername,
    };
    let imapResult: { success: boolean; error?: string } = { success: false };
@@ -54,6 +54,7 @@ export async function previewFactoryDefaults(req: AuthRequest, res: Response) {
          contractDurations: data.contractDurations.length,
          contractCategories: data.contractCategories.length,
          pdfTemplates: data.pdfTemplates.length,
          appSettings: data.appSettings.length,
        },
      },
    });
@@ -62,3 +63,39 @@ export async function previewFactoryDefaults(req: AuthRequest, res: Response) {
    res.status(500).json({ success: false, error: 'Fehler beim Laden' });
  }
 }
 /**
 * Factory-Defaults aus ZIP importieren (Upload via multipart/form-data, Feld 'zip').
 * Idempotent: bestehende Einträge werden per unique-Key aktualisiert, nichts wird gelöscht.
 */
 export async function importFactoryDefaults(req: AuthRequest, res: Response) {
  try {
    const file = (req as any).file as Express.Multer.File | undefined;
    if (!file || !file.buffer) {
      return res.status(400).json({ success: false, error: 'Keine ZIP-Datei hochgeladen' });
    }
    const result = await factoryDefaultsService.importFactoryDefaults(file.buffer);
    await createAuditLog({
      userId: req.user?.userId,
      userEmail: req.user?.email || 'unknown',
      // 'UPDATE' weil Factory-Defaults DB-Records upserted; das Label nennt
      // den Vorgang explizit als Import.
      action: 'UPDATE',
      resourceType: 'FactoryDefaults',
      resourceLabel: `Factory-Defaults importiert: ${result.providers} Anbieter, ${result.tariffs} Tarife, ${result.pdfTemplates} PDF-Vorlagen, ${result.appSettings} HTML-Templates`,
      endpoint: req.path,
      httpMethod: req.method,
      ipAddress: req.socket.remoteAddress || 'unknown',
    });
    res.json({ success: true, data: result });
  } catch (error) {
    console.error('Fehler beim Factory-Defaults-Import:', error);
    res.status(400).json({
      success: false,
      error: error instanceof Error ? error.message : 'Fehler beim Import',
    });
  }
 }
@@ -0,0 +1,84 @@
 import { Response } from 'express';
 import path from 'path';
 import fs from 'fs';
 import { AuthRequest } from '../types/index.js';
 import { findUploadOwner } from '../services/fileDownload.service.js';
 import { canAccessCustomer, canAccessContract } from '../utils/accessControl.js';
 /**
 * Authentifizierter Download-Endpoint mit Per-File-Ownership-Check.
 * Ersetzt das ungeschützte `express.static('/api/uploads')`.
 *
 * Aufruf: GET /api/files/download?path=/uploads/<subDir>/<filename>
 *
 * Schritte:
 *   1. Pfad-Format prüfen (muss mit /uploads/ beginnen, kein Traversal)
 *   2. Owner via DB-Lookup ermitteln (welcher Customer/Contract gehört dazu?)
 *   3. canAccessCustomer / canAccessContract / Permission-Check
 *   4. Datei senden (mit korrektem Content-Type)
 *
 * Sicherheitsgewinn ggü. dem alten static-Handler: ein eingeloggter
 * Portal-Kunde kann jetzt nur seine eigenen Files (oder die seiner
 * vertretenen Kunden mit Vollmacht) herunterladen – nicht mehr beliebige
 * Pfade von fremden Kunden, selbst wenn er die Filenames irgendwo
 * mitgeschnitten hätte.
 */
 export async function downloadFile(req: AuthRequest, res: Response): Promise<void> {
  const requested = typeof req.query.path === 'string' ? req.query.path : '';
  if (!requested) {
    res.status(400).json({ success: false, error: 'path-Parameter fehlt' });
    return;
  }
  // Format-Validierung (Traversal-Schutz)
  if (!requested.startsWith('/uploads/') || requested.includes('..') || requested.includes('\0')) {
    res.status(400).json({ success: false, error: 'Ungültiger Pfad' });
    return;
  }
  // Owner ermitteln
  const owner = await findUploadOwner(requested);
  if (!owner) {
    res.status(404).json({ success: false, error: 'Datei nicht gefunden' });
    return;
  }
  // Access-Check je nach Owner-Typ
  if (owner.kind === 'customer') {
    if (!(await canAccessCustomer(req, res, owner.customerId))) return;
  } else if (owner.kind === 'contract') {
    if (!(await canAccessContract(req, res, owner.contractId))) return;
  } else if (owner.kind === 'admin') {
    // PDF-Vorlagen: nur Mitarbeiter mit settings:read
    const perms = req.user?.permissions || [];
    if (!perms.includes('settings:read') && !perms.includes('settings:update')) {
      res.status(403).json({ success: false, error: 'Keine Berechtigung' });
      return;
    }
  } else if (owner.kind === 'gdpr-admin') {
    const perms = req.user?.permissions || [];
    if (!perms.includes('gdpr:admin')) {
      res.status(403).json({ success: false, error: 'Keine Berechtigung' });
      return;
    }
  }
  // Datei vom Disk lesen
  // requested startet mit /uploads/, wir mappen das auf process.cwd()/uploads/...
  const relative = requested.substring('/uploads/'.length);
  const absolute = path.join(process.cwd(), 'uploads', relative);
  // Letzter Pfad-Sicherheitscheck: absolute Path muss noch unter uploads/ liegen.
  const uploadsRoot = path.join(process.cwd(), 'uploads') + path.sep;
  if (!absolute.startsWith(uploadsRoot)) {
    res.status(400).json({ success: false, error: 'Ungültiger Pfad' });
    return;
  }
  if (!fs.existsSync(absolute)) {
    res.status(404).json({ success: false, error: 'Datei nicht gefunden' });
    return;
  }
  // Content-Type aus Extension bestimmen (konservativ – Express macht das eh)
  res.setHeader('X-Content-Type-Options', 'nosniff');
  res.sendFile(absolute);
 }
@@ -4,6 +4,7 @@ import * as gdprService from '../services/gdpr.service.js';
 import * as consentService from '../services/consent.service.js';
 import * as consentPublicService from '../services/consent-public.service.js';
 import * as appSettingService from '../services/appSetting.service.js';
 import { canAccessCustomer } from '../utils/accessControl.js';
 import { createAuditLog, logChange } from '../services/audit.service.js';
 import { ConsentType, DeletionRequestStatus } from '@prisma/client';
 import prisma from '../lib/prisma.js';
@@ -190,7 +191,12 @@ export async function getDeletionProof(req: AuthRequest, res: Response) {
      return res.status(404).json({ success: false, error: 'Kein Löschnachweis vorhanden' });
    }
-    const filepath = path.join(process.cwd(), 'uploads', request.proofDocument);
+    // Path-Traversal-Schutz: proofDocument aus der DB darf nur unter uploads/ liegen
    const uploadsDir = path.resolve(process.cwd(), 'uploads');
    const filepath = path.resolve(uploadsDir, request.proofDocument);
    if (!filepath.startsWith(uploadsDir + path.sep)) {
      return res.status(400).json({ success: false, error: 'Ungültiger Dateipfad' });
    }
    if (!fs.existsSync(filepath)) {
      return res.status(404).json({ success: false, error: 'Datei nicht gefunden' });
@@ -224,6 +230,7 @@ export async function getDashboardStats(req: AuthRequest, res: Response) {
 export async function getCustomerConsents(req: AuthRequest, res: Response) {
  try {
    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const consents = await consentService.getCustomerConsents(customerId);
    // Labels hinzufügen
@@ -246,6 +253,7 @@ export async function getCustomerConsents(req: AuthRequest, res: Response) {
 export async function checkConsentStatus(req: AuthRequest, res: Response) {
  try {
    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    const result = await consentService.hasFullConsent(customerId);
    res.json({ success: true, data: result });
  } catch (error) {
@@ -794,6 +802,7 @@ export async function sendAuthorizationRequest(req: AuthRequest, res: Response)
 export async function getAuthorizations(req: AuthRequest, res: Response) {
  try {
    const customerId = parseInt(req.params.customerId);
    if (!(await canAccessCustomer(req, res, customerId))) return;
    // Sicherstellen dass Einträge für alle aktiven Vertreter existieren
    await authorizationService.ensureAuthorizationEntries(customerId);
    const authorizations = await authorizationService.getAuthorizationsForCustomer(customerId);
@@ -961,12 +970,27 @@ export async function toggleMyAuthorization(req: AuthRequest, res: Response) {
    const representativeId = parseInt(req.params.representativeId);
    const { grant } = req.body;
-    // Vertreter-Name laden
+    // Validierungen:
-    const representative = await prisma.customer.findUnique({
+    // 1) Self-Grant verhindern (sinnlos und schafft Datenmüll).
-      where: { id: representativeId },
+    if (representativeId === user.customerId) {
-      select: { firstName: true, lastName: true },
+      return res.status(400).json({ success: false, error: 'Kein Self-Grant möglich' });
    }
    // 2) Existenz + aktives Vertreter-Verhältnis in EINEM Lookup prüfen.
    //    Beide Fälle (representative existiert nicht / keine aktive Beziehung)
    //    geben identisch 403, damit ein Angreifer keine Customer-IDs aus der
    //    DB enumerieren kann (kein 404-vs-403-Disclosure).
    const relation = await prisma.customerRepresentative.findFirst({
      where: { customerId: user.customerId, representativeId, isActive: true },
      include: { representative: { select: { firstName: true, lastName: true } } },
    });
-    const repName = representative ? `${representative.firstName} ${representative.lastName}` : `#${representativeId}`;
+    if (!relation) {
      return res.status(403).json({
        success: false,
        error: 'Kein Vertreter-Verhältnis – Vollmacht nicht erlaubt',
      });
    }
    const repName = `${relation.representative.firstName} ${relation.representative.lastName}`;
    let auth;
    if (grant) {
@@ -982,10 +1006,9 @@ export async function toggleMyAuthorization(req: AuthRequest, res: Response) {
    res.json({ success: true, data: auth });
  } catch (error) {
    console.error('Fehler beim Ändern der Vollmacht:', error);
-    res.status(400).json({
+    // Generische Fehlermeldung – Prisma-Errors enthalten Pfad/Schema und
-      success: false,
+    // sollten nicht an Endkunden geleakt werden.
-      error: error instanceof Error ? error.message : 'Fehler beim Ändern',
+    res.status(400).json({ success: false, error: 'Vollmacht konnte nicht aktualisiert werden' });
    });
  }
 }
@@ -1,14 +1,16 @@
 import { Request, Response } from 'express';
 import * as invoiceService from '../services/invoice.service.js';
 import { logChange } from '../services/audit.service.js';
-import { ApiResponse } from '../types/index.js';
+import { ApiResponse, AuthRequest } from '../types/index.js';
 import { canAccessContract, canAccessEnergyContractDetails } from '../utils/accessControl.js';
 /**
 * Alle Rechnungen für ein EnergyContractDetails abrufen
 */
-export async function getInvoices(req: Request, res: Response): Promise<void> {
+export async function getInvoices(req: AuthRequest, res: Response): Promise<void> {
  try {
    const ecdId = parseInt(req.params.ecdId);
    if (!(await canAccessEnergyContractDetails(req, res, ecdId))) return;
    const invoices = await invoiceService.getInvoices(ecdId);
    res.json({ success: true, data: invoices } as ApiResponse);
  } catch (error) {
@@ -23,10 +25,11 @@ export async function getInvoices(req: Request, res: Response): Promise<void> {
 /**
 * Einzelne Rechnung abrufen
 */
-export async function getInvoice(req: Request, res: Response): Promise<void> {
+export async function getInvoice(req: AuthRequest, res: Response): Promise<void> {
  try {
    const ecdId = parseInt(req.params.ecdId);
    const invoiceId = parseInt(req.params.invoiceId);
    if (!(await canAccessEnergyContractDetails(req, res, ecdId))) return;
    const invoice = await invoiceService.getInvoice(ecdId, invoiceId);
    if (!invoice) {
@@ -50,9 +53,10 @@ export async function getInvoice(req: Request, res: Response): Promise<void> {
 /**
 * Neue Rechnung hinzufügen
 */
-export async function addInvoice(req: Request, res: Response): Promise<void> {
+export async function addInvoice(req: AuthRequest, res: Response): Promise<void> {
  try {
    const ecdId = parseInt(req.params.ecdId);
    if (!(await canAccessEnergyContractDetails(req, res, ecdId))) return;
    const { invoiceDate, invoiceType, documentPath, notes } = req.body;
    if (!invoiceDate || !invoiceType) {
@@ -89,10 +93,11 @@ export async function addInvoice(req: Request, res: Response): Promise<void> {
 /**
 * Rechnung aktualisieren
 */
-export async function updateInvoice(req: Request, res: Response): Promise<void> {
+export async function updateInvoice(req: AuthRequest, res: Response): Promise<void> {
  try {
    const ecdId = parseInt(req.params.ecdId);
    const invoiceId = parseInt(req.params.invoiceId);
    if (!(await canAccessEnergyContractDetails(req, res, ecdId))) return;
    const { invoiceDate, invoiceType, documentPath, notes } = req.body;
    const invoice = await invoiceService.updateInvoice(ecdId, invoiceId, {
@@ -121,10 +126,11 @@ export async function updateInvoice(req: Request, res: Response): Promise<void>
 /**
 * Rechnung löschen
 */
-export async function deleteInvoice(req: Request, res: Response): Promise<void> {
+export async function deleteInvoice(req: AuthRequest, res: Response): Promise<void> {
  try {
    const ecdId = parseInt(req.params.ecdId);
    const invoiceId = parseInt(req.params.invoiceId);
    if (!(await canAccessEnergyContractDetails(req, res, ecdId))) return;
    await invoiceService.deleteInvoice(ecdId, invoiceId);
@@ -146,9 +152,10 @@ export async function deleteInvoice(req: Request, res: Response): Promise<void>
 // ==================== CONTRACT-BASIERTE RECHNUNGEN (für alle Vertragstypen) ====================
-export async function getInvoicesByContract(req: Request, res: Response): Promise<void> {
+export async function getInvoicesByContract(req: AuthRequest, res: Response): Promise<void> {
  try {
    const contractId = parseInt(req.params.id);
    if (!(await canAccessContract(req, res, contractId))) return;
    const invoices = await invoiceService.getInvoicesByContract(contractId);
    res.json({ success: true, data: invoices } as ApiResponse);
  } catch (error) {
@@ -156,9 +163,10 @@ export async function getInvoicesByContract(req: Request, res: Response): Promis
  }
 }
-export async function addInvoiceByContract(req: Request, res: Response): Promise<void> {
+export async function addInvoiceByContract(req: AuthRequest, res: Response): Promise<void> {
  try {
    const contractId = parseInt(req.params.id);
    if (!(await canAccessContract(req, res, contractId))) return;
    const { invoiceDate, invoiceType, notes } = req.body;
    const invoice = await invoiceService.addInvoiceByContract(contractId, {
      invoiceDate: new Date(invoiceDate),
@@ -0,0 +1,209 @@
 import { Response } from 'express';
 import prisma from '../lib/prisma.js';
 import { AuthRequest, ApiResponse } from '../types/index.js';
 import * as appSettingService from '../services/appSetting.service.js';
 import { sendAlertEmail, sendDigest } from '../services/securityAlert.service.js';
 import type { SecurityEventType, SecuritySeverity } from '@prisma/client';
 /**
 * GET /api/monitoring/events
 * Liste der Security-Events mit Filter + Pagination.
 */
 export async function listEvents(req: AuthRequest, res: Response): Promise<void> {
  try {
    const page = parseInt((req.query.page as string) || '1');
    const limit = Math.min(parseInt((req.query.limit as string) || '50'), 200);
    const type = req.query.type as SecurityEventType | undefined;
    const severity = req.query.severity as SecuritySeverity | undefined;
    const search = req.query.search as string | undefined;
    const since = req.query.since as string | undefined;
    const ip = req.query.ip as string | undefined;
    const where: any = {};
    if (type) where.type = type;
    if (severity) where.severity = severity;
    if (ip) where.ipAddress = ip;
    if (since) where.createdAt = { gte: new Date(since) };
    if (search) {
      where.OR = [
        { message: { contains: search } },
        { userEmail: { contains: search } },
        { endpoint: { contains: search } },
      ];
    }
    const [events, total, byType, bySeverity] = await Promise.all([
      prisma.securityEvent.findMany({
        where,
        orderBy: { createdAt: 'desc' },
        take: limit,
        skip: (page - 1) * limit,
      }),
      prisma.securityEvent.count({ where }),
      prisma.securityEvent.groupBy({
        by: ['type'],
        where: since ? { createdAt: { gte: new Date(since) } } : {},
        _count: true,
      }),
      prisma.securityEvent.groupBy({
        by: ['severity'],
        where: since ? { createdAt: { gte: new Date(since) } } : {},
        _count: true,
      }),
    ]);
    res.json({
      success: true,
      data: events,
      pagination: { page, limit, total, totalPages: Math.ceil(total / limit) },
      stats: {
        byType: Object.fromEntries(byType.map((r: any) => [r.type, r._count])),
        bySeverity: Object.fromEntries(bySeverity.map((r: any) => [r.severity, r._count])),
      },
    } as any);
  } catch (error) {
    console.error('listEvents error:', error);
    res.status(500).json({ success: false, error: 'Fehler beim Laden der Security-Events' } as ApiResponse);
  }
 }
 /**
 * GET /api/monitoring/settings
 */
 export async function getMonitoringSettings(_req: AuthRequest, res: Response): Promise<void> {
  try {
    const alertEmail = await appSettingService.getSetting('monitoringAlertEmail');
    const digestEnabled = await appSettingService.getSettingBool('monitoringDigestEnabled');
    const lastDigest = await appSettingService.getSetting('monitoringLastDigestAt');
    res.json({
      success: true,
      data: {
        alertEmail: alertEmail || '',
        digestEnabled,
        lastDigestAt: lastDigest || null,
      },
    } as ApiResponse);
  } catch (error) {
    res.status(500).json({ success: false, error: 'Fehler beim Laden' } as ApiResponse);
  }
 }
 /**
 * PUT /api/monitoring/settings
 */
 export async function updateMonitoringSettings(req: AuthRequest, res: Response): Promise<void> {
  try {
    const { alertEmail, digestEnabled } = req.body || {};
    if (typeof alertEmail === 'string') {
      // Email-Validierung minimal: muss @ enthalten oder leer sein
      if (alertEmail !== '' && !alertEmail.includes('@')) {
        res.status(400).json({ success: false, error: 'Ungültige E-Mail-Adresse' } as ApiResponse);
        return;
      }
      await appSettingService.setSetting('monitoringAlertEmail', alertEmail);
    }
    if (typeof digestEnabled === 'boolean') {
      await appSettingService.setSetting('monitoringDigestEnabled', digestEnabled ? 'true' : 'false');
    }
    res.json({ success: true, message: 'Einstellungen gespeichert' } as ApiResponse);
  } catch (error) {
    res.status(500).json({ success: false, error: 'Fehler beim Speichern' } as ApiResponse);
  }
 }
 /**
 * POST /api/monitoring/test-alert
 * Versendet eine Test-Alert-Mail an die konfigurierte Adresse.
 */
 export async function testAlert(_req: AuthRequest, res: Response): Promise<void> {
  try {
    const alertEmail = await appSettingService.getSetting('monitoringAlertEmail');
    if (!alertEmail) {
      res.status(400).json({
        success: false,
        error: 'Keine Alert-E-Mail konfiguriert',
      } as ApiResponse);
      return;
    }
    const result = await sendAlertEmail(alertEmail, {
      subject: '[OpenCRM] Test-Alert',
      events: [{
        type: 'SUSPICIOUS' as any,
        severity: 'INFO' as any,
        message: 'Dies ist eine Test-Mail vom Monitoring-System. Alles in Ordnung.',
        createdAt: new Date(),
      } as any],
      isDigest: false,
    });
    if (result.success) {
      res.json({ success: true, message: `Test-Alert an ${alertEmail} versendet` } as ApiResponse);
    } else {
      res.status(500).json({ success: false, error: result.error || 'Versand fehlgeschlagen' } as ApiResponse);
    }
  } catch (error) {
    res.status(500).json({
      success: false,
      error: error instanceof Error ? error.message : 'Test-Alert fehlgeschlagen',
    } as ApiResponse);
  }
 }
 /**
 * DELETE /api/monitoring/events
 * Löscht alle SecurityEvents (oder optional nur älter als ?olderThanDays).
 * Alert-versendete CRITICAL-Events werden vorher noch geloggt, damit der
 * Audit-Trail erhalten bleibt.
 */
 export async function clearEvents(req: AuthRequest, res: Response): Promise<void> {
  try {
    const olderThanDays = req.query.olderThanDays
      ? parseInt(req.query.olderThanDays as string)
      : undefined;
    const where: any = {};
    if (olderThanDays && olderThanDays > 0) {
      const cutoff = new Date(Date.now() - olderThanDays * 24 * 60 * 60 * 1000);
      where.createdAt = { lt: cutoff };
    }
    const result = await prisma.securityEvent.deleteMany({ where });
    // Audit-Spur: Wer hat geleert
    const user = (req as any).user;
    await prisma.securityEvent.create({
      data: {
        type: 'PERMISSION_CHANGED',
        severity: 'INFO',
        message: `Security-Log geleert: ${result.count} Einträge gelöscht${olderThanDays ? ` (älter als ${olderThanDays} Tage)` : ''}`,
        userId: user?.userId || null,
        userEmail: user?.email || null,
        ipAddress: req.ip || 'unknown',
        endpoint: 'DELETE /api/monitoring/events',
      },
    });
    res.json({
      success: true,
      message: `${result.count} Events gelöscht`,
      data: { deletedCount: result.count },
    } as any);
  } catch (error) {
    console.error('clearEvents error:', error);
    res.status(500).json({ success: false, error: 'Löschen fehlgeschlagen' } as ApiResponse);
  }
 }
 /**
 * POST /api/monitoring/run-digest (manueller Trigger für den Hourly-Digest)
 */
 export async function runDigestNow(_req: AuthRequest, res: Response): Promise<void> {
  try {
    const result = await sendDigest({ force: true });
    res.json({ success: true, data: result } as ApiResponse);
  } catch (error) {
    res.status(500).json({
      success: false,
      error: error instanceof Error ? error.message : 'Digest fehlgeschlagen',
    } as ApiResponse);
  }
 }
@@ -2,6 +2,7 @@ import { Response } from 'express';
 import { AuthRequest } from '../types/index.js';
 import * as pdfTemplateService from '../services/pdfTemplate.service.js';
 import { logChange } from '../services/audit.service.js';
 import { canAccessContract } from '../utils/accessControl.js';
 export async function getTemplates(req: AuthRequest, res: Response) {
  try {
@@ -149,6 +150,7 @@ export async function getRequiredInputs(req: AuthRequest, res: Response) {
  try {
    const templateId = parseInt(req.params.id);
    const contractId = parseInt(req.params.contractId);
    if (!(await canAccessContract(req, res, contractId))) return;
    const inputs = await pdfTemplateService.getRequiredInputs(templateId, contractId);
    res.json({ success: true, data: inputs });
  } catch (error) {
@@ -160,6 +162,7 @@ export async function generatePdf(req: AuthRequest, res: Response) {
  try {
    const templateId = parseInt(req.params.id);
    const contractId = parseInt(req.params.contractId);
    if (!(await canAccessContract(req, res, contractId))) return;
    // Extras aus Body (POST) oder Query-Parametern (GET)
    const stressfreiEmailId = req.body?.stressfreiEmailId || req.query.stressfreiEmailId;
@@ -1,7 +1,8 @@
 import { Request, Response } from 'express';
 import * as stressfreiEmailService from '../services/stressfreiEmail.service.js';
 import { logChange } from '../services/audit.service.js';
-import { ApiResponse } from '../types/index.js';
+import { ApiResponse, AuthRequest } from '../types/index.js';
 import { canAccessStressfreiEmail } from '../utils/accessControl.js';
 export async function getEmailsByCustomer(req: Request, res: Response): Promise<void> {
  try {
@@ -17,9 +18,12 @@ export async function getEmailsByCustomer(req: Request, res: Response): Promise<
  }
 }
-export async function getEmail(req: Request, res: Response): Promise<void> {
+export async function getEmail(req: AuthRequest, res: Response): Promise<void> {
  try {
-    const email = await stressfreiEmailService.getEmailById(parseInt(req.params.id));
+    const emailId = parseInt(req.params.id);
    if (!(await canAccessStressfreiEmail(req, res, emailId))) return;
    const email = await stressfreiEmailService.getEmailById(emailId);
    if (!email) {
      res.status(404).json({
        success: false,
@@ -27,7 +31,13 @@ export async function getEmail(req: Request, res: Response): Promise<void> {
      } as ApiResponse);
      return;
    }
-    res.json({ success: true, data: email } as ApiResponse);
+
    // Sensibles Feld emailPasswordEncrypted nie an Portal-Kunden geben
    const sanitized: any = { ...email };
    if (req.user?.isCustomerPortal) {
      delete sanitized.emailPasswordEncrypted;
    }
    res.json({ success: true, data: sanitized } as ApiResponse);
  } catch (error) {
    res.status(500).json({
      success: false,
@@ -3,6 +3,7 @@ import prisma from '../lib/prisma.js';
 import * as userService from '../services/user.service.js';
 import { logChange } from '../services/audit.service.js';
 import { ApiResponse } from '../types/index.js';
 import { pickUserCreate, pickUserUpdate } from '../utils/sanitize.js';
 // Users
 export async function getUsers(req: Request, res: Response): Promise<void> {
@@ -49,7 +50,8 @@ export async function getUser(req: Request, res: Response): Promise<void> {
 export async function createUser(req: Request, res: Response): Promise<void> {
  try {
-    const user = await userService.createUser(req.body);
+    // Whitelist: nur erlaubte Felder aus req.body übernehmen (Mass-Assignment-Schutz)
    const user = await userService.createUser(pickUserCreate(req.body) as any);
    await logChange({
      req, action: 'CREATE', resourceType: 'User',
      resourceId: user.id.toString(),
@@ -67,18 +69,31 @@ export async function createUser(req: Request, res: Response): Promise<void> {
 export async function updateUser(req: Request, res: Response): Promise<void> {
  try {
    const userId = parseInt(req.params.id);
-    const data = req.body;
+    // Whitelist: nur erlaubte Felder aus req.body übernehmen (Mass-Assignment-Schutz)
    const data = pickUserUpdate(req.body);
-    // Vorherigen Stand laden für Audit
+    // Vorherigen Stand laden für Audit – inkl. Rollen, damit hasGdprAccess /
-    const before = await prisma.user.findUnique({ where: { id: userId } });
+    // hasDeveloperAccess (versteckte Rollen) korrekt verglichen werden.
    const beforeUser = await prisma.user.findUnique({
      where: { id: userId },
      include: { roles: { include: { role: true } } },
    });
    const before = beforeUser
      ? {
          ...beforeUser,
          hasGdprAccess: beforeUser.roles.some((ur) => ur.role.name === 'DSGVO'),
          hasDeveloperAccess: beforeUser.roles.some((ur) => ur.role.name === 'Developer'),
        }
      : null;
-    const user = await userService.updateUser(userId, data);
+    const user = await userService.updateUser(userId, data as any);
    if (user) {
      // Audit: Geänderte Felder ermitteln und loggen
      if (before) {
        const changes: Record<string, { von: unknown; nach: unknown }> = {};
        const fieldLabels: Record<string, string> = {
          email: 'E-Mail', firstName: 'Vorname', lastName: 'Nachname', isActive: 'Aktiv',
          hasGdprAccess: 'DSGVO-Zugriff', hasDeveloperAccess: 'Entwicklerzugriff',
        };
        for (const [key, newVal] of Object.entries(data)) {
          if (['id', 'createdAt', 'updatedAt'].includes(key)) continue;
@@ -1,7 +1,33 @@
 import express from 'express';
 import cors from 'cors';
 import helmet from 'helmet';
 import path from 'path';
 import dotenv from 'dotenv';
 import dotenvExpand from 'dotenv-expand';
 // .env-Dateien laden – Root-.env hat Priorität (zentrale Konfiguration für
 // Dev + Docker), backend/.env als Legacy-Fallback. Im Container sind
 // Variablen schon via env_file/environment gesetzt – dotenv überschreibt
 // existierende process.env-Werte nicht.
 // __dirname zeigt auf src/ (dev via tsx) oder dist/ (build). In beiden Fällen
 // liegt Root /.env zwei Ebenen darüber.
 //
 // dotenvExpand löst ${VAR}-Substitution auf, sodass z.B.
 // DATABASE_URL=mysql://${DB_USER}:${DB_PASSWORD}@${DB_HOST}:${DB_PORT}/${DB_NAME}
 // dynamisch aus den Komponenten zusammengebaut wird (kein Doppel-Pflegen).
 dotenvExpand.expand(dotenv.config({ path: path.resolve(__dirname, '../../.env') }));
 dotenvExpand.expand(dotenv.config({ path: path.resolve(__dirname, '../.env') }));
 dotenvExpand.expand(dotenv.config());
 // Fallback: wenn DATABASE_URL nicht direkt gesetzt ist (oder Substitution
 // nicht funktioniert hat), aus den DB_*-Komponenten zusammenbauen.
 if (!process.env.DATABASE_URL && process.env.DB_USER && process.env.DB_PASSWORD && process.env.DB_NAME) {
  const u = encodeURIComponent(process.env.DB_USER);
  const p = encodeURIComponent(process.env.DB_PASSWORD);
  const h = process.env.DB_HOST || 'localhost';
  const port = process.env.DB_PORT || '3306';
  process.env.DATABASE_URL = `mysql://${u}:${p}@${h}:${port}/${process.env.DB_NAME}`;
 }
 import authRoutes from './routes/auth.routes.js';
 import customerRoutes from './routes/customer.routes.js';
@@ -33,24 +59,181 @@ import emailLogRoutes from './routes/emailLog.routes.js';
 import pdfTemplateRoutes from './routes/pdfTemplate.routes.js';
 import birthdayRoutes from './routes/birthday.routes.js';
 import factoryDefaultsRoutes from './routes/factoryDefaults.routes.js';
 import { downloadFile } from './controllers/fileDownload.controller.js';
 import { startBirthdayScheduler } from './services/birthdayScheduler.service.js';
 import { startContractStatusScheduler } from './services/contractStatusScheduler.service.js';
 import { startSecurityMonitorScheduler } from './services/securityAlert.service.js';
 import monitoringRoutes from './routes/monitoring.routes.js';
 import { auditContextMiddleware } from './middleware/auditContext.js';
 import { auditMiddleware } from './middleware/audit.js';
 import { authenticate } from './middleware/auth.js';
-dotenv.config();
+// ==================== SECURITY: Pflicht-Umgebungsvariablen prüfen ====================
 if (!process.env.JWT_SECRET || process.env.JWT_SECRET.length < 32) {
  console.error('❌ JWT_SECRET ist nicht gesetzt oder zu kurz (min. 32 Zeichen)');
  console.error('   Generiere mit: openssl rand -hex 64');
  process.exit(1);
 }
 if (!process.env.ENCRYPTION_KEY || process.env.ENCRYPTION_KEY.length !== 64) {
  console.error('❌ ENCRYPTION_KEY ist nicht gesetzt oder hat nicht exakt 64 Hex-Zeichen (32 Byte)');
  console.error('   Generiere mit: openssl rand -hex 32');
  process.exit(1);
 }
 const app = express();
 const PORT = process.env.PORT || 3001;
-// Middleware
+// Hinter einem Reverse-Proxy (Nginx/Plesk) läuft der Server typisch auf localhost.
-app.use(cors());
+// `trust proxy = 'loopback'` vertraut nur Connections von 127.0.0.1 / ::1
-app.use(express.json());
+// (= lokaler Reverse-Proxy). Damit kann ein Angreifer mit DIREKTEM Zugriff
 // auf das Backend nicht via X-Forwarded-For den Rate-Limiter umgehen,
 // während gleichzeitig der lokale Reverse-Proxy die echte Client-IP liefern darf.
 //
 // WICHTIG für Production: Backend nur auf 127.0.0.1 lauschen lassen
 // (LISTEN_ADDR=127.0.0.1) – sonst kann ein direkter Connect von außen
 // trotzdem als loopback gelten, falls das Routing das so durchstellt.
 app.set('trust proxy', 'loopback');
 // ==================== SECURITY MIDDLEWARE ====================
 // HTTP Security Headers (X-Frame-Options, X-Content-Type-Options, HSTS, CSP, ...)
 //
 // CSP ist konservativ aber SPA-tauglich:
 //   - script-src 'self'        → keine externen Skripte, keine inline-Scripts
 //                                 (Vite baut Module-Skripte zu separaten Files,
 //                                 die sind 'self')
 //   - style-src 'self' 'unsafe-inline' → Tailwind/inline-Styles brauchen das
 //                                        (sicheres Trade-off; XSS via CSS ist
 //                                        marginal vs Lock-Out gegen die UI)
 //   - img-src self/data/blob   → base64-Avatare + blob-URLs für PDFs/Downloads
 //   - font-src self/data       → eingebettete Fonts
 //   - connect-src 'self'       → API + WebSocket nur zur eigenen Origin
 //   - frame-ancestors 'none'   → Clickjacking-Schutz (ersetzt X-Frame-Options)
 //   - object-src 'none'        → keine Flash/<object>/<embed>-Embeds
 //   - base-uri 'self'          → keine <base>-Hijacking-Tricks
 //   - form-action 'self'       → POST-Targets nur auf eigene Origin
 // Permissions-Policy: schaltet Browser-APIs aus, die wir nicht brauchen.
 // Verhindert, dass eingeschleustes JS Zugriff auf Kamera/Mikro/GPS/Payment etc.
 // bekommt. clipboard-write ist 'self' für die CopyButton-Komponenten,
 // fullscreen 'self' falls jemand mal eine Vorschau in Vollbild öffnet.
 app.use((_req, res, next) => {
  res.setHeader(
    'Permissions-Policy',
    [
      'accelerometer=()',
      'ambient-light-sensor=()',
      'autoplay=()',
      'battery=()',
      'camera=()',
      'clipboard-read=()',
      'clipboard-write=(self)',
      'cross-origin-isolated=()',
      'display-capture=()',
      'encrypted-media=()',
      'fullscreen=(self)',
      'geolocation=()',
      'gyroscope=()',
      'hid=()',
      'idle-detection=()',
      'magnetometer=()',
      'microphone=()',
      'midi=()',
      'payment=()',
      'picture-in-picture=()',
      'publickey-credentials-get=()',
      'screen-wake-lock=()',
      'sync-xhr=()',
      'usb=()',
      'web-share=()',
      'xr-spatial-tracking=()',
    ].join(', '),
  );
  next();
 });
 // HTTPS-only-Header (HSTS + upgrade-insecure-requests) nur setzen, wenn
 // wirklich TLS davor läuft – sonst sperrt sich die App auf direkt-via-IP-
 // Deployments (Browser versucht /assets/* via https zu laden → SSL-Error).
 // Aktivieren mit HTTPS_ENABLED=true in der .env, sobald ein TLS-Proxy
 // (Caddy/Traefik/Nginx) vor OpenCRM steht.
 const httpsEnabled = process.env.HTTPS_ENABLED === 'true';
 app.use(
  helmet({
    contentSecurityPolicy: {
      useDefaults: true,
      directives: {
        'default-src': ["'self'"],
        'script-src': ["'self'"],
        'style-src': ["'self'", "'unsafe-inline'"],
        'img-src': ["'self'", 'data:', 'blob:'],
        'font-src': ["'self'", 'data:'],
        'connect-src': ["'self'"],
        // 'self': eigene App darf eigene Resourcen in iframes embeden (z.B. die
        // annotierte PDF-Vorschau in der Auftragsvorlagen-Konfiguration).
        // 'none' würde sogar same-origin blocken und damit die UI brechen.
        // Externe Sites bleiben weiterhin gesperrt.
        'frame-ancestors': ["'self'"],
        'object-src': ["'none'"],
        'base-uri': ["'self'"],
        'form-action': ["'self'"],
        // useDefaults bringt 'upgrade-insecure-requests' selbst mit – explizit
        // auf null setzen entfernt es aus dem Header (helmet-API).
        'upgrade-insecure-requests': httpsEnabled ? [] : null,
      },
    },
    // HSTS nur wenn echt TLS vorhanden – sonst sperrt sich der Browser
    // dauerhaft aus, wenn die App direkt via http://ip:port erreichbar ist.
    strictTransportSecurity: httpsEnabled
      ? { maxAge: 31536000, includeSubDomains: true }
      : false,
    crossOriginResourcePolicy: { policy: 'same-site' },
  }),
 );
 // CORS: in Production nur explizit erlaubte Origins. In Dev: alles erlauben.
 const corsOrigins = process.env.CORS_ORIGINS
  ? process.env.CORS_ORIGINS.split(',').map((s) => s.trim())
  : process.env.NODE_ENV === 'production'
    ? false // Gar kein Cross-Origin zulässig (Frontend wird unter gleicher Origin ausgeliefert)
    : true; // Dev: alles erlauben
 app.use(
  cors({
    origin: corsOrigins,
    credentials: true,
  }),
 );
 // JSON-Body-Limit: 5 MB (Uploads laufen über multer, brauchen kein json())
 app.use(express.json({ limit: '5mb' }));
 // Audit-Logging Middleware (DSGVO-konform)
 app.use(auditContextMiddleware);
 app.use(auditMiddleware);
-// Statische Dateien für Uploads
+// Datei-Download mit Per-File-Ownership-Check (ersetzt das alte
-app.use('/api/uploads', express.static(path.join(process.cwd(), 'uploads')));
+// `/api/uploads/*` express.static).
 // Frontend-URLs gehen jetzt über GET /api/files/download?path=/uploads/...
 // Der Controller mappt den Pfad auf eine Resource (BankCard, Contract, etc.)
 // und prüft canAccessCustomer/canAccessContract – damit kann ein Portal-Kunde
 // nur seine eigenen Dateien laden, selbst wenn er fremde Filenames kennt.
 //
 // Kompatibilität: das alte /api/uploads/* bleibt erhalten, leitet aber jeden
 // Request über denselben Owner-Check (kein freier static-Handler mehr).
 // Authentifizierter Datei-Download mit Per-File-Ownership-Check.
 // Akzeptiert Pfade wie /uploads/bank-cards/<filename> – egal ob als
 // Query-Parameter oder im Pfad-Suffix. Beide gehen über denselben Handler,
 // der DB-basiert prüft, ob der eingeloggte User die Resource sehen darf.
 app.get('/api/files/download', authenticate as any, downloadFile as any);
 // Backwards-compatibility shim: `/api/uploads/*` sieht weiter aus wie früher
 // für Bestandsclients/Bookmarks, ruft aber denselben Owner-Check-Handler.
 app.get('/api/uploads/*', authenticate as any, (req, res, next) => {
  // Pfad in Query-Param umschreiben, dann an downloadFile weiterreichen
  req.query.path = req.originalUrl.replace(/^\/api/, '').split('?')[0];
  return (downloadFile as any)(req, res, next);
 });
 // Öffentliche Routes (OHNE Authentifizierung)
 app.use('/api/public/consent', consentPublicRoutes);
@@ -85,6 +268,7 @@ app.use('/api/email-logs', emailLogRoutes);
 app.use('/api/pdf-templates', pdfTemplateRoutes);
 app.use('/api/birthdays', birthdayRoutes);
 app.use('/api/factory-defaults', factoryDefaultsRoutes);
 app.use('/api/monitoring', monitoringRoutes);
 // Health check
 app.get('/api/health', (req, res) => {
@@ -109,11 +293,29 @@ if (process.env.NODE_ENV === 'production') {
 }
 // Error handling
-app.use((err: Error, req: express.Request, res: express.Response, next: express.NextFunction) => {
+// body-parser wirft 413 (PayloadTooLargeError) bzw. 400 (SyntaxError) mit einem
 // `status`-Feld. Ohne Respektierung werden legitime Client-Fehler als 500
 // kaschiert und landen als "Interner Serverfehler" beim User.
 app.use((err: Error & { status?: number; type?: string }, req: express.Request, res: express.Response, next: express.NextFunction) => {
  console.error(err.stack);
-  res.status(500).json({ success: false, error: 'Interner Serverfehler' });
+  const status = typeof err.status === 'number' && err.status >= 400 && err.status < 600 ? err.status : 500;
  let message = 'Interner Serverfehler';
  if (status === 413) message = 'Anfrage zu groß';
  else if (status === 400 && (err.type === 'entity.parse.failed' || err instanceof SyntaxError)) {
    message = 'Ungültiges JSON';
  }
  res.status(status).json({ success: false, error: message });
 });
-app.listen(PORT, () => {
+// Listen-Adresse: in Production typischerweise 127.0.0.1 (nur lokaler
-  console.log(`Server läuft auf Port ${PORT}`);
+// Reverse-Proxy soll connecten dürfen). LISTEN_ADDR per Env überschreibbar.
 const LISTEN_ADDR = process.env.LISTEN_ADDR
  || (process.env.NODE_ENV === 'production' ? '127.0.0.1' : '0.0.0.0');
 app.listen(PORT as number, LISTEN_ADDR, () => {
  console.log(`Server läuft auf ${LISTEN_ADDR}:${PORT}`);
  // Hintergrund-Scheduler (Geburtstagsgrüße etc.) starten
  startBirthdayScheduler();
  startContractStatusScheduler();
  startSecurityMonitorScheduler();
 });
@@ -2,6 +2,7 @@ import { Response, NextFunction } from 'express';
 import jwt from 'jsonwebtoken';
 import prisma from '../lib/prisma.js';
 import { AuthRequest, JwtPayload } from '../types/index.js';
 import { emit as emitSecurityEvent } from '../services/securityMonitor.service.js';
 export async function authenticate(
  req: AuthRequest,
@@ -26,27 +27,27 @@ export async function authenticate(
  }
  try {
-    const decoded = jwt.verify(
+    // JWT_SECRET wird beim Server-Start geprüft (Fail-Fast in index.ts)
-      token,
+    // Algorithmus explizit auf HS256 festlegen (Defense-in-Depth gegen alg-confusion).
-      process.env.JWT_SECRET || 'fallback-secret'
+    const decoded = jwt.verify(token, process.env.JWT_SECRET as string, {
-    ) as JwtPayload;
+      algorithms: ['HS256'],
    }) as JwtPayload;
-    // Prüfen ob Token durch Rechteänderung invalidiert wurde (nur für Mitarbeiter)
+    // Prüfen ob Token durch Rechteänderung/Passwort-Reset invalidiert wurde
    if (decoded.userId && decoded.iat) {
      // Mitarbeiter-Login
      const user = await prisma.user.findUnique({
        where: { id: decoded.userId },
        select: { tokenInvalidatedAt: true, isActive: true },
      });
      // Benutzer nicht gefunden oder deaktiviert
      if (!user || !user.isActive) {
        res.status(401).json({ success: false, error: 'Benutzer nicht mehr aktiv' });
        return;
      }
      // Token wurde vor der Invalidierung ausgestellt
      if (user.tokenInvalidatedAt) {
-        const tokenIssuedAt = decoded.iat * 1000; // iat ist in Sekunden, Date ist in Millisekunden
+        const tokenIssuedAt = decoded.iat * 1000;
        if (tokenIssuedAt < user.tokenInvalidatedAt.getTime()) {
          res.status(401).json({
            success: false,
@@ -55,11 +56,42 @@ export async function authenticate(
          return;
        }
      }
    } else if (decoded.isCustomerPortal && decoded.customerId && decoded.iat) {
      // Portal-Kunden-Login: gleiche Prüfung
      const customer = await prisma.customer.findUnique({
        where: { id: decoded.customerId },
        select: { portalTokenInvalidatedAt: true, portalEnabled: true },
      });
      if (!customer || !customer.portalEnabled) {
        res.status(401).json({ success: false, error: 'Portal-Zugang nicht mehr aktiv' });
        return;
      }
      if (customer.portalTokenInvalidatedAt) {
        const tokenIssuedAt = decoded.iat * 1000;
        if (tokenIssuedAt < customer.portalTokenInvalidatedAt.getTime()) {
          res.status(401).json({
            success: false,
            error: 'Ihre Sitzung ist ungültig. Bitte melden Sie sich erneut an.',
          });
          return;
        }
      }
    }
    req.user = decoded;
    next();
-  } catch {
+  } catch (err) {
    // JWT-Failures sind interessant: alg=none, manipulierte Signature,
    // expired Token. Emit SecurityEvent (asynchron, blockt nicht).
    emitSecurityEvent({
      type: 'TOKEN_REJECTED',
      severity: err instanceof jwt.TokenExpiredError ? 'LOW' : 'HIGH',
      message: err instanceof Error ? `JWT abgelehnt: ${err.message}` : 'JWT abgelehnt',
      ipAddress: req.ip || (req.socket as any)?.remoteAddress || 'unknown',
      endpoint: `${req.method} ${req.path}`,
    });
    res.status(401).json({ success: false, error: 'Ungültiger Token' });
  }
 }
@@ -0,0 +1,65 @@
 /**
 * Rate-Limiting-Middleware für sensible Endpoints (Login, Passwort-Reset).
 * Schützt gegen Brute-Force- und Credential-Stuffing-Angriffe.
 *
 * Wenn ein Limit überschritten wird, emit() wir zusätzlich ein
 * SecurityEvent (RATE_LIMIT_HIT) – damit der Monitoring-View und das
 * Alert-System sehen, wenn jemand auf die Tür hämmert.
 */
 import rateLimit from 'express-rate-limit';
 import { emit as emitSecurityEvent, contextFromRequest } from '../services/securityMonitor.service.js';
 function onLimitReached(label: string, severity: 'MEDIUM' | 'HIGH') {
  return (req: any, _res: any) => {
    const ctx = contextFromRequest(req);
    emitSecurityEvent({
      type: 'RATE_LIMIT_HIT',
      severity,
      message: `Rate-Limit überschritten: ${label}`,
      ipAddress: ctx.ipAddress,
      userEmail: req.body?.email,
      endpoint: ctx.endpoint,
      details: { limiter: label },
    });
  };
 }
 /**
 * Login: 10 Versuche pro 15 Minuten pro IP.
 * Nach Überschreitung: 15 Min Sperre für diese IP.
 */
 export const loginRateLimiter = rateLimit({
  windowMs: 15 * 60 * 1000,   // 15 Minuten
  limit: 10,                   // Max. 10 Versuche pro Zeitfenster
  standardHeaders: 'draft-7',
  legacyHeaders: false,
  message: {
    success: false,
    error: 'Zu viele Login-Versuche. Bitte in 15 Minuten erneut versuchen.',
  },
  // Erfolgreiche Logins zählen nicht gegen das Limit
  skipSuccessfulRequests: true,
  handler: (req, res, _next, options) => {
    onLimitReached('login', 'HIGH')(req, res);
    res.status(options.statusCode).json(options.message);
  },
 });
 /**
 * Passwort-Reset-Anfrage: 5 Versuche pro Stunde pro IP.
 * Verhindert Mail-Flut und gezielte Brute-Force über Reset-Links.
 */
 export const passwordResetRateLimiter = rateLimit({
  windowMs: 60 * 60 * 1000,    // 1 Stunde
  limit: 5,
  standardHeaders: 'draft-7',
  legacyHeaders: false,
  message: {
    success: false,
    error: 'Zu viele Passwort-Reset-Anfragen. Bitte in einer Stunde erneut versuchen.',
  },
  handler: (req, res, _next, options) => {
    onLimitReached('password-reset', 'MEDIUM')(req, res);
    res.status(options.statusCode).json(options.message);
  },
 });
@@ -1,12 +1,18 @@
 import { Router } from 'express';
 import * as authController from '../controllers/auth.controller.js';
 import { authenticate, requirePermission } from '../middleware/auth.js';
 import { loginRateLimiter, passwordResetRateLimiter } from '../middleware/rateLimit.js';
 const router = Router();
-router.post('/login', authController.login);
+router.post('/login', loginRateLimiter, authController.login);
-router.post('/customer-login', authController.customerLogin);  // Kundenportal-Login
+router.post('/customer-login', loginRateLimiter, authController.customerLogin);
 router.get('/me', authenticate, authController.me);
 router.post('/logout', authenticate, authController.logout);
 router.post('/register', authenticate, requirePermission('users:create'), authController.register);
 // Passwort-Reset-Flow
 router.post('/password-reset/request', passwordResetRateLimiter, authController.requestPasswordReset);
 router.post('/password-reset/confirm', passwordResetRateLimiter, authController.confirmPasswordReset);
 export default router;
@@ -42,6 +42,9 @@ router.delete('/:id', authenticate, requirePermission('contracts:delete'), contr
 // Follow-up contract
 router.post('/:id/follow-up', authenticate, requirePermission('contracts:create'), contractController.createFollowUp);
 // VVL (Vertragsverlängerung beim selben Anbieter, vollständige Kopie + Datums-Berechnung)
 router.post('/:id/renewal', authenticate, requirePermission('contracts:create'), contractController.createRenewal);
 // Snooze (Vertrag zurückstellen)
 router.patch('/:id/snooze', authenticate, requirePermission('contracts:update'), contractController.snoozeContract);
@@ -1,9 +1,25 @@
 import { Router } from 'express';
 import multer from 'multer';
 import * as factoryDefaultsController from '../controllers/factoryDefaults.controller.js';
 import { authenticate, requirePermission } from '../middleware/auth.js';
 const router = Router();
 // In-Memory-Upload für die ZIP – wird direkt verarbeitet, keine temporäre Datei.
 const upload = multer({
  storage: multer.memoryStorage(),
  fileFilter: (_req, file, cb) => {
    const ok =
      file.mimetype === 'application/zip' ||
      file.mimetype === 'application/x-zip-compressed' ||
      file.mimetype === 'application/octet-stream' || // manche Browser senden das für .zip
      file.originalname.toLowerCase().endsWith('.zip');
    if (ok) cb(null, true);
    else cb(new Error('Nur ZIP-Dateien sind erlaubt'));
  },
  limits: { fileSize: 50 * 1024 * 1024 },
 });
 // Preview (was wäre im Export drin?)
 router.get(
  '/preview',
@@ -20,4 +36,13 @@ router.get(
  factoryDefaultsController.exportFactoryDefaults,
 );
 // Import aus ZIP (multipart, Feld 'zip')
 router.post(
  '/import',
  authenticate,
  requirePermission('settings:update'),
  upload.single('zip'),
  factoryDefaultsController.importFactoryDefaults,
 );
 export default router;
@@ -0,0 +1,16 @@
 import { Router } from 'express';
 import { authenticate, requirePermission } from '../middleware/auth.js';
 import * as monitoringController from '../controllers/monitoring.controller.js';
 const router = Router();
 router.use(authenticate);
 // Monitoring ist Admin-Sache: settings:read fürs Anzeigen, settings:update für Änderungen
 router.get('/events', requirePermission('settings:read'), monitoringController.listEvents);
 router.get('/settings', requirePermission('settings:read'), monitoringController.getMonitoringSettings);
 router.put('/settings', requirePermission('settings:update'), monitoringController.updateMonitoringSettings);
 router.post('/test-alert', requirePermission('settings:update'), monitoringController.testAlert);
 router.post('/run-digest', requirePermission('settings:update'), monitoringController.runDigestNow);
 router.delete('/events', requirePermission('settings:update'), monitoringController.clearEvents);
 export default router;
@@ -5,15 +5,15 @@ import { authenticate, requirePermission } from '../middleware/auth.js';
 const router = Router();
-// Provider routes
+// Provider routes (Portal-Kunden sollen keine Provider-Liste/Tarife sehen)
-router.get('/', authenticate, providerController.getProviders);
+router.get('/', authenticate, requirePermission('providers:read'), providerController.getProviders);
 router.post('/', authenticate, requirePermission('providers:create'), providerController.createProvider);
-router.get('/:id', authenticate, providerController.getProvider);
+router.get('/:id', authenticate, requirePermission('providers:read'), providerController.getProvider);
 router.put('/:id', authenticate, requirePermission('providers:update'), providerController.updateProvider);
 router.delete('/:id', authenticate, requirePermission('providers:delete'), providerController.deleteProvider);
 // Nested tariff routes
-router.get('/:providerId/tariffs', authenticate, tariffController.getTariffs);
+router.get('/:providerId/tariffs', authenticate, requirePermission('providers:read'), tariffController.getTariffs);
 router.post('/:providerId/tariffs', authenticate, requirePermission('providers:create'), tariffController.createTariff);
 export default router;
@@ -5,7 +5,7 @@ import { authenticate, requirePermission } from '../middleware/auth.js';
 const router = Router();
 // Standalone tariff routes (for update/delete by tariff id)
-router.get('/:id', authenticate, tariffController.getTariff);
+router.get('/:id', authenticate, requirePermission('providers:read'), tariffController.getTariff);
 router.put('/:id', authenticate, requirePermission('providers:update'), tariffController.updateTariff);
 router.delete('/:id', authenticate, requirePermission('providers:delete'), tariffController.deleteTariff);
@@ -6,6 +6,7 @@ import prisma from '../lib/prisma.js';
 import { authenticate, requirePermission } from '../middleware/auth.js';
 import { AuthRequest } from '../types/index.js';
 import { logChange } from '../services/audit.service.js';
 import { canAccessContract } from '../utils/accessControl.js';
 const router = Router();
@@ -546,6 +547,7 @@ async function handleContractDocumentUpload(
    }
    const contractId = parseInt(req.params.id);
    if (!(await canAccessContract(req, res, contractId))) return;
    const relativePath = `/uploads/${subDir}/${req.file.filename}`;
    // Alte Datei löschen falls vorhanden
@@ -563,12 +565,51 @@ async function handleContractDocumentUpload(
      }
    }
    // Bei Kündigungsbestätigung(s-Optionen): optionales Datum aus multipart
    // übernehmen. Ohne Angabe: falls Feld noch leer → heute, sonst nicht anfassen.
    const updateData: Record<string, unknown> = { [fieldName]: relativePath };
    if (fieldName === 'cancellationConfirmationPath' || fieldName === 'cancellationConfirmationOptionsPath') {
      const dateField = fieldName === 'cancellationConfirmationPath'
        ? 'cancellationConfirmationDate'
        : 'cancellationConfirmationOptionsDate';
      const provided = typeof req.body?.confirmationDate === 'string' ? req.body.confirmationDate : null;
      let target: Date | null = null;
      if (provided) {
        const parsed = new Date(provided);
        if (!isNaN(parsed.getTime())) target = parsed;
      }
      if (target) {
        updateData[dateField] = target;
      } else if (!contract[dateField]) {
        updateData[dateField] = new Date();
      }
    }
    // Vertrag in der DB aktualisieren
    await prisma.contract.update({
      where: { id: contractId },
-      data: { [fieldName]: relativePath },
+      data: updateData,
    });
    // Wenn eine Kündigungsbestätigung (nicht "Optionen") hochgeladen wurde und
    // der Vertrag noch ACTIVE ist → auf CANCELLED umstellen + Audit-Log.
    // "Optionen" ist für Vertrags-Änderungen gedacht, nicht für echte Kündigungen.
    if (fieldName === 'cancellationConfirmationPath' && contract.status === 'ACTIVE') {
      await prisma.contract.update({
        where: { id: contractId },
        data: { status: 'CANCELLED' },
      });
      await logChange({
        req,
        action: 'UPDATE',
        resourceType: 'Contract',
        resourceId: contractId.toString(),
        label: `Vertrag ${contract.contractNumber} automatisch auf CANCELLED gesetzt (Kündigungsbestätigung hochgeladen)`,
        details: { vorher: 'ACTIVE', nachher: 'CANCELLED', trigger: 'cancellationConfirmation-Upload' },
        customerId: contract.customerId,
      });
    }
    res.json({
      success: true,
      data: {
@@ -592,6 +633,7 @@ async function handleContractDocumentDelete(
 ) {
  try {
    const contractId = parseInt(req.params.id);
    if (!(await canAccessContract(req, res, contractId))) return;
    const contract = await prisma.contract.findUnique({ where: { id: contractId } });
    if (!contract) {
@@ -1,8 +1,49 @@
 import prisma from '../lib/prisma.js';
 import bcrypt from 'bcryptjs';
 import jwt from 'jsonwebtoken';
 import crypto from 'crypto';
 import { JwtPayload } from '../types/index.js';
 import { encrypt, decrypt } from '../utils/encryption.js';
 import { sendEmail, SmtpCredentials } from './smtpService.js';
 import { getSystemEmailCredentials } from './emailProvider/emailProviderService.js';
 // Bcrypt-Cost-Faktor: 12 = OWASP-empfohlen (Stand 2026), ca. 250 ms pro Hash.
 // Bestehende Hashes mit Faktor 10 bleiben gültig (bcrypt kodiert den Faktor im Hash).
 const BCRYPT_COST = 12;
 // Dummy-Hash mit Cost 12 für Timing-Attack-Schutz: bei nicht-existierendem User
 // führen wir trotzdem ein bcrypt.compare() durch, damit die Antwortzeit nicht
 // verrät, ob die E-Mail existiert. Konstanter Hash hat keine Bedeutung außer
 // dem Timing-Angleich.
 const DUMMY_BCRYPT_HASH = '$2a$12$CwTycUXWue0Thq9StjUM0uJ8gQKwqKjq8lZ3TZ9qg8aJ0A9hPn4Wy';
 /**
 * Upgrade eines bestehenden Passwort-Hashes auf aktuellen BCRYPT_COST.
 * Wird nach erfolgreichem Login aufgerufen. Alte User (z.B. admin mit Cost 10
 * aus der Installation) werden so lazy auf Cost 12 migriert – damit sich die
 * Antwortzeit beim Login der Dummy-Zeit bei ungültigen Usern angleicht.
 */
 async function maybeUpgradePasswordHash(
  table: 'user' | 'customer',
  id: number,
  plaintextPassword: string,
  currentHash: string,
 ): Promise<void> {
  const match = currentHash.match(/^\$2[aby]\$(\d+)\$/);
  const currentCost = match ? parseInt(match[1], 10) : 0;
  if (currentCost === BCRYPT_COST) return;
  try {
    const newHash = await bcrypt.hash(plaintextPassword, BCRYPT_COST);
    if (table === 'user') {
      await prisma.user.update({ where: { id }, data: { password: newHash } });
    } else {
      await prisma.customer.update({ where: { id }, data: { portalPasswordHash: newHash } });
    }
  } catch (err) {
    // Nicht kritisch – Login war erfolgreich, Rehash kann beim nächsten Login nachgeholt werden
    console.warn('[maybeUpgradePasswordHash] Fehler beim Rehash:', err);
  }
 }
 // Mitarbeiter-Login
 export async function login(email: string, password: string) {
@@ -26,6 +67,9 @@ export async function login(email: string, password: string) {
  });
  if (!user || !user.isActive) {
    // Timing-Attack-Schutz: Dummy-bcrypt-compare damit die Antwortzeit bei
    // nicht-existierendem/deaktiviertem User der eines gültigen Users entspricht.
    await bcrypt.compare(password, DUMMY_BCRYPT_HASH);
    throw new Error('Ungültige Anmeldedaten');
  }
@@ -34,6 +78,10 @@ export async function login(email: string, password: string) {
    throw new Error('Ungültige Anmeldedaten');
  }
  // Lazy-Upgrade: ältere Cost-10-Hashes auf aktuellen BCRYPT_COST rehashen.
  // Async, nicht blockierend für die Response.
  maybeUpgradePasswordHash('user', user.id, password, user.password).catch(() => {});
  // Collect all permissions from all roles
  const permissions = new Set<string>();
  for (const userRole of user.roles) {
@@ -52,7 +100,7 @@ export async function login(email: string, password: string) {
    isCustomerPortal: false,
  };
-  const token = jwt.sign(payload, process.env.JWT_SECRET || 'fallback-secret', {
+  const token = jwt.sign(payload, process.env.JWT_SECRET as string, {
    expiresIn: (process.env.JWT_EXPIRES_IN || '7d') as jwt.SignOptions['expiresIn'],
  });
@@ -100,6 +148,8 @@ export async function customerLogin(email: string, password: string) {
  if (!customer || !customer.portalEnabled || !customer.portalPasswordHash) {
    console.log('[CustomerLogin] Abbruch: Kunde nicht gefunden oder Portal nicht aktiviert');
    // Timing-Attack-Schutz (siehe login())
    await bcrypt.compare(password, DUMMY_BCRYPT_HASH);
    throw new Error('Ungültige Anmeldedaten');
  }
@@ -110,6 +160,9 @@ export async function customerLogin(email: string, password: string) {
    throw new Error('Ungültige Anmeldedaten');
  }
  // Lazy-Upgrade analog zu Mitarbeiter-Login
  maybeUpgradePasswordHash('customer', customer.id, password, customer.portalPasswordHash).catch(() => {});
  // Letzte Anmeldung aktualisieren
  await prisma.customer.update({
    where: { id: customer.id },
@@ -135,7 +188,7 @@ export async function customerLogin(email: string, password: string) {
    representedCustomerIds,
  };
-  const token = jwt.sign(payload, process.env.JWT_SECRET || 'fallback-secret', {
+  const token = jwt.sign(payload, process.env.JWT_SECRET as string, {
    expiresIn: (process.env.JWT_EXPIRES_IN || '7d') as jwt.SignOptions['expiresIn'],
  });
@@ -165,7 +218,7 @@ export async function customerLogin(email: string, password: string) {
 export async function setCustomerPortalPassword(customerId: number, password: string) {
  console.log('[SetPortalPassword] Setze Passwort für Kunde:', customerId);
-  const hashedPassword = await bcrypt.hash(password, 10);
+  const hashedPassword = await bcrypt.hash(password, BCRYPT_COST);
  const encryptedPassword = encrypt(password);
  console.log('[SetPortalPassword] Hash erstellt, Länge:', hashedPassword.length);
@@ -208,7 +261,7 @@ export async function createUser(data: {
  roleIds: number[];
  customerId?: number;
 }) {
-  const hashedPassword = await bcrypt.hash(data.password, 10);
+  const hashedPassword = await bcrypt.hash(data.password, BCRYPT_COST);
  const user = await prisma.user.create({
    data: {
@@ -339,3 +392,171 @@ export async function getCustomerPortalUser(customerId: number) {
    })),
  };
 }
 // ==================== PASSWORT-RESET ====================
 const RESET_TOKEN_EXPIRY_HOURS = 2;
 function generateResetToken(): string {
  return crypto.randomBytes(32).toString('hex');
 }
 function getPublicUrl(): string {
  return process.env.PUBLIC_URL || 'http://localhost:5173';
 }
 /**
 * Passwort-Reset-Link per Email senden.
 * Findet User/Customer per Email. Wirft keinen Error wenn nicht gefunden
 * (Schutz vor User-Enumeration – Caller gibt immer success zurück).
 */
 export async function requestPasswordReset(email: string, userType: 'admin' | 'portal'): Promise<void> {
  const token = generateResetToken();
  const expiresAt = new Date(Date.now() + RESET_TOKEN_EXPIRY_HOURS * 60 * 60 * 1000);
  let recipient: { email: string; firstName: string; lastName: string } | null = null;
  if (userType === 'admin') {
    const user = await prisma.user.findUnique({ where: { email } });
    if (!user || !user.isActive) return;
    await prisma.user.update({
      where: { id: user.id },
      data: {
        passwordResetToken: token,
        passwordResetExpiresAt: expiresAt,
      },
    });
    recipient = { email: user.email, firstName: user.firstName, lastName: user.lastName };
  } else {
    const customer = await prisma.customer.findUnique({ where: { portalEmail: email } });
    if (!customer || !customer.portalEnabled) return;
    await prisma.customer.update({
      where: { id: customer.id },
      data: {
        portalPasswordResetToken: token,
        portalPasswordResetExpiresAt: expiresAt,
      },
    });
    recipient = {
      email: customer.portalEmail!,
      firstName: customer.firstName,
      lastName: customer.lastName,
    };
  }
  if (!recipient) return;
  // Reset-Link + Email senden
  const resetUrl = `${getPublicUrl()}/password-reset?token=${token}&type=${userType}`;
  const systemEmail = await getSystemEmailCredentials();
  if (!systemEmail) {
    console.warn(
      `[passwordReset] Kein System-E-Mail konfiguriert – Reset-Link für ${recipient.email}: ${resetUrl}`,
    );
    return;
  }
  const credentials: SmtpCredentials = {
    host: systemEmail.smtpServer,
    port: systemEmail.smtpPort,
    user: systemEmail.emailAddress,
    password: systemEmail.password,
    encryption: systemEmail.smtpEncryption,
    allowSelfSignedCerts: systemEmail.allowSelfSignedCerts,
  };
  const html = `
    <div style="font-family: Arial, sans-serif; max-width: 600px; margin: 0 auto;">
      <h2 style="color: #1e40af;">Passwort zurücksetzen</h2>
      <p>Hallo ${recipient.firstName} ${recipient.lastName},</p>
      <p>
        Sie haben angefordert, Ihr Passwort zurückzusetzen. Klicken Sie auf den folgenden
        Button, um ein neues Passwort zu vergeben. Der Link ist ${RESET_TOKEN_EXPIRY_HOURS} Stunden gültig.
      </p>
      <p style="text-align: center; margin: 32px 0;">
        <a href="${resetUrl}" style="background-color: #2563eb; color: #ffffff; padding: 14px 32px; text-decoration: none; border-radius: 8px; font-weight: bold; font-size: 16px; display: inline-block;">
          Neues Passwort vergeben
        </a>
      </p>
      <p style="color: #6b7280; font-size: 14px;">
        Alternativ können Sie diesen Link in Ihren Browser kopieren:<br>
        <a href="${resetUrl}" style="color: #2563eb; word-break: break-all;">${resetUrl}</a>
      </p>
      <hr style="border: none; border-top: 1px solid #e5e7eb; margin: 24px 0;">
      <p style="color: #9ca3af; font-size: 12px;">
        Haben Sie diesen Reset nicht angefordert? Dann ignorieren Sie diese E-Mail einfach –
        Ihr Passwort bleibt unverändert.
      </p>
    </div>
  `;
  await sendEmail(
    credentials,
    systemEmail.emailAddress,
    {
      to: recipient.email,
      subject: 'Passwort zurücksetzen',
      html,
    },
    {
      context: 'password-reset',
      triggeredBy: 'self-service',
    },
  );
 }
 /**
 * Passwort-Reset bestätigen: Token prüfen, Passwort setzen, Token löschen.
 * Invalidiert alle bestehenden JWT-Sessions des Users.
 */
 export async function confirmPasswordReset(token: string, newPassword: string): Promise<void> {
  // Erst beim User suchen
  const user = await prisma.user.findUnique({ where: { passwordResetToken: token } });
  if (user) {
    if (!user.passwordResetExpiresAt || user.passwordResetExpiresAt < new Date()) {
      throw new Error('Der Link ist abgelaufen. Bitte fordere einen neuen an.');
    }
    const hash = await bcrypt.hash(newPassword, BCRYPT_COST);
    await prisma.user.update({
      where: { id: user.id },
      data: {
        password: hash,
        passwordResetToken: null,
        passwordResetExpiresAt: null,
        // Alle bestehenden Sessions kicken
        tokenInvalidatedAt: new Date(),
      },
    });
    return;
  }
  // Sonst beim Customer (Portal)
  const customer = await prisma.customer.findUnique({ where: { portalPasswordResetToken: token } });
  if (customer) {
    if (!customer.portalPasswordResetExpiresAt || customer.portalPasswordResetExpiresAt < new Date()) {
      throw new Error('Der Link ist abgelaufen. Bitte fordere einen neuen an.');
    }
    const hash = await bcrypt.hash(newPassword, BCRYPT_COST);
    await prisma.customer.update({
      where: { id: customer.id },
      data: {
        portalPasswordHash: hash,
        portalPasswordEncrypted: encrypt(newPassword),
        portalPasswordResetToken: null,
        portalPasswordResetExpiresAt: null,
        // Alle bestehenden Portal-Sessions kicken
        portalTokenInvalidatedAt: new Date(),
      },
    });
    return;
  }
  throw new Error('Ungültiger oder bereits verwendeter Link.');
 }
@@ -239,6 +239,17 @@ export async function createBackup(): Promise<BackupResult> {
      { name: 'Address', query: () => prisma.address.findMany() },
      { name: 'BankCard', query: () => prisma.bankCard.findMany() },
      { name: 'IdentityDocument', query: () => prisma.identityDocument.findMany() },
      // Neue Tabellen
      { name: 'PdfTemplate', query: () => prisma.pdfTemplate.findMany() },
      { name: 'ContractMeter', query: () => prisma.contractMeter.findMany() },
      { name: 'ContractDocument', query: () => prisma.contractDocument.findMany() },
      { name: 'RepresentativeAuthorization', query: () => prisma.representativeAuthorization.findMany() },
      { name: 'CustomerConsent', query: () => prisma.customerConsent.findMany() },
      { name: 'DataDeletionRequest', query: () => prisma.dataDeletionRequest.findMany() },
      { name: 'EmailLog', query: () => prisma.emailLog.findMany() },
      { name: 'AuditRetentionPolicy', query: () => prisma.auditRetentionPolicy.findMany() },
      { name: 'AuditLog', query: () => prisma.auditLog.findMany() },
      { name: 'SecurityEvent', query: () => prisma.securityEvent.findMany() },
    ];
    let totalRecords = 0;
@@ -297,6 +308,11 @@ export async function restoreBackup(backupName: string): Promise<RestoreResult>
    // WICHTIG: Alle Tabellen vor dem Restore leeren, damit keine alten Daten übrig bleiben
    console.log('[Restore] Lösche alle bestehenden Daten...');
    // Logs & Audit zuerst (hängen an allem)
    await prisma.auditLog.deleteMany({});
    await prisma.emailLog.deleteMany({});
    await prisma.securityEvent.deleteMany({});
    // Detail-Tabellen
    await prisma.carInsuranceDetails.deleteMany({});
    await prisma.tvContractDetails.deleteMany({});
@@ -309,12 +325,21 @@ export async function restoreBackup(backupName: string): Promise<RestoreResult>
    await prisma.meterReading.deleteMany({});
    await prisma.contractHistoryEntry.deleteMany({});
    // Neue Contract-bezogene Tabellen
    await prisma.contractDocument.deleteMany({});
    await prisma.contractMeter.deleteMany({});
    // E-Mail & Verträge
    await prisma.cachedEmail.deleteMany({});
    await prisma.contractTaskSubtask.deleteMany({});
    await prisma.contractTask.deleteMany({});
    await prisma.contract.deleteMany({});
    // DSGVO + Vollmachten (abhängig von Customer)
    await prisma.representativeAuthorization.deleteMany({});
    await prisma.customerConsent.deleteMany({});
    await prisma.dataDeletionRequest.deleteMany({});
    // Kunden-bezogene Daten
    await prisma.stressfreiEmail.deleteMany({});
    await prisma.meter.deleteMany({});
@@ -328,7 +353,8 @@ export async function restoreBackup(backupName: string): Promise<RestoreResult>
    await prisma.user.deleteMany({});
    await prisma.customer.deleteMany({});
-    // Stammdaten
+    // Stammdaten & Kataloge
    await prisma.pdfTemplate.deleteMany({});
    await prisma.tariff.deleteMany({});
    await prisma.provider.deleteMany({});
    await prisma.rolePermission.deleteMany({});
@@ -340,6 +366,7 @@ export async function restoreBackup(backupName: string): Promise<RestoreResult>
    await prisma.contractCategory.deleteMany({});
    await prisma.emailProviderConfig.deleteMany({});
    await prisma.appSetting.deleteMany({});
    await prisma.auditRetentionPolicy.deleteMany({});
    console.log('[Restore] Alle Daten gelöscht, starte Wiederherstellung...');
@@ -753,6 +780,127 @@ export async function restoreBackup(backupName: string): Promise<RestoreResult>
          }
        },
      },
      // Neue Tabellen
      {
        name: 'PdfTemplate',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.pdfTemplate.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'ContractMeter',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.contractMeter.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'ContractDocument',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.contractDocument.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'RepresentativeAuthorization',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.representativeAuthorization.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'CustomerConsent',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.customerConsent.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'DataDeletionRequest',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.dataDeletionRequest.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'EmailLog',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.emailLog.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'AuditRetentionPolicy',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.auditRetentionPolicy.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'AuditLog',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.auditLog.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
      {
        name: 'SecurityEvent',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.securityEvent.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
    ];
    let totalRestored = 0;
@@ -873,8 +1021,36 @@ export async function uploadBackupZip(zipBuffer: Buffer): Promise<BackupResult>
    const finalBackupName = path.basename(finalBackupDir);
-    // ZIP extrahieren
+    // ZIP entpacken – mit Schutz gegen Zip-Slip (../../etc/passwd Angriff).
-    zip.extractAllTo(finalBackupDir, true);
+    // Jeder Eintragspfad muss innerhalb von finalBackupDir bleiben.
    const absBackupDir = path.resolve(finalBackupDir);
    fs.mkdirSync(absBackupDir, { recursive: true });
    for (const entry of entries) {
      // Pfade mit absoluten Pfaden oder Traversal ablehnen
      const entryName = entry.entryName;
      if (entryName.includes('\0') || path.isAbsolute(entryName)) {
        return { success: false, error: `Ungültiger Eintrag im ZIP: ${entryName}` };
      }
      const targetPath = path.resolve(absBackupDir, entryName);
      // Zip-Slip-Check: aufgelöster Pfad muss im Backup-Verzeichnis liegen
      if (!targetPath.startsWith(absBackupDir + path.sep) && targetPath !== absBackupDir) {
        return {
          success: false,
          error: `Sicherheitsverletzung im ZIP: Pfad "${entryName}" zeigt außerhalb des Backup-Verzeichnisses`,
        };
      }
      if (entry.isDirectory) {
        fs.mkdirSync(targetPath, { recursive: true });
      } else {
        // Zielverzeichnis sicherstellen
        fs.mkdirSync(path.dirname(targetPath), { recursive: true });
        // Datei schreiben
        fs.writeFileSync(targetPath, entry.getData());
      }
    }
    return { success: true, backupName: finalBackupName };
  } catch (error: any) {
@@ -0,0 +1,169 @@
 /**
 * Scheduler für automatische Geburtstagsgrüße.
 *
 * Läuft täglich um 08:00 Uhr und sendet Grüße an alle Kunden mit:
 *   - Geburtstag = heute
 *   - autoBirthdayGreeting = true
 *   - autoBirthdayChannel ist gesetzt (aktuell nur 'email' automatisiert)
 *   - lastBirthdayGreetingYear != aktuelles Jahr (verhindert Doppel-Versand)
 */
 import cron from 'node-cron';
 import prisma from '../lib/prisma.js';
 import { sendEmail, SmtpCredentials } from './smtpService.js';
 import { getSystemEmailCredentials } from './emailProvider/emailProviderService.js';
 import * as birthdayService from './birthday.service.js';
 async function runDailyBirthdayGreetings(): Promise<void> {
  const today = new Date();
  today.setHours(0, 0, 0, 0);
  const thisYear = today.getFullYear();
  const month = today.getMonth() + 1; // Prisma-Raw-SQL ist 1-indexed
  const day = today.getDate();
  console.log(
    `[BirthdayScheduler] Suche Kunden mit Geburtstag ${day}.${month}., Auto-Versand aktiv …`,
  );
  // Kunden mit heutigem Geburtstag + Auto-Versand + dieses Jahr noch nicht gesendet
  const candidates = await prisma.$queryRaw<
    Array<{
      id: number;
      firstName: string;
      lastName: string;
      email: string | null;
      salutation: string | null;
      useInformalAddress: boolean;
      birthDate: Date;
      autoBirthdayChannel: string | null;
    }>
  >`
    SELECT id, firstName, lastName, email, salutation, useInformalAddress, birthDate, autoBirthdayChannel
    FROM Customer
    WHERE autoBirthdayGreeting = 1
      AND birthDate IS NOT NULL
      AND MONTH(birthDate) = ${month}
      AND DAY(birthDate) = ${day}
      AND (lastBirthdayGreetingYear IS NULL OR lastBirthdayGreetingYear != ${thisYear})
  `;
  if (candidates.length === 0) {
    console.log('[BirthdayScheduler] Keine passenden Kunden heute.');
    return;
  }
  console.log(`[BirthdayScheduler] ${candidates.length} Kunde(n) gefunden – sende Grüße.`);
  // System-E-Mail-Credentials einmal laden
  const systemEmail = await getSystemEmailCredentials();
  if (!systemEmail) {
    console.error(
      '[BirthdayScheduler] Keine System-E-Mail konfiguriert – kann keine Grüße versenden.',
    );
    return;
  }
  const smtpCreds: SmtpCredentials = {
    host: systemEmail.smtpServer,
    port: systemEmail.smtpPort,
    user: systemEmail.emailAddress,
    password: systemEmail.password,
    encryption: systemEmail.smtpEncryption,
    allowSelfSignedCerts: systemEmail.allowSelfSignedCerts,
  };
  let sent = 0;
  let skipped = 0;
  for (const c of candidates) {
    const channel = c.autoBirthdayChannel || 'email';
    // Aktuell nur Email automatisch – Messenger brauchen Browser-Klick
    if (channel !== 'email') {
      console.log(
        `[BirthdayScheduler] Kunde #${c.id} (${c.firstName} ${c.lastName}): Kanal "${channel}" nicht automatisierbar, übersprungen.`,
      );
      skipped++;
      continue;
    }
    if (!c.email) {
      console.log(
        `[BirthdayScheduler] Kunde #${c.id} (${c.firstName} ${c.lastName}): keine E-Mail hinterlegt, übersprungen.`,
      );
      skipped++;
      continue;
    }
    const age = thisYear - new Date(c.birthDate).getFullYear();
    const { subject, html } = birthdayService.buildBirthdayGreetingText(
      {
        firstName: c.firstName,
        lastName: c.lastName,
        salutation: c.salutation,
        useInformalAddress: c.useInformalAddress,
      },
      age,
    );
    try {
      const result = await sendEmail(
        smtpCreds,
        systemEmail.emailAddress,
        { to: c.email, subject, html },
        { context: 'birthday-greeting-auto', customerId: c.id, triggeredBy: 'cron' },
      );
      if (result.success) {
        // Marker setzen damit nächstes Jahr wieder läuft, dieses Jahr aber nicht nochmal
        await prisma.customer.update({
          where: { id: c.id },
          data: { lastBirthdayGreetingYear: thisYear },
        });
        sent++;
        console.log(
          `[BirthdayScheduler] ✓ Kunde #${c.id} (${c.firstName} ${c.lastName}): Gruß gesendet.`,
        );
      } else {
        console.error(
          `[BirthdayScheduler] ✗ Kunde #${c.id}: Sendfehler: ${result.error}`,
        );
        skipped++;
      }
    } catch (err) {
      console.error(`[BirthdayScheduler] ✗ Kunde #${c.id}: Exception:`, err);
      skipped++;
    }
  }
  console.log(
    `[BirthdayScheduler] Fertig: ${sent} versendet, ${skipped} übersprungen von ${candidates.length} Kandidaten.`,
  );
 }
 /**
 * Scheduler starten. Läuft täglich um 08:00 in lokaler Server-Zeit.
 * Zusätzlich: ein Test-Lauf 30 Sekunden nach Server-Start, aber nur wenn heute schon jemand Geburtstag hat
 * (sonst passiert eh nichts). So können wir bei Ausfall am Tag X direkt beim nächsten Boot nachholen.
 */
 export function startBirthdayScheduler(): void {
  // Täglich um 08:00
  cron.schedule('0 8 * * *', () => {
    runDailyBirthdayGreetings().catch((err) =>
      console.error('[BirthdayScheduler] Daily run failed:', err),
    );
  });
  // Einmal 30 Sekunden nach Start (Catch-up bei Ausfall)
  setTimeout(() => {
    runDailyBirthdayGreetings().catch((err) =>
      console.error('[BirthdayScheduler] Catch-up run failed:', err),
    );
  }, 30_000);
  console.log('[BirthdayScheduler] Gestartet – täglich um 08:00 + Catch-up nach 30s');
 }
 /**
 * Für manuelles Triggern (z.B. aus Debug-Endpoint).
 */
 export { runDailyBirthdayGreetings };
@@ -765,6 +765,251 @@ export async function createFollowUpContract(previousContractId: number) {
  return createContract(newContractData);
 }
 /**
 * Hilfsfunktion: extrahiert die Anzahl Monate aus einer ContractDuration.
 * Code-Beispiele: "12M", "24M", "1J", "2J". Falls nichts erkannt wird, fällt
 * sie auf 12 Monate als sicheren Default zurück.
 */
 function durationToMonths(code: string | null | undefined, description: string | null | undefined): number {
  const c = (code || '').trim();
  const d = (description || '').trim();
  let m = c.match(/^(\d+)\s*M$/i);
  if (m) return parseInt(m[1], 10);
  m = c.match(/^(\d+)\s*J$/i);
  if (m) return parseInt(m[1], 10) * 12;
  m = d.match(/(\d+)\s*Monat/i);
  if (m) return parseInt(m[1], 10);
  m = d.match(/(\d+)\s*Jahr/i);
  if (m) return parseInt(m[1], 10) * 12;
  return 12;
 }
 /**
 * VVL = Vertragsverlängerung beim selben Anbieter.
 *
 * Im Gegensatz zu createFollowUpContract werden ALLE Daten 1:1 kopiert:
 * Provider, Tarif, Portal-Credentials, Preise, Notes, ContractDocuments.
 *
 * Berechnet wird das neue Startdatum: altes startDate + Vertragslaufzeit.
 * Stimmt das gefundene Datum nicht mit dem späteren Auftrag überein, kann
 * der User es im Vertrag manuell anpassen.
 *
 * NICHT mitkopiert wird:
 *   - das Auftragsdokument (documentType "Auftragsformular") – das ist
 *     schließlich die NEU zu unterschreibende VVL.
 *   - Kündigungsschreiben/-bestätigung (das war der ALTE Cancel-Flow,
 *     bei einer VVL nicht relevant)
 */
 export async function createRenewalContract(previousContractId: number) {
  const previousContract = await getContractById(previousContractId, true);
  if (!previousContract) {
    throw new Error('Vorgängervertrag nicht gefunden');
  }
  // Bereits ein Folge-/VVL-Vertrag vorhanden?
  const existing = await prisma.contract.findFirst({
    where: { previousContractId },
    select: { id: true, contractNumber: true },
  });
  if (existing) {
    throw new Error(`Es existiert bereits ein Folgevertrag: ${existing.contractNumber}`);
  }
  // Neues Startdatum = altes Start + Laufzeit
  let newStartDate: Date | null = null;
  let newEndDate: Date | null = null;
  if (previousContract.startDate && previousContract.contractDuration) {
    const months = durationToMonths(
      previousContract.contractDuration.code,
      previousContract.contractDuration.description,
    );
    newStartDate = new Date(previousContract.startDate);
    newStartDate.setMonth(newStartDate.getMonth() + months);
    newEndDate = new Date(newStartDate);
    newEndDate.setMonth(newEndDate.getMonth() + months);
  }
  // Vertrags-Daten 1:1 kopieren (außer id/contractNumber/Datums-/Cancellation-Felder)
  const contractNumber = generateContractNumber(previousContract.type);
  const newContract = await prisma.contract.create({
    data: {
      contractNumber,
      customerId: previousContract.customerId,
      type: previousContract.type,
      status: 'DRAFT',
      contractCategoryId: previousContract.contractCategoryId,
      addressId: previousContract.addressId,
      billingAddressId: previousContract.billingAddressId,
      bankCardId: previousContract.bankCardId,
      identityDocumentId: previousContract.identityDocumentId,
      salesPlatformId: previousContract.salesPlatformId,
      cancellationPeriodId: previousContract.cancellationPeriodId,
      contractDurationId: previousContract.contractDurationId,
      previousContractId: previousContract.id,
      previousProviderId: previousContract.previousProviderId,
      providerId: previousContract.providerId,
      tariffId: previousContract.tariffId,
      providerName: previousContract.providerName,
      tariffName: previousContract.tariffName,
      customerNumberAtProvider: previousContract.customerNumberAtProvider,
      portalUsername: previousContract.portalUsername,
      portalPasswordEncrypted: previousContract.portalPasswordEncrypted,
      commission: previousContract.commission,
      notes: previousContract.notes,
      startDate: newStartDate,
      endDate: newEndDate,
      // Cancellation-Felder bewusst leer lassen – die VVL hat den alten
      // Cancel-Flow nicht geerbt.
    },
  });
  // Detail-Tabellen 1:1 kopieren (id rausnehmen, contractId neu)
  if (previousContract.energyDetails) {
    const ed = previousContract.energyDetails;
    const newEnergy = await prisma.energyContractDetails.create({
      data: {
        contractId: newContract.id,
        meterId: ed.meterId,
        maloId: ed.maloId,
        annualConsumption: ed.annualConsumption,
        annualConsumptionKwh: ed.annualConsumptionKwh,
        basePrice: ed.basePrice,
        unitPrice: ed.unitPrice,
        unitPriceNt: ed.unitPriceNt,
        bonus: ed.bonus,
        previousProviderName: ed.previousProviderName,
        previousCustomerNumber: ed.previousCustomerNumber,
      },
    });
    // ContractMeter-Verknüpfungen mitkopieren
    for (const cm of ed.contractMeters || []) {
      await prisma.contractMeter.create({
        data: {
          energyContractDetailsId: newEnergy.id,
          meterId: cm.meterId,
          position: cm.position,
          installedAt: cm.installedAt,
          removedAt: cm.removedAt,
          finalReading: cm.finalReading,
        },
      });
    }
  }
  if (previousContract.internetDetails) {
    const id = previousContract.internetDetails;
    const newInet = await prisma.internetContractDetails.create({
      data: {
        contractId: newContract.id,
        downloadSpeed: id.downloadSpeed,
        uploadSpeed: id.uploadSpeed,
        routerModel: id.routerModel,
        routerSerialNumber: id.routerSerialNumber,
        installationDate: id.installationDate,
        internetUsername: id.internetUsername,
        internetPasswordEncrypted: id.internetPasswordEncrypted,
        propertyType: id.propertyType,
        propertyLocation: id.propertyLocation,
        connectionLocation: id.connectionLocation,
        homeId: id.homeId,
        activationCode: id.activationCode,
      },
    });
    for (const pn of id.phoneNumbers || []) {
      await prisma.phoneNumber.create({
        data: {
          internetContractDetailsId: newInet.id,
          phoneNumber: pn.phoneNumber,
          isMain: pn.isMain,
          sipUsername: pn.sipUsername,
          sipPasswordEncrypted: pn.sipPasswordEncrypted,
          sipServer: pn.sipServer,
        },
      });
    }
  }
  if (previousContract.mobileDetails) {
    const md = previousContract.mobileDetails;
    const newMob = await prisma.mobileContractDetails.create({
      data: {
        contractId: newContract.id,
        requiresMultisim: md.requiresMultisim,
        dataVolume: md.dataVolume,
        includedMinutes: md.includedMinutes,
        includedSMS: md.includedSMS,
        deviceModel: md.deviceModel,
        deviceImei: md.deviceImei,
        phoneNumber: md.phoneNumber,
        simCardNumber: md.simCardNumber,
      },
    });
    for (const sc of md.simCards || []) {
      await prisma.simCard.create({
        data: {
          mobileDetailsId: newMob.id,
          phoneNumber: sc.phoneNumber,
          simCardNumber: sc.simCardNumber,
          isMultisim: sc.isMultisim,
          isMain: sc.isMain,
          pin: sc.pin,
          puk: sc.puk,
        },
      });
    }
  }
  if (previousContract.tvDetails) {
    await prisma.tvContractDetails.create({
      data: {
        contractId: newContract.id,
        receiverModel: previousContract.tvDetails.receiverModel,
        smartcardNumber: previousContract.tvDetails.smartcardNumber,
        package: previousContract.tvDetails.package,
      },
    });
  }
  if (previousContract.carInsuranceDetails) {
    const ci = previousContract.carInsuranceDetails;
    await prisma.carInsuranceDetails.create({
      data: {
        contractId: newContract.id,
        licensePlate: ci.licensePlate,
        hsn: ci.hsn,
        tsn: ci.tsn,
        vin: ci.vin,
        vehicleType: ci.vehicleType,
        firstRegistration: ci.firstRegistration,
        noClaimsClass: ci.noClaimsClass,
        insuranceType: ci.insuranceType,
        deductiblePartial: ci.deductiblePartial,
        deductibleFull: ci.deductibleFull,
        previousInsurer: ci.previousInsurer,
      },
    });
  }
  // ContractDocuments mitkopieren – AUSSER "Auftragsformular" (das ist die
  // neue Unterschrift, die der User selbst hochlädt). Files werden NICHT
  // physisch dupliziert; beide Verträge zeigen auf dieselbe Datei.
  const docs = await prisma.contractDocument.findMany({
    where: { contractId: previousContract.id },
  });
  for (const d of docs) {
    if (d.documentType.toLowerCase().includes('auftragsformular')) continue;
    await prisma.contractDocument.create({
      data: {
        contractId: newContract.id,
        documentType: d.documentType,
        documentPath: d.documentPath,
        originalName: d.originalName,
        notes: d.notes,
        uploadedBy: d.uploadedBy,
      },
    });
  }
  return prisma.contract.findUnique({ where: { id: newContract.id } });
 }
 // Decrypt password for viewing
 export async function getContractPassword(id: number): Promise<string | null> {
  const contract = await prisma.contract.findUnique({
@@ -129,3 +129,35 @@ export async function createNewContractFromPredecessorEntry(
    createdBy,
  });
 }
 /**
 * Automatischen Historie-Eintrag für VVL (Vertragsverlängerung) im Vorgängervertrag.
 */
 export async function createRenewalHistoryEntry(
  previousContractId: number,
  newContractNumber: string,
  createdBy: string
 ) {
  return createHistoryEntry(previousContractId, {
    title: `Vertragsverlängerung erstellt: ${newContractNumber}`,
    description: `Eine Vertragsverlängerung (VVL) als ${newContractNumber} wurde aus diesem Vertrag erstellt – alle Daten wurden 1:1 übernommen, das Auftragsdokument muss neu hochgeladen werden.`,
    isAutomatic: true,
    createdBy,
  });
 }
 /**
 * Automatischen Historie-Eintrag im neuen VVL-Vertrag.
 */
 export async function createNewRenewalFromPredecessorEntry(
  newContractId: number,
  previousContractNumber: string,
  createdBy: string
 ) {
  return createHistoryEntry(newContractId, {
    title: `VVL zu ${previousContractNumber}`,
    description: `Dieser Vertrag wurde als Vertragsverlängerung (VVL) zu ${previousContractNumber} erstellt.`,
    isAutomatic: true,
    createdBy,
  });
 }
@@ -0,0 +1,149 @@
 /**
 * Scheduler für automatische Vertrags-Status-Übergänge.
 *
 * Einmal täglich um 02:00: alle Verträge mit status=ACTIVE und
 * endDate < heute werden auf EXPIRED umgestellt (+ Audit-Log).
 *
 * Läuft zusätzlich 60 Sekunden nach Server-Start als Catch-up falls
 * der Prozess zum 02:00-Slot neu gestartet wurde.
 */
 import cron from 'node-cron';
 import prisma from '../lib/prisma.js';
 import { createAuditLog, logChange } from './audit.service.js';
 async function runExpireCheck(): Promise<void> {
  const today = new Date();
  today.setHours(0, 0, 0, 0);
  const expiring = await prisma.contract.findMany({
    where: {
      status: 'ACTIVE',
      endDate: { not: null, lt: today },
    },
    select: {
      id: true,
      contractNumber: true,
      customerId: true,
      endDate: true,
    },
  });
  if (expiring.length === 0) {
    console.log('[ContractStatusScheduler] Keine abgelaufenen Verträge.');
    return;
  }
  console.log(`[ContractStatusScheduler] ${expiring.length} Vertrag/Verträge auf EXPIRED setzen.`);
  for (const c of expiring) {
    try {
      await prisma.contract.update({
        where: { id: c.id },
        data: { status: 'EXPIRED' },
      });
      await createAuditLog({
        userEmail: 'system',
        userRole: 'System',
        action: 'UPDATE',
        resourceType: 'Contract',
        resourceId: c.id.toString(),
        resourceLabel: `Vertrag ${c.contractNumber} automatisch auf EXPIRED gesetzt (Laufzeit überschritten)`,
        endpoint: 'scheduler:contract-status',
        httpMethod: 'SYSTEM',
        ipAddress: 'localhost',
        dataSubjectId: c.customerId,
        changesBefore: { status: 'ACTIVE' },
        changesAfter: { status: 'EXPIRED', endDate: c.endDate?.toISOString() },
      });
    } catch (err) {
      console.error(`[ContractStatusScheduler] Fehler bei Vertrag #${c.id}:`, err);
    }
  }
  console.log('[ContractStatusScheduler] Fertig.');
 }
 export function startContractStatusScheduler(): void {
  // Täglich um 02:00 Uhr (Server-Zeit)
  cron.schedule('0 2 * * *', () => {
    runExpireCheck().catch((err) =>
      console.error('[ContractStatusScheduler] Daily run failed:', err),
    );
  });
  // Catch-up 60 Sekunden nach Start
  setTimeout(() => {
    runExpireCheck().catch((err) =>
      console.error('[ContractStatusScheduler] Catch-up run failed:', err),
    );
  }, 60_000);
  console.log('[ContractStatusScheduler] Gestartet – täglich um 02:00 + Catch-up nach 60s');
 }
 export { runExpireCheck };
 /**
 * Wird nach einem ContractDocument-Upload aufgerufen. Wenn der Typ eine
 * Lieferbestätigung ist:
 *   - Contract.status von DRAFT auf ACTIVE setzen (falls DRAFT)
 *   - Contract.startDate auf deliveryDate (oder heute) setzen, falls noch leer
 *
 * Schreibweise "Lieferbestätigung" stammt aus dem Frontend-Dropdown
 * (SaveAttachmentModal / ContractDetail). Vergleich case-insensitive +
 * getrimmt zur Robustheit.
 */
 export async function maybeActivateOnDeliveryConfirmation(
  contractId: number,
  documentType: string,
  req: unknown,
  deliveryDate?: Date | string | null,
 ): Promise<void> {
  if (!documentType || typeof documentType !== 'string') return;
  if (documentType.trim().toLowerCase() !== 'lieferbestätigung') return;
  const contract = await prisma.contract.findUnique({
    where: { id: contractId },
    select: { status: true, contractNumber: true, customerId: true, startDate: true },
  });
  if (!contract) return;
  // deliveryDate parsen, Fallback auf heute
  let parsedDate: Date | null = null;
  if (deliveryDate) {
    const parsed = new Date(deliveryDate);
    if (!isNaN(parsed.getTime())) parsedDate = parsed;
  }
  const effectiveDate = parsedDate || new Date();
  const updateData: Record<string, unknown> = {};
  const changes: Record<string, { vorher: unknown; nachher: unknown }> = {};
  if (contract.status === 'DRAFT') {
    updateData.status = 'ACTIVE';
    changes.status = { vorher: 'DRAFT', nachher: 'ACTIVE' };
  }
  if (!contract.startDate) {
    updateData.startDate = effectiveDate;
    changes.startDate = { vorher: null, nachher: effectiveDate.toISOString().split('T')[0] };
  }
  if (Object.keys(updateData).length === 0) return;
  await prisma.contract.update({
    where: { id: contractId },
    data: updateData,
  });
  await logChange({
    req,
    action: 'UPDATE',
    resourceType: 'Contract',
    resourceId: contractId.toString(),
    label: `Vertrag ${contract.contractNumber} automatisch aktualisiert (Lieferbestätigung hochgeladen)`,
    details: { ...changes, trigger: 'Lieferbestätigung-Upload' },
    customerId: contract.customerId,
  });
 }
@@ -1,15 +1,32 @@
 /**
 * Factory-Defaults: Export + Import von Stammdaten-Katalogen.
- * Enthält KEINE Kundendaten, Verträge, Dokumente oder Einstellungen –
+ * Enthält KEINE Kundendaten, Verträge, Dokumente oder E-Mails –
 * nur reine Kataloge: Anbieter, Tarife, Kündigungsfristen, Laufzeiten,
- * Vertragskategorien und PDF-Auftragsvorlagen.
+ * Vertragskategorien, PDF-Auftragsvorlagen und ausgewählte
 * HTML-Templates (Datenschutz / Impressum / Vollmacht).
 */
 import fs from 'fs';
 import path from 'path';
 import archiver from 'archiver';
 import AdmZip from 'adm-zip';
 import prisma from '../lib/prisma.js';
 // Whitelist der AppSetting-Keys, die ins Factory-Default-Bundle gehören.
 // Bewusst klein gehalten: nur HTML-Templates für rechtliche Standardtexte –
 // keine Secrets, keine SMTP-Konfiguration, keine User-spezifischen Settings.
 export const FACTORY_DEFAULT_APP_SETTING_KEYS = [
  'privacyPolicyHtml',
  'authorizationTemplateHtml',
  'imprintHtml',
  'websitePrivacyPolicyHtml',
 ] as const;
 export interface AppSettingExport {
  key: (typeof FACTORY_DEFAULT_APP_SETTING_KEYS)[number];
  value: string;
 }
 export interface FactoryDefaultsManifest {
  version: 1;
  exportedAt: string;
@@ -20,6 +37,7 @@ export interface FactoryDefaultsManifest {
    contractDurations: number;
    contractCategories: number;
    pdfTemplates: number;
    appSettings: number;
  };
 }
@@ -49,7 +67,7 @@ export interface PdfTemplateExport {
 * Sammelt alle Katalog-Daten aus der DB.
 */
 export async function collectFactoryDefaults() {
-  const [providers, cancellationPeriods, contractDurations, contractCategories, pdfTemplates] =
+  const [providers, cancellationPeriods, contractDurations, contractCategories, pdfTemplates, appSettings] =
    await Promise.all([
      prisma.provider.findMany({
        include: { tariffs: { select: { name: true, isActive: true } } },
@@ -59,6 +77,11 @@ export async function collectFactoryDefaults() {
      prisma.contractDuration.findMany({ orderBy: { code: 'asc' } }),
      prisma.contractCategory.findMany({ orderBy: { sortOrder: 'asc' } }),
      prisma.pdfTemplate.findMany({ orderBy: { name: 'asc' } }),
      prisma.appSetting.findMany({
        where: { key: { in: [...FACTORY_DEFAULT_APP_SETTING_KEYS] } },
        select: { key: true, value: true },
        orderBy: { key: 'asc' },
      }),
    ]);
  return {
@@ -108,6 +131,7 @@ export async function collectFactoryDefaults() {
        pdfFilename: sanitizeFilename(t.name) + path.extname(t.originalName || '.pdf'),
      };
    }),
    appSettings: appSettings as AppSettingExport[],
  };
 }
@@ -132,6 +156,7 @@ export async function exportFactoryDefaults(): Promise<Buffer> {
      contractDurations: data.contractDurations.length,
      contractCategories: data.contractCategories.length,
      pdfTemplates: data.pdfTemplates.length,
      appSettings: data.appSettings.length,
    },
  };
@@ -160,6 +185,9 @@ export async function exportFactoryDefaults(): Promise<Buffer> {
    archive.append(JSON.stringify(data.pdfTemplates, null, 2), {
      name: 'pdf-templates/pdf-templates.json',
    });
    archive.append(JSON.stringify(data.appSettings, null, 2), {
      name: 'app-settings/app-settings.json',
    });
    // PDF-Dateien physisch hinzufügen (Pfade aus DB laden)
    const uploadsRoot = path.join(process.cwd(), 'uploads');
@@ -192,3 +220,244 @@ export async function exportFactoryDefaults(): Promise<Buffer> {
    })();
  });
 }
 // ============================================================
 // IMPORT
 // ============================================================
 export interface FactoryDefaultsImportResult {
  providers: number;
  tariffs: number;
  cancellationPeriods: number;
  contractDurations: number;
  contractCategories: number;
  pdfTemplates: number;
  pdfTemplatesSkipped: number;
  appSettings: number;
  warnings: string[];
 }
 function parseJsonEntry<T>(zip: AdmZip, name: string): T[] {
  const entry = zip.getEntry(name);
  if (!entry) return [];
  try {
    const parsed = JSON.parse(entry.getData().toString('utf-8'));
    return Array.isArray(parsed) ? parsed : [];
  } catch {
    return [];
  }
 }
 /**
 * Wendet ein Factory-Defaults-ZIP idempotent auf die DB an.
 * - upsert über unique-Keys: nichts wird gelöscht
 * - PDFs landen in `${uploads}/pdf-templates/` mit eindeutigem Suffix
 * - AppSettings nur Whitelist-Keys (FACTORY_DEFAULT_APP_SETTING_KEYS)
 *
 * Robust gegen Zip-Slip: wir greifen nur auf bekannte Entry-Namen zu
 * (`pdf-templates/<basename>`), niemals auf einen aus dem ZIP konstruierten
 * Pfad im Filesystem.
 */
 export async function importFactoryDefaults(
  zipBuffer: Buffer,
 ): Promise<FactoryDefaultsImportResult> {
  const zip = new AdmZip(zipBuffer);
  const result: FactoryDefaultsImportResult = {
    providers: 0,
    tariffs: 0,
    cancellationPeriods: 0,
    contractDurations: 0,
    contractCategories: 0,
    pdfTemplates: 0,
    pdfTemplatesSkipped: 0,
    appSettings: 0,
    warnings: [],
  };
  // --- Providers + Tariffs
  const providers = parseJsonEntry<ProviderExport>(zip, 'providers/providers.json');
  for (const p of providers) {
    if (!p.name) continue;
    const provider = await prisma.provider.upsert({
      where: { name: p.name },
      update: {
        portalUrl: p.portalUrl ?? null,
        usernameFieldName: p.usernameFieldName ?? null,
        passwordFieldName: p.passwordFieldName ?? null,
        isActive: p.isActive ?? true,
      },
      create: {
        name: p.name,
        portalUrl: p.portalUrl ?? null,
        usernameFieldName: p.usernameFieldName ?? null,
        passwordFieldName: p.passwordFieldName ?? null,
        isActive: p.isActive ?? true,
      },
    });
    result.providers++;
    for (const t of p.tariffs ?? []) {
      if (!t.name) continue;
      await prisma.tariff.upsert({
        where: { providerId_name: { providerId: provider.id, name: t.name } },
        update: { isActive: t.isActive ?? true },
        create: { providerId: provider.id, name: t.name, isActive: t.isActive ?? true },
      });
      result.tariffs++;
    }
  }
  // --- Contract-Meta
  const cancellationPeriods = parseJsonEntry<{ code: string; description: string; isActive?: boolean }>(
    zip,
    'contract-meta/cancellation-periods.json',
  );
  for (const c of cancellationPeriods) {
    if (!c.code || !c.description) continue;
    await prisma.cancellationPeriod.upsert({
      where: { code: c.code },
      update: { description: c.description, isActive: c.isActive ?? true },
      create: { code: c.code, description: c.description, isActive: c.isActive ?? true },
    });
    result.cancellationPeriods++;
  }
  const contractDurations = parseJsonEntry<{ code: string; description: string; isActive?: boolean }>(
    zip,
    'contract-meta/contract-durations.json',
  );
  for (const d of contractDurations) {
    if (!d.code || !d.description) continue;
    await prisma.contractDuration.upsert({
      where: { code: d.code },
      update: { description: d.description, isActive: d.isActive ?? true },
      create: { code: d.code, description: d.description, isActive: d.isActive ?? true },
    });
    result.contractDurations++;
  }
  const contractCategories = parseJsonEntry<{
    code: string;
    name: string;
    icon?: string | null;
    color?: string | null;
    sortOrder?: number;
    isActive?: boolean;
  }>(zip, 'contract-meta/contract-categories.json');
  for (const c of contractCategories) {
    if (!c.code || !c.name) continue;
    await prisma.contractCategory.upsert({
      where: { code: c.code },
      update: {
        name: c.name,
        icon: c.icon ?? null,
        color: c.color ?? null,
        sortOrder: c.sortOrder ?? 0,
        isActive: c.isActive ?? true,
      },
      create: {
        code: c.code,
        name: c.name,
        icon: c.icon ?? null,
        color: c.color ?? null,
        sortOrder: c.sortOrder ?? 0,
        isActive: c.isActive ?? true,
      },
    });
    result.contractCategories++;
  }
  // --- PDF-Vorlagen (JSON + binär aus dem ZIP)
  const pdfTemplates = parseJsonEntry<PdfTemplateExport>(
    zip,
    'pdf-templates/pdf-templates.json',
  );
  if (pdfTemplates.length > 0) {
    const uploadsRoot = path.join(process.cwd(), 'uploads');
    const pdfDestDir = path.join(uploadsRoot, 'pdf-templates');
    if (!fs.existsSync(pdfDestDir)) {
      fs.mkdirSync(pdfDestDir, { recursive: true });
    }
    for (const t of pdfTemplates) {
      if (!t.name || !t.pdfFilename) continue;
      // Anti-Zip-Slip: nur basename verwenden, kein Pfad
      const basename = path.basename(t.pdfFilename);
      const entry = zip.getEntry(`pdf-templates/${basename}`);
      if (!entry) {
        result.pdfTemplatesSkipped++;
        result.warnings.push(`PDF fehlt im ZIP: ${basename} – Vorlage "${t.name}" übersprungen`);
        continue;
      }
      const ext = path.extname(t.originalName || basename) || '.pdf';
      const uniqueSuffix = Date.now() + '-' + Math.round(Math.random() * 1e9);
      const safeName = t.name.replace(/[^a-zA-Z0-9]/g, '-');
      const destFilename = `seed-${safeName}-${uniqueSuffix}${ext}`;
      const destPdf = path.join(pdfDestDir, destFilename);
      const relativePath = `/uploads/pdf-templates/${destFilename}`;
      fs.writeFileSync(destPdf, entry.getData());
      // Bei existierender Vorlage die alte Datei aufräumen
      const existing = await prisma.pdfTemplate.findUnique({ where: { name: t.name } });
      if (existing?.templatePath) {
        const oldRel = existing.templatePath.startsWith('/uploads/')
          ? existing.templatePath.substring('/uploads/'.length)
          : existing.templatePath;
        const oldAbs = path.join(uploadsRoot, oldRel);
        if (fs.existsSync(oldAbs)) {
          try {
            fs.unlinkSync(oldAbs);
          } catch {
            // ignore
          }
        }
      }
      const fieldMappingJson = JSON.stringify(t.fieldMapping ?? {});
      await prisma.pdfTemplate.upsert({
        where: { name: t.name },
        update: {
          description: t.description ?? null,
          providerName: t.providerName ?? null,
          templatePath: relativePath,
          originalName: t.originalName,
          fieldMapping: fieldMappingJson,
          phoneFieldPrefix: t.phoneFieldPrefix ?? null,
          maxPhoneFields: t.maxPhoneFields ?? 8,
          isActive: t.isActive ?? true,
        },
        create: {
          name: t.name,
          description: t.description ?? null,
          providerName: t.providerName ?? null,
          templatePath: relativePath,
          originalName: t.originalName,
          fieldMapping: fieldMappingJson,
          phoneFieldPrefix: t.phoneFieldPrefix ?? null,
          maxPhoneFields: t.maxPhoneFields ?? 8,
          isActive: t.isActive ?? true,
        },
      });
      result.pdfTemplates++;
    }
  }
  // --- AppSettings (HTML-Templates, Whitelist)
  const appSettings = parseJsonEntry<AppSettingExport>(zip, 'app-settings/app-settings.json');
  const allowedKeys = new Set<string>(FACTORY_DEFAULT_APP_SETTING_KEYS);
  for (const s of appSettings) {
    if (!s.key || typeof s.value !== 'string') continue;
    if (!allowedKeys.has(s.key)) {
      result.warnings.push(`AppSetting-Key '${s.key}' nicht auf Whitelist – ignoriert`);
      continue;
    }
    await prisma.appSetting.upsert({
      where: { key: s.key },
      update: { value: s.value },
      create: { key: s.key, value: s.value },
    });
    result.appSettings++;
  }
  return result;
 }
@@ -0,0 +1,126 @@
 /**
 * Pfad → Resource → Owner Mapping für `/api/files/download`.
 *
 * Jeder Upload-Subdirectory ist mit genau einem Prisma-Model + Path-Field
 * verknüpft. Wir suchen den Record, der diesen Path referenziert, und
 * leiten daraus den zuständigen Customer/Contract ab. canAccessCustomer /
 * canAccessContract entscheidet danach über Zugriff.
 *
 * Pfade werden 1:1 mit dem in der DB gespeicherten Wert verglichen
 * (z.B. `/uploads/bank-cards/12345.pdf`). Damit ist Path-Traversal
 * automatisch ausgeschlossen – ein konstruierter Pfad findet keinen Record.
 */
 import prisma from '../lib/prisma.js';
 export type FileOwner =
  | { kind: 'customer'; customerId: number }
  | { kind: 'contract'; contractId: number }
  | { kind: 'admin' }
  | { kind: 'gdpr-admin' };
 export async function findUploadOwner(uploadPath: string): Promise<FileOwner | null> {
  // Format-Check: muss mit /uploads/<subDir>/<filename> beginnen, kein Traversal.
  if (!uploadPath.startsWith('/uploads/')) return null;
  if (uploadPath.includes('..') || uploadPath.includes('\0')) return null;
  const parts = uploadPath.split('/');
  // ['', 'uploads', '<subDir>', '<filename...>']
  if (parts.length < 4) return null;
  const subDir = parts[2];
  switch (subDir) {
    case 'bank-cards': {
      const r = await prisma.bankCard.findFirst({
        where: { documentPath: uploadPath },
        select: { customerId: true },
      });
      return r ? { kind: 'customer', customerId: r.customerId } : null;
    }
    case 'documents': {
      const r = await prisma.identityDocument.findFirst({
        where: { documentPath: uploadPath },
        select: { customerId: true },
      });
      return r ? { kind: 'customer', customerId: r.customerId } : null;
    }
    case 'business-registrations': {
      const r = await prisma.customer.findFirst({
        where: { businessRegistrationPath: uploadPath },
        select: { id: true },
      });
      return r ? { kind: 'customer', customerId: r.id } : null;
    }
    case 'commercial-registers': {
      const r = await prisma.customer.findFirst({
        where: { commercialRegisterPath: uploadPath },
        select: { id: true },
      });
      return r ? { kind: 'customer', customerId: r.id } : null;
    }
    case 'privacy-policies': {
      const r = await prisma.customer.findFirst({
        where: { privacyPolicyPath: uploadPath },
        select: { id: true },
      });
      return r ? { kind: 'customer', customerId: r.id } : null;
    }
    case 'authorizations': {
      const r = await prisma.representativeAuthorization.findFirst({
        where: { documentPath: uploadPath },
        select: { customerId: true },
      });
      return r ? { kind: 'customer', customerId: r.customerId } : null;
    }
    case 'contract-documents': {
      const r = await prisma.contractDocument.findFirst({
        where: { documentPath: uploadPath },
        select: { contractId: true },
      });
      return r ? { kind: 'contract', contractId: r.contractId } : null;
    }
    case 'invoices': {
      const r = await prisma.invoice.findFirst({
        where: { documentPath: uploadPath },
        select: { contractId: true },
      });
      return r?.contractId ? { kind: 'contract', contractId: r.contractId } : null;
    }
    case 'cancellation-letters':
    case 'cancellation-confirmations':
    case 'cancellation-letters-options':
    case 'cancellation-confirmations-options': {
      const fieldMap: Record<string, 'cancellationLetterPath' | 'cancellationConfirmationPath' | 'cancellationLetterOptionsPath' | 'cancellationConfirmationOptionsPath'> = {
        'cancellation-letters': 'cancellationLetterPath',
        'cancellation-confirmations': 'cancellationConfirmationPath',
        'cancellation-letters-options': 'cancellationLetterOptionsPath',
        'cancellation-confirmations-options': 'cancellationConfirmationOptionsPath',
      };
      const field = fieldMap[subDir];
      const r = await prisma.contract.findFirst({
        where: { [field]: uploadPath },
        select: { id: true },
      });
      return r ? { kind: 'contract', contractId: r.id } : null;
    }
    case 'pdf-templates': {
      // Admin-only Resource: Vorlagen gehören keinem Customer.
      const r = await prisma.pdfTemplate.findFirst({
        where: { templatePath: uploadPath },
        select: { id: true },
      });
      return r ? { kind: 'admin' } : null;
    }
    default:
      return null;
  }
 }
@@ -14,6 +14,9 @@ export interface ImapCredentials {
  password: string;
  encryption?: MailEncryption;     // SSL, STARTTLS oder NONE (Standard: SSL)
  allowSelfSignedCerts?: boolean;  // Selbstsignierte Zertifikate erlauben
  // DNS-Rebinding-Schutz: Caller hat den Hostname zu IP aufgelöst und
  // setzt host=IP, servername=originalHostname für TLS-SNI / Cert-Validation.
  servername?: string;
 }
 /**
@@ -29,6 +32,12 @@ function buildTlsOptions(credentials: ImapCredentials): Record<string, unknown>
  const rejectUnauthorized = !credentials.allowSelfSignedCerts;
  const options: Record<string, unknown> = { rejectUnauthorized };
  // DNS-Rebinding-Schutz: wenn host eine IP ist und der ursprüngliche
  // Hostname als servername mitgeliefert wird, nutze ihn für SNI/Cert.
  if (credentials.servername) {
    options.servername = credentials.servername;
  }
  if (credentials.allowSelfSignedCerts) {
    options.minVersion = 'TLSv1';
    options.ciphers = 'DEFAULT:@SECLEVEL=0';
@@ -0,0 +1,289 @@
 /**
 * Security-Alerting:
 *   - **Sofort-Alert** für CRITICAL-Events (sobald sie entstehen, vom
 *     Cron alle 60s gepollt) – z.B. Threshold-Überschreitungen.
 *   - **Hourly-Digest**: einmal pro Stunde Sammlung von HIGH+ Events,
 *     wenn `monitoringDigestEnabled = true` und mindestens 1 Event vorhanden.
 *   - **Threshold-Detection**: prüft Brute-Force-Patterns (z.B. >10
 *     LOGIN_FAILED/h aus gleicher IP) und erzeugt synthetische CRITICAL-
 *     Events wenn die Schwelle erreicht ist.
 *
 * Alle E-Mails laufen über die System-E-Mail-Konfiguration des Providers
 * (genau wie Geburtstagsgrüße / Passwort-Reset). Daher gleiche Voraussetzungen.
 */
 import cron from 'node-cron';
 import prisma from '../lib/prisma.js';
 import { sendEmail, SmtpCredentials } from './smtpService.js';
 import { getSystemEmailCredentials } from './emailProvider/emailProviderService.js';
 import * as appSettingService from './appSetting.service.js';
 import { emit as emitSecurityEvent } from './securityMonitor.service.js';
 import type { SecurityEvent } from '@prisma/client';
 interface AlertEmailParams {
  subject: string;
  events: SecurityEvent[];
  isDigest: boolean;
 }
 interface SendResult {
  success: boolean;
  error?: string;
 }
 function severityIcon(s: string): string {
  switch (s) {
    case 'CRITICAL': return '🚨';
    case 'HIGH': return '⚠️';
    case 'MEDIUM': return '🟡';
    case 'LOW': return '🟢';
    default: return 'ℹ️';
  }
 }
 function eventToHtmlRow(e: SecurityEvent): string {
  const ts = e.createdAt.toLocaleString('de-DE', { dateStyle: 'short', timeStyle: 'medium' });
  const ip = e.ipAddress || '–';
  const who = e.userEmail || (e.userId ? `User #${e.userId}` : e.customerId ? `Kunde #${e.customerId}` : '–');
  const ep = e.endpoint || '–';
  return `<tr>
    <td style="padding:4px 8px;font-family:monospace;font-size:11px">${ts}</td>
    <td style="padding:4px 8px">${severityIcon(e.severity)} ${e.severity}</td>
    <td style="padding:4px 8px">${e.type}</td>
    <td style="padding:4px 8px">${e.message}</td>
    <td style="padding:4px 8px">${who}</td>
    <td style="padding:4px 8px;font-family:monospace;font-size:11px">${ip}</td>
    <td style="padding:4px 8px;font-family:monospace;font-size:11px">${ep}</td>
  </tr>`;
 }
 function buildHtmlEmail(params: AlertEmailParams): string {
  const rows = params.events.map(eventToHtmlRow).join('\n');
  const heading = params.isDigest
    ? `<h2>OpenCRM Security-Digest</h2><p>Übersicht der wichtigen Events der letzten Stunde:</p>`
    : `<h2>OpenCRM Security-Alert</h2><p>Folgendes Event wurde als kritisch eingestuft:</p>`;
  return `<!doctype html><html><body style="font-family:sans-serif;color:#222">
 ${heading}
 <table border="0" cellspacing="0" cellpadding="0" style="border-collapse:collapse;width:100%;font-size:13px">
  <thead style="background:#f3f4f6">
    <tr>
      <th align="left" style="padding:6px 8px">Zeit</th>
      <th align="left" style="padding:6px 8px">Severity</th>
      <th align="left" style="padding:6px 8px">Typ</th>
      <th align="left" style="padding:6px 8px">Nachricht</th>
      <th align="left" style="padding:6px 8px">Wer</th>
      <th align="left" style="padding:6px 8px">IP</th>
      <th align="left" style="padding:6px 8px">Endpoint</th>
    </tr>
  </thead>
  <tbody>${rows}</tbody>
 </table>
 <p style="margin-top:20px;color:#666;font-size:12px">Diese Mail wurde vom OpenCRM Monitoring-System gesendet.
 Konfiguration: Einstellungen → Monitoring.</p>
 </body></html>`;
 }
 /**
 * Versendet einen Alert per E-Mail. Nutzt die System-E-Mail des Providers.
 */
 export async function sendAlertEmail(toAddress: string, params: AlertEmailParams): Promise<SendResult> {
  const sysEmail = await getSystemEmailCredentials();
  if (!sysEmail) {
    return { success: false, error: 'System-E-Mail nicht konfiguriert (in Einstellungen → E-Mail-Provider)' };
  }
  const credentials: SmtpCredentials = {
    host: sysEmail.smtpServer,
    port: sysEmail.smtpPort,
    user: sysEmail.emailAddress,
    password: sysEmail.password,
    encryption: sysEmail.smtpEncryption,
    allowSelfSignedCerts: sysEmail.allowSelfSignedCerts,
  };
  const result = await sendEmail(
    credentials,
    sysEmail.emailAddress,
    {
      to: toAddress,
      subject: params.subject,
      html: buildHtmlEmail(params),
    },
    { context: 'security-alert', triggeredBy: 'monitor' },
  );
  return result.success
    ? { success: true }
    : { success: false, error: result.error };
 }
 /**
 * Threshold-Detection: prüft ob in den letzten N Minuten verdächtige Patterns
 * aufgetreten sind, die einen CRITICAL-Alert rechtfertigen.
 *
 * Regeln (alle pro IP):
 *   - >= 10 LOGIN_FAILED in 60 min  → CRITICAL Brute-Force-Verdacht
 *   - >=  5 ACCESS_DENIED in 5 min  → CRITICAL IDOR-Probing-Verdacht
 *   - >=  3 SSRF_BLOCKED in 60 min  → CRITICAL SSRF-Probing
 *   - >=  3 TOKEN_REJECTED HIGH in 5 min → CRITICAL JWT-Manipulation
 */
 export async function detectThresholds(): Promise<void> {
  const now = new Date();
  const fiveMinAgo = new Date(now.getTime() - 5 * 60 * 1000);
  const sixtyMinAgo = new Date(now.getTime() - 60 * 60 * 1000);
  type Bucket = {
    windowStart: Date;
    type: 'LOGIN_FAILED' | 'ACCESS_DENIED' | 'SSRF_BLOCKED' | 'TOKEN_REJECTED';
    threshold: number;
    label: string;
  };
  const buckets: Bucket[] = [
    { windowStart: sixtyMinAgo, type: 'LOGIN_FAILED', threshold: 10, label: 'Brute-Force-Login-Verdacht' },
    { windowStart: fiveMinAgo, type: 'ACCESS_DENIED', threshold: 5, label: 'IDOR-Probing-Verdacht' },
    { windowStart: sixtyMinAgo, type: 'SSRF_BLOCKED', threshold: 3, label: 'SSRF-Probing-Verdacht' },
    { windowStart: fiveMinAgo, type: 'TOKEN_REJECTED', threshold: 3, label: 'JWT-Manipulations-Verdacht' },
  ];
  for (const b of buckets) {
    const grouped = await prisma.securityEvent.groupBy({
      by: ['ipAddress'],
      where: {
        type: b.type as any,
        createdAt: { gte: b.windowStart },
      },
      _count: true,
    });
    for (const g of grouped) {
      if ((g._count as number) < b.threshold) continue;
      // Debounce: pro IP max. 1 SUSPICIOUS-Alert pro 60min (sliding window).
      // Vorher: floor(now, hour) → resettete bei Stundenwechsel und produzierte
      // doppelte Alerts (Bug aus Runde 10).
      const oneHourAgo = new Date(now.getTime() - 60 * 60 * 1000);
      const existing = await prisma.securityEvent.findFirst({
        where: {
          type: 'SUSPICIOUS',
          severity: 'CRITICAL',
          ipAddress: g.ipAddress,
          createdAt: { gte: oneHourAgo },
        },
      });
      if (existing) continue;
      await emitSecurityEvent({
        type: 'SUSPICIOUS',
        severity: 'CRITICAL',
        message: `${b.label}: ${g._count}× ${b.type} in ${b.windowStart === fiveMinAgo ? '5min' : '60min'} von ${g.ipAddress}`,
        ipAddress: g.ipAddress,
        details: { rule: b.type, count: g._count, threshold: b.threshold },
      });
    }
  }
 }
 /**
 * Sendet pending CRITICAL-Events sofort als Einzel-Mails (debounced auf
 * 1 Mail pro IP pro Stunde, damit nicht spammend).
 */
 async function sendPendingCriticalAlerts(): Promise<{ sent: number; skipped: number }> {
  const alertEmail = await appSettingService.getSetting('monitoringAlertEmail');
  if (!alertEmail) return { sent: 0, skipped: 0 };
  const pending = await prisma.securityEvent.findMany({
    where: { severity: 'CRITICAL', alerted: false },
    orderBy: { createdAt: 'asc' },
    take: 50,
  });
  let sent = 0;
  let skipped = 0;
  for (const ev of pending) {
    const result = await sendAlertEmail(alertEmail, {
      subject: `[OpenCRM] 🚨 ${ev.type}: ${ev.message.substring(0, 80)}`,
      events: [ev],
      isDigest: false,
    });
    if (result.success) {
      sent++;
      await prisma.securityEvent.update({
        where: { id: ev.id },
        data: { alerted: true, alertedAt: new Date() },
      });
    } else {
      skipped++;
      console.error(`[securityAlert] Send failed for event #${ev.id}:`, result.error);
    }
  }
  return { sent, skipped };
 }
 /**
 * Hourly-Digest: alle HIGH-Events der letzten Stunde, die noch nicht
 * alert-versendet wurden, in einer einzigen Mail zusammenfassen.
 */
 export async function sendDigest(opts: { force?: boolean } = {}): Promise<{ sent: boolean; eventCount: number; reason?: string }> {
  const alertEmail = await appSettingService.getSetting('monitoringAlertEmail');
  if (!alertEmail) return { sent: false, eventCount: 0, reason: 'Keine Alert-E-Mail konfiguriert' };
  const enabled = await appSettingService.getSettingBool('monitoringDigestEnabled');
  if (!enabled && !opts.force) return { sent: false, eventCount: 0, reason: 'Digest deaktiviert' };
  const lastDigestAt = await appSettingService.getSetting('monitoringLastDigestAt');
  const since = lastDigestAt ? new Date(lastDigestAt) : new Date(Date.now() - 60 * 60 * 1000);
  const events = await prisma.securityEvent.findMany({
    where: {
      severity: { in: ['HIGH', 'MEDIUM'] },
      alerted: false,
      createdAt: { gte: since },
    },
    orderBy: { createdAt: 'desc' },
    take: 200,
  });
  if (events.length === 0) {
    await appSettingService.setSetting('monitoringLastDigestAt', new Date().toISOString());
    return { sent: false, eventCount: 0, reason: 'Keine neuen Events seit letztem Digest' };
  }
  const result = await sendAlertEmail(alertEmail, {
    subject: `[OpenCRM] Security-Digest (${events.length} Events)`,
    events,
    isDigest: true,
  });
  if (result.success) {
    await prisma.securityEvent.updateMany({
      where: { id: { in: events.map((e) => e.id) } },
      data: { alerted: true, alertedAt: new Date() },
    });
    await appSettingService.setSetting('monitoringLastDigestAt', new Date().toISOString());
    return { sent: true, eventCount: events.length };
  }
  return { sent: false, eventCount: events.length, reason: result.error };
 }
 /**
 * Cron-Scheduler:
 *   - Jede Minute: Threshold-Detection + Sofort-Alerts für CRITICAL
 *   - Jede volle Stunde: Hourly-Digest (HIGH+MEDIUM)
 */
 export function startSecurityMonitorScheduler(): void {
  cron.schedule('* * * * *', async () => {
    try {
      await detectThresholds();
      await sendPendingCriticalAlerts();
    } catch (err) {
      console.error('[securityAlert] minute-cron failed:', err);
    }
  });
  cron.schedule('0 * * * *', async () => {
    try {
      await sendDigest();
    } catch (err) {
      console.error('[securityAlert] hourly-digest failed:', err);
    }
  });
  console.log('[securityAlert] Scheduler gestartet (1min Threshold-Check, hourly Digest)');
 }
@@ -0,0 +1,81 @@
 /**
 * Security-Monitor: zentrale `emit()`-Funktion für sicherheitsrelevante
 * Events. Schreibt in die `SecurityEvent`-Tabelle (nicht im AuditLog,
 * weil hier andere Anforderungen gelten: schnelles Filtern, Threshold-
 * Detection, Realtime-Alerting statt forensischer Hash-Chain).
 *
 * Hooks für die wichtigsten Klassen:
 *   - LOGIN_FAILED            → Login mit falschem Passwort
 *   - LOGIN_SUCCESS           → erfolgreicher Login (informativ)
 *   - RATE_LIMIT_HIT          → express-rate-limit hat zugeschlagen
 *   - ACCESS_DENIED           → 403 von canAccess* (versuchter IDOR)
 *   - SSRF_BLOCKED            → ssrfGuard hat geblockt
 *   - PASSWORD_RESET_REQUEST  → Reset angefordert
 *   - PASSWORD_RESET_CONFIRM  → Reset abgeschlossen
 *   - LOGOUT                  → expliziter Logout
 *   - TOKEN_REJECTED          → JWT verify-Failure
 *   - PERMISSION_CHANGED      → Rolle/Permission-Update
 *
 * Sofort-Alert für CRITICAL+HIGH-Events (wenn `monitoringAlertEmail`
 * konfiguriert), sonst Sammlung im stündlichen Digest.
 */
 import prisma from '../lib/prisma.js';
 import type { SecurityEventType, SecuritySeverity } from '@prisma/client';
 export interface SecurityEventInput {
  type: SecurityEventType;
  severity: SecuritySeverity;
  message: string;
  ipAddress?: string | null;
  userId?: number | null;
  customerId?: number | null;
  userEmail?: string | null;
  endpoint?: string | null;
  details?: Record<string, unknown>;
 }
 /**
 * Schreibt ein SecurityEvent. Fehler beim Schreiben werden geschluckt,
 * damit ein kaputtes Monitoring nicht den Login-Flow stoppt.
 */
 export async function emit(event: SecurityEventInput): Promise<void> {
  try {
    await prisma.securityEvent.create({
      data: {
        type: event.type,
        severity: event.severity,
        message: event.message,
        ipAddress: event.ipAddress || null,
        userId: event.userId || null,
        customerId: event.customerId || null,
        userEmail: event.userEmail || null,
        endpoint: event.endpoint || null,
        details: event.details ? (event.details as any) : undefined,
      },
    });
  } catch (err) {
    console.error('[securityMonitor] emit failed:', err);
  }
 }
 /**
 * Helper: aus einem Express-Request die wichtigsten Kontextfelder extrahieren.
 * Funktioniert sowohl mit AuthRequest (eingeloggt) als auch mit anonymen
 * Requests (Login-Versuch etc.).
 */
 export function contextFromRequest(req: any): {
  ipAddress: string;
  userId?: number;
  customerId?: number;
  userEmail?: string;
  endpoint: string;
 } {
  const user = req?.user;
  return {
    ipAddress: req?.ip || req?.socket?.remoteAddress || 'unknown',
    userId: user?.userId,
    customerId: user?.customerId,
    userEmail: user?.email,
    endpoint: `${req?.method || ''} ${req?.path || req?.originalUrl || ''}`.trim(),
  };
 }
@@ -15,6 +15,10 @@ export interface SmtpCredentials {
  password: string;
  encryption?: MailEncryption;     // SSL, STARTTLS oder NONE (Standard: SSL)
  allowSelfSignedCerts?: boolean;  // Selbstsignierte Zertifikate erlauben
  // DNS-Rebinding-Schutz: Caller hat den Hostname zu IP aufgelöst und
  // setzt host=IP, servername=originalHostname für TLS-SNI / Cert-Validation.
  // Damit kann ein zweiter DNS-Lookup nicht plötzlich auf eine interne IP zeigen.
  servername?: string;
 }
 // Anhang-Interface
@@ -49,6 +53,16 @@ export interface EmailLogContext {
  triggeredBy?: string;    // User-Email
 }
 // Security: zentrale CRLF-Prüfung gegen SMTP-Header-Injection.
 // Alle Felder, die als Header ausgehen (to/cc/subject/replyTo/references/from),
 // werden hier geprüft – egal ob der Caller aus cachedEmail, birthday, gdpr,
 // consent-public oder auth kommt.
 function containsCRLF(value: unknown): boolean {
  if (typeof value === 'string') return /[\r\n]/.test(value);
  if (Array.isArray(value)) return value.some(containsCRLF);
  return false;
 }
 // E-Mail senden
 export async function sendEmail(
  credentials: SmtpCredentials,
@@ -56,6 +70,21 @@ export async function sendEmail(
  params: SendEmailParams,
  logContext?: EmailLogContext
 ): Promise<SendEmailResult> {
  // Header-Injection-Guard (defensiv: Absender, Empfänger, Subject)
  if (
    containsCRLF(fromAddress) ||
    containsCRLF(params.to) ||
    containsCRLF(params.cc) ||
    containsCRLF(params.subject) ||
    containsCRLF(params.inReplyTo) ||
    containsCRLF(params.references)
  ) {
    return {
      success: false,
      error: 'Ungültige Zeichen in E-Mail-Header-Feldern (CRLF nicht erlaubt)',
    };
  }
  // Verschlüsselungs-Einstellungen basierend auf Modus
  const encryption = credentials.encryption ?? 'SSL';
  const rejectUnauthorized = !credentials.allowSelfSignedCerts;
@@ -69,7 +98,7 @@ export async function sendEmail(
    port: number;
    secure: boolean;
    auth: { user: string; pass: string };
-    tls?: { rejectUnauthorized: boolean; minVersion?: string; ciphers?: string };
+    tls?: { rejectUnauthorized: boolean; minVersion?: string; ciphers?: string; servername?: string };
    ignoreTLS?: boolean;
    requireTLS?: boolean;
    connectionTimeout: number;
@@ -91,6 +120,11 @@ export async function sendEmail(
  // TLS-Optionen nur wenn nicht NONE
  if (encryption !== 'NONE') {
    transportOptions.tls = { rejectUnauthorized };
    // DNS-Rebinding-Schutz: wenn host eine IP ist, der ursprüngliche
    // Hostname für SNI/Cert-Validation explizit setzen.
    if (credentials.servername) {
      transportOptions.tls.servername = credentials.servername;
    }
    if (credentials.allowSelfSignedCerts) {
      // Auch ältere TLS-Versionen + legacy Cipher-Suites für alte Server zulassen
      transportOptions.tls.minVersion = 'TLSv1';
@@ -278,7 +312,7 @@ export async function testSmtpConnection(credentials: SmtpCredentials): Promise<
    port: number;
    secure: boolean;
    auth: { user: string; pass: string };
-    tls?: { rejectUnauthorized: boolean; minVersion?: string; ciphers?: string };
+    tls?: { rejectUnauthorized: boolean; minVersion?: string; ciphers?: string; servername?: string };
    ignoreTLS?: boolean;
    connectionTimeout: number;
    greetingTimeout: number;
@@ -296,6 +330,9 @@ export async function testSmtpConnection(credentials: SmtpCredentials): Promise<
  if (encryption !== 'NONE') {
    transportOptions.tls = { rejectUnauthorized };
    if (credentials.servername) {
      transportOptions.tls.servername = credentials.servername;
    }
  } else {
    transportOptions.ignoreTLS = true;
  }
@@ -0,0 +1,271 @@
 /**
 * Access-Control-Helper für Portal-Kunden-Isolation.
 *
 * Portal-Kunden haben die Permission `contracts:read` / `customers:read`, damit
 * sie ihre eigenen Daten sehen können. Damit sie aber NICHT fremde Daten über
 * geratene IDs abrufen (IDOR), muss bei jedem Endpoint der eine sensible
 * Ressource (Vertrag, Rechnung, Passwort, ...) zurückliefert, der Kunde auf
 * Besitz/Vollmacht geprüft werden.
 */
 import { Response } from 'express';
 import prisma from '../lib/prisma.js';
 import * as authorizationService from '../services/authorization.service.js';
 import { AuthRequest } from '../types/index.js';
 import { emit as emitSecurityEvent, contextFromRequest } from '../services/securityMonitor.service.js';
 /**
 * Wird intern aufgerufen, wenn ein canAccess*-Check 403 zurückgibt.
 * Schreibt ein SecurityEvent für Monitoring + spätere Threshold-Detection.
 */
 function emitAccessDenied(req: AuthRequest, label: string, targetId: number | string): void {
  const ctx = contextFromRequest(req);
  emitSecurityEvent({
    type: 'ACCESS_DENIED',
    severity: 'MEDIUM',
    message: `Zugriff verweigert: ${label} #${targetId}`,
    ipAddress: ctx.ipAddress,
    userId: ctx.userId,
    customerId: ctx.customerId,
    userEmail: ctx.userEmail,
    endpoint: ctx.endpoint,
    details: { resource: label, targetId },
  });
 }
 /**
 * Prüft ob der authentifizierte User auf einen bestimmten Vertrag zugreifen darf.
 * - Mitarbeiter/Admin mit customers:read / contracts:read: ja, immer
 * - Portal-Kunde: nur wenn contract.customerId = eigener customerId ODER
 *   wenn er einen Vertreter für diesen Kunden ist MIT gültiger Vollmacht
 *
 * @returns true = erlaubt, false = Zugriff verweigert (Response wurde bereits gesendet)
 */
 export async function canAccessContract(
  req: AuthRequest,
  res: Response,
  contractId: number,
 ): Promise<boolean> {
  // Nicht-Portal-User (Mitarbeiter/Admin) kommen hier immer durch, wenn sie die Permission haben
  if (!req.user?.isCustomerPortal) {
    return true;
  }
  if (!req.user.customerId) {
    res.status(403).json({ success: false, error: 'Kein Zugriff' });
    return false;
  }
  // Vertrag laden, Besitzer-ID prüfen
  const contract = await prisma.contract.findUnique({
    where: { id: contractId },
    select: { customerId: true },
  });
  if (!contract) {
    res.status(404).json({ success: false, error: 'Vertrag nicht gefunden' });
    return false;
  }
  // Eigene Verträge = immer erlaubt
  if (contract.customerId === req.user.customerId) {
    return true;
  }
  // Fremde Verträge nur mit aktiver Vollmacht
  const representedIds: number[] = (req.user as any).representedCustomerIds || [];
  if (!representedIds.includes(contract.customerId)) {
    emitAccessDenied(req, 'Contract', contractId);
    res.status(403).json({ success: false, error: 'Kein Zugriff auf diesen Vertrag' });
    return false;
  }
  const hasAuth = await authorizationService.hasAuthorization(
    contract.customerId,
    req.user.customerId,
  );
  if (!hasAuth) {
    emitAccessDenied(req, 'Contract (Vollmacht fehlt)', contractId);
    res.status(403).json({ success: false, error: 'Vollmacht erforderlich' });
    return false;
  }
  return true;
 }
 /**
 * Prüft Zugriff auf einen Kunden (analog zu canAccessContract).
 */
 export async function canAccessCustomer(
  req: AuthRequest,
  res: Response,
  customerId: number,
 ): Promise<boolean> {
  if (!req.user?.isCustomerPortal) {
    return true;
  }
  if (!req.user.customerId) {
    res.status(403).json({ success: false, error: 'Kein Zugriff' });
    return false;
  }
  if (customerId === req.user.customerId) {
    return true;
  }
  const representedIds: number[] = (req.user as any).representedCustomerIds || [];
  if (!representedIds.includes(customerId)) {
    emitAccessDenied(req, 'Customer', customerId);
    res.status(403).json({ success: false, error: 'Kein Zugriff auf diese Kundendaten' });
    return false;
  }
  const hasAuth = await authorizationService.hasAuthorization(customerId, req.user.customerId);
  if (!hasAuth) {
    emitAccessDenied(req, 'Customer (Vollmacht fehlt)', customerId);
    res.status(403).json({ success: false, error: 'Vollmacht erforderlich' });
    return false;
  }
  return true;
 }
 /**
 * Generische Zugriffsprüfung: Ressource → customerId → canAccessCustomer.
 */
 async function canAccessResourceByCustomerId(
  req: AuthRequest,
  res: Response,
  customerId: number | null | undefined,
  resourceLabel: string,
 ): Promise<boolean> {
  if (!req.user?.isCustomerPortal) return true;
  if (!customerId) {
    res.status(404).json({ success: false, error: `${resourceLabel} nicht gefunden` });
    return false;
  }
  return canAccessCustomer(req, res, customerId);
 }
 /**
 * Zugriff auf eine Adresse prüfen (lädt sie aus der DB, prüft customerId).
 */
 export async function canAccessAddress(
  req: AuthRequest,
  res: Response,
  addressId: number,
 ): Promise<boolean> {
  if (!req.user?.isCustomerPortal) return true;
  const addr = await prisma.address.findUnique({
    where: { id: addressId },
    select: { customerId: true },
  });
  return canAccessResourceByCustomerId(req, res, addr?.customerId, 'Adresse');
 }
 /**
 * Zugriff auf eine BankCard prüfen.
 */
 export async function canAccessBankCard(
  req: AuthRequest,
  res: Response,
  bankCardId: number,
 ): Promise<boolean> {
  if (!req.user?.isCustomerPortal) return true;
  const card = await prisma.bankCard.findUnique({
    where: { id: bankCardId },
    select: { customerId: true },
  });
  return canAccessResourceByCustomerId(req, res, card?.customerId, 'Bankkarte');
 }
 /**
 * Zugriff auf ein IdentityDocument prüfen.
 */
 export async function canAccessIdentityDocument(
  req: AuthRequest,
  res: Response,
  documentId: number,
 ): Promise<boolean> {
  if (!req.user?.isCustomerPortal) return true;
  const doc = await prisma.identityDocument.findUnique({
    where: { id: documentId },
    select: { customerId: true },
  });
  return canAccessResourceByCustomerId(req, res, doc?.customerId, 'Ausweis');
 }
 /**
 * Zugriff auf einen Meter prüfen.
 */
 export async function canAccessMeter(
  req: AuthRequest,
  res: Response,
  meterId: number,
 ): Promise<boolean> {
  if (!req.user?.isCustomerPortal) return true;
  const meter = await prisma.meter.findUnique({
    where: { id: meterId },
    select: { customerId: true },
  });
  return canAccessResourceByCustomerId(req, res, meter?.customerId, 'Zähler');
 }
 /**
 * Zugriff auf eine StressfreiEmail prüfen.
 */
 export async function canAccessStressfreiEmail(
  req: AuthRequest,
  res: Response,
  stressfreiEmailId: number,
 ): Promise<boolean> {
  if (!req.user?.isCustomerPortal) return true;
  const sfe = await prisma.stressfreiEmail.findUnique({
    where: { id: stressfreiEmailId },
    select: { customerId: true },
  });
  return canAccessResourceByCustomerId(req, res, sfe?.customerId, 'E-Mail-Konto');
 }
 /**
 * Zugriff auf eine CachedEmail prüfen (StressfreiEmail → customerId).
 */
 export async function canAccessCachedEmail(
  req: AuthRequest,
  res: Response,
  emailId: number,
 ): Promise<boolean> {
  if (!req.user?.isCustomerPortal) return true;
  const email = await prisma.cachedEmail.findUnique({
    where: { id: emailId },
    select: { stressfreiEmail: { select: { customerId: true } } },
  });
  return canAccessResourceByCustomerId(
    req,
    res,
    email?.stressfreiEmail?.customerId,
    'E-Mail',
  );
 }
 /**
 * Zugriff auf ein EnergyContractDetails prüfen (ECD → Contract → customerId).
 */
 export async function canAccessEnergyContractDetails(
  req: AuthRequest,
  res: Response,
  ecdId: number,
 ): Promise<boolean> {
  if (!req.user?.isCustomerPortal) return true;
  const ecd = await prisma.energyContractDetails.findUnique({
    where: { id: ecdId },
    select: { contract: { select: { customerId: true } } },
  });
  return canAccessResourceByCustomerId(
    req,
    res,
    ecd?.contract?.customerId,
    'Energievertrag',
  );
 }
@@ -0,0 +1,152 @@
 /**
 * Sanitize-Helpers: entfernen sensible Felder aus DB-Ergebnissen, bevor sie
 * als API-Response rausgehen. Zentrale Stelle, damit keine Passwort-Hashes,
 * Verschlüsselungen oder Reset-Tokens versehentlich durch die API leaken.
 */
 // Felder die NIE in einer API-Response an den Client gehen dürfen
 const SENSITIVE_CUSTOMER_FIELDS = [
  'portalPasswordHash',
  'portalPasswordResetToken',
  'portalPasswordResetExpiresAt',
 ] as const;
 const SENSITIVE_USER_FIELDS = [
  'password',
  'passwordResetToken',
  'passwordResetExpiresAt',
  'tokenInvalidatedAt',
 ] as const;
 /**
 * Entfernt Passwort-Hash, Reset-Token etc. aus einem Customer-Objekt.
 * `portalPasswordEncrypted` bleibt nur drin, wenn der Caller Admin-Rechte hat
 * (wird in einem zweiten Schritt vom Controller gemacht). Dieser Helper entfernt
 * es standardmäßig.
 */
 export function sanitizeCustomer<T extends Record<string, unknown>>(customer: T | null): T | null {
  if (!customer) return customer;
  const copy = { ...customer };
  for (const field of SENSITIVE_CUSTOMER_FIELDS) {
    delete copy[field];
  }
  // portalPasswordEncrypted bleibt hier zunächst drin, damit Mitarbeiter das
  // Portal-Passwort ggf. in der UI anzeigen können. Wird per requirePermission
  // auf 'customers:update' implizit gesichert.
  return copy;
 }
 /**
 * Entfernt portalPasswordEncrypted zusätzlich zu den anderen sensiblen Feldern.
 * Für Kontexte in denen der Caller KEIN Admin ist (z.B. Portal-Kunde).
 */
 export function sanitizeCustomerStrict<T extends Record<string, unknown>>(customer: T | null): T | null {
  if (!customer) return customer;
  const copy = sanitizeCustomer(customer) as Record<string, unknown> | null;
  if (!copy) return null;
  delete copy.portalPasswordEncrypted;
  return copy as T;
 }
 /**
 * Sanitize-Liste von Customers.
 */
 export function sanitizeCustomers<T extends Record<string, unknown>>(customers: T[]): T[] {
  return customers.map((c) => sanitizeCustomer(c)).filter((c): c is T => c !== null);
 }
 /**
 * Sanitize User-Objekt für API-Responses.
 */
 export function sanitizeUser<T extends Record<string, unknown>>(user: T | null): T | null {
  if (!user) return user;
  const copy = { ...user };
  for (const field of SENSITIVE_USER_FIELDS) {
    delete copy[field];
  }
  return copy;
 }
 // ==================== REQUEST-BODY WHITELISTS ====================
 // Gegen Mass-Assignment: Nur explizit erlaubte Felder aus req.body übernehmen.
 const CUSTOMER_UPDATABLE_FIELDS = [
  'type',
  'salutation',
  'useInformalAddress',
  'firstName',
  'lastName',
  'companyName',
  'foundingDate',
  'birthDate',
  'birthPlace',
  'email',
  'phone',
  'mobile',
  'taxNumber',
  'commercialRegisterNumber',
  'notes',
  'portalEnabled',
  'portalEmail',
  'autoBirthdayGreeting',
  'autoBirthdayChannel',
  // Nicht: portalPasswordHash, portalPasswordEncrypted, portalPasswordResetToken,
  // portalTokenInvalidatedAt, customerNumber, id, createdAt, updatedAt, consentHash,
  // lastBirthdayGreetingYear, privacyPolicyPath, businessRegistrationPath, commercialRegisterPath
 ] as const;
 const CUSTOMER_CREATE_FIELDS = [
  ...CUSTOMER_UPDATABLE_FIELDS,
  // customerNumber wird vom Service generiert – nicht aus req.body übernehmen
 ] as const;
 const USER_UPDATABLE_FIELDS = [
  'email',
  'firstName',
  'lastName',
  'isActive',
  'whatsappNumber',
  'telegramUsername',
  'signalNumber',
  'roleIds',
  'password', // nur Admin, wird im Service gehashed
  // hasGdprAccess + hasDeveloperAccess sind keine User-Spalten – der Service
  // mappt sie auf die versteckten Rollen DSGVO/Developer (siehe
  // setUserGdprAccess / setUserDeveloperAccess). Müssen aber auf der Whitelist
  // stehen, damit pick() sie nicht aus dem Request entfernt.
  'hasGdprAccess',
  'hasDeveloperAccess',
  // Nicht: id, customerId, tokenInvalidatedAt, passwordResetToken, passwordResetExpiresAt
 ] as const;
 const USER_CREATE_FIELDS = USER_UPDATABLE_FIELDS;
 /**
 * Filtert req.body anhand einer Whitelist. Unerlaubte Felder werden verworfen.
 * Verhindert Mass-Assignment-Angriffe (z.B. { portalPasswordHash: "..." } im Body).
 */
 function pick<T extends object>(obj: T, allowed: readonly string[]): Partial<T> {
  const result: Partial<T> = {};
  for (const key of allowed) {
    if (key in obj) {
      (result as any)[key] = (obj as any)[key];
    }
  }
  return result;
 }
 export function pickCustomerUpdate(body: unknown): Partial<Record<string, unknown>> {
  return pick((body as object) || {}, CUSTOMER_UPDATABLE_FIELDS);
 }
 export function pickCustomerCreate(body: unknown): Partial<Record<string, unknown>> {
  return pick((body as object) || {}, CUSTOMER_CREATE_FIELDS);
 }
 export function pickUserUpdate(body: unknown): Partial<Record<string, unknown>> {
  return pick((body as object) || {}, USER_UPDATABLE_FIELDS);
 }
 export function pickUserCreate(body: unknown): Partial<Record<string, unknown>> {
  return pick((body as object) || {}, USER_CREATE_FIELDS);
 }
@@ -0,0 +1,107 @@
 /**
 * Schutz vor Server-Side Request Forgery (SSRF) bei User-kontrollierten
 * Hosts/URLs in Endpunkten wie test-connection, test-mail-access.
 *
 * Wir blockieren bewusst NICHT die komplette private IP-Range (127.0.0.0/8,
 * 10.0.0.0/8 etc.), weil legitime On-Premise-Setups häufig Plesk/Dovecot/
 * Postfix auf 127.0.0.1 oder im internen Netz laufen lassen. Stattdessen
 * blockieren wir nur:
 *   - Cloud-Metadata-Endpoints (169.254.169.254, fd00:ec2::254)
 *   - 169.254.0.0/16 Link-Local (deckt Cloud-Metadata + APIPA ab)
 *   - 0.0.0.0/8 (ungültiger Source/Routing-Range)
 *   - Multicast / Reserved Ranges (224.0.0.0/4, 240.0.0.0/4)
 *
 * Für Defense-in-Depth gegen DNS-Rebinding wäre eine vollständige DNS-
 * Resolution + IP-Vergleich nötig – das überlassen wir v1.1, weil es
 * legitimes Caching/CDN-Verhalten brechen kann.
 */
 const BLOCKED_PATTERNS: RegExp[] = [
  /^169\.254\./,                  // Link-Local (AWS/GCP/Azure Metadata, APIPA)
  /^0\./,                         // 0.0.0.0/8 reserved
  /^22[4-9]\./,                   // 224-229 Multicast
  /^23[0-9]\./,                   // 230-239 Multicast
  /^24[0-9]\./,                   // 240-249 reserved
  /^25[0-5]\./,                   // 250-255 reserved
  /^fd00:ec2::/i,                 // AWS IPv6 Metadata
  /^fe80:/i,                      // IPv6 Link-Local
  /^ff/i,                         // IPv6 Multicast
 ];
 const BLOCKED_HOSTNAMES = new Set([
  'metadata.google.internal',
  'metadata.goog',
  'metadata',
  '169.254.169.254',
 ]);
 export function isBlockedSsrfHost(host: string | null | undefined): boolean {
  if (!host) return false;
  const h = host.trim().toLowerCase();
  if (!h) return false;
  if (BLOCKED_HOSTNAMES.has(h)) return true;
  for (const pattern of BLOCKED_PATTERNS) {
    if (pattern.test(h)) return true;
  }
  return false;
 }
 /**
 * Wirft einen Fehler, wenn der Host für ausgehende Verbindungen blockiert ist.
 * Caller sollte den Fehler in 400er Response umsetzen.
 */
 export function assertAllowedHost(host: string | null | undefined, label = 'Host'): void {
  if (isBlockedSsrfHost(host)) {
    throw new Error(`${label} verweist auf eine geblockte Adresse (Cloud-Metadata / Link-Local / Reserved).`);
  }
 }
 import { promises as dns } from 'dns';
 import net from 'net';
 /**
 * DNS-Rebinding-Schutz: löst den Hostname zu allen IPs auf und prüft jede
 * gegen die Block-Liste. Wirft wenn IRGENDEINE IP geblockt ist.
 *
 * Das Resultat enthält die erste (geprüfte) IP plus den Original-Hostname
 * als `servername` für TLS-SNI / Cert-Validation. Der Caller muss die
 * Connection mit `host=ip` und `tls.servername=hostname` aufbauen, damit
 * ein zweiter DNS-Lookup keine andere (geblockte) IP liefern kann.
 *
 * Wenn der Host bereits eine IP-Literal ist, wird er direkt geprüft.
 */
 export async function safeResolveHost(host: string | null | undefined, label = 'Host'): Promise<{ ip: string; servername: string }> {
  if (!host || !host.trim()) {
    throw new Error(`${label} fehlt`);
  }
  const trimmed = host.trim();
  // IP-Literal? Direkt prüfen, kein DNS nötig.
  if (net.isIP(trimmed)) {
    assertAllowedHost(trimmed, label);
    return { ip: trimmed, servername: trimmed };
  }
  // Hostname → resolve to IPv4 + IPv6
  let ips: string[] = [];
  try {
    const v4 = await dns.resolve4(trimmed).catch(() => [] as string[]);
    const v6 = await dns.resolve6(trimmed).catch(() => [] as string[]);
    ips = [...v4, ...v6];
  } catch {
    throw new Error(`${label}: DNS-Auflösung fehlgeschlagen für ${trimmed}`);
  }
  if (ips.length === 0) {
    throw new Error(`${label}: keine IP-Adresse für ${trimmed} gefunden`);
  }
  // Alle aufgelösten IPs prüfen – schon eine geblockte reicht für Ablehnung.
  for (const ip of ips) {
    if (isBlockedSsrfHost(ip)) {
      throw new Error(`${label} ${trimmed} löst auf geblockte Adresse ${ip} auf`);
    }
  }
  return { ip: ips[0], servername: trimmed };
 }
@@ -1,4 +1,19 @@
-version: '3.8'
+# OpenCRM – komplettes Setup: MariaDB + Backend/Frontend + Adminer
 # Konfiguration über ./.env (siehe ./.env.example)
 #
 # Quick-Start (Compose v2):
 #   cp .env.example .env       # Werte anpassen (Secrets rotieren!)
 #   docker compose up -d       # erstes Mal: holt Images, baut Backend, startet alles
 # Quick-Start (Compose v1, Legacy):
 #   docker-compose up -d
 #
 # Browser:
 #   http://localhost:${OPENCRM_PORT}     # CRM
 #   http://localhost:${ADMINER_PORT}     # DB-UI
 #
 # Daten liegen alle unter ./data/* – Bind-Mounts statt Volumes (auf Wunsch).
 #version: '3.8'
 services:
  db:
@@ -6,20 +21,91 @@ services:
    container_name: opencrm-db
    restart: unless-stopped
    environment:
-      MYSQL_ROOT_PASSWORD: rootpassword
+      MARIADB_ROOT_PASSWORD: ${DB_ROOT_PASSWORD}
-      MYSQL_DATABASE: opencrm
+      MARIADB_DATABASE: ${DB_NAME}
-      MYSQL_USER: opencrm
+      MARIADB_USER: ${DB_USER}
-      MYSQL_PASSWORD: opencrm123
+      MARIADB_PASSWORD: ${DB_PASSWORD}
    ports:
-      - "3306:3306"
+      # Externe Erreichbarkeit für lokale DB-Tools (TablePlus etc.).
      # Auf 127.0.0.1 binden – kein public exposure.
      - "127.0.0.1:${DB_PORT:-3306}:3306"
    volumes:
-      - mariadb_data:/var/lib/mysql
+      - ${DB_DATA_DIR:-./data/db}:/var/lib/mysql
    healthcheck:
      test: ["CMD", "healthcheck.sh", "--connect", "--innodb_initialized"]
-      start_period: 10s
+      start_period: 20s
      interval: 10s
      timeout: 5s
-      retries: 3
+      retries: 5
-volumes:
+  opencrm:
-  mariadb_data:
+    build:
      context: .
      dockerfile: backend/Dockerfile
    container_name: opencrm-app
    restart: unless-stopped
    depends_on:
      db:
        condition: service_healthy
    environment:
      # DATABASE_URL wird vom entrypoint.sh aus den DB_*-Komponenten gebaut –
      # mit encodeURIComponent für Passwörter mit Sonderzeichen ($, !, #, @, :,
      # / etc.). KEIN root für die App, sondern der App-User ${DB_USER}, den
      # MariaDB beim ersten Start automatisch mit GRANT ALL PRIVILEGES auf
      # ${DB_NAME}.* anlegt (über MARIADB_USER/MARIADB_PASSWORD).
      DB_HOST: db
      DB_PORT: 3306
      DB_NAME: ${DB_NAME}
      DB_USER: ${DB_USER}
      DB_PASSWORD: ${DB_PASSWORD}
      JWT_SECRET: ${JWT_SECRET}
      JWT_EXPIRES_IN: ${JWT_EXPIRES_IN:-7d}
      ENCRYPTION_KEY: ${ENCRYPTION_KEY}
      NODE_ENV: production
      PORT: 3001
      LISTEN_ADDR: 0.0.0.0
      CORS_ORIGINS: ${CORS_ORIGINS:-}
      HTTPS_ENABLED: ${HTTPS_ENABLED:-false}
      RUN_SEED: ${RUN_SEED:-false}
    ports:
      - "${OPENCRM_PORT:-3010}:3001"
    volumes:
      # Bind-Mounts für persistente Daten unter ./data/
      - ${UPLOADS_DIR:-./data/uploads}:/app/uploads
      - ${FACTORY_DEFAULTS_DIR:-./data/factory-defaults}:/app/factory-defaults
      - ${BACKUPS_DIR:-./data/backups}:/app/prisma/backups
  adminer:
    image: adminer:latest
    container_name: opencrm-adminer
    restart: unless-stopped
    depends_on:
      - db
    environment:
      ADMINER_DEFAULT_SERVER: db
      ADMINER_DESIGN: ${ADMINER_DESIGN:-pepa-linha}
    # Adminers offizieller entrypoint linkt nur Designs, deren CSS exakt
    # `adminer.css` heißt. Manche Designs (dracula, adminer-dark) haben aber
    # `adminer-dark.css`. Wir machen den Symlink generisch: erstes .css im
    # gewählten Design wird verlinkt. Danach übergeben wir an den originalen
    # entrypoint.sh.
    entrypoint:
      - /bin/sh
      - -c
      - >
        cd /var/www/html;
        if [ -n "$$ADMINER_DESIGN" ] && [ -d "designs/$$ADMINER_DESIGN" ]; then
          CSS=$$(ls designs/$$ADMINER_DESIGN/*.css 2>/dev/null | head -1);
          if [ -n "$$CSS" ]; then
            ln -sf "$$CSS" adminer.css;
            touch .adminer-init;
            echo "[adminer-bootstrap] Theme aktiv: $$ADMINER_DESIGN -> $$CSS";
          else
            echo "[adminer-bootstrap] Design '$$ADMINER_DESIGN' enthält kein CSS – nutze Default";
          fi;
        fi;
        exec entrypoint.sh docker-php-entrypoint "$$@"
      - --
    command: ["php", "-S", "[::]:8080", "-t", "/var/www/html"]
    ports:
      - "127.0.0.1:${ADMINER_PORT:-8090}:8080"
@@ -0,0 +1,352 @@
 # 🛡️ Security-Hardening – die ganze Geschichte
 Dokumentiert die acht Hardening-Runden, die OpenCRM zwischen erster
 Code-Review und öffentlichem Deployment durchlaufen hat.
 Format pro Runde: **Was war kaputt** → **Wie es gefixt wurde** → wo möglich
 **Live-Test-Resultate**.
 > Die ersten beiden Runden gibt es zusätzlich als ausführlicheren Review in
 > [SECURITY-REVIEW.md](./SECURITY-REVIEW.md).
 ---
 ## 📊 Live-verifizierte Tests im Überblick
 Die wichtigsten Schwachstellen wurden mit echten HTTP-Requests gegen den Dev-Server
 durchgespielt – statisches Code-Review fand ca. 70 % der Findings, die letzten 30 %
 brauchten Live-Tests.
 ### Runde 4 – IDOR an Customer-Sub-Resourcen (Live als Portal-Kunde)
 | Endpoint                                     | Vorher                          | Nachher                      |
 | -------------------------------------------- | ------------------------------- | ---------------------------- |
 | `GET /api/customers/4`                       | 🚨 **200 mit Daten**            | ✅ 403                       |
 | `GET /api/customers/4/addresses`             | 🚨 200                          | ✅ 403                       |
 | `GET /api/customers/4/bank-cards`            | 🚨 200                          | ✅ 403                       |
 | `GET /api/customers/4/documents`             | 🚨 200                          | ✅ 403                       |
 | `GET /api/customers/4/meters`                | 🚨 200                          | ✅ 403                       |
 | `GET /api/customers/4/representatives`       | 🚨 200                          | ✅ 403                       |
 | `GET /api/gdpr/customer/4/consents`          | 🚨 200 mit Consent-Daten        | ✅ 403                       |
 | `GET /api/gdpr/customer/4/authorizations`    | 🚨 200                          | ✅ 403                       |
 | `GET /api/gdpr/customer/4/consent-status`    | 🚨 200                          | ✅ 403                       |
 | Eigene Daten `/api/customers/1`              | ✅ 200                          | ✅ 200 (unverändert)         |
 | 12 MB Body                                   | 500 „Interner Serverfehler"     | ✅ 413 „Anfrage zu groß"     |
 | Malformed JSON                               | 500 „Interner Serverfehler"     | ✅ 400 „Ungültiges JSON"     |
 ### Runde 5 – DSGVO-GAU + Timing-Side-Channel
 | Test                                              | Vorher                                  | Nachher                            |
 | ------------------------------------------------- | --------------------------------------- | ---------------------------------- |
 | `/api/uploads/cancellation-confirmations/*.pdf`   | 🚨 **HTTP 200 mit echtem Kunden-PDF**   | ✅ 401 ohne Token                  |
 | `/api/uploads/...?token=<jwt>`                    | n/a                                     | ✅ 200                             |
 | Login `admin@admin.com` (falsches Passwort)       | 110 ms                                  | 423 ms                             |
 | Login `not-existent@x.de`                         | 10 ms (verräterisch)                    | 422 ms (matcht admin)              |
 | Portal-Lieferbestätigung-Upload auf fremden Vertrag | (per-Permission abgewehrt)            | ✅ 403                             |
 ### Runde 6 – Customer-Liste-Leak + XFF-Bypass
 | Test                                          | Vorher                                  | Nachher                                  |
 | --------------------------------------------- | --------------------------------------- | ---------------------------------------- |
 | `GET /api/customers` als Portal               | 🚨 **alle Kunden mit Namen/E-Mail**     | ✅ nur eigene + vertretene               |
 | 12× Login mit rotierendem `X-Forwarded-For`   | 🚨 alle 401, kein 429                   | ✅ XFF nur von Loopback akzeptiert       |
 | Self-Grant (`representativeId == customerId`) | 🚨 DB-Eintrag erstellt                  | ✅ 400                                   |
 | Authorization für non-existent Customer 9999  | 🚨 Prisma-Stack mit Pfaden geleakt      | ✅ 403 generisch                         |
 | Customer-Existence via 404-vs-403             | 🟡 enumerierbar                         | ✅ alle 403 uniform                      |
 | Listen-Adresse (Production)                   | `0.0.0.0` (extern erreichbar)           | `127.0.0.1` (nur via Reverse-Proxy)      |
 ### Runde 7 – SSRF + Logout
 | Test                                                        | Vorher                | Nachher                                  |
 | ----------------------------------------------------------- | --------------------- | ---------------------------------------- |
 | `test-connection` mit `apiUrl=http://169.254.169.254`       | 8 s Timeout (SSRF)    | ✅ 400 „geblockte Adresse"               |
 | `test-mail-access` mit `smtpServer=metadata.google.internal`| Connection-Versuch    | ✅ 400                                   |
 | `test-mail-access` mit `0.0.0.0`                            | Connection-Versuch    | ✅ 400                                   |
 | `test-mail-access` mit `127.0.0.1` (Plesk-Fall)             | OK                    | ✅ OK (weiter erlaubt)                   |
 | `POST /api/auth/logout`                                     | 404 (Endpoint fehlte) | ✅ 200                                   |
 | `GET /me` nach Logout                                       | weiter 200 (bis 7 d)  | ✅ 401 „Sitzung ungültig"                |
 ### Runde 8 – DNS-Rebinding + Per-File-Ownership
 | Test                                                  | Resultat                                      |
 | ----------------------------------------------------- | --------------------------------------------- |
 | Admin lädt eigene Datei                               | ✅ HTTP 200, PDF                              |
 | Portal lädt eigene Contract-Datei                     | ✅ HTTP 200, PDF                              |
 | Portal lädt random Pfad ohne DB-Resource              | ✅ HTTP 404                                   |
 | Path-Traversal `..` im Pfad                           | ✅ HTTP 400                                   |
 | URL-encoded Traversal `%2F..%2F`                      | ✅ HTTP 400                                   |
 | Ohne Token                                            | ✅ HTTP 401                                   |
 | Backwards-Compat `/api/uploads/<path>`                | ✅ HTTP 200 (intern derselbe Owner-Check)     |
 | Legitimer Hostname (gmail.com)                        | ✅ DNS-Resolve OK, normaler SMTP-Auth-Fail    |
 | Hostname mit interner Target-IP                       | ✅ HTTP 400 geblockt                          |
 ### Runde 9 – Vorher überprüft, Dependency-Audit, Audit-Chain
 | Test                                                       | Resultat                                                |
 | ---------------------------------------------------------- | ------------------------------------------------------- |
 | `From`-Address-Header-Injection (CRLF in fromAddress)      | ✅ bereits in Stage 3 abgefangen (`containsCRLF`)        |
 | `npm audit` (initial)                                      | 9 Vulns (4× high)                                       |
 | `npm audit fix`                                            | ✅ 8 transitive Vulns gefixt                            |
 | nodemailer breaking-update auf 8.x                         | 📋 als v1.1-Item dokumentiert                           |
 | Audit-Log Hash-Chain vor `rehashAll`                       | ⚠️ ~350 historische Einträge invalid (Schema-Migrationen) |
 | Audit-Log Hash-Chain nach `rehashAll`                      | ✅ 4139 von 4140 valid (1 Race mit Verify-Aufruf selbst) |
 | Authenticated Rate-Limit (50 parallele Requests)           | 🟡 keiner – DoS-Schutz vom Reverse-Proxy übernehmen      |
 | Frontend `localStorage` Token-Stealing-Vektor              | 🟡 Standard-SPA-Pattern; DOMPurify schützt vor XSS-Klau  |
 ---
 ## 🗂️ Runde-für-Runde
 ### Runde 1 – Erste kritische Findings (statisches Review)
 - CORS komplett offen → `CORS_ORIGINS` explizit
 - Keine Security-Headers → Helmet aktiviert (HSTS, X-Frame-Options, nosniff …)
 - JWT-Fallback-Secret entfernt → Fail-Fast beim Start (≥ 32 Zeichen JWT_SECRET, 64-Hex ENCRYPTION_KEY)
 - IDOR bei 7 Contract-Endpoints (`canAccessContract`)
 - XSS via Email-Body → DOMPurify mit strikter Config
 - Customer-API: Passwort-Hashes in API-Responses → Sanitizer
 - Portal-JWT-Invalidation nach Passwort-Reset (`portalTokenInvalidatedAt`)
 - Body-Size-Limit 5 MB
 ### Runde 2 – Deep-Dive (parallele Audit-Agents)
 - **Zip-Slip im Backup-Upload** (Arbitrary File Write) → Pfad-Validation
 - **Mass Assignment bei Customer/User** (Privilege Escalation via `roleIds`!) → Whitelist-Picker
 - 13 weitere IDOR-Stellen (Meter-Readings, Email-Anhänge, StressfreiEmail-Credentials …)
 - Path-Traversal bei Backup-Name und GDPR-Proof-Download → Regex/Safelist
 ### Runde 3 – Tiefer Dive (8 weitere Hardenings)
 - JWT algorithm confusion: `jwt.verify(..., { algorithms: ['HS256'] })`
 - `trust proxy = 1` für Rate-Limiter hinter Reverse-Proxy
 - IDOR Invoice (`/api/energy-details/:ecdId/invoices`) → `canAccessEnergyContractDetails`
 - IDOR PDF-Template-Generator → `canAccessContract`
 - Email-Anhang-Download: Content-Type-Safelist (HTML/SVG nie inline) + `X-Content-Type-Options: nosniff` + Filename-CRLF-Sanitizing
 - Provider/Tariff-GETs: `requirePermission('providers:read')` (Portal-Kunden sehen Provider-Liste nicht mehr)
 - SMTP-Header-Injection: zentrale CRLF-Validierung in `smtpService.sendEmail`
 - bcrypt cost 10 → 12 (OWASP 2026)
 ### Runde 4 – Live-Tests gegen Dev-Server (Tabelle oben)
 `getCustomer`, alle Customer-Sub-Resources (addresses/bank-cards/…) und die
 GDPR-Endpoints hatten nur Daten-Sanitizer, aber keinen `canAccessCustomer`-Check.
 Portal-Kunde konnte live `GET /api/customers/<fremde-id>` machen → **9 IDORs**.
 Plus Error-Handler: `err.status` wird respektiert (413/400 statt pauschalem 500).
 ### Runde 5 – Hack-Das-Ding-Audit
 - 🚨 **`/api/uploads/*` ohne Auth** (DSGVO-GAU) → `authenticate`-Middleware,
  Frontend-Helper `fileUrl(path)` hängt Token an, 24 URLs migriert.
 - **Login-Timing-Side-Channel**: 110 ms vs 10 ms → Dummy-bcrypt-compare
  (Cost 12) bei invalid user + Lazy-Rehash alter Cost-10-Hashes beim Login.
 - **XSS via Privacy Policy / Imprint** in 4 Frontend-Seiten → DOMPurify.
 - IDOR-Härtung an 5 weiteren Upload/Delete/Email-Save-Stellen
  (`canAccessContract`).
 ### Runde 6 – Tiefer Live-Pentest (Tabelle oben)
 - 🚨 **`GET /api/customers` Customer-Liste-Leak** → Portal-Filter
 - 🚨 **Rate-Limit-Bypass via X-Forwarded-For** → `trust proxy = 'loopback'`
  + `LISTEN_ADDR=127.0.0.1` in Production
 - Self-Grant + Existence-Disclosure in `toggleMyAuthorization` → Self-Grant
  400, Existenz + aktive `CustomerRepresentative`-Beziehung in einem Query,
  beide Fehlfälle uniform 403.
 - Prisma-Error-Leaks generisch ersetzt.
 ### Runde 7 – Letzter Schliff
 - **SSRF-Schutz** in `test-connection` und `test-mail-access` →
  `utils/ssrfGuard.ts` blockiert 169.254.0.0/16, 0.0.0.0/8,
  Multicast/Reserved-Ranges, AWS-IPv6-Metadata, IPv6-Link-Local und
  Cloud-Metadata-Hostnames. Loopback bleibt erlaubt für Plesk/Postfix.
 - **Logout-Endpoint** `POST /api/auth/logout` setzt `tokenInvalidatedAt`
  / `portalTokenInvalidatedAt` auf jetzt.
 ### Runde 8 – Loose Ends
 - **DNS-Rebinding-Schutz**: `safeResolveHost()` löst Hostnames vor Connect
  zu IPs auf, prüft jede gegen die Block-Liste, gibt `{ ip, servername }`
  zurück. Connection läuft gegen IP, der Hostname als TLS-SNI – ein
  zweiter DNS-Lookup kann keine geblockte IP unterschieben.
 - **Per-File-Ownership-Check**: `app.use('/api/uploads', authenticate,
  express.static)` ersetzt durch `GET /api/files/download?path=...` mit
  DB-Lookup (`fileDownload.service.ts`). 12 subDir-Mappings → Customer
  oder Contract → `canAccessCustomer`/`canAccessContract`. Backwards-
  Compat-Shim für `/api/uploads/*` ruft denselben Owner-Check.
 ### Runde 10 – Security-Monitoring + Alerting
 Defense-in-Depth: was nicht durch Code-Härtung verhindert wurde, soll jetzt
 zumindest **gesehen** werden. Ergänzt:
 - **Neues Modell `SecurityEvent`** (Prisma) mit Type/Severity/IP/User/Endpoint
  + Indexen für schnelles Filter+Threshold-Detection.
 - **Service `securityMonitor.service.ts`** mit zentraler `emit()`-Funktion.
  Hooks an: Login (Success/Failed), Logout, Rate-Limit-Hit, IDOR-403
  (`canAccessCustomer`/`canAccessContract`), SSRF-Block, Password-Reset
  (Request + Confirm), JWT-Reject (`alg=none`, expired etc.).
 - **Service `securityAlert.service.ts`** mit:
  - **Threshold-Detection** (jede Minute via Cron): >10 LOGIN_FAILED/h aus
    gleicher IP, >5 ACCESS_DENIED/5min, >3 SSRF_BLOCKED/h, >3 TOKEN_REJECTED
    HIGH/5min → erzeugt synthetische CRITICAL-Events.
  - **Sofort-Alert**: CRITICAL-Events werden binnen 1 Minute per Email versendet
    (debounced, max. 1× pro Stunde + IP).
  - **Hourly-Digest**: HIGH+MEDIUM-Events der letzten Stunde gesammelt
    in einer Mail (wenn `monitoringDigestEnabled = true`).
 - **Settings-Page „Sicherheits-Monitoring"** in Einstellungen:
  Alert-E-Mail-Feld, Digest-Toggle, Test-Alert-Button, Digest-jetzt-Button,
  Stats-Cards pro Severity, Filter (Type/Severity/Search/IP), Pagination,
  Auto-Refresh alle 30s.
 - **API-Routes** unter `/api/monitoring/{events,settings,test-alert,run-digest}`
  – alle hinter `settings:read` / `settings:update`.
 Live-verifiziert (1. Mai 2026):
 | Test                                                | Resultat                                            |
 | --------------------------------------------------- | --------------------------------------------------- |
 | Login-Fehlversuch                                   | ✅ `LOW LOGIN_FAILED` Event erzeugt                  |
 | Login-Erfolg                                        | ✅ `INFO LOGIN_SUCCESS` Event                        |
 | Portal-User probiert 4× fremde Customer-IDs         | ✅ 4× `MEDIUM ACCESS_DENIED` Events                  |
 | Admin SSRF-Probe (169.254.169.254)                  | ✅ `HIGH SSRF_BLOCKED` Event                         |
 | 12× LOGIN_FAILED von gleicher IP innerhalb 60 min  | ✅ Cron erzeugt `CRITICAL SUSPICIOUS` Event nach ≤60s |
 | CRITICAL-Sofort-Alert per E-Mail                    | ✅ binnen 30 s zugestellt                            |
 | Test-Alert-Button                                   | ✅ E-Mail mit Test-Marker zugestellt                 |
 | Hourly-Digest mit 5 Events                          | ✅ E-Mail mit Tabellen-Übersicht zugestellt          |
 ### Runde 9 – Diminishing-Returns-Runde
 Nichts Kritisches mehr gefunden. Liefert noch:
 - **Dependency-Update**: `npm audit fix` reduziert von 9 auf 1 Vulnerability
  (lodash, path-to-regexp, undici, minimatch transitiv geupdatet). Verbliebene
  nodemailer-Vuln braucht Major-Update (v6 → v8) – v1.1-Item.
 - **Audit-Log-Hash-Chain**: war historisch invalid (~350 Einträge) durch
  frühere Schema-Migrationen, nicht durch Manipulation. `rehashAll`
  repariert; integrity-check verifiziert die Chain wieder. Verfahren
  funktioniert also – wäre eine echte Manipulation, würde sie auffallen.
 - **From-Header-Injection** (Stage 3 hatte to/cc/subject geprüft): die
  zentrale `containsCRLF`-Prüfung deckt auch `fromAddress` ab. ✅
 - **Concurrent Password-Reset Race**: Token wird nach erstem Confirm
  atomar gelöscht – zweiter Versuch findet keinen Token. ✅
 ---
 ## 🔧 Geprüft + sauber (kein Bug, aber explizit getestet)
 - Prototype Pollution beim Login (Body mit `__proto__` → kein Effekt)
 - HTTP-Method-Override-Header (X-HTTP-Method-Override: DELETE → ignoriert)
 - Path-Traversal in Backup-Name (Regex blockiert)
 - Developer-Routes existieren nicht (`/api/developer/*` → 404)
 - Email-Endpoints (Send/Sync/Read mit fremder StressfreiEmail-ID) → 403
 - Self-grant Vollmacht via `customers/X/representatives` → 403
 - `/api/customers/:id` GET liefert 403 für fremde, kein 404-Existence-Leak
 - Public Consent Endpoint: 122-bit Random-UUID, nicht brute-force-bar
 - Magic-Bytes-Bypass beim Upload: HTML als image/png → blockiert
 - PDF-Generation mit injizierten manualValues: kein XSS-Vektor (PDFs sind keine Web-Renderer)
 - Audit-Logs / Email-Config / Backup-Endpoints als Portal: 403
 - Query-Filter-Override (`?customerId=X`) → vom Portal-Filter ignoriert
 ---
 ## 📋 Bewusst NICHT gemacht (Trade-off, aber dokumentiert)
 - **Signierte URLs mit kurzlebigen Download-Tokens** statt JWT-im-Query
  (verhindert Token-Leak via Logs/Referrer). Nicht trivial wegen
  `<a href>`-Downloads ohne JS – v1.2-Item.
 - **`/api/contracts/:id` GET liefert 404 für nicht-existente IDs**
  (Existence-Probing). Vereinheitlichung auf 403 wäre sauberer; da
  Contract-IDs aber nicht direkt mit personenbezogenen Daten korrelieren,
  niedrig-Prio.
 - **Prisma-Error-Leaks in anderen Admin-Endpoints** (z. B. `addInvoice`
  bei Validation-Fehler) – Defense-in-Depth-Kandidat, aber nur Admin-
  erreichbar.
 - **TipTap-Link-Tool**: `javascript:`-Protokoll blockieren (Admin-only
  erreichbar, niedrig-Prio).
 - **Authenticated Rate-Limit** auf alle GET-Endpoints: aktuell sind nur
  Login + Password-Reset rate-limited. Eingeloggte User können theoretisch
  hunderte Requests/sec fahren. Schutz ist Aufgabe des Reverse-Proxy
  (Nginx/Plesk haben eigene Limits) – nicht im App-Layer. Wenn nötig,
  später `express-rate-limit` für `/api/*` mit hohem Limit (~600/min/IP).
 - **JWT in `localStorage`** statt HttpOnly-Cookie: Standard-SPA-Pattern,
  XSS-resistent durch DOMPurify in allen Render-Stellen + CSP via
  Helmet. HttpOnly-Cookie wäre stärker, brauchte aber CSRF-Token-System.
 - **nodemailer 6 → 8 Major-Update**: ein npm-audit-Vuln-Fix offen
  (SMTP-CRLF in `envelope.size` / Transport-Name). Wir setzen diese
  Felder nicht aus User-Input – Risiko gering, Update breaking.
 ---
 ## 🚀 Production-Deployment-Checkliste
 Vor dem öffentlichen Schalten muss in der Production-`.env`:
 - `JWT_SECRET` rotieren: `openssl rand -hex 64`
 - `ENCRYPTION_KEY` rotieren: `openssl rand -hex 32` (genau 64 Hex-Zeichen)
 - `NODE_ENV=production`
 - `CORS_ORIGINS=https://deine-domain.de` (oder leer für Same-Origin)
 - `LISTEN_ADDR=127.0.0.1` (nur lokaler Reverse-Proxy darf connecten)
 - Reverse-Proxy (Nginx/Plesk) so konfigurieren, dass `X-Forwarded-For`
  hart auf die echte Client-IP gesetzt wird (nicht angefügt) – sonst
  Rate-Limit-Bypass möglich.
 - Manuelle Test-Checkliste aus [TESTING.md](./TESTING.md) einmal komplett
  durchklicken.
 ---
 ## 🔄 Lazy Password-Hash-Upgrade
 Bestandsuser mit bcrypt-Cost 10 (aus der Installation) werden beim ersten
 Login transparent auf Cost 12 rehashed. Damit gleicht sich die
 Antwortzeit beim Login automatisch der Dummy-bcrypt-Zeit (Cost 12) an –
 Login-Timing-Side-Channels schließen sich von alleine im Lauf der ersten
 Wochen nach Deployment.
 ---
 ## 🗨️ Lehre aus der Session
 Statische Audit-Agents finden ca. 70 % der Findings, die letzten ~30 %
 brauchten Live-Tests gegen den laufenden Server. Sie kennen den exakten
 Permission-State der DB nicht (raten z. B., dass `gdpr:export` Portal-
 User-zugänglich sei – war's nicht), übersehen aber, dass ein
 Daten-Sanitizer einen Permission-Check vortäuschen kann (Runde 4 / 6).
 **Take-away:** „Code sieht sicher aus" ≠ „Server verhält sich sicher".
 Vor jedem Launch mit echten Tokens probieren.
 ---
 ## 📑 Commit-Historie
 | Commit    | Runde   | Hauptthema                                                     |
 | --------- | ------- | -------------------------------------------------------------- |
 | (mehrere) | 1 + 2   | Erste Review-Welle, dokumentiert in SECURITY-REVIEW.md         |
 | (mehrere) | 3       | JWT alg, trust-proxy, Invoice/PDF IDOR, Attachment, Provider, SMTP-CRLF, bcrypt |
 | `334c408` | 4       | 9 Live-IDORs (customer.* + gdpr.*) + Error-Handler             |
 | `8be9bae` | 5       | Uploads-Auth + Login-Timing + XSS                              |
 | `4e91d96` | 6       | Customer-List-Leak + XFF-Bypass + Auth-Toggle                  |
 | `12b9abe` | 7       | SSRF-Schutz + Logout                                           |
 | `d063d67` | 8       | DNS-Rebinding + Per-File-Ownership                             |
 | `c9a2b9f` | 9       | `npm audit fix` + Audit-Chain-Rehash + Doku                    |
 | (folgt)   | 10      | Security-Monitoring (SecurityEvent + Hooks + Alerts + UI)      |
 ---
 ## 🧭 Wann ist „dicht" dicht?
 100 % gibt es nicht. Erreicht ist:
 1. **Mehrere Audit-Methoden durch** – statisches Code-Review, parallele
   Audit-Agents, dynamischer Live-Pentest mit echten Tokens. ✓
 2. **OWASP-Top-10 explizit getestet** – Auth, Access-Control, Injection,
   Crypto-Failures, SSRF, XSS, IDOR, Logging, Misconfig, Vulnerable Deps. ✓
 3. **Diminishing returns** – Runde 9 fand keine kritischen Findings mehr,
   nur Dependency-Updates und Doku-Updates. ✓
 4. **Production-Deployment-Checkliste klar.** ✓
 5. **Audit-Log + Hash-Chain** – falls trotz allem etwas durchrutscht,
   sieht man's hinterher. ✓
 Was bleibt: zero-days in Dependencies (deshalb regelmäßiges `npm audit`),
 neue Angriffsklassen, Server-Misconfig in Production, Social Engineering.
 Dafür gibt's keine Code-Lösung – nur Monitoring und Rotation der Secrets.
@@ -0,0 +1,231 @@
 # Security-Review vor 1.0.0
 > 📌 **Diese Datei dokumentiert nur die ersten 2 Runden ausführlich.**
 > Die vollständige Hardening-Story über alle **8 Runden** inkl. Live-Test-
 > Tabellen findest du in **[SECURITY-HARDENING.md](./SECURITY-HARDENING.md)**.
 > **Version 2** – dieser Review wurde in 2 Runden durchgeführt.
 > Runde 1: erste kritische Findings (CORS, Helmet, JWT-Fallback, grobes IDOR, XSS, Data Exposure).
 > Runde 2 (weiter unten): **Deep-Dive** mit parallelen Audit-Agents – fand weitere IDOR-Stellen, Mass Assignment, Zip-Slip, Path-Traversal.
 Systematischer Review des Codebase mit Fokus auf Produktions-Hardening
 vor öffentlichem Deployment (hinter HTTPS-Proxy).
 ## Gefundene Probleme & Fixes
 ### 🔴 KRITISCH (sofort gefixt)
 #### 1. CORS komplett offen
 **Vorher:** `app.use(cors())` – jede Origin darf Requests senden.
 **Risiko:** Fremde Websites können bei eingeloggtem User Requests mit dessen
 JWT durchführen (wenn Token in Cookies wäre – bei localStorage weniger relevant,
 aber trotzdem schlechte Praxis).
 **Fix:** CORS nur für explizit konfigurierte Origins (via `CORS_ORIGINS` ENV),
 in Production per Default komplett aus (Frontend läuft unter gleicher Origin).
 #### 2. Keine Security-Headers (Helmet fehlt)
 **Vorher:** Keine HTTP-Security-Headers gesetzt.
 **Risiko:** XSS, Clickjacking, MIME-Sniffing, Missing HSTS.
 **Fix:** `helmet`-Middleware aktiviert – setzt automatisch:
 X-Frame-Options, X-Content-Type-Options, Referrer-Policy, HSTS (in HTTPS),
 Cross-Origin-Resource-Policy.
 #### 3. JWT-Fallback-Secret
 **Vorher:** `jwt.verify(token, process.env.JWT_SECRET || 'fallback-secret')`
 **Risiko:** Wenn `.env` kaputt ist oder Secret leer → bekannter String
 "fallback-secret" → **Tokens können gefälscht werden!**
 **Fix:** Beim Server-Start wird geprüft, dass JWT_SECRET mindestens 32 Zeichen lang
 und ENCRYPTION_KEY exakt 64 Hex-Zeichen hat. Sonst Abbruch mit klarer Fehlermeldung.
 Fallback wurde aus dem Code entfernt.
 #### 4. IDOR bei sensiblen Contract-Endpoints
 **Vorher:** Portal-Kunden haben `contracts:read` Permission → können über
 geratene IDs auf **fremde** Daten zugreifen:
 - `GET /contracts/:id/password` → Passwort im Klartext
 - `GET /contracts/simcard/:id/credentials` → PIN/PUK
 - `GET /contracts/:id/internet-credentials` → Internet-Passwort
 - `GET /contracts/phonenumber/:id/sip-credentials` → SIP-Passwort
 - `GET /contracts/:id/documents` → Vertragsdokumente
 - `GET /contracts/:id/invoices` → Rechnungen
 - `POST /contracts/:id/invoices` → Rechnung zu fremdem Vertrag hinzufügen
 **Fix:** Neuer Helper `canAccessContract()` in `backend/src/utils/accessControl.ts`.
 Wird in allen sensiblen Endpoints aufgerufen und prüft:
 - Mitarbeiter/Admin → OK
 - Portal-Kunde + eigener Vertrag → OK
 - Portal-Kunde + vertretener Kunde MIT gültiger Vollmacht → OK
 - Sonst 403 Forbidden
 #### 5. XSS via Email-Body
 **Vorher:** `<div dangerouslySetInnerHTML={{ __html: email.htmlBody }} />`
 **Risiko:** Ein Angreifer sendet Mail mit `<script>fetch('/api/...')` →
 wird im Browser des Mitarbeiters ausgeführt → JWT-Token-Diebstahl möglich.
 **Fix:** DOMPurify sanitized `htmlBody` vor dem Rendern:
 - Verbietet: script, style, iframe, object, embed, form, inline-handler
 - Erlaubt: normale Formatierung, Bilder, Links
 - Zusätzlich: target=_blank damit Links neue Tabs öffnen
 #### 6. Customer-API leakt Passwort-Hashes + Reset-Tokens
 **Vorher:** `getCustomer` / `getCustomers` gab alle Felder zurück inklusive:
 - `portalPasswordHash` (bcrypt)
 - `portalPasswordEncrypted` (symmetrisch, entschlüsselbar mit Key)
 - `portalPasswordResetToken` (gültig 2h, damit könnte man das Passwort zurücksetzen)
 **Fix:** Zentrale Sanitizer-Helper in `backend/src/utils/sanitize.ts`:
 - `sanitizeCustomer` → entfernt Hash + Reset-Token
 - `sanitizeCustomerStrict` → zusätzlich ohne Encrypted-Passwort
  (für Nicht-Admin-Rollen)
 - Im `getCustomer`/`getCustomers` angewendet: Admins sehen encrypted
  (um Passwort in UI anzeigen zu können), alle anderen nicht.
 ### 🟡 WICHTIG (gefixt)
 #### 7. Portal-JWT-Invalidation fehlte
 **Vorher:** Nach einem Portal-Passwort-Reset blieben alte JWTs bis zum Ablauf (7d) gültig.
 **Risiko:** Wenn ein Angreifer einen Token geklaut hat, konnte der Kunde das
 Passwort zwar ändern, aber der Angreifer blieb eingeloggt.
 **Fix:** Neues Feld `Customer.portalTokenInvalidatedAt` analog zu
 `User.tokenInvalidatedAt`. Wird bei Portal-Passwort-Reset auf `now()` gesetzt.
 Auth-Middleware prüft bei Portal-Sessions diesen Timestamp gegen `token.iat`.
 #### 8. express.json() ohne Size-Limit
 **Vorher:** Default 100KB – aber unklar und nicht explizit.
 **Fix:** `express.json({ limit: '5mb' })` – deckt normale API-Bodies mit
 eingebetteten Base64-Attachments ab, blockt aber DoS-Versuche mit 100MB-Payloads.
 ## Runde 2: Deep-Dive mit Audit-Agents (alle kritischen gefixt)
 ### 🔴 Kritisch
 #### 9. Zip-Slip im Backup-Upload
 **Vorher:** `zip.extractAllTo(finalBackupDir, true)` in
 `backup.service.ts` extrahiert ZIP-Dateien ohne Validierung der Entry-Pfade.
 **Risiko:** Ein Angreifer lädt ein bösartiges ZIP hoch mit Entries wie
 `../../../etc/crontab` → Server-Filesystem-Overwrite, Root-Escalation möglich.
 **Fix:** ZIP-Entries werden jetzt einzeln durchlaufen. Jeder `entry.entryName`
 wird `path.resolve`-normalisiert und geprüft ob der Zielpfad innerhalb des
 Backup-Verzeichnisses bleibt. Absolute Pfade + Null-Bytes werden abgelehnt.
 #### 10. Mass Assignment bei Customer/User
 **Vorher:** `updateCustomer`, `createCustomer`, `updateUser`, `createUser`
 haben `req.body` direkt oder via Spread an Prisma-`update/create` gereicht.
 **Risiko:**
 - Ein Angreifer mit `customers:update`-Permission konnte `portalPasswordHash`
  (bcrypt-Hash!), `portalPasswordResetToken`, `consentHash`, `customerNumber`
  direkt setzen
 - Bei User-Update: `roleIds: [1]` übergeben → **Privilege Escalation** zum Admin
 - `isActive: false` → andere User deaktivieren
 **Fix:** Neue Whitelist-Helper `pickCustomerUpdate/Create`, `pickUserUpdate/Create`
 in `utils/sanitize.ts`. Nur explizit erlaubte Felder gehen an Prisma durch.
 Kritische Felder wie `portalPasswordHash`, `customerNumber`, `id`, `createdAt`,
 `consentHash` sind **nicht** übernehmbar.
 #### 11. IDOR bei weiteren sensiblen Endpoints
 Nach der ersten Runde kam der Agent auf **13 weitere IDOR-Stellen**:
 - `GET /meters/:meterId/readings` → fremde Zählerstände
 - `GET /emails/:emailId/attachments/*` → fremde Email-Anhänge
 - `GET /customers/:customerId/emails` → fremde Email-Inhalte (CachedEmail)
 - `GET /contracts/:contractId/emails` → fremde Email-Inhalte per Vertrag
 - `GET /emails/:id` → einzelne Email lesen
 - `GET /stressfrei-emails/:id` → leakt `emailPasswordEncrypted`
 - weitere…
 **Fix:** `utils/accessControl.ts` deutlich ausgebaut um:
 - `canAccessAddress`
 - `canAccessBankCard`
 - `canAccessIdentityDocument`
 - `canAccessMeter`
 - `canAccessStressfreiEmail`
 - `canAccessCachedEmail`
 Diese Helper laden die Ressource, prüfen die customerId und delegieren an
 `canAccessCustomer` (Portal-Isolation + Vollmachten). In allen kritischen
 Endpoints vor dem eigentlichen Datenzugriff aufgerufen.
 Zusätzlich: `getEmail` (StressfreiEmail) filtert `emailPasswordEncrypted`
 für Portal-Kunden explizit raus, selbst wenn sie zufällig Zugriff haben.
 ### 🟡 Wichtig
 #### 12. Path-Traversal bei Backup-Namen
 **Vorher:** `req.params.name` wurde direkt an `fs.readFile(path.join(backupDir, name))`
 weitergereicht. `../` würde aus dem Backup-Verzeichnis ausbrechen.
 **Fix:** Neuer `isValidBackupName()`-Guard: nur `[A-Za-z0-9_-]+`, kein `..`.
 #### 13. Path-Traversal bei GDPR-Proof-Download
 **Vorher:** `path.join(uploads, request.proofDocument)` ohne Validation.
 Wenn ein Angreifer den `proofDocument`-Pfad in der DB manipulieren könnte
 (z.B. über Mass-Assignment – das haben wir aber oben gefixt), wäre arbitrary
 file download möglich.
 **Fix:** `path.resolve` auf den Pfad anwenden, prüfen dass das Ergebnis im
 uploads-Verzeichnis liegt.
 ---
 ## Nicht kritische Findings (Empfehlungen für später)
 ### 🟢 Token in Query-Parameter
 Für Attachment-Downloads/iframes wird das JWT als `?token=...` mitgegeben.
 **Risiko:** Token landet in Server-Access-Logs, Browser-History, Referer-Headers.
 **Mitigation aktuell:** JWT läuft nach 7d ab, und bei `password-reset` werden
 alle Sessions gekickt.
 **Bessere Lösung (später):** Kurzlebige Download-Tokens (5 Min) statt JWT direkt.
 ### 🟢 Upload: nur Browser-MIME-Check
 Multer prüft nur den vom Browser gesendeten Content-Type. Ein Angreifer könnte
 eine Shell mit `application/pdf` hochladen.
 **Mitigation aktuell:**
 - Uploads-Ordner hat keine Execute-Rechte (Linux-Standard)
 - Dateien werden mit uniquem Namen + Original-Extension gespeichert
 - Apache/Caddy served Uploads mit `Content-Disposition: attachment` inline (keine Ausführung)
 **Besser (später):** Magic-Byte-Check via `file-type` npm-Paket.
 ### 🟢 `.env` in git history
 Die initiale `.env` mit Demo-Secrets ist im ersten Commit eingecheckt.
 **Risiko:** Wenn das Repo öffentlich wird, sind die Demo-Keys bekannt.
 **Action:** Vor Öffentlich-Machen: `openssl rand -hex 64` für neuen JWT_SECRET
 und `openssl rand -hex 32` für neuen ENCRYPTION_KEY in `.env.production`.
 Optional: `git filter-repo` um `.env` aus History zu löschen.
 ## Deployment-Checkliste vor Go-Live
 - [ ] **ENV-Vars setzen:**
  - `JWT_SECRET` neu generiert (`openssl rand -hex 64`)
  - `ENCRYPTION_KEY` neu generiert (`openssl rand -hex 32`)
  - `NODE_ENV=production`
  - `CORS_ORIGINS=https://crm.meinedomain.de` (oder leer wenn SPA unter gleicher Origin)
  - `PUBLIC_URL=https://crm.meinedomain.de` (für Reset-Links in E-Mails)
 - [ ] **Helmet HSTS aktiv** (automatisch mit helmet + HTTPS hinter Caddy)
 - [ ] **Dependencies aktuell:** `npm audit fix` lauen lassen
 - [ ] **DB-User minimal:** Prod-User darf nur INSERT/UPDATE/DELETE/SELECT auf opencrm DB,
      nicht DROP/ALTER/CREATE
 - [ ] **Uploads-Ordner:** chmod 750, keine Execute-Rechte
 - [ ] **Backup-Job:** Crontab mit täglichem `npm run db:backup`
 - [ ] **Log-Rotation:** logrotate für Node-Process-Logs
 - [ ] **Monitoring:** uptime-kuma o.Ä. auf `/api/health`
 - [ ] **Reverse-Proxy (Caddy) setzt:**
  - HSTS (mindestens 1 Jahr)
  - automatisches SSL via Let's Encrypt
  - Body-Size-Limit (Caddy-Config)
 ## Was getestet werden MUSS (vor öffentlichem Deployment)
 1. **IDOR-Tests:** Als Portal-Kunde A einloggen, fremde IDs per URL/API probieren
   → alle müssen 403 geben (siehe TESTING.md)
 2. **XSS-Tests:** Test-Mail mit `<script>alert(1)</script>` in HTML-Body senden,
   im Email-Client öffnen → kein Alert
 3. **Rate-Limit-Tests:** 11x falsch einloggen → muss blocken
 4. **Password-Reset-Tests:** Reset-Link 2x nutzen → zweites Mal fehlschlägt
 ## Übersicht der Code-Änderungen
 | Datei | Änderung |
 |---|---|
 | `backend/src/index.ts` | Helmet, CORS-Config, Body-Limit, ENV-Check beim Start |
 | `backend/src/middleware/auth.ts` | JWT-Fallback raus, Portal-Token-Invalidation |
 | `backend/src/services/auth.service.ts` | JWT-Fallback raus, `portalTokenInvalidatedAt` setzen |
 | `backend/src/utils/accessControl.ts` | **NEU** – `canAccessContract`, `canAccessCustomer` |
 | `backend/src/utils/sanitize.ts` | **NEU** – Sanitizer für Customer/User |
 | `backend/src/controllers/contract.controller.ts` | IDOR-Schutz in 5 Endpoints |
 | `backend/src/controllers/invoice.controller.ts` | IDOR-Schutz in 2 Endpoints |
 | `backend/src/controllers/customer.controller.ts` | Sanitizer in getCustomer/getCustomers |
 | `backend/prisma/schema.prisma` | `Customer.portalTokenInvalidatedAt` |
 | `frontend/src/components/email/EmailDetail.tsx` | DOMPurify für htmlBody |
@@ -0,0 +1,172 @@
 # Manueller Test-Katalog (v1.0.0)
 Checklisten für manuelle Abnahmetests vor einem Release. Durchläuft die kritischen
 Features Schritt für Schritt. Geschätzte Dauer für einen kompletten Durchlauf: ~60 Minuten.
 ---
 ## 🔐 Security-System
 ### 1. Login & Rate-Limiting
 - [ ] **Mitarbeiter-Login** mit korrekten Credentials → Erfolgreich
 - [ ] **Mitarbeiter-Login** mit falschem Passwort → Fehlermeldung "Ungültige Anmeldedaten"
 - [ ] **Portal-Login** mit Kunden-E-Mail + Passwort → Erfolgreich ins Portal
 - [ ] **Rate-Limit Login**: 10× falsch nacheinander versuchen → Nach 10. Versuch: "Zu viele
  Login-Versuche. Bitte in 15 Minuten erneut versuchen."
 - [ ] **Rate-Limit zählt erfolgreiche Logins nicht**: 5× falsch, dann 1× korrekt, dann wieder
  5× falsch → immer noch erlaubt (weil erfolgreiche nicht zählen)
 ### 2. Passwort-Reset-Flow
 - [ ] Auf Login-Seite: Link **"Passwort vergessen?"** sichtbar
 - [ ] Klick öffnet `/password-reset/request`
 - [ ] **Unbekannte E-Mail** eingeben → Trotzdem "E-Mail gesendet"-Bestätigung
  (User-Enumeration-Schutz: Backend verrät nicht, ob Email existiert)
 - [ ] **Bekannte Mitarbeiter-E-Mail** eingeben, Typ "Mitarbeiter" wählen → Reset-Mail geht raus
 - [ ] Reset-Link aus Mail öffnen → Formular "Neues Passwort"
 - [ ] **Passwörter stimmen nicht überein** → Fehlermeldung
 - [ ] **Passwort < 6 Zeichen** → Fehlermeldung
 - [ ] Gültiges Passwort setzen → "Passwort geändert", Redirect zu /login
 - [ ] **Neuer Login** mit dem neuen Passwort → Funktioniert
 - [ ] **Alter Session** (falls vorher eingeloggt) → Wurde gekickt, muss neu einloggen
 - [ ] **Reset-Link ein zweites Mal nutzen** → Fehlermeldung "Ungültiger oder bereits verwendeter Link"
 - [ ] **Reset-Link nach 2h+** nutzen → Fehlermeldung "Der Link ist abgelaufen"
 - [ ] Gleicher Flow für **Portal-Kunden** (Typ "Kunde" wählen)
 ### 3. Rate-Limiting Passwort-Reset
 - [ ] 5× Reset-Anfrage für dieselbe E-Mail senden → OK
 - [ ] 6. Anfrage innerhalb einer Stunde → "Zu viele Passwort-Reset-Anfragen"
 ### 4. Berechtigungen (RBAC)
 - [ ] **Admin**-User: kann Benutzer, Rollen, Einstellungen verwalten
 - [ ] **Mitarbeiter**-User: kann Kunden/Verträge bearbeiten, **keine** User-Verwaltung
 - [ ] **Mitarbeiter (Lesen)**: alles sichtbar, aber Buttons "Bearbeiten/Löschen" fehlen
 - [ ] **Portal-Kunde**: sieht **nur eigene** Verträge + Daten, nicht die anderer Kunden
 ### 5. Portal-Isolation (wichtig für DSGVO)
 - [ ] Als Portal-Kunde A einloggen
 - [ ] In der URL manuell `/customers/999` eintippen (anderer Kunde) → Zugriff verweigert
 - [ ] `/contracts/999` (fremder Vertrag) → Zugriff verweigert
 - [ ] API-Call via Browser-Devtools `GET /api/customers/999` → 403 Forbidden
 - [ ] Nur mit **Vollmacht** (RepresentativeAuthorization) kann Kunde A die Daten von B sehen
 ### 6. Session-Invalidation
 - [ ] Eingeloggt als Mitarbeiter, in 2 Browser-Tabs
 - [ ] Admin ändert Rolle des Mitarbeiters (User-Verwaltung)
 - [ ] Nächster Request im Tab → wird zum Login redirectet (tokenInvalidatedAt greift)
 ### 7. Audit-Log
 - [ ] Einstellungen → Audit-Protokoll öffnen
 - [ ] Kunde anlegen → Eintrag mit Typ CREATE erscheint
 - [ ] Kunden-Feld ändern (z.B. Geburtsort) → UPDATE-Eintrag mit Vorher/Nachher-Details
 - [ ] Kunde löschen → DELETE-Eintrag
 - [ ] DSGVO-Export herunterladen → EXPORT-Eintrag
 - [ ] Filter nach Benutzer funktioniert
 - [ ] Filter nach Aktion funktioniert
 - [ ] Details-Modal zeigt Vorher/Nachher-Werte
 ### 8. DSGVO-Features
 - [ ] Kunde einlegen → DSGVO-Tab
 - [ ] Datenexport ausführen → JSON-Datei mit allen Daten des Kunden
 - [ ] Löschanfrage erstellen → erscheint im DSGVO-Dashboard (Admin)
 - [ ] Anonymisierung ausführen → Kundendaten werden anonymisiert, aktive Verträge bleiben
 - [ ] Einwilligungen (alle 4 Typen) können pro Kunde gesetzt/widerrufen werden
 - [ ] PDF-Upload als Alternative zu Online-Einwilligungen → Haken werden auf GRANTED gesetzt
 - [ ] PDF löschen → Haken werden auf WITHDRAWN gesetzt
 ### 9. Verschlüsselte Credentials
 - [ ] Ein Portal-Passwort (z.B. eines Anbieter-Zugangs) speichern
 - [ ] In der DB (z.B. via Prisma Studio oder DB-GUI) nachschauen:
  `portalPasswordEncrypted` darf **nicht im Klartext** sichtbar sein
 - [ ] Portal-Passwort in der UI anzeigen → wird korrekt entschlüsselt
 ### 10. DSGVO-Einwilligung Mitarbeiter
 - [ ] Als Mitarbeiter Kunde öffnen OHNE Einwilligung → Tabs Zähler/Verträge/Bankkarten/Ausweise/Email gesperrt
 - [ ] Nach Einwilligung (alle 4 Haken oder PDF) → Tabs wieder zugänglich
 ---
 ## ✉ Email-Log-System
 ### 1. Email-Log-Seite öffnen
 - [ ] Einstellungen → **Email-Protokoll** öffnen
 - [ ] Statistik-Cards werden angezeigt: Gesamt, Erfolgreich, Fehlgeschlagen, Letzte 24h
 - [ ] Log-Liste zeigt vergangene Versendungen
 - [ ] Filter: **Erfolgreich/Fehlgeschlagen**
 - [ ] Filter: **Kontext** (Datenschutz-Link, Vollmacht-Anfrage, Kunden-E-Mail, Geburtstagsgruß, Passwort-Reset)
 - [ ] Suche nach Empfänger-E-Mail oder Betreff
 - [ ] Pagination (Seite 1, 2, 3 …)
 - [ ] Klick auf Eintrag → Details-Modal mit SMTP-Info, Message-ID, ggf. Fehlermeldung
 ### 2. Erfolgreicher Versand loggen – alle Kontexte durchspielen
 Für jeden Kontext: Aktion im CRM durchführen → danach im Email-Log prüfen,
 ob der Eintrag erstellt wurde.
 #### Datenschutz-Link
 - [ ] Kunde öffnen → Einwilligungen/Datenschutz-Tab → "Link per Email senden"
 - [ ] Log-Eintrag mit Kontext "Datenschutz-Link", Empfänger = Kunden-E-Mail, Status ✓
 #### Vollmacht-Anfrage
 - [ ] Kunde A mit Vertreter B → Vollmachten-Tab → "Anfrage per Email senden"
 - [ ] Log-Eintrag mit Kontext "Vollmacht-Anfrage"
 #### Kunden-E-Mail (via Email-Client)
 - [ ] Kunde öffnen → Email-Tab → Mail verfassen und senden
 - [ ] Log-Eintrag mit Kontext "Kunden-E-Mail"
 #### Geburtstagsgruß (manuell)
 - [ ] Kunde mit Geburtsdatum → Cake-Button → "Gruß jetzt senden" → Email
 - [ ] Log-Eintrag mit Kontext "Geburtstagsgruß (manuell)"
 #### Geburtstagsgruß (automatisch)
 - [ ] Test-Kunde anlegen mit Geburtsdatum = heute
 - [ ] Auto-Geburtstagsgruß aktivieren (Cake-Button → Checkbox + Kanal "Email")
 - [ ] Server neu starten (Cron macht Catch-up nach 30s)
 - [ ] Nach ~1 Min: Log-Eintrag mit Kontext "Geburtstagsgruß (automatisch)"
 #### Passwort-Reset
 - [ ] Logout → "Passwort vergessen?" → eigene Admin-E-Mail eingeben
 - [ ] Log-Eintrag mit Kontext "Passwort-Reset"
 ### 3. Fehlgeschlagener Versand loggen
 - [ ] Temporär SMTP-Passwort ungültig machen (Einstellungen → Provider bearbeiten)
 - [ ] Beliebige E-Mail-Aktion auslösen (z.B. Datenschutz-Link senden)
 - [ ] Log-Eintrag mit Status ✗ und Fehlermeldung ("SMTP-Authentifizierung fehlgeschlagen")
 - [ ] Im Browser: Toast-Benachrichtigung mit Fehler erscheint
 - [ ] Passwort wieder korrigieren
 ### 4. Details-Modal
 - [ ] Klick auf erfolgreichen Eintrag: Zeigt Absender, Empfänger, Betreff, SMTP-Server/Port/Verschlüsselung, Message-ID, ggf. SMTP-Server-Antwort
 - [ ] Klick auf fehlgeschlagenen Eintrag: Zusätzlich klare Fehlermeldung
 - [ ] Kunden-Link im Modal: bei customerId → klickbar zum Kunden
 ### 5. Automatisches Logging
 - [ ] SMTP-Server, Port, Verschlüsselung werden bei jedem Versand geloggt
 - [ ] Kontext wird korrekt mitgegeben (nicht "unknown")
 - [ ] triggeredBy zeigt die auslösende User-E-Mail (nicht "cron" bei manuellen Aktionen)
 - [ ] Bei automatischen Aktionen (Cron): triggeredBy = "cron"
 ---
 ## Wie benutzen?
 1. Diese Datei öffnen
 2. Von oben nach unten durchklicken, Häkchen setzen (oder im Editor durch `- [x]`)
 3. Gefundene Bugs in GitHub Issues oder direkt als Korrektur-Commit einbauen
 Bei frisch geladener Datenbank (z.B. Dev-System): vorher 2-3 Test-Kunden mit vollständigen
 Stammdaten + mindestens 1 Email-Provider-Konfiguration anlegen.
@@ -4,11 +4,9 @@
 ## 🔜 Offen
-### Email Log & System testen
+### Manuelle Tests (vor Release durchklicken)
- Senden testen
+Checklisten für Security + Email-Log-System stehen in **[TESTING.md](./TESTING.md)**.
- Empfangen testen
+Einmal komplett durchlaufen vor v1.0.0-Release.
 ### Security System testen
 ### 🚀 SaaS-Ausbau: Instance-per-Customer + Admin-Portal + GoCardless
@@ -99,6 +97,135 @@ isolierte Instanz (keine Multi-Tenancy im Code), Provisioning + Abrechnung
 ## ✅ Erledigt
 - [x] **🐛 PDF-Vorschau im PDF-Template-Editor lädt nicht**
  - CSP-Direktive `frame-ancestors 'none'` blockte ALLE iframe-Embeddings
    der eigenen Resourcen, auch same-origin – Browser zeigte je nach
    Variante "Verbindung abgelehnt" oder CSP-Violation.
  - Fix: `frame-ancestors 'self'` (statt `'none'`). App darf eigene
    Resourcen embeden (z.B. die annotierte PDF-Vorschau), externe Sites
    bleiben weiterhin gesperrt.
 - [x] **🔁 Factory-Defaults Sync-Scripts (dev ↔ prod ↔ Image)**
  - `./factory-export.sh` zieht eine ZIP per API in `factory-exports/`
    (gitignored Drop-Box).
  - `./factory-import.sh [zip]` lädt die ZIP per API in eine andere Instanz
    – ohne Argument wählt es die jüngste ZIP automatisch.
  - `./factory-import.sh --save-as-builtin` entpackt die ZIP zusätzlich nach
    `backend/factory-defaults/` (vorher aufgeräumt). Damit landet sie beim
    nächsten `docker-compose up --build` als Werkseinstellung im Image und
    seedet frische DBs automatisch.
  - Konfigurierbar per Env: `OPENCRM_URL`, `OPENCRM_EMAIL`,
    `OPENCRM_PASSWORD` (sonst interaktive Abfrage).
  - README-Abschnitt „Factory-Defaults: Stammdaten-Kataloge teilen"
    komplett überarbeitet (drei Transport-Pfade, Auto-Seed, Whitelist).
 - [x] **🚀 Auto-Seed: Werkseinstellungen beim Erst-Deploy**
  - Inhalt von `backend/factory-defaults/` wird via Dockerfile als
    `/app/factory-defaults-builtin/` ins Image gebrannt.
  - Entrypoint spielt sie nach erfolgreichem Auto-Seed (frische DB) automatisch
    via `tsx scripts/seed-factory-defaults.ts` ein – steuerbar über
    `FACTORY_DEFAULTS_DIR`.
  - Damit bringen neue VMs sofort Anbieter, Tarife, PDF-Auftragsvorlagen +
    Datenschutzerklärung/Impressum mit, ohne manuelles UI-/CLI-Import.
  - Bestehende Installs werden NIE überschrieben (Trigger nur wenn der
    Auto-Seed im selben Start-Lauf gelaufen ist).
 - [x] **📦 Factory-Defaults: HTML-Templates + Import via UI**
  - Datenschutzerklärung, Impressum, Vollmacht-Vorlage und Website-Datenschutz
    werden jetzt mit ins Factory-Defaults-ZIP gepackt (`app-settings/`-Ordner,
    Whitelist-geschützt – andere AppSetting-Keys werden ignoriert).
  - Import läuft jetzt auch über die UI (Einstellungen → Factory-Defaults →
    „ZIP hochladen"). Der CLI-Weg `npm run seed:defaults` bleibt erhalten und
    wurde gleichermaßen um die HTML-Templates erweitert.
  - Zwei-Wege-Roundtrip live verifiziert: Export → AppSetting löschen →
    Import → Wert wieder vollständig hergestellt; Counts in Audit-Log.
 - [x] **🐛 Benutzer-Verwaltung: DSGVO- + Entwickler-Zugriff zuweisbar**
  - Mass-Assignment-Whitelist (`pickUserUpdate`) hat `hasGdprAccess` /
    `hasDeveloperAccess` rausgefiltert → Service erhielt sie nie → Rollen
    DSGVO/Developer waren in der UI nicht zuweisbar (Checkbox ohne Wirkung).
  - Beide Felder zur Whitelist hinzugefügt + Audit-Log liest die Pre-Werte
    jetzt aus den geladenen Rollen (kein False-Positive-Change mehr).
 - [x] **🔒 HTTPS-only-Header per Flag (`HTTPS_ENABLED`)**
  - HSTS + `upgrade-insecure-requests` (CSP) sperrten den Browser bei
    direktem `http://ip:port`-Zugriff aus (`ERR_SSL_PROTOCOL_ERROR`).
  - Beide Header default OFF, kommen nur mit `HTTPS_ENABLED=true` (sobald
    TLS-Reverse-Proxy davor steht).
 - [x] **🗃️ Prisma-Migrations-System (statt `db push`)**
  - Initial-Migration `0_init` aus aktuellem Schema generiert
    (`prisma migrate diff --from-empty --to-schema-datamodel`).
  - 24 alte gedriftete Migrations gelöscht – frischer Start.
  - `migration_lock.toml` für MySQL hinzugefügt.
  - Container-Entrypoint umgebaut:
    - Auto-Baseline-Detection: bestehende DB ohne `_prisma_migrations` →
      `migrate resolve --applied 0_init` läuft automatisch.
    - Statt `db push --accept-data-loss` jetzt `migrate deploy` (idempotent,
      datenerhaltend, keine stillen DROPs mehr).
  - Neuer npm-Script `schema:sync` (lokal/Dev): legt automatisch eine
    versionierte Migration mit Zeitstempel-Namen an
    (`prisma migrate dev --name auto_$(date +%Y%m%d_%H%M%S)`).
  - Workflow ab jetzt: schema.prisma ändern → `npm run schema:sync` →
    Migration committen → Push → Container-Restart wendet sie automatisch an.
 - [x] **🔄 Automatische Vertrags-Status-Übergänge**
  - Nightly-Cron (02:00 + Catch-up 60s nach Start): alle Verträge mit
    `status=ACTIVE` und `endDate < heute` → `EXPIRED` (mit Audit-Log).
  - Beim Upload der Kündigungsbestätigung (`cancellationConfirmationPath`):
    wenn Vertrag aktuell `ACTIVE` → auf `CANCELLED` setzen (Audit-Log).
    Frontend fragt per Modal das Bestätigungs-Datum ab (Default: heute),
    wird direkt als `cancellationConfirmationDate` gespeichert.
    Der "Optionen"-Upload löst den Status-Wechsel bewusst NICHT aus, da er
    für Vertragsänderungen (nicht echte Kündigungen) gedacht ist, setzt
    aber `cancellationConfirmationOptionsDate` analog.
  - Beim Upload einer `Lieferbestätigung` (ContractDocument via direkt-Upload
    oder Email-Anhang-Import): wenn Vertrag aktuell `DRAFT` → auf `ACTIVE`
    setzen + `startDate` auf das erfasste Lieferdatum (falls leer).
    Frontend zeigt Datums-Input conditional, wenn Typ "Lieferbestätigung"
    ausgewählt ist.
  - Keine neuen Status eingeführt: `cancellationSentDate` vs.
    `cancellationConfirmationDate` genügen, um "gesendet vs. bestätigt"
    abzubilden. `ACTIVE` bleibt bis zur Bestätigung.
 - [x] **🛡️ Security-Hardening vor Production-Deployment (10 Runden)**
  - Vollständige Story inkl. aller Live-Test-Tabellen + Trade-offs:
    **[SECURITY-HARDENING.md](./SECURITY-HARDENING.md)**
  - Erste 2 Runden zusätzlich ausführlich in
    [SECURITY-REVIEW.md](./SECURITY-REVIEW.md)
  - Highlights:
    - Runde 1–3: CORS, Helmet, JWT-Fallback, IDOR-Welle 1, XSS, Mass
      Assignment, Zip-Slip, Path-Traversal, JWT-Algorithm, Rate-Limiter
    - Runde 4: 9 Live-IDORs (customer.\*/gdpr.\*) + Error-Handler
    - Runde 5: `/api/uploads`-Auth (DSGVO-GAU), Login-Timing,
      Privacy-Policy-XSS
    - Runde 6: Customer-List-Leak, XFF-Rate-Limit-Bypass,
      Self-Grant + Existence-Disclosure
    - Runde 7: SSRF-Schutz (Cloud-Metadata-Block), Logout-Endpoint
    - Runde 8: DNS-Rebinding-Schutz, Per-File-Ownership-Check
    - Runde 9: `npm audit fix` (8 Vulns weg), Audit-Chain-Rehash, keine
      neuen Critical-Findings → diminishing returns erreicht
    - Runde 10: Security-Monitoring (SecurityEvent-Tabelle + Hooks an
      Login/IDOR/SSRF/Reset/Logout/JWT-Reject + Threshold-Detection +
      Sofort-Alert für CRITICAL + Hourly-Digest + UI in Einstellungen)
  - Deployment-Checkliste komplett (in HARDENING.md)
 - [x] **🎉 Version 1.0.0 Feinschliff: Passwort-Reset + Rate-Limiting + Auto-Geburtstagsgrüße**
  - **Passwort vergessen-Flow** (Login → "Passwort vergessen?" Link)
    - Email-Reset-Token mit 2h Gültigkeit (kryptografisch sicher: 32 Byte Random)
    - Funktioniert für Mitarbeiter UND Portal-Kunden (Typ-Auswahl)
    - User-Enumeration-Schutz: immer 200 OK, egal ob Email existiert
    - Reset-Link per Email mit schönem HTML-Template
    - Nach Reset: alle bestehenden Sessions werden gekickt
  - **Rate-Limiting** gegen Brute-Force
    - Login: 10 Versuche pro 15 Min pro IP (erfolgreiche zählen nicht)
    - Passwort-Reset-Anfrage: 5 Versuche pro Stunde pro IP
  - **Cron-Job für automatische Geburtstagsgrüße**
    - Täglich 08:00 Uhr: alle Kunden mit heutigem Geburtstag + autoBirthdayGreeting=true
    - Email-Versand über System-E-Mail, Du/Sie-abhängiger Text
    - Catch-up 30s nach Server-Start (falls Server am Geburtstag kurz down war)
    - Marker lastBirthdayGreetingYear verhindert Doppel-Versand
 - [x] **Mandantenfähigkeit: Domain + Kunden-E-Mail-Label dynamisch pro Provider**
  - Neues Feld `customerEmailLabel` am EmailProviderConfig (z.B. "Stressfrei-Wechseln", "Meine-Firma")
  - Wenn leer, wird das Label automatisch aus der Domain abgeleitet ("stressfrei-wechseln.de" → "Stressfrei-Wechseln")
@@ -0,0 +1,64 @@
 #!/usr/bin/env bash
 # Factory-Defaults-Export – holt eine ZIP vom laufenden OpenCRM und legt sie
 # in ./factory-exports/ ab. Dieselbe ZIP, die du auch über die UI bekommst.
 #
 # Workflow:
 #   ./factory-export.sh                          # default: localhost:3010, admin@admin.com
 #   OPENCRM_URL=https://crm.example.de \
 #   OPENCRM_EMAIL=admin@example.de \
 #     ./factory-export.sh                        # gegen die Prod-Instanz
 #
 # Optional:
 #   OPENCRM_PASSWORD=… (sonst wird interaktiv abgefragt)
 #
 # Die ZIP ist gitignored – du kannst sie via scp transferieren und mit
 # ./factory-import.sh auf der anderen Seite einspielen.
 set -euo pipefail
 URL="${OPENCRM_URL:-http://localhost:3010}"
 EMAIL="${OPENCRM_EMAIL:-admin@admin.com}"
 PASSWORD="${OPENCRM_PASSWORD:-}"
 REPO_ROOT="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
 EXPORT_DIR="$REPO_ROOT/factory-exports"
 mkdir -p "$EXPORT_DIR"
 if [ -z "$PASSWORD" ]; then
  read -r -s -p "Passwort für $EMAIL @ $URL: " PASSWORD
  echo
 fi
 echo "→ Login als $EMAIL @ $URL"
 LOGIN_RESPONSE="$(curl -sS -X POST "$URL/api/auth/login" \
  -H 'Content-Type: application/json' \
  --data-raw "$(E="$EMAIL" P="$PASSWORD" python3 -c 'import json,os;print(json.dumps({"email":os.environ["E"],"password":os.environ["P"]}))')")"
 TOKEN="$(printf '%s' "$LOGIN_RESPONSE" | python3 -c 'import json,sys;d=json.load(sys.stdin);print((d.get("data") or {}).get("token","") or d.get("token",""))')"
 if [ -z "$TOKEN" ]; then
  echo "✗ Login fehlgeschlagen. Antwort:"
  echo "$LOGIN_RESPONSE" | head -c 500
  echo
  exit 1
 fi
 TIMESTAMP="$(date +%Y-%m-%d-%H%M)"
 DEST="$EXPORT_DIR/factory-defaults-$TIMESTAMP.zip"
 echo "→ Lade ZIP nach $DEST"
 HTTP_CODE="$(curl -sS -o "$DEST" -w '%{http_code}' \
  -H "Authorization: Bearer $TOKEN" \
  "$URL/api/factory-defaults/export")"
 if [ "$HTTP_CODE" != "200" ]; then
  echo "✗ Export-Endpoint antwortete mit HTTP $HTTP_CODE"
  rm -f "$DEST"
  exit 1
 fi
 SIZE_KB="$(du -k "$DEST" | cut -f1)"
 echo "✓ Export erfolgreich: $DEST (${SIZE_KB} KB)"
 echo
 echo "Inhalt:"
 unzip -l "$DEST" | sed 's/^/    /'
@@ -0,0 +1,140 @@
 #!/usr/bin/env bash
 # Factory-Defaults-Import – pflegt eine ZIP in eine OpenCRM-Instanz ein.
 # Idempotent (upserts pro Kategorie, nichts wird gelöscht).
 #
 # Aufruf:
 #   ./factory-import.sh                                  # jüngste ZIP aus factory-exports/
 #   ./factory-import.sh ./factory-exports/foo.zip        # explizite ZIP
 #   ./factory-import.sh --save-as-builtin                # nach Import auch ins
 #   ./factory-import.sh --save-as-builtin ./foo.zip      # backend/factory-defaults/
 #                                                        # entpacken → nächster
 #                                                        # Image-Build hat sie
 #                                                        # als Werkseinstellung
 #
 # ENV (wie factory-export.sh):
 #   OPENCRM_URL       (default http://localhost:3010)
 #   OPENCRM_EMAIL     (default admin@admin.com)
 #   OPENCRM_PASSWORD  (sonst interaktiv)
 set -euo pipefail
 URL="${OPENCRM_URL:-http://localhost:3010}"
 EMAIL="${OPENCRM_EMAIL:-admin@admin.com}"
 PASSWORD="${OPENCRM_PASSWORD:-}"
 REPO_ROOT="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
 EXPORT_DIR="$REPO_ROOT/factory-exports"
 BUILTIN_DIR="$REPO_ROOT/backend/factory-defaults"
 # Argumente parsen: erlaubt sind --save-as-builtin und 0/1 ZIP-Pfade in
 # beliebiger Reihenfolge.
 SAVE_AS_BUILTIN=false
 ZIP_PATH=""
 for arg in "$@"; do
  case "$arg" in
    --save-as-builtin) SAVE_AS_BUILTIN=true ;;
    -h|--help)
      sed -n '2,16p' "$0" | sed 's/^# \?//'
      exit 0
      ;;
    --*) echo "✗ Unbekanntes Flag: $arg"; exit 2 ;;
    *)
      if [ -n "$ZIP_PATH" ]; then
        echo "✗ Mehrere ZIP-Pfade angegeben (nur einer erlaubt)"; exit 2
      fi
      ZIP_PATH="$arg"
      ;;
  esac
 done
 if [ -z "$ZIP_PATH" ]; then
  # Jüngste ZIP automatisch wählen
  ZIP_PATH="$(ls -1t "$EXPORT_DIR"/*.zip 2>/dev/null | head -1 || true)"
  if [ -z "$ZIP_PATH" ]; then
    echo "✗ Keine ZIP angegeben und keine in $EXPORT_DIR/ gefunden."
    echo "  Aufruf:  ./factory-import.sh <pfad/zur/factory-defaults.zip>"
    exit 1
  fi
  echo "→ Keine ZIP angegeben – nehme jüngste aus $EXPORT_DIR/:"
  echo "  $(basename "$ZIP_PATH")"
 fi
 if [ ! -f "$ZIP_PATH" ]; then
  echo "✗ Datei nicht gefunden: $ZIP_PATH"
  exit 1
 fi
 if [ -z "$PASSWORD" ]; then
  read -r -s -p "Passwort für $EMAIL @ $URL: " PASSWORD
  echo
 fi
 echo "→ Login als $EMAIL @ $URL"
 LOGIN_RESPONSE="$(curl -sS -X POST "$URL/api/auth/login" \
  -H 'Content-Type: application/json' \
  --data-raw "$(E="$EMAIL" P="$PASSWORD" python3 -c 'import json,os;print(json.dumps({"email":os.environ["E"],"password":os.environ["P"]}))')")"
 TOKEN="$(printf '%s' "$LOGIN_RESPONSE" | python3 -c 'import json,sys;d=json.load(sys.stdin);print((d.get("data") or {}).get("token","") or d.get("token",""))')"
 if [ -z "$TOKEN" ]; then
  echo "✗ Login fehlgeschlagen. Antwort:"
  echo "$LOGIN_RESPONSE" | head -c 500
  echo
  exit 1
 fi
 echo "→ Upload + Import: $(basename "$ZIP_PATH")"
 RESPONSE="$(curl -sS -X POST "$URL/api/factory-defaults/import" \
  -H "Authorization: Bearer $TOKEN" \
  -F "zip=@$ZIP_PATH")"
 # Hübsch ausgeben + auf success prüfen
 if ! printf '%s' "$RESPONSE" | python3 -c '
 import json, sys
 r = json.load(sys.stdin)
 if not r.get("success"):
    print("✗ Import fehlgeschlagen:", r.get("error", "(unbekannt)"))
    sys.exit(1)
 d = r.get("data", {})
 print("✓ Import erfolgreich:")
 for label, key in [
    ("Anbieter",          "providers"),
    ("Tarife",            "tariffs"),
    ("Kündigungsfristen", "cancellationPeriods"),
    ("Laufzeiten",        "contractDurations"),
    ("Vertragskategorien","contractCategories"),
    ("PDF-Vorlagen",      "pdfTemplates"),
    ("HTML-Templates",    "appSettings"),
 ]:
    print(f"    {label}: {d.get(key, 0)}")
 skipped = d.get("pdfTemplatesSkipped", 0)
 if skipped:
    print(f"    (PDF-Vorlagen übersprungen: {skipped})")
 warnings = d.get("warnings", []) or []
 if warnings:
    print("Hinweise:")
    for w in warnings:
        print(f"    - {w}")
 '; then
  exit 1
 fi
 # --save-as-builtin: ZIP zusätzlich in backend/factory-defaults/ entpacken,
 # damit der nächste Image-Build sie als Werkseinstellung mitnimmt.
 # Vorher räumen wir auf (außer README.md + .gitkeep), damit nichts Veraltetes
 # liegen bleibt.
 if [ "$SAVE_AS_BUILTIN" = "true" ]; then
  echo
  echo "→ --save-as-builtin: aktualisiere $BUILTIN_DIR/"
  if [ ! -d "$BUILTIN_DIR" ]; then
    mkdir -p "$BUILTIN_DIR"
  fi
  # Aufräumen: alles außer README.md und .gitkeep löschen
  find "$BUILTIN_DIR" -mindepth 1 \
    \! -name 'README.md' \! -name '.gitkeep' \
    -delete
  # ZIP entpacken (manifest.json kommt mit, ist aber harmlos)
  unzip -q -o "$ZIP_PATH" -d "$BUILTIN_DIR"
  echo "✓ Werkseinstellungen aktualisiert. Beim nächsten 'docker-compose up"
  echo "  --build' landen sie im Image und seeden frische DBs automatisch."
 fi
@@ -5,10 +5,11 @@ node_modules/
 dist/
 dist-ssr/
-# Environment
+# Environment – echte Secrets blocken, .env.example weiter mittracken
 .env
 .env.local
 .env.*.local
 !.env.example
 # Logs
 *.log
@@ -14,6 +14,7 @@
        "@tiptap/react": "^3.19.0",
        "@tiptap/starter-kit": "^3.19.0",
        "axios": "^1.7.7",
        "dompurify": "^3.4.1",
        "lucide-react": "^0.454.0",
        "react": "^18.3.1",
        "react-dom": "^18.3.1",
@@ -22,6 +23,7 @@
        "react-router-dom": "^6.28.0"
      },
      "devDependencies": {
        "@types/dompurify": "^3.0.5",
        "@types/react": "^18.3.12",
        "@types/react-dom": "^18.3.1",
        "@vitejs/plugin-react": "^4.3.3",
@@ -1595,6 +1597,16 @@
        "@babel/types": "^7.28.2"
      }
    },
    "node_modules/@types/dompurify": {
      "version": "3.0.5",
      "resolved": "https://registry.npmjs.org/@types/dompurify/-/dompurify-3.0.5.tgz",
      "integrity": "sha512-1Wg0g3BtQF7sSb27fJQAKck1HECM6zV1EB66j8JH9i3LCjYabJa0FSdiSgsD5K/RbrsR0SiraKacLB+T8ZVYAg==",
      "dev": true,
      "license": "MIT",
      "dependencies": {
        "@types/trusted-types": "*"
      }
    },
    "node_modules/@types/estree": {
      "version": "1.0.8",
      "resolved": "https://registry.npmjs.org/@types/estree/-/estree-1.0.8.tgz",
@@ -1642,6 +1654,13 @@
        "@types/react": "^18.0.0"
      }
    },
    "node_modules/@types/trusted-types": {
      "version": "2.0.7",
      "resolved": "https://registry.npmjs.org/@types/trusted-types/-/trusted-types-2.0.7.tgz",
      "integrity": "sha512-ScaPdn1dQczgbl0QFTeTOmVHFULt394XJgOQNoyVhZ6r2vLnMLJfBPd53SB52T/3G36VI1/g2MZaX0cwDuXsfw==",
      "devOptional": true,
      "license": "MIT"
    },
    "node_modules/@types/use-sync-external-store": {
      "version": "0.0.6",
      "resolved": "https://registry.npmjs.org/@types/use-sync-external-store/-/use-sync-external-store-0.0.6.tgz",
@@ -1976,6 +1995,15 @@
      "integrity": "sha512-+HlytyjlPKnIG8XuRG8WvmBP8xs8P71y+SKKS6ZXWoEgLuePxtDoUEiH7WkdePWrQ5JBpE6aoVqfZfJUQkjXwA==",
      "dev": true
    },
    "node_modules/dompurify": {
      "version": "3.4.1",
      "resolved": "https://registry.npmjs.org/dompurify/-/dompurify-3.4.1.tgz",
      "integrity": "sha512-JahakDAIg1gyOm7dlgWSDjV4n7Ip2PKR55NIT6jrMfIgLFgWo81vdr1/QGqWtFNRqXP9UV71oVePtjqS2ebnPw==",
      "license": "(MPL-2.0 OR Apache-2.0)",
      "optionalDependencies": {
        "@types/trusted-types": "^2.0.7"
      }
    },
    "node_modules/dunder-proto": {
      "version": "1.0.1",
      "resolved": "https://registry.npmjs.org/dunder-proto/-/dunder-proto-1.0.1.tgz",
@@ -1,6 +1,6 @@
 {
  "name": "opencrm-frontend",
-  "version": "1.0.0",
+  "version": "1.1.0",
  "type": "module",
  "scripts": {
    "dev": "vite",
@@ -14,6 +14,7 @@
    "@tiptap/react": "^3.19.0",
    "@tiptap/starter-kit": "^3.19.0",
    "axios": "^1.7.7",
    "dompurify": "^3.4.1",
    "lucide-react": "^0.454.0",
    "react": "^18.3.1",
    "react-dom": "^18.3.1",
@@ -22,6 +23,7 @@
    "react-router-dom": "^6.28.0"
  },
  "devDependencies": {
    "@types/dompurify": "^3.0.5",
    "@types/react": "^18.3.12",
    "@types/react-dom": "^18.3.1",
    "@vitejs/plugin-react": "^4.3.3",
@@ -6,6 +6,8 @@ import { Shield } from 'lucide-react';
 import ScrollToTop from './components/ScrollToTop';
 import Layout from './components/layout/Layout';
 import Login from './pages/Login';
 import PasswordResetRequest from './pages/PasswordResetRequest';
 import PasswordResetConfirm from './pages/PasswordResetConfirm';
 import Dashboard from './pages/Dashboard';
 import CustomerList from './pages/customers/CustomerList';
 import CustomerDetail from './pages/customers/CustomerDetail';
@@ -28,6 +30,7 @@ import DatabaseBackup from './pages/settings/DatabaseBackup';
 import FactoryDefaults from './pages/settings/FactoryDefaults';
 import AuditLogs from './pages/settings/AuditLogs';
 import EmailLogPage from './pages/settings/EmailLogs';
 import Monitoring from './pages/settings/Monitoring';
 import GDPRDashboard from './pages/settings/GDPRDashboard';
 import UserList from './pages/users/UserList';
 import Settings from './pages/Settings';
@@ -146,6 +149,10 @@ function App() {
        element={isAuthenticated ? <Navigate to="/" replace /> : <Login />}
      />
      {/* Passwort-Reset (öffentlich, kein Auth-Check) */}
      <Route path="/password-reset/request" element={<PasswordResetRequest />} />
      <Route path="/password-reset" element={<PasswordResetConfirm />} />
      <Route
        path="/"
        element={
@@ -196,6 +203,7 @@ function App() {
        <Route path="settings/factory-defaults" element={<FactoryDefaults />} />
        <Route path="settings/audit-logs" element={<AuditLogs />} />
        <Route path="settings/email-logs" element={<EmailLogPage />} />
        <Route path="settings/monitoring" element={<Monitoring />} />
        <Route path="settings/gdpr" element={<GDPRDashboard />} />
        <Route path="settings/privacy-policy" element={<PrivacyPolicyEditor />} />
        <Route path="settings/authorization-template" element={<AuthorizationTemplateEditor />} />
@@ -9,6 +9,7 @@ import Select from '../ui/Select';
 import Badge from '../ui/Badge';
 import { invoiceApi } from '../../services/api';
 import type { Invoice, InvoiceType } from '../../types';
 import { fileUrl } from '../../utils/fileUrl';
 const invoiceTypeLabels: Record<InvoiceType, string> = {
  INTERIM: 'Zwischenrechnung',
@@ -120,7 +121,7 @@ export default function InvoicesSection({
                {invoice.documentPath && (
                  <div className="flex items-center gap-2">
                    <a
-                      href={`/api${invoice.documentPath}`}
+                      href={fileUrl(invoice.documentPath)}
                      target="_blank"
                      rel="noopener noreferrer"
                      className="flex items-center gap-1 text-blue-600 hover:text-blue-800 text-sm"
@@ -129,7 +130,7 @@ export default function InvoicesSection({
                      <Eye className="w-4 h-4" />
                    </a>
                    <a
-                      href={`/api${invoice.documentPath}`}
+                      href={fileUrl(invoice.documentPath)}
                      download
                      className="flex items-center gap-1 text-blue-600 hover:text-blue-800 text-sm"
                      title="Download"
@@ -1,5 +1,6 @@
 import { useState, useEffect } from 'react';
 import { Reply, Star, Paperclip, Link2, X, Download, ExternalLink, Trash2, Undo2, Save, FileDown } from 'lucide-react';
 import DOMPurify from 'dompurify';
 import { CachedEmail, cachedEmailApi } from '../../services/api';
 import { useMutation, useQueryClient } from '@tanstack/react-query';
 import Button from '../ui/Button';
@@ -384,7 +385,16 @@ export default function EmailDetail({
        {showHtml && email.htmlBody ? (
          <div
            className="prose prose-sm max-w-none"
-            dangerouslySetInnerHTML={{ __html: email.htmlBody }}
+            dangerouslySetInnerHTML={{
              __html: DOMPurify.sanitize(email.htmlBody, {
                // Scripte, Inline-Handler, Form-Elemente, externe Referenzen verbieten.
                // Bilder + Links mit target=_blank bleiben zugelassen.
                FORBID_TAGS: ['script', 'style', 'iframe', 'object', 'embed', 'form'],
                FORBID_ATTR: ['onerror', 'onload', 'onclick', 'onmouseover', 'onfocus'],
                // Links in neuen Tabs öffnen (verhindert window.opener-Angriffe)
                ADD_ATTR: ['target'],
              }),
            }}
          />
        ) : (
          <pre className="whitespace-pre-wrap text-sm text-gray-700 font-sans">
@@ -56,6 +56,7 @@ export default function SaveAttachmentModal({
  const [contractDocumentData, setContractDocumentData] = useState({
    documentType: CONTRACT_DOCUMENT_TYPES[0],
    notes: '',
    deliveryDate: new Date().toISOString().split('T')[0],
  });
  const queryClient = useQueryClient();
@@ -130,9 +131,11 @@ export default function SaveAttachmentModal({
  const saveContractDocumentMutation = useMutation({
    mutationFn: () => {
      const isDelivery = contractDocumentData.documentType.trim().toLowerCase() === 'lieferbestätigung';
      return cachedEmailApi.saveAttachmentAsContractDocument(emailId, attachmentFilename, {
        documentType: contractDocumentData.documentType,
        notes: contractDocumentData.notes || undefined,
        deliveryDate: isDelivery ? contractDocumentData.deliveryDate : undefined,
      });
    },
    onSuccess: () => {
@@ -164,6 +167,7 @@ export default function SaveAttachmentModal({
    setContractDocumentData({
      documentType: CONTRACT_DOCUMENT_TYPES[0],
      notes: '',
      deliveryDate: new Date().toISOString().split('T')[0],
    });
    onClose();
  };
@@ -459,6 +463,23 @@ export default function SaveAttachmentModal({
                  }
                  placeholder="Optionale Anmerkungen..."
                />
                {contractDocumentData.documentType.trim().toLowerCase() === 'lieferbestätigung' && (
                  <div className="p-3 bg-blue-50 border border-blue-200 rounded-lg">
                    <label className="block text-sm font-medium text-gray-700 mb-1">Lieferdatum</label>
                    <input
                      type="date"
                      value={contractDocumentData.deliveryDate}
                      onChange={(e) =>
                        setContractDocumentData({ ...contractDocumentData, deliveryDate: e.target.value })
                      }
                      className="block w-full max-w-[220px] px-3 py-2 border border-gray-300 rounded-lg text-sm"
                    />
                    <p className="text-xs text-gray-600 mt-1">
                      Falls der Vertrag noch auf Entwurf steht, wird er auf Aktiv gesetzt und dieses Datum als Vertragsbeginn übernommen.
                    </p>
                  </div>
                )}
              </div>
            )}
          </>
--- a/Show More
+++ b/Show More
		`@@ -1,2 +0,0 @@`
			`-- AlterTable`
			ALTER TABLE `User` ADD COLUMN `tokenInvalidatedAt` DATETIME(3) NULL;
		`@@ -1,2 +0,0 @@`
			`-- AlterTable`
			ALTER TABLE `EnergyContractDetails` ADD COLUMN `annualConsumptionKwh` DOUBLE NULL;
		`@@ -1,2 +0,0 @@`
			`-- AlterTable`
			ALTER TABLE `Contract` ADD COLUMN `nextReviewDate` DATETIME(3) NULL;
		`@@ -1,2 +0,0 @@`
			`-- AlterTable`
			ALTER TABLE `Contract` ADD COLUMN `contractNumberAtProvider` VARCHAR(191) NULL;