Einmalpasswort-Flow für Portal-Credentials

Wenn Admin "Zugangsdaten versenden" klickt, ist das Passwort jetzt ein echtes Einmalpasswort: beim ersten erfolgreichen Portal-Login werden Hash + Encrypted-Feld sofort genullt und der Kunde wird zwangsweise auf eine "Neues Passwort vergeben"-Seite geleitet. Erst nach eigenem Passwort kommt er ins Portal. Schema: - Customer.portalPasswordMustChange: Boolean @default(false) Backend: - sendPortalCredentials setzt Flag = true + erweitertes Mail-Template mit Einmalpasswort-Warnung - customerLogin: bei Flag=true wird OTP konsumiert (Hash+Encrypted=null, portalLastLogin aktualisiert), Response enthält mustChangePassword=true in token-payload + user-objekt - setCustomerPortalPassword (manuelles Setzen) räumt Flag wieder auf - changeInitialPortalPassword: neue Service-Funktion + Endpoint POST /api/auth/change-initial-portal-password (authenticated, nur Portal-User), validiert Komplexität, setzt neuen Hash, löscht Encrypted, invalidiert Session via portalTokenInvalidatedAt Frontend: - User-Type erweitert um mustChangePassword - AuthContext.customerLogin gibt User zurück (für sofortige Routing- Entscheidung) - Login.tsx: redirect zu /change-initial-password wenn mustChangePassword - ProtectedRoute: zwingt eingeloggte User mit Flag immer zur Change-Seite - ChangeInitialPasswordGate: blockt User OHNE Flag vom Zugriff - ChangeInitialPassword: eigene Seite mit Live-Komplexitäts-Hint, Passwort-Wiederholung, automatischer Logout + Redirect nach Erfolg Live-verifiziert (10 Schritte): - Setzen → Send → DB-Flag=true → OTP-Login gibt mustChange=true und consumed Hash → Re-Login mit OTP fehlschlägt → Change schwach=400, komplex=200 → neues Passwort funktioniert → Session invalidated. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
todo.md: Passwort-Komplexität + Real-IP-Fix dokumentiert
2026-05-16 18:48:13 +02:00 · 2026-05-16 18:26:52 +02:00 · 2026-05-16 18:26:11 +02:00 · 2026-05-16 18:24:21 +02:00 · 2026-05-16 18:06:01 +02:00 · 2026-05-16 17:47:54 +02:00
95 changed files with 5553 additions and 1246 deletions
@@ -46,6 +46,15 @@ backups
 backend/uploads
 backend/backups
 # Daten-Verzeichnis (Bind-Mounts zur Laufzeit, nicht im Build-Context)
 data/
 # Plesk-Test (nicht für Container)
 plesktest/
 # Backup-Klone des Repos
 opencrm-backup-*/
 # Prisma migrations (included, but not dev db)
 *.db
 *.db-journal
@@ -0,0 +1,84 @@
 # OpenCRM – zentrale Konfiguration
 # ==================================
 # Kopiere diese Datei zu .env und passe die Werte an.
 # Diese .env wird sowohl vom Backend (npm run dev) als auch von Docker
 # Compose verwendet.
 # ============== PORTS (extern erreichbar auf dem Host) ==============
 OPENCRM_PORT=3010      # Backend + Frontend (alles unter einer URL)
 ADMINER_PORT=8090      # Adminer (Datenbank-UI). 8081 ist häufig schon belegt.
 DB_PORT=3306           # MariaDB extern (für lokale Tools/Dev). 0 = nicht freigeben.
 # ============== DATEN-PFADE (Bind-Mounts) ==============
 # Relativ zum Projektverzeichnis. Werden zur Laufzeit angelegt.
 DATA_DIR=./data
 DB_DATA_DIR=./data/db
 UPLOADS_DIR=./data/uploads
 FACTORY_DEFAULTS_DIR=./data/factory-defaults
 BACKUPS_DIR=./data/backups
 # ============== DATENBANK ==============
 # Der App-User (DB_USER) wird beim ersten Start automatisch von MariaDB
 # angelegt (über MARIADB_USER/MARIADB_PASSWORD im docker-compose) – mit
 # GRANT ALL PRIVILEGES auf ${DB_NAME}.*. Damit nutzt das Backend NICHT root.
 # DB_ROOT_PASSWORD ist nur für Adminer / Notfall-Wartung.
 DB_HOST=localhost            # Im Container überschreibt docker-compose das auf "db"
 DB_NAME=opencrm
 DB_USER=opencrm
 DB_PASSWORD=change-this-password
 DB_ROOT_PASSWORD=change-this-root-password
 # Connection-String wird aus den DB_*-Komponenten zusammengebaut (dotenv-expand).
 # Manuell überschreiben nur wenn Sonderfälle (z.B. extra Query-Parameter).
 # Hinweis: für lokales Dev mit MariaDB im Container nutze DB_HOST=localhost,
 # weil docker-compose den DB-Port auf 127.0.0.1:DB_PORT mappt.
 DATABASE_URL=mysql://${DB_USER}:${DB_PASSWORD}@${DB_HOST}:${DB_PORT}/${DB_NAME}
 # ============== SECURITY ==============
 # JWT-Secret: min. 32 Zeichen. Generieren: openssl rand -hex 64
 # Wird sowohl für Access- als auch Refresh-Token verwendet.
 JWT_SECRET=change-this-to-a-very-long-random-secret-please-rotate-before-production
 # Access-/Refresh-Token-Lifetimes
 # - Access-Token: kurzlebig, lebt nur im Browser-Memory (XSS-Schutz)
 # - Refresh-Token: lang, im httpOnly-Cookie (JS-unzugänglich)
 # Wenn der Access abläuft, holt das Frontend transparent einen neuen über
 # /api/auth/refresh – User merkt nichts. Logout invalidiert beide sofort.
 JWT_EXPIRES_IN=15m
 JWT_REFRESH_EXPIRES_IN=7d
 # Encryption-Key für Portal-Credentials: GENAU 64 Hex-Zeichen.
 # Generieren: openssl rand -hex 32
 ENCRYPTION_KEY=change-this-to-64-hex-characters-please-rotate-before-production-xx
 # Server
 NODE_ENV=development
 PORT=3001                  # Backend-internal Port (Dev: localhost:3001)
 LISTEN_ADDR=0.0.0.0        # In Docker = 0.0.0.0, in Bare-Metal-Production = 127.0.0.1
 # CORS – nur in Production setzen, wenn Frontend auf separater Domain läuft.
 # Beispiel: CORS_ORIGINS=https://crm.deine-domain.de
 # CORS_ORIGINS=
 # HTTPS-only-Header (HSTS + upgrade-insecure-requests) – NUR aktivieren, wenn
 # wirklich ein TLS-Proxy (Caddy/Traefik/Nginx) vor OpenCRM steht. Sonst sperrt
 # sich der Browser bei direktem http://ip:port-Zugriff selbst aus
 # (ERR_SSL_PROTOCOL_ERROR auf den Assets).
 HTTPS_ENABLED=false
 # ============== ADMINER (DB-UI) ==============
 # Theme-Auswahl. Verfügbare Designs im offiziellen adminer:latest Image:
 #   adminer-dark, brade, bueltge, dracula, esterka, flat, galkaev,
 #   haeckel, hever, konya, lavender-light, lucas-sandery, mancave,
 #   mvt, nette, ng9, nicu, pappu687, paranoiq, pepa-linha, pokorny,
 #   price, rmsoft, rmsoft_blue, rmsoft_blue-dark, win98
 # Empfehlung: dracula (dark) oder adminer-dark – beide modern.
 ADMINER_DESIGN=dracula
 # ============== SEED ==============
 # Bei leerer DB seedet der Container automatisch (legt admin@admin.com / admin
 # + Stammdaten an) – nichts zu konfigurieren.
 # Nur wenn man eine NICHT-leere DB nochmal forciert seeden will (z.B. nach
 # Reset / Stammdaten-Update), kurz auf 'true' setzen, neu starten, dann
 # wieder zurück.
 RUN_SEED=false
@@ -0,0 +1,41 @@
 # Root-Gitignore: gemeinsame Patterns für Repo-Root + nested Verzeichnisse
 # (backend/, frontend/, docker/ haben zusätzlich eigene .gitignore-Files)
 # Environment – echte Secrets blocken, .env.example weiter mittracken
 .env
 .env.local
 .env.*.local
 !.env.example
 # OS
 .DS_Store
 Thumbs.db
 # IDE
 .idea/
 .vscode/
 *.swp
 *.swo
 # Logs
 *.log
 npm-debug.log*
 # Temp
 tmp/
 *.tmp
 *.bak
 # Docker-Bind-Mounts: Inhalt nicht tracken, Verzeichnisstruktur via .gitkeep behalten
 data/db/*
 !data/db/.gitkeep
 data/uploads/*
 !data/uploads/.gitkeep
 data/factory-defaults/*
 !data/factory-defaults/.gitkeep
 data/backups/*
 !data/backups/.gitkeep
 # Factory-Defaults-Drop-Box (Export-ZIPs zwischen dev/prod hin und her)
 factory-exports/*
 !factory-exports/.gitkeep
@@ -41,38 +41,70 @@ Web-basiertes CRM-System für Kundenverwaltung mit Verträgen (Energie, Telekomm
 - **Backend**: Node.js, Express 4.x, TypeScript
 - **Datenbank**: MariaDB
 - **ORM**: Prisma
- **Auth**: JWT mit Rollen-basierter Zugriffskontrolle
+- **Auth**: JWT-Access-Token (Memory, 15 min) + Refresh-Token im httpOnly-Cookie
  (7 Tage). Rollen-basierte Zugriffskontrolle. XSS klaut maximal einen
  15-min-Access-Token, der Refresh-Cookie ist JS-unzugänglich.
 > **Hinweis zu Express 5:** Das Projekt verwendet bewusst Express 4.x (nicht 5.x). Express 5 ist seit Jahren in der Beta-Phase und noch nicht offiziell stable. Bei der Installation darauf achten, dass `@types/express` zur Express-Version passt:
 > - Express 4.x → `@types/express@^4.17.x`
 > - Express 5.x → `@types/express@^5.x` (erst bei offiziellem Release empfohlen)
 ## Quick-Start mit Docker (empfohlen)
 Komplettes Setup mit MariaDB + OpenCRM + Adminer (DB-UI) in 3 Befehlen:
 ```bash
 git clone <repository-url>
 cd opencrm
 cp .env.example .env       # Werte anpassen, Secrets rotieren!
 docker compose up -d
 ```
 Browser:
 - **CRM**: http://localhost:3010 (Login: `admin@admin.com` / `admin`)
 - **Datenbank-UI** (Adminer): http://localhost:8081 (Server: `db`, User: `root`, DB: `opencrm`)
 Alle persistenten Daten liegen in `./data/`:
 | Pfad | Inhalt |
 |------|--------|
 | `./data/db/` | MariaDB-Datafiles |
 | `./data/uploads/` | User-Uploads (PDFs, Bilder) |
 | `./data/factory-defaults/` | Stammdaten-Kataloge |
 | `./data/backups/` | DB-Backups (`npm run db:backup`) |
 Ports + Pfade konfigurierst du in `./.env` (Default-Werte siehe `.env.example`).
 > **Erste Inbetriebnahme:** In der `.env` einmalig `RUN_SEED=true` setzen,
 > `docker compose up -d` ausführen, dann wieder auf `false`. Danach existiert
 > der initiale Admin-User `admin@admin.com` / `admin`.
 ## Voraussetzungen
- Node.js 18+ (empfohlen: 20+)
+- Docker & Docker Compose v2
- Docker & Docker Compose
+- Für Backend-Entwicklung außerhalb von Docker: Node.js 20+ und npm
 - npm
-## Installation
+## Installation für Entwicklung (ohne Container)
 ### 1. Repository klonen
 ```bash
 git clone <repository-url>
 cd opencrm
 cp .env.example .env       # Konfiguration anpassen
 ```
-### 2. MariaDB-Datenbank starten
+### 2. MariaDB-Container starten
 ```bash
-docker-compose up -d
+docker compose up -d db
 ```
-Dies startet einen MariaDB-Container mit:
+Das startet nur die Datenbank (mit Daten in `./data/db/`).
- **Port:** 3306
+Konfiguration kommt aus `./.env`:
- **Datenbank:** opencrm
+
- **Root-Passwort:** rootpassword
+- **Port:** wie in `DB_PORT` (Standard: 3306, intern auf 127.0.0.1)
- **Benutzer:** opencrm / opencrm123
+- **Datenbank/User/Passwort:** wie in `DB_*`-Variablen
 Warte ca. 10 Sekunden bis die Datenbank bereit ist.
@@ -94,9 +126,14 @@ Die `.env`-Datei sollte folgende Werte enthalten:
 # Database
 DATABASE_URL="mysql://root:rootpassword@localhost:3306/opencrm"
-# JWT
+# JWT – Access-/Refresh-Token-Pattern (SPA-Standard)
 #   Access-Token (Bearer-Header, nur im Browser-Memory, kurzlebig)
 #   Refresh-Token (httpOnly-Cookie, lang)
 # Beide werden mit JWT_SECRET signiert; Refresh wird nur am
 # /api/auth/refresh-Endpoint akzeptiert (type-Claim).
 JWT_SECRET="change-this-to-a-very-long-random-secret-in-production"
-JWT_EXPIRES_IN="7d"
+JWT_EXPIRES_IN="15m"          # Access-Token-Lifetime (Default: 15m)
 JWT_REFRESH_EXPIRES_IN="7d"   # Refresh-Token-Lifetime (Default: 7d)
 # Encryption (for portal credentials) - generate with: openssl rand -hex 32
 ENCRYPTION_KEY="0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef"
@@ -177,6 +214,13 @@ Plus:
 - **Reverse-Proxy** (Nginx/Plesk) so konfigurieren, dass `X-Forwarded-For` hart auf
  die echte Client-IP gesetzt wird (nicht nur angefügt) – sonst Rate-Limit-Bypass möglich.
 - **Frontend + API müssen über dieselbe Origin laufen.** Die Auth nutzt einen
  httpOnly-Refresh-Cookie mit `SameSite=Strict; Path=/api/auth` – wenn Frontend
  und API auf getrennten Origins liegen (z.B. `crm.example.de` vs.
  `api.example.de`), schickt der Browser das Cookie cross-site nicht mit
  und der `/auth/refresh`-Endpoint kann den User nicht mehr nachladen
  (= alle 15 min Re-Login). Beim NPM-Setup landen Frontend und API automatisch
  auf derselben Domain via Proxy-Path.
 - **Default-Admin-Passwort ändern** (admin@admin.com / admin).
 - **Manuelle Test-Checkliste** aus [docs/TESTING.md](docs/TESTING.md) einmal komplett
  durchklicken.
@@ -185,6 +229,138 @@ Plus:
 - Vollständige Hardening-Story + restliche Trade-offs:
  [docs/SECURITY-HARDENING.md](docs/SECURITY-HARDENING.md)
 ### ⚠️ Wichtig: gzip für `/api/*` am Reverse-Proxy deaktivieren (BREACH-Schutz)
 Wenn ein TLS-Reverse-Proxy (Nginx Proxy Manager, Caddy, eigener Nginx, …) HTTPS
 terminiert und Antworten gzip-komprimiert, ist die **BREACH-Attacke** (CVE-2013-3587)
 theoretisch möglich: aus der gzip-komprimierten Response-Größe könnten unter
 ungünstigen Umständen Secrets erraten werden. Auch wenn unsere JWT-basierte SPA
 das Risiko praktisch klein hält (keine reflektierten Secrets im Response-Body),
 geht ein Penetration-Test mit testssl trotzdem auf „medium – Ausnutzbar: Ja".
 **Lösung:** gzip-Komprimierung nur für statische Frontend-Assets erlauben, für
 `/api/*` deaktivieren. Statische Bundles bleiben damit performant ausgeliefert,
 JSON-API-Responses werden ohne Kompression gesendet → BREACH ist dort kein
 Einfallstor mehr.
 **Nginx Proxy Manager (NPM):**
 1. Proxy-Hosts → den CRM-Host → **Edit**
 2. Tab **Custom Locations** → **„Add location"**
 3. **Define location:** `/api/`
 4. **Scheme:** `http`, **Forward Hostname/IP:** wie im Haupt-Host
   (z.B. `172.0.2.39`), **Forward Port:** `3010`
 5. Zahnrad rechts an der Location → erweiterte Config eintragen:
   ```nginx
   gzip off;
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   proxy_set_header X-Real-IP $remote_addr;
   # Information-Disclosure-Header weg (Pentest-Hygiene):
   more_clear_headers Server X-Served-By;
   ```
 6. **Save** (Location), **Save** (Proxy-Host)
 > Der `more_clear_headers`-Befehl kommt aus dem `headers-more`-Modul, das
 > bei NPM standardmäßig dabei ist. Damit verschwinden die Banner
 > `Server: openresty` und `x-served-by: …` aus den Responses – Pentest-
 > Tools können den eingesetzten Webserver nicht mehr direkt aus dem Header
 > ablesen. Wer das auch auf der Hauptlocation will, kann denselben Eintrag
 > zusätzlich im **Advanced**-Tab des Proxy-Hosts setzen.
 **Plain Nginx** (falls eigener Nginx statt NPM):
 ```nginx
 location /api/ {
    gzip off;
    proxy_pass http://backend:3010;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Real-IP $remote_addr;
    more_clear_headers Server X-Served-By;   # braucht headers-more-Modul
 }
 # Optional global im server { … }-Block:
 server_tokens off;
 ```
 **Verifikation:**
 ```bash
 # 1) gzip ist für /api/ deaktiviert (sollte leer sein)
 curl -sI -H 'Accept-Encoding: gzip' https://kundencenter.deine-domain.de/api/health \
  | grep -i content-encoding
 # 2) Server-/x-served-by-Banner sind weg (sollte leer sein)
 curl -sI https://kundencenter.deine-domain.de/api/health \
  | grep -iE '^(server|x-served-by):'
 ```
 #### Was mit gzip auf `/` (SPA-HTML) ist
 Pentest-Tools wie `testssl` melden BREACH **trotzdem weiter** für die
 Root-URL `/`, weil die SPA-`index.html` bewusst weiter gzip-komprimiert
 ausgeliefert wird (Performance: 50 KB → ~10 KB). Bei OpenCRM ist der
 Angriff dort nicht ausnutzbar:
 - Die `/`-Response ist die statische `index.html` aus dem Vite-Build
 - Sie reflektiert **keinen user-controlled Input**
 - Sie enthält **keine Secrets** (JWT-Access ist im `Authorization`-Header,
  Refresh-Token im httpOnly-Cookie – beides nicht im HTML-Body)
 Ohne Secret-im-Body und ohne Input-Reflektion hat BREACH keinen Hebel.
 ##### Wer den Audit-Marker trotzdem weg haben will
 Wichtig: nicht einfach eine Custom-Location für `/` mit `gzip off`
 anlegen – das wäre ein **prefix-Match** und würde **alle** Pfade
 außer `/api/*` betreffen, also auch `/assets/*.{js,css}`. Das JS-Bundle
 käme dann unkomprimiert (~500 KB statt ~150 KB) → spürbarer
 Performance-Verlust für nichts.
 Sauber ist eine **exact-Match-Location** (`location = /`) – die fängt
 nur die Root-URL ohne weitere Pfad-Komponente:
 **Variante A** – Custom Location im NPM-UI (falls `= /` im
 „Define location"-Feld akzeptiert wird):
 | Feld | Wert |
 |---|---|
 | Define location | `= /` |
 | Scheme | `http` |
 | Forward Hostname/IP | wie im Haupt-Host |
 | Forward Port | `3010` |
 Im Zahnrad-Edit der Location:
 ```nginx
 gzip off;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 proxy_set_header X-Real-IP $remote_addr;
 # Information-Disclosure-Header weg (Pentest-Hygiene):
 more_clear_headers Server X-Served-By;
 ```
 **Variante B** – wenn das NPM-UI das `=` nicht akzeptiert, dieselbe
 Logik im **Advanced**-Tab des Proxy-Hosts:
 ```nginx
 location = / {
    gzip off;
    proxy_pass $forward_scheme://$server:$port;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Real-IP $remote_addr;
    more_clear_headers Server X-Served-By;
 }
 ```
 Verifikation – `/` ohne gzip, `/assets/*` aber weiter mit:
 ```bash
 # Root: kein Content-Encoding mehr
 curl -sI -H 'Accept-Encoding: gzip' https://kundencenter.deine-domain.de/ \
  | grep -i content-encoding
 # /assets/<file>.js: weiterhin gzip (Performance bleibt erhalten)
 JS=$(curl -s https://kundencenter.deine-domain.de/ | grep -oE 'assets/index-[A-Za-z0-9_-]+\.js' | head -1)
 curl -sI -H 'Accept-Encoding: gzip' "https://kundencenter.deine-domain.de/$JS" \
  | grep -i content-encoding
 ```
 Kostet 40 KB extra pro Tab-Reload – aber dafür ist auch der letzte
 BREACH-Marker weg und Pentest-Reports landen auf 0×MEDIUM.
 ## Developer-Tools aktivieren
 Die Developer-Tools (Datenbankstruktur, ER-Diagramm) sind standardmäßig für Admins verfügbar. Falls der Menüpunkt nicht erscheint:
@@ -1036,8 +1212,9 @@ Folgende Felder werden in Audit-Logs gefiltert:
 ## Factory-Defaults: Stammdaten-Kataloge teilen
 Das **Factory-Defaults**-System erlaubt den Export und Import von
-Stammdaten-Katalogen (Anbieter, Tarife, PDF-Vorlagen usw.) zwischen verschiedenen
+Stammdaten-Katalogen (Anbieter, Tarife, PDF-Auftragsvorlagen, HTML-Standardtexte)
-OpenCRM-Installationen. Es ist bewusst **streng abgegrenzt** zu Datenbank-Backups:
+zwischen verschiedenen OpenCRM-Installationen. Es ist bewusst **streng abgegrenzt**
 zu Datenbank-Backups:
 ### Abgrenzung
@@ -1045,64 +1222,117 @@ OpenCRM-Installationen. Es ist bewusst **streng abgegrenzt** zu Datenbank-Backup
 |---|---|---|
 | Anbieter, Tarife, Kündigungsfristen, Laufzeiten, Kategorien | ✅ | ✅ |
 | PDF-Auftragsvorlagen (inkl. Dateien + Feldzuordnungen) | ✅ | ✅ |
 | HTML-Standardtexte: Datenschutzerklärung, Impressum, Vollmacht-Vorlage, Website-Datenschutz | ✅ | ✅ |
 | **Kundendaten, Verträge, Dokumente** | ❌ | ✅ |
 | **Emails, SMTP-/IMAP-Zugangsdaten** | ❌ | ✅ |
-| **System-Einstellungen, Datenschutzerklärungen, Impressum** | ❌ | ✅ |
+| **Secrets, JWT, Encryption-Keys, User-Accounts** | ❌ | ✅ |
 | Zwischen verschiedenen Installationen teilbar | ✅ | ❌ (zu firmen-spezifisch) |
-> **Kurz:** Factory-Defaults = reine Kataloge, Backup = alles.
+> **Kurz:** Factory-Defaults = generische Stammdaten + rechtliche Standardtexte,
 > Backup = die komplette Instanz.
-### Export (Installation A → ZIP)
+### Drei Wege, eine ZIP zu transportieren
 Es gibt drei Pfade, je nachdem wo die ZIP gerade liegen soll:
 | Wo | Pfad | Wann |
 |---|---|---|
 | **Laufende DB einer Instanz** | UI-Upload oder `./factory-import.sh` | Bestehende Live-Instanz updaten |
 | **Drop-Box im Repo** (`factory-exports/`) | `./factory-export.sh` legt ab, `./factory-import.sh` liest | Transfer zwischen dev und prod via `scp` |
 | **Werkseinstellung im Image** (`backend/factory-defaults/`) | `./factory-import.sh --save-as-builtin` oder manuell entpacken | Neue VMs sollen die Defaults beim allerersten Start mitbringen |
 Alle drei sind unabhängig, **alle drei zusammen** decken den typischen Workflow ab.
 ### Export
 **Variante A – UI:**
 1. **Einstellungen** → **Factory-Defaults** öffnen
-2. Übersicht prüfen (Anzahl pro Kategorie)
+2. Button **„Factory-Defaults exportieren"** klicken
-3. Button **„Factory-Defaults exportieren"** klicken
+3. ZIP wird als `factory-defaults-YYYY-MM-DD.zip` heruntergeladen
-4. ZIP wird als `factory-defaults-YYYY-MM-DD.zip` heruntergeladen
+
 **Variante B – CLI (für scp-Transfers):**
 ```bash
 ./factory-export.sh                                  # → factory-exports/factory-defaults-…zip
 OPENCRM_URL=https://crm.prod.example.de \
  OPENCRM_EMAIL=admin@example.de ./factory-export.sh # gegen Prod-Instanz
 ```
 Ohne `OPENCRM_PASSWORD` wird das Passwort interaktiv abgefragt. Der Zielordner
 `factory-exports/` ist gitignored – die ZIPs landen also nicht ins Repo.
 **ZIP-Struktur:**
 ```
-factory-defaults-2026-04-23.zip
+factory-defaults-2026-05-07-1949.zip
 ├── manifest.json                      # Version + Datum + Counts
-├── providers/
+├── providers/providers.json
 │   └── providers.json                 # Anbieter inkl. zugehöriger Tarife
 ├── contract-meta/
-│   ├── cancellation-periods.json      # Kündigungsfristen (Code + Beschreibung)
+│   ├── cancellation-periods.json
-│   ├── contract-durations.json        # Laufzeiten (Code + Beschreibung)
+│   ├── contract-durations.json
-│   └── contract-categories.json       # Kategorien (Strom, Gas, DSL, ...)
+│   └── contract-categories.json
-└── pdf-templates/
+├── pdf-templates/
-    ├── pdf-templates.json             # Vorlagen-Metadaten + Feldzuordnungen
+│   ├── pdf-templates.json
-    └── *.pdf                          # Die eigentlichen PDF-Dateien
+│   └── *.pdf                          # Die eigentlichen PDF-Dateien
 └── app-settings/
    └── app-settings.json              # HTML-Templates (Whitelist-only)
 ```
-Die ZIP kann an andere Installationen weitergegeben werden
+### Import
 (Partner, Test-System, neue Installation).
-### Import (ZIP → Installation B)
+**Variante A – UI:**
 1. **Einstellungen** → **Factory-Defaults**
 2. Bereich **Import** → **„ZIP hochladen"** → Datei wählen
 3. Erfolgs-Box zeigt Counts pro Kategorie
-1. ZIP herunterladen bzw. erhalten
+**Variante B – CLI:**
 2. Inhalt nach `backend/factory-defaults/` entpacken (Unterordnerstruktur beibehalten)
 3. Im Backend-Verzeichnis ausführen:
 ```bash
-   npm run seed:defaults
+./factory-import.sh                                  # nimmt jüngste ZIP aus factory-exports/
 ./factory-import.sh ./factory-exports/foo.zip        # explizite ZIP
 ./factory-import.sh --save-as-builtin                # zusätzlich ins Image-Default
 ./factory-import.sh --save-as-builtin ./foo.zip      # entpacken (siehe unten)
 ```
 Konfigurierbar per ENV: `OPENCRM_URL`, `OPENCRM_EMAIL`, `OPENCRM_PASSWORD`.
 **Variante C – Container-Bare-Metal (für Migration / mehrere ZIPs zusammenführen):**
 ```bash
 # Inhalt der ZIP nach backend/factory-defaults/ entpacken (Unterordner beibehalten)
 cd backend && npm run seed:defaults
 ```
 **Beispiel-Output:**
 ```
-📦 Factory-Defaults werden eingespielt...
+✓ Anbieter: 10
-
+✓ Tarife: 4
-  ✓ Anbieter: 7, Tarife: 12
+✓ Kündigungsfristen: 18
-  ✓ Kündigungsfristen: 5
+✓ Laufzeiten: 18
  ✓ Laufzeiten: 4
 ✓ Vertragskategorien: 8
-  ✓ PDF-Vorlagen: 3
+✓ PDF-Vorlagen: 2
-
+✓ HTML-Templates: 2
 ✅ Factory-Defaults erfolgreich eingespielt.
 ```
-### Mehrere ZIPs kombinieren
+### `--save-as-builtin`: ZIP zur Werkseinstellung machen
-Du kannst mehrere Exporte in `backend/factory-defaults/` übereinanderlegen –
+Mit `--save-as-builtin` entpackt `factory-import.sh` die ZIP nach **erfolgreichem
-JSON-Dateien werden automatisch gemerged:
+DB-Import** zusätzlich in `backend/factory-defaults/`. Beim nächsten
 `docker-compose up --build` landen die Defaults im Image. Frisch hochgezogene
 VMs bringen sie dann beim ersten Start automatisch mit (Auto-Seed-Pfad im
 Container-Entrypoint).
 ```bash
 # typischer Sync prod → dev → Image-Default
 ssh prod './factory-export.sh'
 scp prod:opencrm/factory-exports/factory-defaults-*.zip factory-exports/
 ./factory-import.sh --save-as-builtin
 docker-compose up -d --build           # neuer Build, neue VMs starten direkt mit Defaults
 ```
 Der Inhalt von `backend/factory-defaults/` wird beim `--save-as-builtin` vorher
 geleert (außer `README.md` und `.gitkeep`), damit nichts Veraltetes liegen
 bleibt.
 ### Mehrere ZIPs kombinieren (CLI-only, Variante C)
 `backend/factory-defaults/` darf mehrere `*.json` pro Unterordner haben –
 `npm run seed:defaults` merged sie automatisch:
 ```
 backend/factory-defaults/
@@ -1112,40 +1342,73 @@ backend/factory-defaults/
    eigene.json        # 5 eigene Anbieter
 ```
-Das Import-Script liest **alle** `*.json` im jeweiligen Unterordner und merged per
+Bei gleichem Unique-Key gewinnt der zuletzt gelesene Eintrag. Der UI-/HTTP-Import
-unique Key (letzter Eintrag gewinnt). Duplikate sind also unproblematisch.
+nimmt nur eine ZIP entgegen – für Merges nutze `npm run seed:defaults`.
 ### Idempotenz
-Das Script nutzt ausschließlich Prisma `upsert`:
+Alle Pfade nutzen Prisma `upsert`:
 - **Neue Einträge** werden angelegt
- **Bestehende Einträge** (per unique Key: `name`, `code`) werden aktualisiert
+- **Bestehende Einträge** (per unique Key: `name` / `code` / `key`) werden aktualisiert
 - Nichts wird gelöscht
-Du kannst `npm run seed:defaults` also beliebig oft ausführen, ohne Datenverlust
+Du kannst Imports also beliebig oft hintereinander ausführen, ohne Datenverlust
 oder Duplikate.
-### PDF-Dateien beim Import
+### PDF-Dateien
-Beim Import werden PDF-Vorlagen aus `factory-defaults/pdf-templates/*.pdf` nach
+Beim Import werden PDF-Vorlagen aus dem ZIP nach `uploads/pdf-templates/`
-`uploads/pdf-templates/` kopiert und die Pfade in der DB entsprechend gesetzt.
+kopiert (mit eindeutigem Suffix) und die `templatePath`-Spalte entsprechend
-Beim Re-Import wird die alte Datei in `uploads/` entsorgt und durch die neue
+gesetzt. Beim Re-Import wird die alte Datei in `uploads/` entsorgt und durch
-ersetzt.
+die neue ersetzt.
 ### AppSettings-Whitelist
 Beim Import werden nur die Keys mit AppSetting-Schreibzugriff gewährt, die auch
 exportiert werden – aktuell:
 - `privacyPolicyHtml`
 - `imprintHtml`
 - `authorizationTemplateHtml`
 - `websitePrivacyPolicyHtml`
 Andere Keys (SMTP, JWT, etc.) werden mit einer Warnung ignoriert. Whitelist ist
 in [`backend/src/services/factoryDefaults.service.ts`](backend/src/services/factoryDefaults.service.ts)
 zentral gepflegt.
 ### Auto-Seed beim Erst-Deploy
 Bei einer **frischen** Installation (leere DB) spielt der Container-Entrypoint
 nach dem Prisma-Seed automatisch das Built-in-Verzeichnis ein:
 ```
 [entrypoint] DB ist leer (User-Count=0) – Auto-Seed wird ausgeführt
 [entrypoint] Spiele eingebaute Factory-Defaults ein…
  ✓ Anbieter: 10, Tarife: 4
  …
 ```
 Bei bestehenden Installs passiert das **nicht** – nur frische DBs.
 ### Berechtigungen
 | Aktion | Berechtigung |
 |--------|--------------|
 | Factory-Defaults Vorschau | `settings:read` |
-| Factory-Defaults Export | `settings:update` |
+| Factory-Defaults Export (UI/CLI) | `settings:update` |
-| Factory-Defaults Import (CLI) | Server-Zugang (SSH/Shell) |
+| Factory-Defaults Import (UI/CLI) | `settings:update` |
 | Werkseinstellungen ändern (`--save-as-builtin` / `npm run seed:defaults`) | Server-Zugang (SSH/Shell) |
-### Typischer Einsatzzweck
+### Typische Einsatzzwecke
- **Neue Installation aufsetzen**: Eine Kollegen-ZIP importieren und sofort mit
+- **Neue VM aufsetzen**: ZIP einmalig nach `backend/factory-defaults/` entpacken
-  gepflegtem Anbieter- und Vorlagenkatalog loslegen
+  (oder per `--save-as-builtin`), dann `docker-compose up --build` – die
  Werkseinstellungen sind beim ersten Start automatisch drin.
 - **Prod-Stand zurück nach dev synchronisieren**: `./factory-export.sh` auf prod,
  `scp` ins dev, `./factory-import.sh --save-as-builtin` lokal – damit ist
  sowohl die dev-DB aktuell als auch der nächste Image-Build.
 - **Vorlagen-Paket teilen**: Eine ZIP mit nur PDF-Vorlagen weitergeben
-  (die anderen Ordner einfach aus der ZIP entfernen vor dem Entpacken)
+  (andere Ordner aus der ZIP entfernen vor dem Entpacken).
 - **Anbieter-Paket teilen**: ZIP mit nur `providers/` weitergeben
 - **Versionskontrolle**: Die entpackten JSON-Dateien unter Versionskontrolle
  stellen (außerhalb von `backend/factory-defaults/`, da der Ordner gitignored ist)
@@ -1,3 +1,9 @@
 # Backend nutzt seit v1.1 die zentrale Root-.env im Projektverzeichnis.
 # → siehe ../.env.example für alle Variablen
 #
 # Diese Datei bleibt als Legacy-Fallback: wenn /.env nicht existiert,
 # liest das Backend backend/.env (z.B. für isolierte Backend-Tests).
 # Database
 DATABASE_URL="mysql://user:password@localhost:3306/opencrm"
@@ -4,10 +4,11 @@ node_modules/
 # Build
 dist/
-# Environment
+# Environment – echte Secrets blocken, .env.example weiter mittracken
 .env
 .env.local
 .env.*.local
 !.env.example
 # Database Backups (can be large, keep folder structure)
 prisma/backups/*
@@ -0,0 +1,71 @@
 # Multi-Stage Build: Frontend bauen, dann Backend bauen, dann schlankes Runtime-Image
 # ---------------------------------------------------------------------------------
 # Alle Stages auf node:20-slim (Debian-basiert) – dann passt die Prisma-Query-
 # Engine (glibc + openssl) zur Runtime.
 # ============== STAGE 1: Frontend bauen ==============
 FROM node:20-slim AS frontend-builder
 WORKDIR /build/frontend
 COPY frontend/package.json frontend/package-lock.json ./
 RUN npm ci --no-audit --no-fund --prefer-offline
 COPY frontend/ ./
 RUN npm run build
 # Output: /build/frontend/dist/
 # ============== STAGE 2: Backend bauen (TS → JS) ==============
 FROM node:20-slim AS backend-builder
 WORKDIR /build/backend
 RUN apt-get update && apt-get install -y --no-install-recommends openssl \
    && rm -rf /var/lib/apt/lists/*
 COPY backend/package.json backend/package-lock.json ./
 RUN npm ci --no-audit --no-fund --prefer-offline
 COPY backend/prisma ./prisma
 RUN npx prisma generate
 COPY backend/tsconfig.json ./
 COPY backend/src ./src
 RUN npx tsc
 # Output: /build/backend/dist/
 # ============== STAGE 3: Runtime ==============
 # Debian-slim statt Alpine: Prisma-Engines erwarten libssl 1.1, das in Alpine 3.19+
 # nicht mehr verfügbar ist. Slim hat openssl 3 ABI-kompatibel + native binaries.
 FROM node:20-slim
 WORKDIR /app
 # OpenSSL für Prisma-Query-Engine + wget für Healthcheck
 RUN apt-get update && apt-get install -y --no-install-recommends openssl wget \
    && rm -rf /var/lib/apt/lists/*
 # Nur Production-Dependencies + Prisma-Client
 COPY backend/package.json backend/package-lock.json ./
 RUN npm ci --omit=dev --no-audit --no-fund --prefer-offline && npm cache clean --force
 # Build-Artefakte aus Stage 2
 COPY --from=backend-builder /build/backend/dist ./dist
 COPY --from=backend-builder /build/backend/node_modules/.prisma ./node_modules/.prisma
 COPY --from=backend-builder /build/backend/node_modules/@prisma ./node_modules/@prisma
 COPY backend/prisma ./prisma
 # Frontend-Build ins public/-Verzeichnis (wird in production-Mode statisch ausgeliefert)
 COPY --from=frontend-builder /build/frontend/dist ./public
 # Eingebaute Werkseinstellungen ins Image: bei Erstinstallation (leerer DB) zieht
 # der Entrypoint sie via tsx scripts/seed-factory-defaults.ts ein. Liegt in einem
 # eigenen Pfad – `factory-defaults/` selbst kann über Bind-Mount überlagert werden.
 COPY backend/factory-defaults /app/factory-defaults-builtin
 COPY backend/scripts /app/scripts
 # Daten-Verzeichnisse (werden via Bind-Mount überlagert; hier nur als Fallback)
 RUN mkdir -p uploads factory-defaults prisma/backups
 # Healthcheck
 HEALTHCHECK --interval=30s --timeout=5s --start-period=20s --retries=3 \
  CMD wget --quiet --tries=1 --spider "http://localhost:${PORT:-3001}/api/health" || exit 1
 # Beim Start: prisma db push (idempotent), dann node
 COPY backend/docker-entrypoint.sh /usr/local/bin/docker-entrypoint.sh
 RUN chmod +x /usr/local/bin/docker-entrypoint.sh
 ENTRYPOINT ["docker-entrypoint.sh"]
 CMD ["node", "dist/index.js"]
@@ -0,0 +1,126 @@
 #!/bin/sh
 # Container-Start:
 #   1) Auf DB warten
 #   2) Auto-Baseline für bestehende DBs (db-push-Ära ohne _prisma_migrations)
 #   3) `prisma migrate deploy` (idempotent, datenerhaltend)
 #   4) Auto-Seed bei leerer User-Tabelle (oder RUN_SEED=true)
 # Neue Schema-Änderung anlegen (lokal, im Dev): npm run schema:sync
 set -e
 # DATABASE_URL aus DB_*-Komponenten bauen, falls nicht explizit gesetzt.
 # Wichtig: encodeURIComponent für DB_USER + DB_PASSWORD, damit Sonderzeichen
 # wie $, !, #, @, :, / etc. nicht die URL-Authority-Syntax brechen.
 # Wir nutzen node-eval (ist eh installiert), kein extra-Tool wie jq nötig.
 if [ -z "$DATABASE_URL" ] && [ -n "$DB_USER" ] && [ -n "$DB_PASSWORD" ] && [ -n "$DB_NAME" ]; then
  DATABASE_URL=$(node -e "
    const u = encodeURIComponent(process.env.DB_USER);
    const p = encodeURIComponent(process.env.DB_PASSWORD);
    const h = process.env.DB_HOST || 'db';
    const port = process.env.DB_PORT || '3306';
    const n = process.env.DB_NAME;
    process.stdout.write(\`mysql://\${u}:\${p}@\${h}:\${port}/\${n}\`);
  ")
  export DATABASE_URL
  echo "[entrypoint] DATABASE_URL aus DB_*-Komponenten gebaut (host=${DB_HOST:-db})"
 fi
 echo "[entrypoint] Warte auf Datenbank…"
 # Erst auf DB-Verfügbarkeit warten via einfachem Connect-Check.
 # Wir nutzen Prisma's interne Engine, kein extra mysql-client nötig.
 TRIES=30
 until node -e "
  const { PrismaClient } = require('@prisma/client');
  const p = new PrismaClient();
  p.\$queryRaw\`SELECT 1\`
    .then(() => p.\$disconnect().then(() => process.exit(0)))
    .catch(() => process.exit(1));
 " 2>/dev/null; do
  TRIES=$((TRIES - 1))
  if [ "$TRIES" -le 0 ]; then
    echo "[entrypoint] DB nicht erreichbar – Abbruch"
    exit 1
  fi
  echo "[entrypoint] DB noch nicht bereit – retry in 2s ($TRIES Versuche übrig)"
  sleep 2
 done
 echo "[entrypoint] DB erreichbar"
 # Auto-Baseline: Wenn die DB Anwendungs-Tabellen enthält (z.B. User), aber noch
 # keine _prisma_migrations-Tabelle, dann ist es eine "alte" DB, die früher mit
 # `prisma db push` synced wurde. Wir markieren 0_init als bereits angewendet,
 # damit `migrate deploy` nicht versucht, alle Tabellen nochmal anzulegen.
 NEEDS_BASELINE=$(node -e "
  const { PrismaClient } = require('@prisma/client');
  const p = new PrismaClient();
  (async () => {
    try {
      const dbName = process.env.DB_NAME;
      const tables = await p.\$queryRawUnsafe(
        \`SELECT TABLE_NAME FROM information_schema.TABLES WHERE TABLE_SCHEMA = ?\`,
        dbName
      );
      const names = tables.map(t => t.TABLE_NAME);
      const hasMigrations = names.includes('_prisma_migrations');
      const hasUserTable  = names.includes('User');
      // Existing DB (User da) ohne Migrations-Tracking => Baseline nötig
      if (hasUserTable && !hasMigrations) process.stdout.write('yes');
      else process.stdout.write('no');
    } catch (e) {
      process.stdout.write('no');
    } finally {
      await p.\$disconnect();
    }
  })();
 " 2>/dev/null)
 if [ "$NEEDS_BASELINE" = "yes" ]; then
  echo "[entrypoint] Bestehende DB ohne Migrations-Tracking erkannt – markiere 0_init als angewendet (Baseline)"
  npx prisma migrate resolve --applied 0_init || echo "[entrypoint] Baseline fehlgeschlagen – fahre trotzdem fort"
 fi
 # Migrations anwenden (idempotent: bereits angewendete werden übersprungen).
 # Im Gegensatz zu `db push` löscht `migrate deploy` keine Daten — Schema-
 # Änderungen werden über versionierte Migrations-Files unter prisma/migrations/
 # eingespielt. Neue Migration anlegen mit: npm run schema:sync (lokal, dev).
 echo "[entrypoint] Wende Migrations an…"
 if ! npx prisma migrate deploy; then
  echo "[entrypoint] migrate deploy fehlgeschlagen – Abbruch"
  exit 1
 fi
 echo "[entrypoint] DB-Schema aktuell"
 # Auto-Seed: wenn die User-Tabelle leer ist (= Erstinstallation), automatisch seeden.
 # RUN_SEED=true erzwingt Seed auch bei nicht-leerer DB (z.B. nach Reset).
 USER_COUNT=$(node -e "
  const { PrismaClient } = require('@prisma/client');
  const p = new PrismaClient();
  p.user.count()
    .then((n) => { process.stdout.write(String(n)); process.exit(0); })
    .catch(() => { process.stdout.write('-1'); process.exit(0); });
 " 2>/dev/null)
 RAN_SEED=false
 if [ "${RUN_SEED:-false}" = "true" ]; then
  echo "[entrypoint] RUN_SEED=true – seede DB (Force)"
  if npx prisma db seed; then RAN_SEED=true; else echo "[entrypoint] Seed fehlgeschlagen oder schon gelaufen – ignoriert"; fi
 elif [ "$USER_COUNT" = "0" ]; then
  echo "[entrypoint] DB ist leer (User-Count=0) – Auto-Seed wird ausgeführt"
  if npx prisma db seed; then RAN_SEED=true; else echo "[entrypoint] Auto-Seed fehlgeschlagen – ignoriert"; fi
 else
  echo "[entrypoint] DB enthält $USER_COUNT User – kein Seed nötig"
 fi
 # Eingebaute Factory-Defaults nach Erstinstallation einspielen.
 # Das ist die Werkseinstellung für neue VMs: PDF-Vorlagen, Anbieter, Tarife,
 # HTML-Templates – alles aus /app/factory-defaults-builtin/. Erfolgt nur wenn
 # der Auto-Seed gerade lief (= frische DB), sonst werden Updates auf
 # bestehenden Installationen nicht ungewollt überschrieben.
 if [ "$RAN_SEED" = "true" ] && [ -d /app/factory-defaults-builtin ] \
   && [ -n "$(ls -A /app/factory-defaults-builtin 2>/dev/null | grep -v -E '^(README\.md|\.gitkeep)$')" ]; then
  echo "[entrypoint] Spiele eingebaute Factory-Defaults ein…"
  FACTORY_DEFAULTS_DIR=/app/factory-defaults-builtin npx tsx scripts/seed-factory-defaults.ts \
    || echo "[entrypoint] Factory-Defaults-Seed fehlgeschlagen – ignoriert"
 fi
 echo "[entrypoint] Starte Backend…"
 exec "$@"
@@ -18,15 +18,21 @@ backend/factory-defaults/
 │   ├── cancellation-periods.json   # Kündigungsfristen
 │   ├── contract-durations.json     # Vertragslaufzeiten
 │   └── contract-categories.json    # Vertragskategorien (Strom/Gas/DSL/...)
-└── pdf-templates/
+├── pdf-templates/
-    ├── pdf-templates.json          # Metadaten + Feldzuordnungen
+│   ├── pdf-templates.json          # Metadaten + Feldzuordnungen
-    └── *.pdf                       # PDF-Vorlagen-Dateien
+│   └── *.pdf                       # PDF-Vorlagen-Dateien
 └── app-settings/
    └── app-settings.json           # HTML-Templates: Datenschutz / Impressum /
                                    # Vollmacht / Website-Datenschutz
 ```
 **Was NICHT enthalten ist:** Kundendaten, Verträge, Dokumente, E-Mails, SMTP-Einstellungen,
-Datenschutzerklärungen oder andere AppSettings. Dafür gibt es den separaten
+Secrets oder benutzerspezifische AppSettings. Dafür gibt es den separaten
 **Datenbank-Backup-Export** (Einstellungen → Datenbank & Zurücksetzen).
 Bei den AppSettings ist nur eine **Whitelist** vorgesehen (HTML-Texte für rechtliche
 Standardpflichten) – andere Keys werden beim Import ignoriert.
 ---
 ## Export (aus einer bestehenden Installation)
@@ -46,7 +52,8 @@ factory-defaults-2026-04-23.zip
 ├── contract-meta/contract-durations.json
 ├── contract-meta/contract-categories.json
 ├── pdf-templates/pdf-templates.json
-└── pdf-templates/*.pdf
+├── pdf-templates/*.pdf
 └── app-settings/app-settings.json
 ```
 Die ZIP kann an andere Installationen weitergegeben werden – z.B. für Test-Systeme,
@@ -56,7 +63,15 @@ neue Installationen oder Partner-Setups.
 ## Import (in eine andere Installation)
-### Schritt-für-Schritt
+### Variante A: Über die UI (empfohlen)
 1. Im Ziel-CRM als Admin einloggen
 2. **Einstellungen → Factory-Defaults**
 3. Im Bereich **Import** auf **„ZIP hochladen"** klicken
 4. Die exportierte ZIP wählen – der Import läuft direkt
 5. Erfolgsmeldung zeigt Counts pro Kategorie an
 ### Variante B: Über die CLI (für Bare-Metal / Migration / mehrere ZIPs zusammenführen)
 1. **ZIP herunterladen** (aus einer Export-Installation oder von einer Vorlage)
 2. **Inhalt entpacken** in diesen Ordner (`backend/factory-defaults/`),
@@ -234,6 +249,24 @@ Array von Providern, jeweils inkl. zugehöriger Tarife:
 **Unique Key:** `name`
 **Wichtig:** Die `pdfFilename` muss zu einer PDF-Datei im selben Ordner passen.
 ### `app-settings/app-settings.json`
 HTML-Standardtexte als Werkseinstellung. Es ist eine **Whitelist** aktiv – andere Keys
 werden beim Import ignoriert (Schutz vor versehentlichem Überschreiben von Secrets).
 ```json
 [
  { "key": "privacyPolicyHtml",        "value": "<h1>Datenschutzerklärung</h1>..." },
  { "key": "imprintHtml",              "value": "<h1>Impressum</h1>..." },
  { "key": "authorizationTemplateHtml","value": "<h1>Vollmacht</h1>..." },
  { "key": "websitePrivacyPolicyHtml", "value": "<h1>Website-Datenschutz</h1>..." }
 ]
 ```
 **Unique Key:** `key`
 **Erlaubte Keys:** `privacyPolicyHtml`, `imprintHtml`, `authorizationTemplateHtml`,
 `websitePrivacyPolicyHtml`.
 ---
 ## Berechtigungen
@@ -242,6 +275,7 @@ Array von Providern, jeweils inkl. zugehöriger Tarife:
 |--------|--------------|
 | Factory-Defaults Vorschau | `settings:read` |
 | Factory-Defaults Export (UI) | `settings:update` |
 | Factory-Defaults Import (UI) | `settings:update` |
 | Factory-Defaults Import (CLI) | Server-Zugang (SSH/Shell) |
 ---
@@ -1,19 +1,22 @@
 {
  "name": "opencrm-backend",
-  "version": "1.0.0",
+  "version": "1.1.0",
  "lockfileVersion": 3,
  "requires": true,
  "packages": {
    "": {
      "name": "opencrm-backend",
-      "version": "1.0.0",
+      "version": "1.1.0",
      "dependencies": {
        "@prisma/client": "^5.22.0",
        "@types/cookie-parser": "^1.4.10",
        "adm-zip": "^0.5.16",
        "archiver": "^7.0.1",
        "bcryptjs": "^2.4.3",
        "cookie-parser": "^1.4.7",
        "cors": "^2.8.5",
        "dotenv": "^16.4.5",
        "dotenv-expand": "^13.0.0",
        "express": "^4.21.1",
        "express-rate-limit": "^8.4.0",
        "express-validator": "^7.2.0",
@@ -26,6 +29,7 @@
        "nodemailer": "^7.0.13",
        "pdf-lib": "^1.17.1",
        "pdfkit": "^0.17.2",
        "tsx": "^4.19.2",
        "undici": "^6.23.0"
      },
      "devDependencies": {
@@ -42,7 +46,6 @@
        "@types/nodemailer": "^7.0.9",
        "@types/pdfkit": "^0.17.4",
        "prisma": "^5.22.0",
        "tsx": "^4.19.2",
        "typescript": "^5.6.3"
      }
    },
@@ -53,7 +56,6 @@
      "cpu": [
        "ppc64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "aix"
@@ -69,7 +71,6 @@
      "cpu": [
        "arm"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "android"
@@ -85,7 +86,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "android"
@@ -101,7 +101,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "android"
@@ -117,7 +116,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "darwin"
@@ -133,7 +131,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "darwin"
@@ -149,7 +146,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "freebsd"
@@ -165,7 +161,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "freebsd"
@@ -181,7 +176,6 @@
      "cpu": [
        "arm"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -197,7 +191,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -213,7 +206,6 @@
      "cpu": [
        "ia32"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -229,7 +221,6 @@
      "cpu": [
        "loong64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -245,7 +236,6 @@
      "cpu": [
        "mips64el"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -261,7 +251,6 @@
      "cpu": [
        "ppc64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -277,7 +266,6 @@
      "cpu": [
        "riscv64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -293,7 +281,6 @@
      "cpu": [
        "s390x"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -309,7 +296,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "linux"
@@ -325,7 +311,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "netbsd"
@@ -341,7 +326,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "netbsd"
@@ -357,7 +341,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "openbsd"
@@ -373,7 +356,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "openbsd"
@@ -389,7 +371,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "openharmony"
@@ -405,7 +386,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "sunos"
@@ -421,7 +401,6 @@
      "cpu": [
        "arm64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "win32"
@@ -437,7 +416,6 @@
      "cpu": [
        "ia32"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "win32"
@@ -453,7 +431,6 @@
      "cpu": [
        "x64"
      ],
      "dev": true,
      "optional": true,
      "os": [
        "win32"
@@ -633,7 +610,6 @@
      "version": "1.19.6",
      "resolved": "https://registry.npmjs.org/@types/body-parser/-/body-parser-1.19.6.tgz",
      "integrity": "sha512-HLFeCYgz89uk22N5Qg3dvGvsv46B8GLvKKo1zKG4NybA8U2DiEO3w9lqGg29t/tfLRJpJ6iQxnVw4OnB7MoM9g==",
      "dev": true,
      "dependencies": {
        "@types/connect": "*",
        "@types/node": "*"
@@ -643,11 +619,19 @@
      "version": "3.4.38",
      "resolved": "https://registry.npmjs.org/@types/connect/-/connect-3.4.38.tgz",
      "integrity": "sha512-K6uROf1LD88uDQqJCktA4yzL1YYAK6NgfsI0v/mTgyPKWsX1CnJ0XPSDhViejru1GcRkLWb8RlzFYJRqGUbaug==",
      "dev": true,
      "dependencies": {
        "@types/node": "*"
      }
    },
    "node_modules/@types/cookie-parser": {
      "version": "1.4.10",
      "resolved": "https://registry.npmjs.org/@types/cookie-parser/-/cookie-parser-1.4.10.tgz",
      "integrity": "sha512-B4xqkqfZ8Wek+rCOeRxsjMS9OgvzebEzzLYw7NHYuvzb7IdxOkI0ZHGgeEBX4PUM7QGVvNSK60T3OvWj3YfBRg==",
      "license": "MIT",
      "peerDependencies": {
        "@types/express": "*"
      }
    },
    "node_modules/@types/cors": {
      "version": "2.8.19",
      "resolved": "https://registry.npmjs.org/@types/cors/-/cors-2.8.19.tgz",
@@ -661,7 +645,6 @@
      "version": "4.17.25",
      "resolved": "https://registry.npmjs.org/@types/express/-/express-4.17.25.tgz",
      "integrity": "sha512-dVd04UKsfpINUnK0yBoYHDF3xu7xVH4BuDotC/xGuycx4CgbP48X/KF/586bcObxT0HENHXEU8Nqtu6NR+eKhw==",
      "dev": true,
      "dependencies": {
        "@types/body-parser": "*",
        "@types/express-serve-static-core": "^4.17.33",
@@ -673,7 +656,6 @@
      "version": "4.19.8",
      "resolved": "https://registry.npmjs.org/@types/express-serve-static-core/-/express-serve-static-core-4.19.8.tgz",
      "integrity": "sha512-02S5fmqeoKzVZCHPZid4b8JH2eM5HzQLZWN2FohQEy/0eXTq8VXZfSN6Pcr3F6N9R/vNrj7cpgbhjie6m/1tCA==",
      "dev": true,
      "dependencies": {
        "@types/node": "*",
        "@types/qs": "*",
@@ -684,8 +666,7 @@
    "node_modules/@types/http-errors": {
      "version": "2.0.5",
      "resolved": "https://registry.npmjs.org/@types/http-errors/-/http-errors-2.0.5.tgz",
-      "integrity": "sha512-r8Tayk8HJnX0FztbZN7oVqGccWgw98T/0neJphO91KkmOzug1KkofZURD4UaD5uH8AqcFLfdPErnBod0u71/qg==",
+      "integrity": "sha512-r8Tayk8HJnX0FztbZN7oVqGccWgw98T/0neJphO91KkmOzug1KkofZURD4UaD5uH8AqcFLfdPErnBod0u71/qg=="
      "dev": true
    },
    "node_modules/@types/jsonwebtoken": {
      "version": "9.0.10",
@@ -722,8 +703,7 @@
    "node_modules/@types/mime": {
      "version": "1.3.5",
      "resolved": "https://registry.npmjs.org/@types/mime/-/mime-1.3.5.tgz",
-      "integrity": "sha512-/pyBZWSLD2n0dcHE3hq8s8ZvcETHtEuF+3E7XVt0Ig2nvsVQXdghHVcEkIWjy9A0wKfTn97a/PSDYohKIlnP/w==",
+      "integrity": "sha512-/pyBZWSLD2n0dcHE3hq8s8ZvcETHtEuF+3E7XVt0Ig2nvsVQXdghHVcEkIWjy9A0wKfTn97a/PSDYohKIlnP/w=="
      "dev": true
    },
    "node_modules/@types/ms": {
      "version": "2.1.0",
@@ -744,7 +724,6 @@
      "version": "22.19.7",
      "resolved": "https://registry.npmjs.org/@types/node/-/node-22.19.7.tgz",
      "integrity": "sha512-MciR4AKGHWl7xwxkBa6xUGxQJ4VBOmPTF7sL+iGzuahOFaO0jHCsuEfS80pan1ef4gWId1oWOweIhrDEYLuaOw==",
      "dev": true,
      "dependencies": {
        "undici-types": "~6.21.0"
      }
@@ -777,14 +756,12 @@
    "node_modules/@types/qs": {
      "version": "6.14.0",
      "resolved": "https://registry.npmjs.org/@types/qs/-/qs-6.14.0.tgz",
-      "integrity": "sha512-eOunJqu0K1923aExK6y8p6fsihYEn/BYuQ4g0CxAAgFc4b/ZLN4CrsRZ55srTdqoiLzU2B2evC+apEIxprEzkQ==",
+      "integrity": "sha512-eOunJqu0K1923aExK6y8p6fsihYEn/BYuQ4g0CxAAgFc4b/ZLN4CrsRZ55srTdqoiLzU2B2evC+apEIxprEzkQ=="
      "dev": true
    },
    "node_modules/@types/range-parser": {
      "version": "1.2.7",
      "resolved": "https://registry.npmjs.org/@types/range-parser/-/range-parser-1.2.7.tgz",
-      "integrity": "sha512-hKormJbkJqzQGhziax5PItDUTMAM9uE2XXQmM37dyd4hVM+5aVl7oVxMVUiVQn2oCQFN/LKCZdvSM0pFRqbSmQ==",
+      "integrity": "sha512-hKormJbkJqzQGhziax5PItDUTMAM9uE2XXQmM37dyd4hVM+5aVl7oVxMVUiVQn2oCQFN/LKCZdvSM0pFRqbSmQ=="
      "dev": true
    },
    "node_modules/@types/readdir-glob": {
      "version": "1.1.5",
@@ -799,7 +776,6 @@
      "version": "1.2.1",
      "resolved": "https://registry.npmjs.org/@types/send/-/send-1.2.1.tgz",
      "integrity": "sha512-arsCikDvlU99zl1g69TcAB3mzZPpxgw0UQnaHeC1Nwb015xp8bknZv5rIfri9xTOcMuaVgvabfIRA7PSZVuZIQ==",
      "dev": true,
      "dependencies": {
        "@types/node": "*"
      }
@@ -808,7 +784,6 @@
      "version": "1.15.10",
      "resolved": "https://registry.npmjs.org/@types/serve-static/-/serve-static-1.15.10.tgz",
      "integrity": "sha512-tRs1dB+g8Itk72rlSI2ZrW6vZg0YrLI81iQSTkMmOqnqCaNr/8Ek4VwWcN5vZgCYWbg/JJSGBlUaYGAOP73qBw==",
      "dev": true,
      "dependencies": {
        "@types/http-errors": "*",
        "@types/node": "*",
@@ -819,7 +794,6 @@
      "version": "0.17.6",
      "resolved": "https://registry.npmjs.org/@types/send/-/send-0.17.6.tgz",
      "integrity": "sha512-Uqt8rPBE8SY0RK8JB1EzVOIZ32uqy8HwdxCnoCOsYrvnswqmFZ/k+9Ikidlk/ImhsdvBsloHbAlewb2IEBV/Og==",
      "dev": true,
      "dependencies": {
        "@types/mime": "^1",
        "@types/node": "*"
@@ -1277,6 +1251,25 @@
        "node": ">= 0.6"
      }
    },
    "node_modules/cookie-parser": {
      "version": "1.4.7",
      "resolved": "https://registry.npmjs.org/cookie-parser/-/cookie-parser-1.4.7.tgz",
      "integrity": "sha512-nGUvgXnotP3BsjiLX2ypbQnWoGUPIIfHQNZkkC668ntrzGWEZVW70HDEB1qnNGMicPje6EttlIgzo51YSwNQGw==",
      "license": "MIT",
      "dependencies": {
        "cookie": "0.7.2",
        "cookie-signature": "1.0.6"
      },
      "engines": {
        "node": ">= 0.8.0"
      }
    },
    "node_modules/cookie-parser/node_modules/cookie-signature": {
      "version": "1.0.6",
      "resolved": "https://registry.npmjs.org/cookie-signature/-/cookie-signature-1.0.6.tgz",
      "integrity": "sha512-QADzlaHc8icV8I7vbaJXJwod9HWYp8uCqf1xa4OfNu1T7JVxQIrUgOWtHdNDtPiywmFbiS12VjotIXLrKM3orQ==",
      "license": "MIT"
    },
    "node_modules/cookie-signature": {
      "version": "1.0.7",
      "resolved": "https://registry.npmjs.org/cookie-signature/-/cookie-signature-1.0.7.tgz",
@@ -1463,6 +1456,33 @@
        "url": "https://dotenvx.com"
      }
    },
    "node_modules/dotenv-expand": {
      "version": "13.0.0",
      "resolved": "https://registry.npmjs.org/dotenv-expand/-/dotenv-expand-13.0.0.tgz",
      "integrity": "sha512-aBfBS8eYIeXmpHI9ThIlA7/WLq+SLt18iXUZhb52rW89QLKQFoIpPG1bPeewoPZsTyjSSO3T7234FBVUM1V2rA==",
      "license": "BSD-2-Clause",
      "dependencies": {
        "dotenv": "^17.4.2"
      },
      "engines": {
        "node": ">=12"
      },
      "funding": {
        "url": "https://dotenvx.com"
      }
    },
    "node_modules/dotenv-expand/node_modules/dotenv": {
      "version": "17.4.2",
      "resolved": "https://registry.npmjs.org/dotenv/-/dotenv-17.4.2.tgz",
      "integrity": "sha512-nI4U3TottKAcAD9LLud4Cb7b2QztQMUEfHbvhTH09bqXTxnSie8WnjPALV/WMCrJZ6UV/qHJ6L03OqO3LcdYZw==",
      "license": "BSD-2-Clause",
      "engines": {
        "node": ">=12"
      },
      "funding": {
        "url": "https://dotenvx.com"
      }
    },
    "node_modules/dunder-proto": {
      "version": "1.0.1",
      "resolved": "https://registry.npmjs.org/dunder-proto/-/dunder-proto-1.0.1.tgz",
@@ -1557,7 +1577,6 @@
      "version": "0.27.2",
      "resolved": "https://registry.npmjs.org/esbuild/-/esbuild-0.27.2.tgz",
      "integrity": "sha512-HyNQImnsOC7X9PMNaCIeAm4ISCQXs5a5YasTXVliKv4uuBo1dKrG0A+uQS8M5eXjVMnLg3WgXaKvprHlFJQffw==",
      "dev": true,
      "hasInstallScript": true,
      "bin": {
        "esbuild": "bin/esbuild"
@@ -1784,7 +1803,6 @@
      "version": "2.3.3",
      "resolved": "https://registry.npmjs.org/fsevents/-/fsevents-2.3.3.tgz",
      "integrity": "sha512-5xoDfX+fL7faATnagmWPpbFtwh/R77WmMMqqHGS65C3vvB0YHrgF+B1YmZ3441tMj5n63k0212XNoJwzlhffQw==",
      "dev": true,
      "hasInstallScript": true,
      "optional": true,
      "os": [
@@ -1841,7 +1859,6 @@
      "version": "4.13.0",
      "resolved": "https://registry.npmjs.org/get-tsconfig/-/get-tsconfig-4.13.0.tgz",
      "integrity": "sha512-1VKTZJCwBrvbd+Wn3AOgQP/2Av+TfTCOlE4AcRJE72W1ksZXbAx8PPBR9RzgTeSPzlPMHrbANMH3LbltH73wxQ==",
      "dev": true,
      "dependencies": {
        "resolve-pkg-maps": "^1.0.0"
      },
@@ -2867,7 +2884,6 @@
      "version": "1.0.0",
      "resolved": "https://registry.npmjs.org/resolve-pkg-maps/-/resolve-pkg-maps-1.0.0.tgz",
      "integrity": "sha512-seS2Tj26TBVOC2NIc2rOe2y2ZO7efxITtLZcGSOnHHNOQ7CkiUBfw0Iw2ck6xkIhPwLhKNLS8BO+hEpngQlqzw==",
      "dev": true,
      "funding": {
        "url": "https://github.com/privatenumber/resolve-pkg-maps?sponsor=1"
      }
@@ -3315,7 +3331,6 @@
      "version": "4.21.0",
      "resolved": "https://registry.npmjs.org/tsx/-/tsx-4.21.0.tgz",
      "integrity": "sha512-5C1sg4USs1lfG0GFb2RLXsdpXqBSEhAaA/0kPL01wxzpMqLILNxIxIOKiILz+cdg/pLnOUxFYOR5yhHU666wbw==",
      "dev": true,
      "dependencies": {
        "esbuild": "~0.27.0",
        "get-tsconfig": "^4.7.5"
@@ -3377,8 +3392,7 @@
    "node_modules/undici-types": {
      "version": "6.21.0",
      "resolved": "https://registry.npmjs.org/undici-types/-/undici-types-6.21.0.tgz",
-      "integrity": "sha512-iwDZqg0QAGrg9Rav5H4n0M64c3mkR59cJ6wQp+7C4nI0gsmExaedaYLNO44eT4AtBBwjbTiGPMlt2Md0T9H9JQ==",
+      "integrity": "sha512-iwDZqg0QAGrg9Rav5H4n0M64c3mkR59cJ6wQp+7C4nI0gsmExaedaYLNO44eT4AtBBwjbTiGPMlt2Md0T9H9JQ=="
      "dev": true
    },
    "node_modules/unicode-properties": {
      "version": "1.4.1",
@@ -4,7 +4,7 @@
  "description": "OpenCRM Backend API",
  "main": "dist/index.js",
  "prisma": {
-    "seed": "tsx prisma/seed.ts"
+    "seed": "npx tsx prisma/seed.ts"
  },
  "scripts": {
    "dev": "tsx watch src/index.ts",
@@ -12,6 +12,7 @@
    "start": "node dist/index.js",
    "db:migrate": "prisma migrate dev",
    "db:push": "prisma db push",
    "schema:sync": "prisma migrate dev --name auto_$(date +%Y%m%d_%H%M%S)",
    "db:seed": "tsx prisma/seed.ts",
    "db:studio": "prisma studio",
    "db:backup": "tsx prisma/backup-data.ts",
@@ -20,11 +21,14 @@
  },
  "dependencies": {
    "@prisma/client": "^5.22.0",
    "@types/cookie-parser": "^1.4.10",
    "adm-zip": "^0.5.16",
    "archiver": "^7.0.1",
    "bcryptjs": "^2.4.3",
    "cookie-parser": "^1.4.7",
    "cors": "^2.8.5",
    "dotenv": "^16.4.5",
    "dotenv-expand": "^13.0.0",
    "express": "^4.21.1",
    "express-rate-limit": "^8.4.0",
    "express-validator": "^7.2.0",
@@ -37,6 +41,7 @@
    "nodemailer": "^7.0.13",
    "pdf-lib": "^1.17.1",
    "pdfkit": "^0.17.2",
    "tsx": "^4.19.2",
    "undici": "^6.23.0"
  },
  "devDependencies": {
@@ -53,7 +58,6 @@
    "@types/nodemailer": "^7.0.9",
    "@types/pdfkit": "^0.17.4",
    "prisma": "^5.22.0",
    "tsx": "^4.19.2",
    "typescript": "^5.6.3"
  }
 }
@@ -0,0 +1,989 @@
 -- CreateTable
 CREATE TABLE `PdfTemplate` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NULL,
    `providerName` VARCHAR(191) NULL,
    `templatePath` VARCHAR(191) NOT NULL,
    `originalName` VARCHAR(191) NOT NULL,
    `fieldMapping` LONGTEXT NOT NULL,
    `phoneFieldPrefix` VARCHAR(191) NULL,
    `maxPhoneFields` INTEGER NULL DEFAULT 8,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `PdfTemplate_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `EmailLog` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `fromAddress` VARCHAR(191) NOT NULL,
    `toAddress` VARCHAR(191) NOT NULL,
    `subject` VARCHAR(191) NOT NULL,
    `context` VARCHAR(191) NOT NULL,
    `customerId` INTEGER NULL,
    `triggeredBy` VARCHAR(191) NULL,
    `smtpServer` VARCHAR(191) NOT NULL,
    `smtpPort` INTEGER NOT NULL,
    `smtpEncryption` VARCHAR(191) NOT NULL,
    `smtpUser` VARCHAR(191) NOT NULL,
    `success` BOOLEAN NOT NULL,
    `messageId` VARCHAR(191) NULL,
    `errorMessage` TEXT NULL,
    `smtpResponse` TEXT NULL,
    `sentAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    INDEX `EmailLog_sentAt_idx`(`sentAt`),
    INDEX `EmailLog_customerId_idx`(`customerId`),
    INDEX `EmailLog_success_idx`(`success`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `AppSetting` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `key` VARCHAR(191) NOT NULL,
    `value` TEXT NOT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `AppSetting_key_key`(`key`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `User` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `email` VARCHAR(191) NOT NULL,
    `password` VARCHAR(191) NOT NULL,
    `firstName` VARCHAR(191) NOT NULL,
    `lastName` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `tokenInvalidatedAt` DATETIME(3) NULL,
    `passwordResetToken` VARCHAR(191) NULL,
    `passwordResetExpiresAt` DATETIME(3) NULL,
    `whatsappNumber` VARCHAR(191) NULL,
    `telegramUsername` VARCHAR(191) NULL,
    `signalNumber` VARCHAR(191) NULL,
    `customerId` INTEGER NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `User_email_key`(`email`),
    UNIQUE INDEX `User_passwordResetToken_key`(`passwordResetToken`),
    UNIQUE INDEX `User_customerId_key`(`customerId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Role` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Role_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Permission` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `resource` VARCHAR(191) NOT NULL,
    `action` VARCHAR(191) NOT NULL,
    UNIQUE INDEX `Permission_resource_action_key`(`resource`, `action`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `RolePermission` (
    `roleId` INTEGER NOT NULL,
    `permissionId` INTEGER NOT NULL,
    PRIMARY KEY (`roleId`, `permissionId`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `UserRole` (
    `userId` INTEGER NOT NULL,
    `roleId` INTEGER NOT NULL,
    PRIMARY KEY (`userId`, `roleId`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Customer` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerNumber` VARCHAR(191) NOT NULL,
    `type` ENUM('PRIVATE', 'BUSINESS') NOT NULL DEFAULT 'PRIVATE',
    `salutation` VARCHAR(191) NULL,
    `firstName` VARCHAR(191) NOT NULL,
    `lastName` VARCHAR(191) NOT NULL,
    `companyName` VARCHAR(191) NULL,
    `foundingDate` DATETIME(3) NULL,
    `birthDate` DATETIME(3) NULL,
    `birthPlace` VARCHAR(191) NULL,
    `email` VARCHAR(191) NULL,
    `phone` VARCHAR(191) NULL,
    `mobile` VARCHAR(191) NULL,
    `taxNumber` VARCHAR(191) NULL,
    `businessRegistrationPath` VARCHAR(191) NULL,
    `commercialRegisterPath` VARCHAR(191) NULL,
    `commercialRegisterNumber` VARCHAR(191) NULL,
    `privacyPolicyPath` VARCHAR(191) NULL,
    `consentHash` VARCHAR(191) NULL,
    `notes` TEXT NULL,
    `portalEnabled` BOOLEAN NOT NULL DEFAULT false,
    `portalEmail` VARCHAR(191) NULL,
    `portalPasswordHash` VARCHAR(191) NULL,
    `portalPasswordEncrypted` VARCHAR(191) NULL,
    `portalLastLogin` DATETIME(3) NULL,
    `portalPasswordResetToken` VARCHAR(191) NULL,
    `portalPasswordResetExpiresAt` DATETIME(3) NULL,
    `portalTokenInvalidatedAt` DATETIME(3) NULL,
    `lastBirthdayGreetingYear` INTEGER NULL,
    `useInformalAddress` BOOLEAN NOT NULL DEFAULT false,
    `autoBirthdayGreeting` BOOLEAN NOT NULL DEFAULT false,
    `autoBirthdayChannel` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Customer_customerNumber_key`(`customerNumber`),
    UNIQUE INDEX `Customer_consentHash_key`(`consentHash`),
    UNIQUE INDEX `Customer_portalEmail_key`(`portalEmail`),
    UNIQUE INDEX `Customer_portalPasswordResetToken_key`(`portalPasswordResetToken`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CustomerRepresentative` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `representativeId` INTEGER NOT NULL,
    `notes` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `CustomerRepresentative_customerId_representativeId_key`(`customerId`, `representativeId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `RepresentativeAuthorization` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `representativeId` INTEGER NOT NULL,
    `isGranted` BOOLEAN NOT NULL DEFAULT false,
    `grantedAt` DATETIME(3) NULL,
    `withdrawnAt` DATETIME(3) NULL,
    `source` VARCHAR(191) NULL,
    `documentPath` VARCHAR(191) NULL,
    `notes` TEXT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `RepresentativeAuthorization_customerId_representativeId_key`(`customerId`, `representativeId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Address` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `type` ENUM('DELIVERY_RESIDENCE', 'BILLING') NOT NULL DEFAULT 'DELIVERY_RESIDENCE',
    `street` VARCHAR(191) NOT NULL,
    `houseNumber` VARCHAR(191) NOT NULL,
    `postalCode` VARCHAR(191) NOT NULL,
    `city` VARCHAR(191) NOT NULL,
    `country` VARCHAR(191) NOT NULL DEFAULT 'Deutschland',
    `isDefault` BOOLEAN NOT NULL DEFAULT false,
    `ownerCompany` VARCHAR(191) NULL,
    `ownerFirstName` VARCHAR(191) NULL,
    `ownerLastName` VARCHAR(191) NULL,
    `ownerStreet` VARCHAR(191) NULL,
    `ownerHouseNumber` VARCHAR(191) NULL,
    `ownerPostalCode` VARCHAR(191) NULL,
    `ownerCity` VARCHAR(191) NULL,
    `ownerPhone` VARCHAR(191) NULL,
    `ownerMobile` VARCHAR(191) NULL,
    `ownerEmail` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `BankCard` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `accountHolder` VARCHAR(191) NOT NULL,
    `iban` VARCHAR(191) NOT NULL,
    `bic` VARCHAR(191) NULL,
    `bankName` VARCHAR(191) NULL,
    `expiryDate` DATETIME(3) NULL,
    `documentPath` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `IdentityDocument` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `type` ENUM('ID_CARD', 'PASSPORT', 'DRIVERS_LICENSE', 'OTHER') NOT NULL DEFAULT 'ID_CARD',
    `documentNumber` VARCHAR(191) NOT NULL,
    `issuingAuthority` VARCHAR(191) NULL,
    `issueDate` DATETIME(3) NULL,
    `expiryDate` DATETIME(3) NULL,
    `documentPath` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `licenseClasses` VARCHAR(191) NULL,
    `licenseIssueDate` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `EmailProviderConfig` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `type` ENUM('PLESK', 'CPANEL', 'DIRECTADMIN') NOT NULL,
    `apiUrl` VARCHAR(191) NOT NULL,
    `apiKey` VARCHAR(191) NULL,
    `username` VARCHAR(191) NULL,
    `passwordEncrypted` VARCHAR(191) NULL,
    `domain` VARCHAR(191) NOT NULL,
    `defaultForwardEmail` VARCHAR(191) NULL,
    `imapServer` VARCHAR(191) NULL,
    `imapPort` INTEGER NULL DEFAULT 993,
    `smtpServer` VARCHAR(191) NULL,
    `smtpPort` INTEGER NULL DEFAULT 465,
    `imapEncryption` ENUM('SSL', 'STARTTLS', 'NONE') NOT NULL DEFAULT 'SSL',
    `smtpEncryption` ENUM('SSL', 'STARTTLS', 'NONE') NOT NULL DEFAULT 'SSL',
    `allowSelfSignedCerts` BOOLEAN NOT NULL DEFAULT false,
    `systemEmailAddress` VARCHAR(191) NULL,
    `systemEmailPasswordEncrypted` VARCHAR(191) NULL,
    `customerEmailLabel` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `isDefault` BOOLEAN NOT NULL DEFAULT false,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `EmailProviderConfig_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `StressfreiEmail` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `email` VARCHAR(191) NOT NULL,
    `platform` VARCHAR(191) NULL,
    `notes` TEXT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `isProvisioned` BOOLEAN NOT NULL DEFAULT false,
    `provisionedAt` DATETIME(3) NULL,
    `provisionError` TEXT NULL,
    `hasMailbox` BOOLEAN NOT NULL DEFAULT false,
    `emailPasswordEncrypted` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CachedEmail` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `stressfreiEmailId` INTEGER NOT NULL,
    `folder` ENUM('INBOX', 'SENT') NOT NULL DEFAULT 'INBOX',
    `messageId` VARCHAR(191) NOT NULL,
    `uid` INTEGER NOT NULL,
    `subject` VARCHAR(191) NULL,
    `fromAddress` VARCHAR(191) NOT NULL,
    `fromName` VARCHAR(191) NULL,
    `toAddresses` TEXT NOT NULL,
    `ccAddresses` TEXT NULL,
    `receivedAt` DATETIME(3) NOT NULL,
    `textBody` LONGTEXT NULL,
    `htmlBody` LONGTEXT NULL,
    `hasAttachments` BOOLEAN NOT NULL DEFAULT false,
    `attachmentNames` TEXT NULL,
    `contractId` INTEGER NULL,
    `assignedAt` DATETIME(3) NULL,
    `assignedBy` INTEGER NULL,
    `isAutoAssigned` BOOLEAN NOT NULL DEFAULT false,
    `isRead` BOOLEAN NOT NULL DEFAULT false,
    `isStarred` BOOLEAN NOT NULL DEFAULT false,
    `isDeleted` BOOLEAN NOT NULL DEFAULT false,
    `deletedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `CachedEmail_contractId_idx`(`contractId`),
    INDEX `CachedEmail_stressfreiEmailId_folder_receivedAt_idx`(`stressfreiEmailId`, `folder`, `receivedAt`),
    INDEX `CachedEmail_stressfreiEmailId_isDeleted_idx`(`stressfreiEmailId`, `isDeleted`),
    UNIQUE INDEX `CachedEmail_stressfreiEmailId_messageId_folder_key`(`stressfreiEmailId`, `messageId`, `folder`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Meter` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `meterNumber` VARCHAR(191) NOT NULL,
    `type` ENUM('ELECTRICITY', 'GAS') NOT NULL,
    `tariffModel` ENUM('SINGLE', 'DUAL') NOT NULL DEFAULT 'SINGLE',
    `location` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `MeterReading` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `meterId` INTEGER NOT NULL,
    `readingDate` DATETIME(3) NOT NULL,
    `value` DOUBLE NOT NULL,
    `valueNt` DOUBLE NULL,
    `unit` VARCHAR(191) NOT NULL DEFAULT 'kWh',
    `notes` VARCHAR(191) NULL,
    `reportedBy` VARCHAR(191) NULL,
    `status` ENUM('RECORDED', 'REPORTED', 'TRANSFERRED') NOT NULL DEFAULT 'RECORDED',
    `transferredAt` DATETIME(3) NULL,
    `transferredBy` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `SalesPlatform` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `contactInfo` TEXT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `SalesPlatform_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CancellationPeriod` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `code` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `CancellationPeriod_code_key`(`code`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractDuration` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `code` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `ContractDuration_code_key`(`code`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Provider` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `portalUrl` VARCHAR(191) NULL,
    `usernameFieldName` VARCHAR(191) NULL,
    `passwordFieldName` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Provider_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Tariff` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `providerId` INTEGER NOT NULL,
    `name` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Tariff_providerId_name_key`(`providerId`, `name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractCategory` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `code` VARCHAR(191) NOT NULL,
    `name` VARCHAR(191) NOT NULL,
    `icon` VARCHAR(191) NULL,
    `color` VARCHAR(191) NULL,
    `sortOrder` INTEGER NOT NULL DEFAULT 0,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `ContractCategory_code_key`(`code`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Contract` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractNumber` VARCHAR(191) NOT NULL,
    `customerId` INTEGER NOT NULL,
    `type` ENUM('ELECTRICITY', 'GAS', 'DSL', 'CABLE', 'FIBER', 'MOBILE', 'TV', 'CAR_INSURANCE') NOT NULL,
    `status` ENUM('DRAFT', 'PENDING', 'ACTIVE', 'CANCELLED', 'EXPIRED', 'DEACTIVATED') NOT NULL DEFAULT 'DRAFT',
    `contractCategoryId` INTEGER NULL,
    `addressId` INTEGER NULL,
    `billingAddressId` INTEGER NULL,
    `bankCardId` INTEGER NULL,
    `identityDocumentId` INTEGER NULL,
    `salesPlatformId` INTEGER NULL,
    `cancellationPeriodId` INTEGER NULL,
    `contractDurationId` INTEGER NULL,
    `previousContractId` INTEGER NULL,
    `previousProviderId` INTEGER NULL,
    `previousCustomerNumber` VARCHAR(191) NULL,
    `previousContractNumber` VARCHAR(191) NULL,
    `providerId` INTEGER NULL,
    `tariffId` INTEGER NULL,
    `providerName` VARCHAR(191) NULL,
    `tariffName` VARCHAR(191) NULL,
    `customerNumberAtProvider` VARCHAR(191) NULL,
    `contractNumberAtProvider` VARCHAR(191) NULL,
    `priceFirst12Months` VARCHAR(191) NULL,
    `priceFrom13Months` VARCHAR(191) NULL,
    `priceAfter24Months` VARCHAR(191) NULL,
    `startDate` DATETIME(3) NULL,
    `endDate` DATETIME(3) NULL,
    `commission` DOUBLE NULL,
    `cancellationLetterPath` VARCHAR(191) NULL,
    `cancellationConfirmationPath` VARCHAR(191) NULL,
    `cancellationLetterOptionsPath` VARCHAR(191) NULL,
    `cancellationConfirmationOptionsPath` VARCHAR(191) NULL,
    `cancellationConfirmationDate` DATETIME(3) NULL,
    `cancellationConfirmationOptionsDate` DATETIME(3) NULL,
    `wasSpecialCancellation` BOOLEAN NOT NULL DEFAULT false,
    `portalUsername` VARCHAR(191) NULL,
    `portalPasswordEncrypted` VARCHAR(191) NULL,
    `stressfreiEmailId` INTEGER NULL,
    `nextReviewDate` DATETIME(3) NULL,
    `notes` TEXT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Contract_contractNumber_key`(`contractNumber`),
    UNIQUE INDEX `Contract_previousContractId_key`(`previousContractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractDocument` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `documentType` VARCHAR(191) NOT NULL,
    `documentPath` VARCHAR(191) NOT NULL,
    `originalName` VARCHAR(191) NOT NULL,
    `notes` TEXT NULL,
    `uploadedBy` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    INDEX `ContractDocument_contractId_idx`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractHistoryEntry` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `title` VARCHAR(191) NOT NULL,
    `description` TEXT NULL,
    `isAutomatic` BOOLEAN NOT NULL DEFAULT false,
    `createdBy` VARCHAR(191) NOT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractTask` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `title` VARCHAR(191) NOT NULL,
    `description` TEXT NULL,
    `status` ENUM('OPEN', 'COMPLETED') NOT NULL DEFAULT 'OPEN',
    `visibleInPortal` BOOLEAN NOT NULL DEFAULT false,
    `createdBy` VARCHAR(191) NULL,
    `completedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractTaskSubtask` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `taskId` INTEGER NOT NULL,
    `title` VARCHAR(191) NOT NULL,
    `status` ENUM('OPEN', 'COMPLETED') NOT NULL DEFAULT 'OPEN',
    `createdBy` VARCHAR(191) NULL,
    `completedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `EnergyContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `meterId` INTEGER NULL,
    `maloId` VARCHAR(191) NULL,
    `annualConsumption` DOUBLE NULL,
    `annualConsumptionKwh` DOUBLE NULL,
    `basePrice` DOUBLE NULL,
    `unitPrice` DOUBLE NULL,
    `unitPriceNt` DOUBLE NULL,
    `bonus` DOUBLE NULL,
    `previousProviderName` VARCHAR(191) NULL,
    `previousCustomerNumber` VARCHAR(191) NULL,
    UNIQUE INDEX `EnergyContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractMeter` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `energyContractDetailsId` INTEGER NOT NULL,
    `meterId` INTEGER NOT NULL,
    `position` INTEGER NOT NULL DEFAULT 0,
    `installedAt` DATETIME(3) NULL,
    `removedAt` DATETIME(3) NULL,
    `finalReading` DOUBLE NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    INDEX `ContractMeter_energyContractDetailsId_idx`(`energyContractDetailsId`),
    UNIQUE INDEX `ContractMeter_energyContractDetailsId_meterId_key`(`energyContractDetailsId`, `meterId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Invoice` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `energyContractDetailsId` INTEGER NULL,
    `contractId` INTEGER NULL,
    `invoiceDate` DATETIME(3) NOT NULL,
    `invoiceType` ENUM('INTERIM', 'FINAL', 'NOT_AVAILABLE') NOT NULL,
    `documentPath` VARCHAR(191) NULL,
    `notes` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `Invoice_energyContractDetailsId_idx`(`energyContractDetailsId`),
    INDEX `Invoice_contractId_idx`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `InternetContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `downloadSpeed` INTEGER NULL,
    `uploadSpeed` INTEGER NULL,
    `routerModel` VARCHAR(191) NULL,
    `routerSerialNumber` VARCHAR(191) NULL,
    `installationDate` DATETIME(3) NULL,
    `internetUsername` VARCHAR(191) NULL,
    `internetPasswordEncrypted` VARCHAR(191) NULL,
    `propertyType` VARCHAR(191) NULL,
    `propertyLocation` VARCHAR(191) NULL,
    `connectionLocation` VARCHAR(191) NULL,
    `homeId` VARCHAR(191) NULL,
    `activationCode` VARCHAR(191) NULL,
    UNIQUE INDEX `InternetContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `PhoneNumber` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `internetContractDetailsId` INTEGER NOT NULL,
    `phoneNumber` VARCHAR(191) NOT NULL,
    `isMain` BOOLEAN NOT NULL DEFAULT false,
    `sipUsername` VARCHAR(191) NULL,
    `sipPasswordEncrypted` VARCHAR(191) NULL,
    `sipServer` VARCHAR(191) NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `MobileContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `requiresMultisim` BOOLEAN NOT NULL DEFAULT false,
    `dataVolume` DOUBLE NULL,
    `includedMinutes` INTEGER NULL,
    `includedSMS` INTEGER NULL,
    `deviceModel` VARCHAR(191) NULL,
    `deviceImei` VARCHAR(191) NULL,
    `phoneNumber` VARCHAR(191) NULL,
    `simCardNumber` VARCHAR(191) NULL,
    UNIQUE INDEX `MobileContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `SimCard` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `mobileDetailsId` INTEGER NOT NULL,
    `phoneNumber` VARCHAR(191) NULL,
    `simCardNumber` VARCHAR(191) NULL,
    `pin` VARCHAR(191) NULL,
    `puk` VARCHAR(191) NULL,
    `isMultisim` BOOLEAN NOT NULL DEFAULT false,
    `isMain` BOOLEAN NOT NULL DEFAULT false,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `TvContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `receiverModel` VARCHAR(191) NULL,
    `smartcardNumber` VARCHAR(191) NULL,
    `package` VARCHAR(191) NULL,
    UNIQUE INDEX `TvContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CarInsuranceDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `licensePlate` VARCHAR(191) NULL,
    `hsn` VARCHAR(191) NULL,
    `tsn` VARCHAR(191) NULL,
    `vin` VARCHAR(191) NULL,
    `vehicleType` VARCHAR(191) NULL,
    `firstRegistration` DATETIME(3) NULL,
    `noClaimsClass` VARCHAR(191) NULL,
    `insuranceType` ENUM('LIABILITY', 'PARTIAL', 'FULL') NOT NULL DEFAULT 'LIABILITY',
    `deductiblePartial` DOUBLE NULL,
    `deductibleFull` DOUBLE NULL,
    `policyNumber` VARCHAR(191) NULL,
    `previousInsurer` VARCHAR(191) NULL,
    UNIQUE INDEX `CarInsuranceDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `AuditLog` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `userId` INTEGER NULL,
    `userEmail` VARCHAR(191) NOT NULL,
    `userRole` TEXT NULL,
    `customerId` INTEGER NULL,
    `isCustomerPortal` BOOLEAN NOT NULL DEFAULT false,
    `action` ENUM('CREATE', 'READ', 'UPDATE', 'DELETE', 'EXPORT', 'ANONYMIZE', 'LOGIN', 'LOGOUT', 'LOGIN_FAILED') NOT NULL,
    `sensitivity` ENUM('LOW', 'MEDIUM', 'HIGH', 'CRITICAL') NOT NULL DEFAULT 'MEDIUM',
    `resourceType` VARCHAR(191) NOT NULL,
    `resourceId` VARCHAR(191) NULL,
    `resourceLabel` VARCHAR(191) NULL,
    `endpoint` VARCHAR(191) NOT NULL,
    `httpMethod` VARCHAR(191) NOT NULL,
    `ipAddress` VARCHAR(191) NOT NULL,
    `userAgent` TEXT NULL,
    `changesBefore` LONGTEXT NULL,
    `changesAfter` LONGTEXT NULL,
    `changesEncrypted` BOOLEAN NOT NULL DEFAULT false,
    `dataSubjectId` INTEGER NULL,
    `legalBasis` VARCHAR(191) NULL,
    `success` BOOLEAN NOT NULL DEFAULT true,
    `errorMessage` TEXT NULL,
    `durationMs` INTEGER NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `hash` VARCHAR(191) NULL,
    `previousHash` VARCHAR(191) NULL,
    INDEX `AuditLog_userId_idx`(`userId`),
    INDEX `AuditLog_customerId_idx`(`customerId`),
    INDEX `AuditLog_resourceType_resourceId_idx`(`resourceType`, `resourceId`),
    INDEX `AuditLog_dataSubjectId_idx`(`dataSubjectId`),
    INDEX `AuditLog_action_idx`(`action`),
    INDEX `AuditLog_createdAt_idx`(`createdAt`),
    INDEX `AuditLog_sensitivity_idx`(`sensitivity`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CustomerConsent` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `consentType` ENUM('DATA_PROCESSING', 'MARKETING_EMAIL', 'MARKETING_PHONE', 'DATA_SHARING_PARTNER') NOT NULL,
    `status` ENUM('GRANTED', 'WITHDRAWN', 'PENDING') NOT NULL DEFAULT 'PENDING',
    `grantedAt` DATETIME(3) NULL,
    `withdrawnAt` DATETIME(3) NULL,
    `source` VARCHAR(191) NULL,
    `documentPath` VARCHAR(191) NULL,
    `version` VARCHAR(191) NULL,
    `ipAddress` VARCHAR(191) NULL,
    `createdBy` VARCHAR(191) NOT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `CustomerConsent_customerId_idx`(`customerId`),
    INDEX `CustomerConsent_consentType_idx`(`consentType`),
    INDEX `CustomerConsent_status_idx`(`status`),
    UNIQUE INDEX `CustomerConsent_customerId_consentType_key`(`customerId`, `consentType`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `DataDeletionRequest` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `status` ENUM('PENDING', 'IN_PROGRESS', 'COMPLETED', 'PARTIALLY_COMPLETED', 'REJECTED') NOT NULL DEFAULT 'PENDING',
    `requestedAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `requestSource` VARCHAR(191) NOT NULL,
    `requestedBy` VARCHAR(191) NOT NULL,
    `processedAt` DATETIME(3) NULL,
    `processedBy` VARCHAR(191) NULL,
    `deletedData` LONGTEXT NULL,
    `retainedData` LONGTEXT NULL,
    `retentionReason` TEXT NULL,
    `proofDocument` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `DataDeletionRequest_customerId_idx`(`customerId`),
    INDEX `DataDeletionRequest_status_idx`(`status`),
    INDEX `DataDeletionRequest_requestedAt_idx`(`requestedAt`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `AuditRetentionPolicy` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `resourceType` VARCHAR(191) NOT NULL,
    `sensitivity` ENUM('LOW', 'MEDIUM', 'HIGH', 'CRITICAL') NULL,
    `retentionDays` INTEGER NOT NULL,
    `description` VARCHAR(191) NULL,
    `legalBasis` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `AuditRetentionPolicy_resourceType_sensitivity_key`(`resourceType`, `sensitivity`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `SecurityEvent` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `type` ENUM('LOGIN_FAILED', 'LOGIN_SUCCESS', 'RATE_LIMIT_HIT', 'ACCESS_DENIED', 'SSRF_BLOCKED', 'PASSWORD_RESET_REQUEST', 'PASSWORD_RESET_CONFIRM', 'LOGOUT', 'TOKEN_REJECTED', 'PERMISSION_CHANGED', 'SUSPICIOUS') NOT NULL,
    `severity` ENUM('INFO', 'LOW', 'MEDIUM', 'HIGH', 'CRITICAL') NOT NULL,
    `message` TEXT NOT NULL,
    `ipAddress` VARCHAR(191) NULL,
    `userId` INTEGER NULL,
    `customerId` INTEGER NULL,
    `userEmail` VARCHAR(191) NULL,
    `endpoint` VARCHAR(191) NULL,
    `details` JSON NULL,
    `alerted` BOOLEAN NOT NULL DEFAULT false,
    `alertedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    INDEX `SecurityEvent_type_createdAt_idx`(`type`, `createdAt`),
    INDEX `SecurityEvent_severity_createdAt_idx`(`severity`, `createdAt`),
    INDEX `SecurityEvent_ipAddress_createdAt_idx`(`ipAddress`, `createdAt`),
    INDEX `SecurityEvent_alerted_severity_idx`(`alerted`, `severity`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `User` ADD CONSTRAINT `User_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `RolePermission` ADD CONSTRAINT `RolePermission_roleId_fkey` FOREIGN KEY (`roleId`) REFERENCES `Role`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `RolePermission` ADD CONSTRAINT `RolePermission_permissionId_fkey` FOREIGN KEY (`permissionId`) REFERENCES `Permission`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `UserRole` ADD CONSTRAINT `UserRole_userId_fkey` FOREIGN KEY (`userId`) REFERENCES `User`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `UserRole` ADD CONSTRAINT `UserRole_roleId_fkey` FOREIGN KEY (`roleId`) REFERENCES `Role`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CustomerRepresentative` ADD CONSTRAINT `CustomerRepresentative_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CustomerRepresentative` ADD CONSTRAINT `CustomerRepresentative_representativeId_fkey` FOREIGN KEY (`representativeId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `RepresentativeAuthorization` ADD CONSTRAINT `RepresentativeAuthorization_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `RepresentativeAuthorization` ADD CONSTRAINT `RepresentativeAuthorization_representativeId_fkey` FOREIGN KEY (`representativeId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Address` ADD CONSTRAINT `Address_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `BankCard` ADD CONSTRAINT `BankCard_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `IdentityDocument` ADD CONSTRAINT `IdentityDocument_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `StressfreiEmail` ADD CONSTRAINT `StressfreiEmail_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CachedEmail` ADD CONSTRAINT `CachedEmail_stressfreiEmailId_fkey` FOREIGN KEY (`stressfreiEmailId`) REFERENCES `StressfreiEmail`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CachedEmail` ADD CONSTRAINT `CachedEmail_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Meter` ADD CONSTRAINT `Meter_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `MeterReading` ADD CONSTRAINT `MeterReading_meterId_fkey` FOREIGN KEY (`meterId`) REFERENCES `Meter`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Tariff` ADD CONSTRAINT `Tariff_providerId_fkey` FOREIGN KEY (`providerId`) REFERENCES `Provider`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_contractCategoryId_fkey` FOREIGN KEY (`contractCategoryId`) REFERENCES `ContractCategory`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_addressId_fkey` FOREIGN KEY (`addressId`) REFERENCES `Address`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_billingAddressId_fkey` FOREIGN KEY (`billingAddressId`) REFERENCES `Address`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_bankCardId_fkey` FOREIGN KEY (`bankCardId`) REFERENCES `BankCard`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_identityDocumentId_fkey` FOREIGN KEY (`identityDocumentId`) REFERENCES `IdentityDocument`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_salesPlatformId_fkey` FOREIGN KEY (`salesPlatformId`) REFERENCES `SalesPlatform`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_cancellationPeriodId_fkey` FOREIGN KEY (`cancellationPeriodId`) REFERENCES `CancellationPeriod`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_contractDurationId_fkey` FOREIGN KEY (`contractDurationId`) REFERENCES `ContractDuration`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_previousContractId_fkey` FOREIGN KEY (`previousContractId`) REFERENCES `Contract`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_previousProviderId_fkey` FOREIGN KEY (`previousProviderId`) REFERENCES `Provider`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_providerId_fkey` FOREIGN KEY (`providerId`) REFERENCES `Provider`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_tariffId_fkey` FOREIGN KEY (`tariffId`) REFERENCES `Tariff`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_stressfreiEmailId_fkey` FOREIGN KEY (`stressfreiEmailId`) REFERENCES `StressfreiEmail`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractDocument` ADD CONSTRAINT `ContractDocument_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractHistoryEntry` ADD CONSTRAINT `ContractHistoryEntry_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractTask` ADD CONSTRAINT `ContractTask_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractTaskSubtask` ADD CONSTRAINT `ContractTaskSubtask_taskId_fkey` FOREIGN KEY (`taskId`) REFERENCES `ContractTask`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `EnergyContractDetails` ADD CONSTRAINT `EnergyContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `EnergyContractDetails` ADD CONSTRAINT `EnergyContractDetails_meterId_fkey` FOREIGN KEY (`meterId`) REFERENCES `Meter`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractMeter` ADD CONSTRAINT `ContractMeter_energyContractDetailsId_fkey` FOREIGN KEY (`energyContractDetailsId`) REFERENCES `EnergyContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractMeter` ADD CONSTRAINT `ContractMeter_meterId_fkey` FOREIGN KEY (`meterId`) REFERENCES `Meter`(`id`) ON DELETE RESTRICT ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Invoice` ADD CONSTRAINT `Invoice_energyContractDetailsId_fkey` FOREIGN KEY (`energyContractDetailsId`) REFERENCES `EnergyContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Invoice` ADD CONSTRAINT `Invoice_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `InternetContractDetails` ADD CONSTRAINT `InternetContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `PhoneNumber` ADD CONSTRAINT `PhoneNumber_internetContractDetailsId_fkey` FOREIGN KEY (`internetContractDetailsId`) REFERENCES `InternetContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `MobileContractDetails` ADD CONSTRAINT `MobileContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `SimCard` ADD CONSTRAINT `SimCard_mobileDetailsId_fkey` FOREIGN KEY (`mobileDetailsId`) REFERENCES `MobileContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `TvContractDetails` ADD CONSTRAINT `TvContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CarInsuranceDetails` ADD CONSTRAINT `CarInsuranceDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CustomerConsent` ADD CONSTRAINT `CustomerConsent_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,354 +0,0 @@
 -- CreateTable
 CREATE TABLE `User` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `email` VARCHAR(191) NOT NULL,
    `password` VARCHAR(191) NOT NULL,
    `firstName` VARCHAR(191) NOT NULL,
    `lastName` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `customerId` INTEGER NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `User_email_key`(`email`),
    UNIQUE INDEX `User_customerId_key`(`customerId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Role` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Role_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Permission` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `resource` VARCHAR(191) NOT NULL,
    `action` VARCHAR(191) NOT NULL,
    UNIQUE INDEX `Permission_resource_action_key`(`resource`, `action`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `RolePermission` (
    `roleId` INTEGER NOT NULL,
    `permissionId` INTEGER NOT NULL,
    PRIMARY KEY (`roleId`, `permissionId`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `UserRole` (
    `userId` INTEGER NOT NULL,
    `roleId` INTEGER NOT NULL,
    PRIMARY KEY (`userId`, `roleId`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Customer` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerNumber` VARCHAR(191) NOT NULL,
    `type` ENUM('PRIVATE', 'BUSINESS') NOT NULL DEFAULT 'PRIVATE',
    `salutation` VARCHAR(191) NULL,
    `firstName` VARCHAR(191) NOT NULL,
    `lastName` VARCHAR(191) NOT NULL,
    `companyName` VARCHAR(191) NULL,
    `email` VARCHAR(191) NULL,
    `phone` VARCHAR(191) NULL,
    `mobile` VARCHAR(191) NULL,
    `taxNumber` VARCHAR(191) NULL,
    `businessRegistration` TEXT NULL,
    `commercialRegister` VARCHAR(191) NULL,
    `notes` TEXT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Customer_customerNumber_key`(`customerNumber`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Address` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `type` ENUM('DELIVERY_RESIDENCE', 'BILLING') NOT NULL DEFAULT 'DELIVERY_RESIDENCE',
    `street` VARCHAR(191) NOT NULL,
    `houseNumber` VARCHAR(191) NOT NULL,
    `postalCode` VARCHAR(191) NOT NULL,
    `city` VARCHAR(191) NOT NULL,
    `country` VARCHAR(191) NOT NULL DEFAULT 'Deutschland',
    `isDefault` BOOLEAN NOT NULL DEFAULT false,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `BankCard` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `accountHolder` VARCHAR(191) NOT NULL,
    `iban` VARCHAR(191) NOT NULL,
    `bic` VARCHAR(191) NULL,
    `bankName` VARCHAR(191) NULL,
    `expiryDate` DATETIME(3) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `IdentityDocument` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `type` ENUM('ID_CARD', 'PASSPORT', 'DRIVERS_LICENSE', 'OTHER') NOT NULL DEFAULT 'ID_CARD',
    `documentNumber` VARCHAR(191) NOT NULL,
    `issuingAuthority` VARCHAR(191) NULL,
    `issueDate` DATETIME(3) NULL,
    `expiryDate` DATETIME(3) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Meter` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `meterNumber` VARCHAR(191) NOT NULL,
    `type` ENUM('ELECTRICITY', 'GAS') NOT NULL,
    `location` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `MeterReading` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `meterId` INTEGER NOT NULL,
    `readingDate` DATETIME(3) NOT NULL,
    `value` DOUBLE NOT NULL,
    `unit` VARCHAR(191) NOT NULL DEFAULT 'kWh',
    `notes` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `SalesPlatform` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `contactInfo` TEXT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `SalesPlatform_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Contract` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractNumber` VARCHAR(191) NOT NULL,
    `customerId` INTEGER NOT NULL,
    `type` ENUM('ELECTRICITY', 'GAS', 'DSL', 'FIBER', 'MOBILE', 'TV', 'CAR_INSURANCE') NOT NULL,
    `status` ENUM('DRAFT', 'PENDING', 'ACTIVE', 'CANCELLED', 'EXPIRED') NOT NULL DEFAULT 'DRAFT',
    `addressId` INTEGER NULL,
    `bankCardId` INTEGER NULL,
    `identityDocumentId` INTEGER NULL,
    `salesPlatformId` INTEGER NULL,
    `previousContractId` INTEGER NULL,
    `providerName` VARCHAR(191) NULL,
    `tariffName` VARCHAR(191) NULL,
    `customerNumberAtProvider` VARCHAR(191) NULL,
    `startDate` DATETIME(3) NULL,
    `endDate` DATETIME(3) NULL,
    `cancellationPeriod` INTEGER NULL,
    `commission` DOUBLE NULL,
    `portalUsername` VARCHAR(191) NULL,
    `portalPasswordEncrypted` VARCHAR(191) NULL,
    `notes` TEXT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Contract_contractNumber_key`(`contractNumber`),
    UNIQUE INDEX `Contract_previousContractId_key`(`previousContractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `EnergyContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `meterId` INTEGER NULL,
    `annualConsumption` DOUBLE NULL,
    `basePrice` DOUBLE NULL,
    `unitPrice` DOUBLE NULL,
    `bonus` DOUBLE NULL,
    `previousProviderName` VARCHAR(191) NULL,
    `previousCustomerNumber` VARCHAR(191) NULL,
    UNIQUE INDEX `EnergyContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `InternetContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `downloadSpeed` INTEGER NULL,
    `uploadSpeed` INTEGER NULL,
    `routerModel` VARCHAR(191) NULL,
    `routerSerialNumber` VARCHAR(191) NULL,
    `installationDate` DATETIME(3) NULL,
    UNIQUE INDEX `InternetContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `PhoneNumber` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `internetContractDetailsId` INTEGER NOT NULL,
    `phoneNumber` VARCHAR(191) NOT NULL,
    `isMain` BOOLEAN NOT NULL DEFAULT false,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `MobileContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `phoneNumber` VARCHAR(191) NULL,
    `simCardNumber` VARCHAR(191) NULL,
    `dataVolume` DOUBLE NULL,
    `includedMinutes` INTEGER NULL,
    `includedSMS` INTEGER NULL,
    `deviceModel` VARCHAR(191) NULL,
    `deviceImei` VARCHAR(191) NULL,
    UNIQUE INDEX `MobileContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `TvContractDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `receiverModel` VARCHAR(191) NULL,
    `smartcardNumber` VARCHAR(191) NULL,
    `package` VARCHAR(191) NULL,
    UNIQUE INDEX `TvContractDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CarInsuranceDetails` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `licensePlate` VARCHAR(191) NULL,
    `hsn` VARCHAR(191) NULL,
    `tsn` VARCHAR(191) NULL,
    `vin` VARCHAR(191) NULL,
    `vehicleType` VARCHAR(191) NULL,
    `firstRegistration` DATETIME(3) NULL,
    `noClaimsClass` VARCHAR(191) NULL,
    `insuranceType` ENUM('LIABILITY', 'PARTIAL', 'FULL') NOT NULL DEFAULT 'LIABILITY',
    `deductiblePartial` DOUBLE NULL,
    `deductibleFull` DOUBLE NULL,
    `policyNumber` VARCHAR(191) NULL,
    `previousInsurer` VARCHAR(191) NULL,
    UNIQUE INDEX `CarInsuranceDetails_contractId_key`(`contractId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `User` ADD CONSTRAINT `User_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `RolePermission` ADD CONSTRAINT `RolePermission_roleId_fkey` FOREIGN KEY (`roleId`) REFERENCES `Role`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `RolePermission` ADD CONSTRAINT `RolePermission_permissionId_fkey` FOREIGN KEY (`permissionId`) REFERENCES `Permission`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `UserRole` ADD CONSTRAINT `UserRole_userId_fkey` FOREIGN KEY (`userId`) REFERENCES `User`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `UserRole` ADD CONSTRAINT `UserRole_roleId_fkey` FOREIGN KEY (`roleId`) REFERENCES `Role`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Address` ADD CONSTRAINT `Address_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `BankCard` ADD CONSTRAINT `BankCard_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `IdentityDocument` ADD CONSTRAINT `IdentityDocument_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Meter` ADD CONSTRAINT `Meter_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `MeterReading` ADD CONSTRAINT `MeterReading_meterId_fkey` FOREIGN KEY (`meterId`) REFERENCES `Meter`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_addressId_fkey` FOREIGN KEY (`addressId`) REFERENCES `Address`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_bankCardId_fkey` FOREIGN KEY (`bankCardId`) REFERENCES `BankCard`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_identityDocumentId_fkey` FOREIGN KEY (`identityDocumentId`) REFERENCES `IdentityDocument`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_salesPlatformId_fkey` FOREIGN KEY (`salesPlatformId`) REFERENCES `SalesPlatform`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_previousContractId_fkey` FOREIGN KEY (`previousContractId`) REFERENCES `Contract`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `EnergyContractDetails` ADD CONSTRAINT `EnergyContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `EnergyContractDetails` ADD CONSTRAINT `EnergyContractDetails_meterId_fkey` FOREIGN KEY (`meterId`) REFERENCES `Meter`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `InternetContractDetails` ADD CONSTRAINT `InternetContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `PhoneNumber` ADD CONSTRAINT `PhoneNumber_internetContractDetailsId_fkey` FOREIGN KEY (`internetContractDetailsId`) REFERENCES `InternetContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `MobileContractDetails` ADD CONSTRAINT `MobileContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `TvContractDetails` ADD CONSTRAINT `TvContractDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CarInsuranceDetails` ADD CONSTRAINT `CarInsuranceDetails_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,5 +0,0 @@
 -- AlterTable
 ALTER TABLE `BankCard` ADD COLUMN `documentPath` VARCHAR(191) NULL;
 -- AlterTable
 ALTER TABLE `IdentityDocument` ADD COLUMN `documentPath` VARCHAR(191) NULL;
@@ -1,3 +0,0 @@
 -- AlterTable
 ALTER TABLE `Customer` ADD COLUMN `birthDate` DATETIME(3) NULL,
    ADD COLUMN `birthPlace` VARCHAR(191) NULL;
@@ -1,3 +0,0 @@
 -- AlterTable
 ALTER TABLE `IdentityDocument` ADD COLUMN `licenseClasses` VARCHAR(191) NULL,
    ADD COLUMN `licenseIssueDate` DATETIME(3) NULL;
@@ -1,14 +0,0 @@
 /*
  Warnings:
  - You are about to drop the column `businessRegistration` on the `Customer` table. All the data in the column will be lost.
  - You are about to drop the column `commercialRegister` on the `Customer` table. All the data in the column will be lost.
 */
 -- AlterTable
 ALTER TABLE `Customer` DROP COLUMN `businessRegistration`,
    DROP COLUMN `commercialRegister`,
    ADD COLUMN `businessRegistrationPath` VARCHAR(191) NULL,
    ADD COLUMN `commercialRegisterNumber` VARCHAR(191) NULL,
    ADD COLUMN `commercialRegisterPath` VARCHAR(191) NULL,
    ADD COLUMN `foundingDate` DATETIME(3) NULL;
@@ -1,31 +0,0 @@
 /*
  Warnings:
  - You are about to drop the column `cancellationPeriod` on the `Contract` table. All the data in the column will be lost.
 */
 -- AlterTable
 ALTER TABLE `Contract` DROP COLUMN `cancellationPeriod`,
    ADD COLUMN `cancellationPeriodId` INTEGER NULL,
    ADD COLUMN `priceAfter24Months` VARCHAR(191) NULL,
    ADD COLUMN `priceFirst12Months` VARCHAR(191) NULL,
    ADD COLUMN `priceFrom13Months` VARCHAR(191) NULL;
 -- AlterTable
 ALTER TABLE `Customer` ADD COLUMN `privacyPolicyPath` VARCHAR(191) NULL;
 -- CreateTable
 CREATE TABLE `CancellationPeriod` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `code` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `CancellationPeriod_code_key`(`code`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_cancellationPeriodId_fkey` FOREIGN KEY (`cancellationPeriodId`) REFERENCES `CancellationPeriod`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
@@ -1,18 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `contractDurationId` INTEGER NULL;
 -- CreateTable
 CREATE TABLE `ContractDuration` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `code` VARCHAR(191) NOT NULL,
    `description` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `ContractDuration_code_key`(`code`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_contractDurationId_fkey` FOREIGN KEY (`contractDurationId`) REFERENCES `ContractDuration`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
@@ -1,8 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `cancellationConfirmationDate` DATETIME(3) NULL,
    ADD COLUMN `cancellationConfirmationOptionsDate` DATETIME(3) NULL,
    ADD COLUMN `cancellationConfirmationOptionsPath` VARCHAR(191) NULL,
    ADD COLUMN `cancellationConfirmationPath` VARCHAR(191) NULL,
    ADD COLUMN `cancellationLetterOptionsPath` VARCHAR(191) NULL,
    ADD COLUMN `cancellationLetterPath` VARCHAR(191) NULL,
    ADD COLUMN `wasSpecialCancellation` BOOLEAN NOT NULL DEFAULT false;
@@ -1,40 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `providerId` INTEGER NULL,
    ADD COLUMN `tariffId` INTEGER NULL;
 -- CreateTable
 CREATE TABLE `Provider` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `portalUrl` VARCHAR(191) NULL,
    `usernameFieldName` VARCHAR(191) NULL,
    `passwordFieldName` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Provider_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `Tariff` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `providerId` INTEGER NOT NULL,
    `name` VARCHAR(191) NOT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `Tariff_providerId_name_key`(`providerId`, `name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `Tariff` ADD CONSTRAINT `Tariff_providerId_fkey` FOREIGN KEY (`providerId`) REFERENCES `Provider`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_providerId_fkey` FOREIGN KEY (`providerId`) REFERENCES `Provider`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_tariffId_fkey` FOREIGN KEY (`tariffId`) REFERENCES `Tariff`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
@@ -1,21 +0,0 @@
 -- AlterTable
 ALTER TABLE `MobileContractDetails` ADD COLUMN `requiresMultisim` BOOLEAN NOT NULL DEFAULT false;
 -- CreateTable
 CREATE TABLE `SimCard` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `mobileDetailsId` INTEGER NOT NULL,
    `phoneNumber` VARCHAR(191) NULL,
    `simCardNumber` VARCHAR(191) NULL,
    `pin` VARCHAR(191) NULL,
    `puk` VARCHAR(191) NULL,
    `isMultisim` BOOLEAN NOT NULL DEFAULT false,
    `isMain` BOOLEAN NOT NULL DEFAULT false,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `SimCard` ADD CONSTRAINT `SimCard_mobileDetailsId_fkey` FOREIGN KEY (`mobileDetailsId`) REFERENCES `MobileContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,21 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `contractCategoryId` INTEGER NULL;
 -- CreateTable
 CREATE TABLE `ContractCategory` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `code` VARCHAR(191) NOT NULL,
    `name` VARCHAR(191) NOT NULL,
    `icon` VARCHAR(191) NULL,
    `color` VARCHAR(191) NULL,
    `sortOrder` INTEGER NOT NULL DEFAULT 0,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `ContractCategory_code_key`(`code`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_contractCategoryId_fkey` FOREIGN KEY (`contractCategoryId`) REFERENCES `ContractCategory`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
@@ -1,13 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` MODIFY `type` ENUM('ELECTRICITY', 'GAS', 'DSL', 'CABLE', 'FIBER', 'MOBILE', 'TV', 'CAR_INSURANCE') NOT NULL;
 -- AlterTable
 ALTER TABLE `InternetContractDetails` ADD COLUMN `activationCode` VARCHAR(191) NULL,
    ADD COLUMN `homeId` VARCHAR(191) NULL,
    ADD COLUMN `internetPasswordEncrypted` VARCHAR(191) NULL,
    ADD COLUMN `internetUsername` VARCHAR(191) NULL;
 -- AlterTable
 ALTER TABLE `PhoneNumber` ADD COLUMN `sipPasswordEncrypted` VARCHAR(191) NULL,
    ADD COLUMN `sipServer` VARCHAR(191) NULL,
    ADD COLUMN `sipUsername` VARCHAR(191) NULL;
@@ -1,180 +0,0 @@
 /*
  Warnings:
  - A unique constraint covering the columns `[portalEmail]` on the table `Customer` will be added. If there are existing duplicate values, this will fail.
 */
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `stressfreiEmailId` INTEGER NULL,
    MODIFY `status` ENUM('DRAFT', 'PENDING', 'ACTIVE', 'CANCELLED', 'EXPIRED', 'DEACTIVATED') NOT NULL DEFAULT 'DRAFT';
 -- AlterTable
 ALTER TABLE `Customer` ADD COLUMN `portalEmail` VARCHAR(191) NULL,
    ADD COLUMN `portalEnabled` BOOLEAN NOT NULL DEFAULT false,
    ADD COLUMN `portalLastLogin` DATETIME(3) NULL,
    ADD COLUMN `portalPasswordEncrypted` VARCHAR(191) NULL,
    ADD COLUMN `portalPasswordHash` VARCHAR(191) NULL;
 -- CreateTable
 CREATE TABLE `AppSetting` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `key` VARCHAR(191) NOT NULL,
    `value` TEXT NOT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `AppSetting_key_key`(`key`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CustomerRepresentative` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `representativeId` INTEGER NOT NULL,
    `notes` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `CustomerRepresentative_customerId_representativeId_key`(`customerId`, `representativeId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `EmailProviderConfig` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(191) NOT NULL,
    `type` ENUM('PLESK', 'CPANEL', 'DIRECTADMIN') NOT NULL,
    `apiUrl` VARCHAR(191) NOT NULL,
    `apiKey` VARCHAR(191) NULL,
    `username` VARCHAR(191) NULL,
    `passwordEncrypted` VARCHAR(191) NULL,
    `domain` VARCHAR(191) NOT NULL,
    `defaultForwardEmail` VARCHAR(191) NULL,
    `imapServer` VARCHAR(191) NULL,
    `imapPort` INTEGER NULL DEFAULT 993,
    `smtpServer` VARCHAR(191) NULL,
    `smtpPort` INTEGER NULL DEFAULT 465,
    `imapEncryption` ENUM('SSL', 'STARTTLS', 'NONE') NOT NULL DEFAULT 'SSL',
    `smtpEncryption` ENUM('SSL', 'STARTTLS', 'NONE') NOT NULL DEFAULT 'SSL',
    `allowSelfSignedCerts` BOOLEAN NOT NULL DEFAULT false,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `isDefault` BOOLEAN NOT NULL DEFAULT false,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `EmailProviderConfig_name_key`(`name`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `StressfreiEmail` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `email` VARCHAR(191) NOT NULL,
    `platform` VARCHAR(191) NULL,
    `notes` TEXT NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `isProvisioned` BOOLEAN NOT NULL DEFAULT false,
    `provisionedAt` DATETIME(3) NULL,
    `provisionError` TEXT NULL,
    `hasMailbox` BOOLEAN NOT NULL DEFAULT false,
    `emailPasswordEncrypted` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CachedEmail` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `stressfreiEmailId` INTEGER NOT NULL,
    `folder` ENUM('INBOX', 'SENT') NOT NULL DEFAULT 'INBOX',
    `messageId` VARCHAR(191) NOT NULL,
    `uid` INTEGER NOT NULL,
    `subject` VARCHAR(191) NULL,
    `fromAddress` VARCHAR(191) NOT NULL,
    `fromName` VARCHAR(191) NULL,
    `toAddresses` TEXT NOT NULL,
    `ccAddresses` TEXT NULL,
    `receivedAt` DATETIME(3) NOT NULL,
    `textBody` LONGTEXT NULL,
    `htmlBody` LONGTEXT NULL,
    `hasAttachments` BOOLEAN NOT NULL DEFAULT false,
    `attachmentNames` TEXT NULL,
    `contractId` INTEGER NULL,
    `assignedAt` DATETIME(3) NULL,
    `assignedBy` INTEGER NULL,
    `isAutoAssigned` BOOLEAN NOT NULL DEFAULT false,
    `isRead` BOOLEAN NOT NULL DEFAULT false,
    `isStarred` BOOLEAN NOT NULL DEFAULT false,
    `isDeleted` BOOLEAN NOT NULL DEFAULT false,
    `deletedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `CachedEmail_contractId_idx`(`contractId`),
    INDEX `CachedEmail_stressfreiEmailId_folder_receivedAt_idx`(`stressfreiEmailId`, `folder`, `receivedAt`),
    INDEX `CachedEmail_stressfreiEmailId_isDeleted_idx`(`stressfreiEmailId`, `isDeleted`),
    UNIQUE INDEX `CachedEmail_stressfreiEmailId_messageId_folder_key`(`stressfreiEmailId`, `messageId`, `folder`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractTask` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `title` VARCHAR(191) NOT NULL,
    `description` TEXT NULL,
    `status` ENUM('OPEN', 'COMPLETED') NOT NULL DEFAULT 'OPEN',
    `visibleInPortal` BOOLEAN NOT NULL DEFAULT false,
    `createdBy` VARCHAR(191) NULL,
    `completedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `ContractTaskSubtask` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `taskId` INTEGER NOT NULL,
    `title` VARCHAR(191) NOT NULL,
    `status` ENUM('OPEN', 'COMPLETED') NOT NULL DEFAULT 'OPEN',
    `createdBy` VARCHAR(191) NULL,
    `completedAt` DATETIME(3) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateIndex
 CREATE UNIQUE INDEX `Customer_portalEmail_key` ON `Customer`(`portalEmail`);
 -- AddForeignKey
 ALTER TABLE `CustomerRepresentative` ADD CONSTRAINT `CustomerRepresentative_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CustomerRepresentative` ADD CONSTRAINT `CustomerRepresentative_representativeId_fkey` FOREIGN KEY (`representativeId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `StressfreiEmail` ADD CONSTRAINT `StressfreiEmail_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CachedEmail` ADD CONSTRAINT `CachedEmail_stressfreiEmailId_fkey` FOREIGN KEY (`stressfreiEmailId`) REFERENCES `StressfreiEmail`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `CachedEmail` ADD CONSTRAINT `CachedEmail_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_stressfreiEmailId_fkey` FOREIGN KEY (`stressfreiEmailId`) REFERENCES `StressfreiEmail`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractTask` ADD CONSTRAINT `ContractTask_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
 -- AddForeignKey
 ALTER TABLE `ContractTaskSubtask` ADD CONSTRAINT `ContractTaskSubtask_taskId_fkey` FOREIGN KEY (`taskId`) REFERENCES `ContractTask`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,2 +0,0 @@
 -- AlterTable
 ALTER TABLE `User` ADD COLUMN `tokenInvalidatedAt` DATETIME(3) NULL;
@@ -1,5 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `billingAddressId` INTEGER NULL;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_billingAddressId_fkey` FOREIGN KEY (`billingAddressId`) REFERENCES `Address`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
@@ -1,2 +0,0 @@
 -- AlterTable
 ALTER TABLE `EnergyContractDetails` ADD COLUMN `annualConsumptionKwh` DOUBLE NULL;
@@ -1,2 +0,0 @@
 -- AlterTable
 ALTER TABLE `EnergyContractDetails` ADD COLUMN `maloId` VARCHAR(191) NULL;
@@ -1,17 +0,0 @@
 -- CreateTable
 CREATE TABLE `Invoice` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `energyContractDetailsId` INTEGER NOT NULL,
    `invoiceDate` DATETIME(3) NOT NULL,
    `invoiceType` ENUM('INTERIM', 'FINAL', 'NOT_AVAILABLE') NOT NULL,
    `documentPath` VARCHAR(191) NULL,
    `notes` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `Invoice_energyContractDetailsId_idx`(`energyContractDetailsId`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `Invoice` ADD CONSTRAINT `Invoice_energyContractDetailsId_fkey` FOREIGN KEY (`energyContractDetailsId`) REFERENCES `EnergyContractDetails`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,2 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `nextReviewDate` DATETIME(3) NULL;
@@ -1,2 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `contractNumberAtProvider` VARCHAR(191) NULL;
@@ -1,7 +0,0 @@
 -- AlterTable
 ALTER TABLE `Contract` ADD COLUMN `previousContractNumber` VARCHAR(191) NULL,
    ADD COLUMN `previousCustomerNumber` VARCHAR(191) NULL,
    ADD COLUMN `previousProviderId` INTEGER NULL;
 -- AddForeignKey
 ALTER TABLE `Contract` ADD CONSTRAINT `Contract_previousProviderId_fkey` FOREIGN KEY (`previousProviderId`) REFERENCES `Provider`(`id`) ON DELETE SET NULL ON UPDATE CASCADE;
@@ -1,15 +0,0 @@
 -- CreateTable
 CREATE TABLE `ContractHistoryEntry` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `contractId` INTEGER NOT NULL,
    `title` VARCHAR(191) NOT NULL,
    `description` TEXT NULL,
    `isAutomatic` BOOLEAN NOT NULL DEFAULT false,
    `createdBy` VARCHAR(191) NOT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `ContractHistoryEntry` ADD CONSTRAINT `ContractHistoryEntry_contractId_fkey` FOREIGN KEY (`contractId`) REFERENCES `Contract`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,103 +0,0 @@
 -- CreateTable
 CREATE TABLE `AuditLog` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `userId` INTEGER NULL,
    `userEmail` VARCHAR(191) NOT NULL,
    `userRole` VARCHAR(191) NULL,
    `customerId` INTEGER NULL,
    `isCustomerPortal` BOOLEAN NOT NULL DEFAULT false,
    `action` ENUM('CREATE', 'READ', 'UPDATE', 'DELETE', 'EXPORT', 'ANONYMIZE', 'LOGIN', 'LOGOUT', 'LOGIN_FAILED') NOT NULL,
    `sensitivity` ENUM('LOW', 'MEDIUM', 'HIGH', 'CRITICAL') NOT NULL DEFAULT 'MEDIUM',
    `resourceType` VARCHAR(191) NOT NULL,
    `resourceId` VARCHAR(191) NULL,
    `resourceLabel` VARCHAR(191) NULL,
    `endpoint` VARCHAR(191) NOT NULL,
    `httpMethod` VARCHAR(191) NOT NULL,
    `ipAddress` VARCHAR(191) NOT NULL,
    `userAgent` TEXT NULL,
    `changesBefore` LONGTEXT NULL,
    `changesAfter` LONGTEXT NULL,
    `changesEncrypted` BOOLEAN NOT NULL DEFAULT false,
    `dataSubjectId` INTEGER NULL,
    `legalBasis` VARCHAR(191) NULL,
    `success` BOOLEAN NOT NULL DEFAULT true,
    `errorMessage` TEXT NULL,
    `durationMs` INTEGER NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `hash` VARCHAR(191) NULL,
    `previousHash` VARCHAR(191) NULL,
    INDEX `AuditLog_userId_idx`(`userId`),
    INDEX `AuditLog_customerId_idx`(`customerId`),
    INDEX `AuditLog_resourceType_resourceId_idx`(`resourceType`, `resourceId`),
    INDEX `AuditLog_dataSubjectId_idx`(`dataSubjectId`),
    INDEX `AuditLog_action_idx`(`action`),
    INDEX `AuditLog_createdAt_idx`(`createdAt`),
    INDEX `AuditLog_sensitivity_idx`(`sensitivity`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `CustomerConsent` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `consentType` ENUM('DATA_PROCESSING', 'MARKETING_EMAIL', 'MARKETING_PHONE', 'DATA_SHARING_PARTNER') NOT NULL,
    `status` ENUM('GRANTED', 'WITHDRAWN', 'PENDING') NOT NULL DEFAULT 'PENDING',
    `grantedAt` DATETIME(3) NULL,
    `withdrawnAt` DATETIME(3) NULL,
    `source` VARCHAR(191) NULL,
    `documentPath` VARCHAR(191) NULL,
    `version` VARCHAR(191) NULL,
    `ipAddress` VARCHAR(191) NULL,
    `createdBy` VARCHAR(191) NOT NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `CustomerConsent_customerId_idx`(`customerId`),
    INDEX `CustomerConsent_consentType_idx`(`consentType`),
    INDEX `CustomerConsent_status_idx`(`status`),
    UNIQUE INDEX `CustomerConsent_customerId_consentType_key`(`customerId`, `consentType`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `DataDeletionRequest` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `customerId` INTEGER NOT NULL,
    `status` ENUM('PENDING', 'IN_PROGRESS', 'COMPLETED', 'PARTIALLY_COMPLETED', 'REJECTED') NOT NULL DEFAULT 'PENDING',
    `requestedAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `requestSource` VARCHAR(191) NOT NULL,
    `requestedBy` VARCHAR(191) NOT NULL,
    `processedAt` DATETIME(3) NULL,
    `processedBy` VARCHAR(191) NULL,
    `deletedData` LONGTEXT NULL,
    `retainedData` LONGTEXT NULL,
    `retentionReason` TEXT NULL,
    `proofDocument` VARCHAR(191) NULL,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    INDEX `DataDeletionRequest_customerId_idx`(`customerId`),
    INDEX `DataDeletionRequest_status_idx`(`status`),
    INDEX `DataDeletionRequest_requestedAt_idx`(`requestedAt`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- CreateTable
 CREATE TABLE `AuditRetentionPolicy` (
    `id` INTEGER NOT NULL AUTO_INCREMENT,
    `resourceType` VARCHAR(191) NOT NULL,
    `sensitivity` ENUM('LOW', 'MEDIUM', 'HIGH', 'CRITICAL') NULL,
    `retentionDays` INTEGER NOT NULL,
    `description` VARCHAR(191) NULL,
    `legalBasis` VARCHAR(191) NULL,
    `isActive` BOOLEAN NOT NULL DEFAULT true,
    `createdAt` DATETIME(3) NOT NULL DEFAULT CURRENT_TIMESTAMP(3),
    `updatedAt` DATETIME(3) NOT NULL,
    UNIQUE INDEX `AuditRetentionPolicy_resourceType_sensitivity_key`(`resourceType`, `sensitivity`),
    PRIMARY KEY (`id`)
 ) DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- AddForeignKey
 ALTER TABLE `CustomerConsent` ADD CONSTRAINT `CustomerConsent_customerId_fkey` FOREIGN KEY (`customerId`) REFERENCES `Customer`(`id`) ON DELETE CASCADE ON UPDATE CASCADE;
@@ -1,10 +0,0 @@
 -- AlterTable
 ALTER TABLE `Customer` ADD COLUMN `consentHash` VARCHAR(191) NULL;
 -- AlterTable
 ALTER TABLE `User` ADD COLUMN `whatsappNumber` VARCHAR(191) NULL,
    ADD COLUMN `telegramUsername` VARCHAR(191) NULL,
    ADD COLUMN `signalNumber` VARCHAR(191) NULL;
 -- CreateIndex
 CREATE UNIQUE INDEX `Customer_consentHash_key` ON `Customer`(`consentHash`);
@@ -172,6 +172,10 @@ model Customer {
  portalPasswordResetExpiresAt DateTime?
  // Portal Session-Invalidation (nach Passwort-Reset / Rechte-Änderung)
  portalTokenInvalidatedAt     DateTime?
  // Einmalpasswort: gesetzt durch "Zugangsdaten versenden"-Button. Beim ersten
  // erfolgreichen Login wird der Hash sofort gelöscht (OTP verbraucht) und
  // Frontend in Force-Change-Password-Flow geleitet.
  portalPasswordMustChange     Boolean        @default(false)
  // Geburtstagsmodal: Jahr in dem dem Kunden der Geburtstagsgruß gezeigt wurde (vermeidet mehrfaches Anzeigen)
  lastBirthdayGreetingYear     Int?
@@ -15,7 +15,11 @@ import { PrismaClient } from '@prisma/client';
 const prisma = new PrismaClient();
-const ROOT = path.join(process.cwd(), 'factory-defaults');
+// ROOT kann via FACTORY_DEFAULTS_DIR überschrieben werden (Container-Bootstrap
 // mit eingebauten Defaults aus dem Image).
 const ROOT = process.env.FACTORY_DEFAULTS_DIR
  ? path.resolve(process.env.FACTORY_DEFAULTS_DIR)
  : path.join(process.cwd(), 'factory-defaults');
 const UPLOADS_ROOT = path.join(process.cwd(), 'uploads');
 const PDF_UPLOAD_DIR = path.join(UPLOADS_ROOT, 'pdf-templates');
@@ -61,6 +65,19 @@ interface PdfTemplateDef {
  pdfFilename: string; // Dateiname im pdf-templates/-Ordner
 }
 interface AppSettingDef {
  key: string;
  value: string;
 }
 // Whitelist – muss synchron zu factoryDefaults.service.ts sein.
 const FACTORY_DEFAULT_APP_SETTING_KEYS = new Set([
  'privacyPolicyHtml',
  'authorizationTemplateHtml',
  'imprintHtml',
  'websitePrivacyPolicyHtml',
 ]);
 /**
 * Liest alle *.json Dateien aus einem Ordner und gibt die zusammengeführten Arrays zurück.
 */
@@ -299,6 +316,31 @@ async function seedPdfTemplates() {
  console.log(`  ✓ PDF-Vorlagen: ${count}${skipped > 0 ? ` (${skipped} übersprungen)` : ''}`);
 }
 async function seedAppSettings() {
  const items = readJsonArrays<AppSettingDef>(path.join(ROOT, 'app-settings'));
  if (items.length === 0) {
    console.log('  app-settings – keine Einträge');
    return;
  }
  let count = 0;
  let skipped = 0;
  for (const s of items) {
    if (!s.key || typeof s.value !== 'string') continue;
    if (!FACTORY_DEFAULT_APP_SETTING_KEYS.has(s.key)) {
      console.warn(`  ⚠  AppSetting-Key '${s.key}' nicht auf Whitelist – übersprungen`);
      skipped++;
      continue;
    }
    await prisma.appSetting.upsert({
      where: { key: s.key },
      update: { value: s.value },
      create: { key: s.key, value: s.value },
    });
    count++;
  }
  console.log(`  ✓ HTML-Templates: ${count}${skipped > 0 ? ` (${skipped} übersprungen)` : ''}`);
 }
 async function main() {
  console.log('\n📦 Factory-Defaults werden eingespielt...\n');
@@ -313,6 +355,7 @@ async function main() {
  await seedContractDurations();
  await seedContractCategories();
  await seedPdfTemplates();
  await seedAppSettings();
  console.log('\n✅ Factory-Defaults erfolgreich eingespielt.\n');
 }
@@ -1,8 +1,31 @@
-import { Request, Response } from 'express';
+import { Request, Response, CookieOptions } from 'express';
 import * as authService from '../services/auth.service.js';
 import { AuthRequest, ApiResponse } from '../types/index.js';
 import prisma from '../lib/prisma.js';
 import { emit as emitSecurityEvent, contextFromRequest } from '../services/securityMonitor.service.js';
 import { validatePasswordComplexity } from '../utils/passwordGenerator.js';
 // Refresh-Token-Cookie-Konfiguration. Der Cookie:
 // - httpOnly → kein JavaScript-Zugriff → bei XSS nicht klaubar
 // - secure   → nur über HTTPS (in Prod via HTTPS_ENABLED, in Dev egal)
 // - sameSite 'strict' → CSRF-Schutz; Cross-Site-Requests senden den Cookie nicht
 // - path '/api/auth' → wird nur an Auth-Endpoints mitgeschickt
 const REFRESH_COOKIE_NAME = 'refresh_token';
 function getRefreshCookieOptions(): CookieOptions {
  return {
    httpOnly: true,
    secure: process.env.HTTPS_ENABLED === 'true',
    sameSite: 'strict',
    path: '/api/auth',
    maxAge: 7 * 24 * 60 * 60 * 1000, // 7 Tage, gleicht Refresh-JWT-Lifetime
  };
 }
 function setRefreshCookie(res: Response, token: string): void {
  res.cookie(REFRESH_COOKIE_NAME, token, getRefreshCookieOptions());
 }
 function clearRefreshCookie(res: Response): void {
  res.clearCookie(REFRESH_COOKIE_NAME, { path: '/api/auth' });
 }
 // Mitarbeiter-Login
 export async function login(req: Request, res: Response): Promise<void> {
@@ -18,6 +41,9 @@ export async function login(req: Request, res: Response): Promise<void> {
    }
    const result = await authService.login(email, password);
    // Refresh-Token in httpOnly-Cookie, Access-Token im Body (Frontend hält
    // ihn nur in memory). `token`-Feld bleibt aus Kompatibilität bestehen.
    setRefreshCookie(res, result.refreshToken);
    emitSecurityEvent({
      type: 'LOGIN_SUCCESS',
      severity: 'INFO',
@@ -27,7 +53,10 @@ export async function login(req: Request, res: Response): Promise<void> {
      userEmail: email,
      endpoint: ctx.endpoint,
    });
-    res.json({ success: true, data: result } as ApiResponse);
+    res.json({
      success: true,
      data: { token: result.accessToken, user: result.user },
    } as ApiResponse);
  } catch (error) {
    emitSecurityEvent({
      type: 'LOGIN_FAILED',
@@ -58,6 +87,7 @@ export async function customerLogin(req: Request, res: Response): Promise<void>
    }
    const result = await authService.customerLogin(email, password);
    setRefreshCookie(res, result.refreshToken);
    emitSecurityEvent({
      type: 'LOGIN_SUCCESS',
      severity: 'INFO',
@@ -67,7 +97,10 @@ export async function customerLogin(req: Request, res: Response): Promise<void>
      userEmail: email,
      endpoint: ctx.endpoint,
    });
-    res.json({ success: true, data: result } as ApiResponse);
+    res.json({
      success: true,
      data: { token: result.accessToken, user: result.user },
    } as ApiResponse);
  } catch (error) {
    emitSecurityEvent({
      type: 'LOGIN_FAILED',
@@ -191,10 +224,11 @@ export async function confirmPasswordReset(req: Request, res: Response): Promise
      return;
    }
-    if (password.length < 6) {
+    const complexity = validatePasswordComplexity(password);
    if (!complexity.ok) {
      res.status(400).json({
        success: false,
-        error: 'Das Passwort muss mindestens 6 Zeichen lang sein',
+        error: 'Passwort erfüllt Mindestanforderungen nicht: ' + complexity.errors.join(', '),
      } as ApiResponse);
      return;
    }
@@ -257,6 +291,10 @@ export async function logout(req: AuthRequest, res: Response): Promise<void> {
        data: { tokenInvalidatedAt: new Date() },
      });
    }
    // Refresh-Cookie löschen, sonst könnte der Browser einen abgemeldeten User
    // direkt wieder einloggen (server-seitige Invalidation oben fängt das ab,
    // aber UI würde sich verirren).
    clearRefreshCookie(res);
    const ctx = contextFromRequest(req);
    emitSecurityEvent({
      type: 'LOGOUT',
@@ -277,6 +315,36 @@ export async function logout(req: AuthRequest, res: Response): Promise<void> {
  }
 }
 // Neuen Access-Token aus dem httpOnly-Refresh-Cookie holen. Wird vom Frontend
 // (axios-Interceptor) bei 401 oder beim App-Start aufgerufen.
 export async function refresh(req: Request, res: Response): Promise<void> {
  try {
    const cookies = (req as any).cookies || {};
    const refreshToken = cookies[REFRESH_COOKIE_NAME];
    if (!refreshToken) {
      res.status(401).json({ success: false, error: 'Kein Refresh-Token vorhanden' } as ApiResponse);
      return;
    }
    const result = await authService.refreshAccessToken(refreshToken);
    // Refresh-Cookie rotieren – verhindert Replay eines geklauten Refresh-Tokens
    // bis zur vollen Lifetime.
    setRefreshCookie(res, result.refreshToken);
    res.json({
      success: true,
      data: { token: result.accessToken, user: result.user },
    } as ApiResponse);
  } catch (error) {
    // Refresh fehlgeschlagen: Cookie wegputzen, damit der Browser nicht
    // weiter mit einem invaliden Token weiterhin den Endpoint klopft.
    clearRefreshCookie(res);
    res.status(401).json({
      success: false,
      error: error instanceof Error ? error.message : 'Refresh fehlgeschlagen',
    } as ApiResponse);
  }
 }
 export async function register(req: Request, res: Response): Promise<void> {
  try {
    const { email, password, firstName, lastName, roleIds } = req.body;
@@ -289,6 +357,15 @@ export async function register(req: Request, res: Response): Promise<void> {
      return;
    }
    const complexity = validatePasswordComplexity(password);
    if (!complexity.ok) {
      res.status(400).json({
        success: false,
        error: 'Passwort erfüllt Mindestanforderungen nicht: ' + complexity.errors.join(', '),
      } as ApiResponse);
      return;
    }
    const user = await authService.createUser({
      email,
      password,
@@ -308,3 +385,42 @@ export async function register(req: Request, res: Response): Promise<void> {
    } as ApiResponse);
  }
 }
 // Vom Endkunden selbst nach Einmalpasswort-Login aufgerufen, um sein eigenes
 // Passwort zu vergeben. Server invalidiert die laufende Session, Frontend
 // loggt aus und schickt zurück zum Login.
 export async function changeInitialPortalPassword(req: AuthRequest, res: Response): Promise<void> {
  try {
    if (!req.user?.isCustomerPortal || !req.user?.customerId) {
      res.status(403).json({
        success: false,
        error: 'Nur für Kundenportal-Login',
      } as ApiResponse);
      return;
    }
    const { newPassword } = req.body || {};
    if (!newPassword || typeof newPassword !== 'string') {
      res.status(400).json({
        success: false,
        error: 'Neues Passwort erforderlich',
      } as ApiResponse);
      return;
    }
    const complexity = validatePasswordComplexity(newPassword);
    if (!complexity.ok) {
      res.status(400).json({
        success: false,
        error: 'Passwort erfüllt Mindestanforderungen nicht: ' + complexity.errors.join(', '),
      } as ApiResponse);
      return;
    }
    await authService.changeInitialPortalPassword(req.user.customerId, newPassword);
    clearRefreshCookie(res);
    res.json({ success: true, message: 'Passwort geändert' } as ApiResponse);
  } catch (error) {
    res.status(500).json({
      success: false,
      error: error instanceof Error ? error.message : 'Passwort konnte nicht geändert werden',
    } as ApiResponse);
  }
 }
@@ -8,6 +8,7 @@ import { sendEmail, SmtpCredentials, SendEmailParams, EmailAttachment } from '..
 import { fetchAttachment, appendToSent, ImapCredentials } from '../services/imapService.js';
 import { getImapSmtpSettings } from '../services/emailProvider/emailProviderService.js';
 import { decrypt } from '../utils/encryption.js';
 import { logChange } from '../services/audit.service.js';
 import { ApiResponse } from '../types/index.js';
 import { getCustomerTargets, getContractTargets, getIdentityDocumentTargets, getBankCardTargets, documentTargets } from '../config/documentTargets.config.js';
 import { generateEmailPdf } from '../services/pdfService.js';
@@ -21,10 +22,24 @@ import {
  canAccessCustomer,
  canAccessContract,
  canAccessCachedEmail,
  canAccessStressfreiEmail,
 } from '../utils/accessControl.js';
 // ==================== E-MAIL LIST ====================
 // Hilfsfunktion: Query-Param zu boolean parsen ('true' / 'false' / fehlt).
 function parseBoolParam(v: unknown): boolean | undefined {
  if (v === 'true') return true;
  if (v === 'false') return false;
  return undefined;
 }
 function parseDateParam(v: unknown): Date | undefined {
  if (typeof v !== 'string' || !v.trim()) return undefined;
  const d = new Date(v);
  return isNaN(d.getTime()) ? undefined : d;
 }
 // E-Mails für einen Kunden abrufen
 export async function getEmailsForCustomer(req: AuthRequest, res: Response): Promise<void> {
  try {
@@ -42,6 +57,17 @@ export async function getEmailsForCustomer(req: AuthRequest, res: Response): Pro
      limit,
      offset,
      includeBody: false,
      search: typeof req.query.search === 'string' ? req.query.search : undefined,
      fromFilter: typeof req.query.fromFilter === 'string' ? req.query.fromFilter : undefined,
      toFilter: typeof req.query.toFilter === 'string' ? req.query.toFilter : undefined,
      subjectFilter: typeof req.query.subjectFilter === 'string' ? req.query.subjectFilter : undefined,
      bodyFilter: typeof req.query.bodyFilter === 'string' ? req.query.bodyFilter : undefined,
      attachmentNameFilter: typeof req.query.attachmentNameFilter === 'string' ? req.query.attachmentNameFilter : undefined,
      hasAttachments: parseBoolParam(req.query.hasAttachments),
      isRead: parseBoolParam(req.query.isRead),
      isStarred: parseBoolParam(req.query.isStarred),
      receivedFrom: parseDateParam(req.query.receivedFrom),
      receivedTo: parseDateParam(req.query.receivedTo),
    });
    res.json({ success: true, data: emails } as ApiResponse);
@@ -189,9 +215,10 @@ export async function unassignFromContract(req: Request, res: Response): Promise
 }
 // E-Mail-Anzahl pro Ordner für ein Konto
-export async function getFolderCounts(req: Request, res: Response): Promise<void> {
+export async function getFolderCounts(req: AuthRequest, res: Response): Promise<void> {
  try {
    const stressfreiEmailId = parseInt(req.params.id);
    if (!(await canAccessStressfreiEmail(req, res, stressfreiEmailId))) return;
    const counts = await cachedEmailService.getFolderCountsForAccount(stressfreiEmailId);
@@ -225,9 +252,10 @@ export async function getContractFolderCounts(req: Request, res: Response): Prom
 // ==================== SYNC & SEND ====================
 // E-Mails für ein Konto synchronisieren (INBOX + SENT)
-export async function syncAccount(req: Request, res: Response): Promise<void> {
+export async function syncAccount(req: AuthRequest, res: Response): Promise<void> {
  try {
    const stressfreiEmailId = parseInt(req.params.id);
    if (!(await canAccessStressfreiEmail(req, res, stressfreiEmailId))) return;
    const fullSync = req.query.full === 'true';
    // Synchronisiert sowohl INBOX als auch SENT
@@ -267,9 +295,10 @@ function hasCRLF(value: unknown): boolean {
 }
 // E-Mail senden
-export async function sendEmailFromAccount(req: Request, res: Response): Promise<void> {
+export async function sendEmailFromAccount(req: AuthRequest, res: Response): Promise<void> {
  try {
    const stressfreiEmailId = parseInt(req.params.id);
    if (!(await canAccessStressfreiEmail(req, res, stressfreiEmailId))) return;
    const { to, cc, subject, text, html, inReplyTo, references, attachments, contractId } = req.body;
    // Header-Injection (CRLF) in Empfänger/Betreff ablehnen
@@ -599,9 +628,10 @@ export async function getMailboxAccounts(req: Request, res: Response): Promise<v
 }
 // Mailbox nachträglich aktivieren
-export async function enableMailbox(req: Request, res: Response): Promise<void> {
+export async function enableMailbox(req: AuthRequest, res: Response): Promise<void> {
  try {
    const id = parseInt(req.params.id);
    if (!(await canAccessStressfreiEmail(req, res, id))) return;
    const result = await stressfreiEmailService.enableMailbox(id);
@@ -624,9 +654,10 @@ export async function enableMailbox(req: Request, res: Response): Promise<void>
 }
 // Mailbox-Status mit Provider synchronisieren
-export async function syncMailboxStatus(req: Request, res: Response): Promise<void> {
+export async function syncMailboxStatus(req: AuthRequest, res: Response): Promise<void> {
  try {
    const id = parseInt(req.params.id);
    if (!(await canAccessStressfreiEmail(req, res, id))) return;
    const result = await stressfreiEmailService.syncMailboxStatus(id);
@@ -672,9 +703,13 @@ export async function getThread(req: Request, res: Response): Promise<void> {
 }
 // Mailbox-Zugangsdaten abrufen (IMAP/SMTP)
-export async function getMailboxCredentials(req: Request, res: Response): Promise<void> {
+export async function getMailboxCredentials(req: AuthRequest, res: Response): Promise<void> {
  try {
    const id = parseInt(req.params.id);
    // Ownership-Check: ohne diesen Check konnte ein Portal-Kunde mit
    // bekannter Stressfrei-Email-ID die kompletten IMAP/SMTP-Credentials
    // eines anderen Kunden abrufen (IDOR). Pentest-Finding 2026-05-XX.
    if (!(await canAccessStressfreiEmail(req, res, id))) return;
    // StressfreiEmail laden
    const stressfreiEmail = await stressfreiEmailService.getEmailWithMailboxById(id);
@@ -709,6 +744,15 @@ export async function getMailboxCredentials(req: Request, res: Response): Promis
    // IMAP/SMTP-Einstellungen laden
    const settings = await getImapSmtpSettings();
    // Klartext-Mailbox-Passwort-Read auditieren (CRITICAL)
    await logChange({
      req,
      action: 'READ',
      resourceType: 'MailboxCredentials',
      resourceId: id.toString(),
      label: `Klartext-Mailbox-Zugangsdaten von ${stressfreiEmail.email} entschlüsselt`,
    });
    res.json({
      success: true,
      data: {
@@ -256,6 +256,58 @@ export async function createFollowUp(req: AuthRequest, res: Response): Promise<v
  }
 }
 /**
 * VVL = Vertragsverlängerung beim selben Anbieter.
 * Erstellt einen neuen Vertrag mit allen Daten des Vorgängers (außer
 * Auftragsdokument), Startdatum = altes Start + Vertragslaufzeit.
 */
 export async function createRenewal(req: AuthRequest, res: Response): Promise<void> {
  try {
    const previousContractId = parseInt(req.params.id);
    const previousContract = await prisma.contract.findUnique({
      where: { id: previousContractId },
      select: { contractNumber: true },
    });
    if (!previousContract) {
      res.status(404).json({ success: false, error: 'Vorgängervertrag nicht gefunden' } as ApiResponse);
      return;
    }
    const contract = await contractService.createRenewalContract(previousContractId);
    if (!contract) {
      res.status(500).json({ success: false, error: 'VVL konnte nicht erstellt werden' } as ApiResponse);
      return;
    }
    const createdBy = req.user?.email || 'unbekannt';
    await contractHistoryService.createRenewalHistoryEntry(
      previousContractId,
      contract.contractNumber,
      createdBy,
    );
    await contractHistoryService.createNewRenewalFromPredecessorEntry(
      contract.id,
      previousContract.contractNumber,
      createdBy,
    );
    await logChange({
      req, action: 'CREATE', resourceType: 'Contract',
      resourceId: contract.id.toString(),
      label: `VVL erstellt für ${previousContract.contractNumber}`,
      customerId: contract.customerId,
    });
    res.status(201).json({ success: true, data: contract } as ApiResponse);
  } catch (error) {
    res.status(400).json({
      success: false,
      error: error instanceof Error ? error.message : 'Fehler beim Erstellen der VVL',
    } as ApiResponse);
  }
 }
 export async function getContractPassword(req: AuthRequest, res: Response): Promise<void> {
  try {
    const contractId = parseInt(req.params.id);
@@ -269,6 +321,14 @@ export async function getContractPassword(req: AuthRequest, res: Response): Prom
      } as ApiResponse);
      return;
    }
    // Klartext-Passwort-Read auditieren (CRITICAL)
    await logChange({
      req,
      action: 'READ',
      resourceType: 'ContractPassword',
      resourceId: contractId.toString(),
      label: `Klartext-Anbieter-Passwort von Vertrag #${contractId} entschlüsselt`,
    });
    res.json({ success: true, data: { password } } as ApiResponse);
  } catch (error) {
    res.status(500).json({
@@ -293,6 +353,14 @@ export async function getSimCardCredentials(req: AuthRequest, res: Response): Pr
    if (!(await canAccessContract(req, res, sim.mobileDetails.contractId))) return;
    const credentials = await contractService.getSimCardCredentials(simCardId);
    // Klartext-Read (PIN/PUK) auditieren (CRITICAL)
    await logChange({
      req,
      action: 'READ',
      resourceType: 'SimCardCredentials',
      resourceId: simCardId.toString(),
      label: `Klartext-SIM-Karten-PIN/PUK von SIM #${simCardId} (Vertrag #${sim.mobileDetails.contractId}) entschlüsselt`,
    });
    res.json({ success: true, data: credentials } as ApiResponse);
  } catch (error) {
    res.status(500).json({
@@ -308,6 +376,14 @@ export async function getInternetCredentials(req: AuthRequest, res: Response): P
    if (!(await canAccessContract(req, res, contractId))) return;
    const credentials = await contractService.getInternetCredentials(contractId);
    // Klartext-DSL/Internet-Login auditieren (CRITICAL)
    await logChange({
      req,
      action: 'READ',
      resourceType: 'InternetCredentials',
      resourceId: contractId.toString(),
      label: `Klartext-Internet-Zugangsdaten von Vertrag #${contractId} entschlüsselt`,
    });
    res.json({ success: true, data: credentials } as ApiResponse);
  } catch (error) {
    res.status(500).json({
@@ -332,6 +408,14 @@ export async function getSipCredentials(req: AuthRequest, res: Response): Promis
    if (!(await canAccessContract(req, res, phone.internetDetails.contractId))) return;
    const credentials = await contractService.getSipCredentials(phoneNumberId);
    // Klartext-SIP/Telefon-Login auditieren (CRITICAL)
    await logChange({
      req,
      action: 'READ',
      resourceType: 'SipCredentials',
      resourceId: phoneNumberId.toString(),
      label: `Klartext-SIP-Zugangsdaten von Rufnummer #${phoneNumberId} (Vertrag #${phone.internetDetails.contractId}) entschlüsselt`,
    });
    res.json({ success: true, data: credentials } as ApiResponse);
  } catch (error) {
    res.status(500).json({
@@ -3,6 +3,7 @@ import prisma from '../lib/prisma.js';
 import * as customerService from '../services/customer.service.js';
 import * as authService from '../services/auth.service.js';
 import { logChange } from '../services/audit.service.js';
 import { validatePasswordComplexity, generateSecurePassword } from '../utils/passwordGenerator.js';
 import { ApiResponse, AuthRequest } from '../types/index.js';
 import {
  sanitizeCustomer,
@@ -957,13 +958,115 @@ export async function updatePortalSettings(req: Request, res: Response): Promise
  }
 }
 /**
 * Generiert ein zufälliges, komplexes Passwort (16 Zeichen, gemischt).
 * Setzt es NICHT direkt — wird im Frontend in den Setzen-Button-Flow gefüttert.
 * Damit hat der Admin Wahlfreiheit (Generieren → ggf. anpassen → speichern).
 */
 export async function generatePortalPassword(req: Request, res: Response): Promise<void> {
  try {
    const password = generateSecurePassword({ length: 16 });
    res.json({ success: true, data: { password } } as ApiResponse);
  } catch (error) {
    res.status(500).json({
      success: false,
      error: error instanceof Error ? error.message : 'Fehler beim Generieren des Passworts',
    } as ApiResponse);
  }
 }
 /**
 * Verschickt die Portal-Zugangsdaten per E-Mail an die hinterlegte
 * `email` (bevorzugt) oder fallback auf `portalEmail` des Kunden. Das
 * Passwort wird aus dem `portalPasswordEncrypted`-Feld entschlüsselt
 * (= das aktuell aktive Klartext-Passwort, das auch in der UI angezeigt wird).
 */
 export async function sendPortalCredentials(req: AuthRequest, res: Response): Promise<void> {
  try {
    const customerId = parseInt(req.params.customerId);
    const customer = await prisma.customer.findUnique({
      where: { id: customerId },
      select: {
        id: true, firstName: true, lastName: true, salutation: true, companyName: true,
        email: true, portalEmail: true, portalEnabled: true,
        portalPasswordEncrypted: true, portalPasswordHash: true,
      },
    });
    if (!customer) {
      res.status(404).json({ success: false, error: 'Kunde nicht gefunden' } as ApiResponse);
      return;
    }
    if (!customer.portalEnabled) {
      res.status(400).json({
        success: false,
        error: 'Portal ist für diesen Kunden nicht aktiviert',
      } as ApiResponse);
      return;
    }
    if (!customer.portalPasswordHash) {
      res.status(400).json({
        success: false,
        error: 'Es ist noch kein Portal-Passwort gesetzt',
      } as ApiResponse);
      return;
    }
    const targetEmail = customer.email || customer.portalEmail;
    if (!targetEmail) {
      res.status(400).json({
        success: false,
        error: 'Kunde hat keine E-Mail-Adresse hinterlegt',
      } as ApiResponse);
      return;
    }
    const loginEmail = customer.portalEmail || customer.email!;
    const plaintextPassword = await authService.getCustomerPortalPassword(customerId);
    if (!plaintextPassword) {
      res.status(400).json({
        success: false,
        error: 'Klartext-Passwort nicht verfügbar (alte Anlage ohne Encrypted-Feld – bitte neu setzen)',
      } as ApiResponse);
      return;
    }
    await authService.sendPortalCredentialsEmail({
      to: targetEmail,
      customer,
      loginEmail,
      password: plaintextPassword,
    });
    // Versendetes Passwort ist ein Einmalpasswort → beim ersten Login muss
    // der Kunde sich ein eigenes setzen.
    await authService.markPortalPasswordForChange(customerId);
    await logChange({
      req,
      action: 'UPDATE',
      resourceType: 'PortalSettings',
      resourceId: customerId.toString(),
      label: `Portal-Zugangsdaten per E-Mail versendet an ${targetEmail} (Einmalpasswort)`,
      customerId,
    });
    res.json({ success: true, message: `Zugangsdaten an ${targetEmail} versendet (Einmalpasswort)` } as ApiResponse);
  } catch (error) {
    res.status(500).json({
      success: false,
      error: error instanceof Error ? error.message : 'Fehler beim Versenden der Zugangsdaten',
    } as ApiResponse);
  }
 }
 export async function setPortalPassword(req: Request, res: Response): Promise<void> {
  try {
    const { password } = req.body;
-    if (!password || password.length < 6) {
+    // Komplexität: 12 Zeichen, Groß/Klein/Zahl/Sonderzeichen (zentrale Regel)
    const complexity = validatePasswordComplexity(password);
    if (!complexity.ok) {
      res.status(400).json({
        success: false,
-        error: 'Passwort muss mindestens 6 Zeichen lang sein',
+        error: 'Passwort erfüllt Mindestanforderungen nicht: ' + complexity.errors.join(', '),
      } as ApiResponse);
      return;
    }
@@ -986,7 +1089,19 @@ export async function setPortalPassword(req: Request, res: Response): Promise<vo
 export async function getPortalPassword(req: Request, res: Response): Promise<void> {
  try {
-    const password = await authService.getCustomerPortalPassword(parseInt(req.params.customerId));
+    const customerId = parseInt(req.params.customerId);
    const password = await authService.getCustomerPortalPassword(customerId);
    // Klartext-Passwort-Read auditieren (CRITICAL): wer hat wann das Portal-
    // Passwort eines Kunden entschlüsselt? Wichtig für DSGVO-Nachvollziehbarkeit
    // + Insider-Threat-Erkennung.
    await logChange({
      req,
      action: 'READ',
      resourceType: 'PortalPassword',
      resourceId: customerId.toString(),
      label: `Klartext-Portal-Passwort von Kunde #${customerId} entschlüsselt`,
      customerId,
    });
    res.json({ success: true, data: { password } } as ApiResponse);
  } catch (error) {
    res.status(500).json({
@@ -54,6 +54,7 @@ export async function previewFactoryDefaults(req: AuthRequest, res: Response) {
          contractDurations: data.contractDurations.length,
          contractCategories: data.contractCategories.length,
          pdfTemplates: data.pdfTemplates.length,
          appSettings: data.appSettings.length,
        },
      },
    });
@@ -62,3 +63,39 @@ export async function previewFactoryDefaults(req: AuthRequest, res: Response) {
    res.status(500).json({ success: false, error: 'Fehler beim Laden' });
  }
 }
 /**
 * Factory-Defaults aus ZIP importieren (Upload via multipart/form-data, Feld 'zip').
 * Idempotent: bestehende Einträge werden per unique-Key aktualisiert, nichts wird gelöscht.
 */
 export async function importFactoryDefaults(req: AuthRequest, res: Response) {
  try {
    const file = (req as any).file as Express.Multer.File | undefined;
    if (!file || !file.buffer) {
      return res.status(400).json({ success: false, error: 'Keine ZIP-Datei hochgeladen' });
    }
    const result = await factoryDefaultsService.importFactoryDefaults(file.buffer);
    await createAuditLog({
      userId: req.user?.userId,
      userEmail: req.user?.email || 'unknown',
      // 'UPDATE' weil Factory-Defaults DB-Records upserted; das Label nennt
      // den Vorgang explizit als Import.
      action: 'UPDATE',
      resourceType: 'FactoryDefaults',
      resourceLabel: `Factory-Defaults importiert: ${result.providers} Anbieter, ${result.tariffs} Tarife, ${result.pdfTemplates} PDF-Vorlagen, ${result.appSettings} HTML-Templates`,
      endpoint: req.path,
      httpMethod: req.method,
      ipAddress: req.socket.remoteAddress || 'unknown',
    });
    res.json({ success: true, data: result });
  } catch (error) {
    console.error('Fehler beim Factory-Defaults-Import:', error);
    res.status(400).json({
      success: false,
      error: error instanceof Error ? error.message : 'Fehler beim Import',
    });
  }
 }
@@ -68,9 +68,11 @@ export async function createEmail(req: Request, res: Response): Promise<void> {
  }
 }
-export async function updateEmail(req: Request, res: Response): Promise<void> {
+export async function updateEmail(req: AuthRequest, res: Response): Promise<void> {
  try {
-    const email = await stressfreiEmailService.updateEmail(parseInt(req.params.id), req.body);
+    const emailId = parseInt(req.params.id);
    if (!(await canAccessStressfreiEmail(req, res, emailId))) return;
    const email = await stressfreiEmailService.updateEmail(emailId, req.body);
    await logChange({
      req, action: 'UPDATE', resourceType: 'StressfreiEmail',
      resourceId: email.id.toString(),
@@ -85,9 +87,10 @@ export async function updateEmail(req: Request, res: Response): Promise<void> {
  }
 }
-export async function deleteEmail(req: Request, res: Response): Promise<void> {
+export async function deleteEmail(req: AuthRequest, res: Response): Promise<void> {
  try {
    const emailId = parseInt(req.params.id);
    if (!(await canAccessStressfreiEmail(req, res, emailId))) return;
    await stressfreiEmailService.deleteEmail(emailId);
    await logChange({
      req, action: 'DELETE', resourceType: 'StressfreiEmail',
@@ -103,9 +106,50 @@ export async function deleteEmail(req: Request, res: Response): Promise<void> {
  }
 }
-export async function resetPassword(req: Request, res: Response): Promise<void> {
+export async function syncForwarding(req: AuthRequest, res: Response): Promise<void> {
  try {
-    const result = await stressfreiEmailService.resetMailboxPassword(parseInt(req.params.id));
+    const emailId = parseInt(req.params.id);
    if (!(await canAccessStressfreiEmail(req, res, emailId))) return;
    const result = await stressfreiEmailService.syncForwardingForEmail(emailId);
    if (!result.success) {
      res.status(400).json({ success: false, error: result.error } as ApiResponse);
      return;
    }
    const labelParts = [`Weiterleitungen: ${(result.forwardTargets || []).join(', ')}`];
    if (result.passwordReset) labelParts.push('Mailbox-Passwort am Provider neu gesetzt');
    await logChange({
      req,
      action: 'UPDATE',
      resourceType: 'StressfreiEmail',
      resourceId: emailId.toString(),
      label: `Stressfrei-Sync: ${labelParts.join(' | ')}`,
    });
    res.json({
      success: true,
      data: {
        forwardTargets: result.forwardTargets,
        customerEmail: result.customerEmail,
        passwordReset: result.passwordReset,
      },
      message: 'Weiterleitungen aktualisiert',
    } as ApiResponse);
  } catch (error) {
    res.status(500).json({
      success: false,
      error: error instanceof Error ? error.message : 'Fehler beim Synchronisieren der Weiterleitungen',
    } as ApiResponse);
  }
 }
 export async function resetPassword(req: AuthRequest, res: Response): Promise<void> {
  try {
    const emailId = parseInt(req.params.id);
    if (!(await canAccessStressfreiEmail(req, res, emailId))) return;
    const result = await stressfreiEmailService.resetMailboxPassword(emailId);
    if (!result.success) {
      res.status(400).json({
        success: false,
@@ -4,6 +4,7 @@ import * as userService from '../services/user.service.js';
 import { logChange } from '../services/audit.service.js';
 import { ApiResponse } from '../types/index.js';
 import { pickUserCreate, pickUserUpdate } from '../utils/sanitize.js';
 import { validatePasswordComplexity } from '../utils/passwordGenerator.js';
 // Users
 export async function getUsers(req: Request, res: Response): Promise<void> {
@@ -51,7 +52,18 @@ export async function getUser(req: Request, res: Response): Promise<void> {
 export async function createUser(req: Request, res: Response): Promise<void> {
  try {
    // Whitelist: nur erlaubte Felder aus req.body übernehmen (Mass-Assignment-Schutz)
-    const user = await userService.createUser(pickUserCreate(req.body) as any);
+    const data = pickUserCreate(req.body) as any;
    if (data?.password) {
      const c = validatePasswordComplexity(data.password);
      if (!c.ok) {
        res.status(400).json({
          success: false,
          error: 'Passwort erfüllt Mindestanforderungen nicht: ' + c.errors.join(', '),
        } as ApiResponse);
        return;
      }
    }
    const user = await userService.createUser(data);
    await logChange({
      req, action: 'CREATE', resourceType: 'User',
      resourceId: user.id.toString(),
@@ -71,9 +83,30 @@ export async function updateUser(req: Request, res: Response): Promise<void> {
    const userId = parseInt(req.params.id);
    // Whitelist: nur erlaubte Felder aus req.body übernehmen (Mass-Assignment-Schutz)
    const data = pickUserUpdate(req.body);
    if ((data as any)?.password) {
      const c = validatePasswordComplexity((data as any).password);
      if (!c.ok) {
        res.status(400).json({
          success: false,
          error: 'Passwort erfüllt Mindestanforderungen nicht: ' + c.errors.join(', '),
        } as ApiResponse);
        return;
      }
    }
-    // Vorherigen Stand laden für Audit
+    // Vorherigen Stand laden für Audit – inkl. Rollen, damit hasGdprAccess /
-    const before = await prisma.user.findUnique({ where: { id: userId } });
+    // hasDeveloperAccess (versteckte Rollen) korrekt verglichen werden.
    const beforeUser = await prisma.user.findUnique({
      where: { id: userId },
      include: { roles: { include: { role: true } } },
    });
    const before = beforeUser
      ? {
          ...beforeUser,
          hasGdprAccess: beforeUser.roles.some((ur) => ur.role.name === 'DSGVO'),
          hasDeveloperAccess: beforeUser.roles.some((ur) => ur.role.name === 'Developer'),
        }
      : null;
    const user = await userService.updateUser(userId, data as any);
    if (user) {
@@ -82,6 +115,7 @@ export async function updateUser(req: Request, res: Response): Promise<void> {
        const changes: Record<string, { von: unknown; nach: unknown }> = {};
        const fieldLabels: Record<string, string> = {
          email: 'E-Mail', firstName: 'Vorname', lastName: 'Nachname', isActive: 'Aktiv',
          hasGdprAccess: 'DSGVO-Zugriff', hasDeveloperAccess: 'Entwicklerzugriff',
        };
        for (const [key, newVal] of Object.entries(data)) {
          if (['id', 'createdAt', 'updatedAt'].includes(key)) continue;
@@ -1,8 +1,34 @@
 import express from 'express';
 import cookieParser from 'cookie-parser';
 import cors from 'cors';
 import helmet from 'helmet';
 import path from 'path';
 import dotenv from 'dotenv';
 import dotenvExpand from 'dotenv-expand';
 // .env-Dateien laden – Root-.env hat Priorität (zentrale Konfiguration für
 // Dev + Docker), backend/.env als Legacy-Fallback. Im Container sind
 // Variablen schon via env_file/environment gesetzt – dotenv überschreibt
 // existierende process.env-Werte nicht.
 // __dirname zeigt auf src/ (dev via tsx) oder dist/ (build). In beiden Fällen
 // liegt Root /.env zwei Ebenen darüber.
 //
 // dotenvExpand löst ${VAR}-Substitution auf, sodass z.B.
 // DATABASE_URL=mysql://${DB_USER}:${DB_PASSWORD}@${DB_HOST}:${DB_PORT}/${DB_NAME}
 // dynamisch aus den Komponenten zusammengebaut wird (kein Doppel-Pflegen).
 dotenvExpand.expand(dotenv.config({ path: path.resolve(__dirname, '../../.env') }));
 dotenvExpand.expand(dotenv.config({ path: path.resolve(__dirname, '../.env') }));
 dotenvExpand.expand(dotenv.config());
 // Fallback: wenn DATABASE_URL nicht direkt gesetzt ist (oder Substitution
 // nicht funktioniert hat), aus den DB_*-Komponenten zusammenbauen.
 if (!process.env.DATABASE_URL && process.env.DB_USER && process.env.DB_PASSWORD && process.env.DB_NAME) {
  const u = encodeURIComponent(process.env.DB_USER);
  const p = encodeURIComponent(process.env.DB_PASSWORD);
  const h = process.env.DB_HOST || 'localhost';
  const port = process.env.DB_PORT || '3306';
  process.env.DATABASE_URL = `mysql://${u}:${p}@${h}:${port}/${process.env.DB_NAME}`;
 }
 import authRoutes from './routes/auth.routes.js';
 import customerRoutes from './routes/customer.routes.js';
@@ -43,8 +69,6 @@ import { auditContextMiddleware } from './middleware/auditContext.js';
 import { auditMiddleware } from './middleware/audit.js';
 import { authenticate } from './middleware/auth.js';
 dotenv.config();
 // ==================== SECURITY: Pflicht-Umgebungsvariablen prüfen ====================
 if (!process.env.JWT_SECRET || process.env.JWT_SECRET.length < 32) {
  console.error('❌ JWT_SECRET ist nicht gesetzt oder zu kurz (min. 32 Zeichen)');
@@ -60,25 +84,124 @@ if (!process.env.ENCRYPTION_KEY || process.env.ENCRYPTION_KEY.length !== 64) {
 const app = express();
 const PORT = process.env.PORT || 3001;
-// Hinter einem Reverse-Proxy (Nginx/Plesk) läuft der Server typisch auf localhost.
+// Trust-Proxy-Konfiguration für `req.ip` und `X-Forwarded-For`.
 // `trust proxy = 'loopback'` vertraut nur Connections von 127.0.0.1 / ::1
 // (= lokaler Reverse-Proxy). Damit kann ein Angreifer mit DIREKTEM Zugriff
 // auf das Backend nicht via X-Forwarded-For den Rate-Limiter umgehen,
 // während gleichzeitig der lokale Reverse-Proxy die echte Client-IP liefern darf.
 //
-// WICHTIG für Production: Backend nur auf 127.0.0.1 lauschen lassen
+// Zwei Szenarien:
-// (LISTEN_ADDR=127.0.0.1) – sonst kann ein direkter Connect von außen
+// 1) **HTTPS_ENABLED=true** (Produktion mit vorgelagertem TLS-Proxy auf
-// trotzdem als loopback gelten, falls das Routing das so durchstellt.
+//    EIGENER Box, z.B. Nginx Proxy Manager): `trust proxy = 1` vertraut
-app.set('trust proxy', 'loopback');
+//    genau einem Hop → req.ip = echter Client (nicht der Proxy).
 //    Voraussetzung: Backend ist NICHT direkt aus dem Internet erreichbar,
 //    sonst könnte ein Direkt-Connect X-Forwarded-For faken und den
 //    Rate-Limiter / Security-Monitor umgehen. Bei NPM-Setup ist das
 //    durch das Docker-Network + nicht-veröffentlichten Backend-Port
 //    gewährleistet.
 // 2) **HTTPS_ENABLED=false** (lokales Dev oder direkter http://ip:port-
 //    Zugriff): `loopback` reicht – kein vertrauenswürdiger Hop davor.
 //
 // Vor dem Fix stand das auf `'loopback'` was im Produktiv-NPM-Setup
 // IMMER die Proxy-IP statt der Client-IP lieferte → Rate-Limit und
 // IDOR-Threshold-Detection sahen alle Angriffe als von „einem" Client.
 const trustProxyValue = process.env.HTTPS_ENABLED === 'true' ? 1 : 'loopback';
 app.set('trust proxy', trustProxyValue);
 // ==================== SECURITY MIDDLEWARE ====================
-// HTTP Security Headers (X-Frame-Options, X-Content-Type-Options, HSTS, etc.)
+// HTTP Security Headers (X-Frame-Options, X-Content-Type-Options, HSTS, CSP, ...)
 //
 // CSP ist konservativ aber SPA-tauglich:
 //   - script-src 'self'        → keine externen Skripte, keine inline-Scripts
 //                                 (Vite baut Module-Skripte zu separaten Files,
 //                                 die sind 'self')
 //   - style-src 'self' 'unsafe-inline' → Tailwind/inline-Styles brauchen das
 //                                        (sicheres Trade-off; XSS via CSS ist
 //                                        marginal vs Lock-Out gegen die UI)
 //   - img-src self/data/blob   → base64-Avatare + blob-URLs für PDFs/Downloads
 //   - font-src self/data       → eingebettete Fonts
 //   - connect-src 'self'       → API + WebSocket nur zur eigenen Origin
 //   - frame-ancestors 'none'   → Clickjacking-Schutz (ersetzt X-Frame-Options)
 //   - object-src 'none'        → keine Flash/<object>/<embed>-Embeds
 //   - base-uri 'self'          → keine <base>-Hijacking-Tricks
 //   - form-action 'self'       → POST-Targets nur auf eigene Origin
 // Permissions-Policy: schaltet Browser-APIs aus, die wir nicht brauchen.
 // Verhindert, dass eingeschleustes JS Zugriff auf Kamera/Mikro/GPS/Payment etc.
 // bekommt. clipboard-write ist 'self' für die CopyButton-Komponenten,
 // fullscreen 'self' falls jemand mal eine Vorschau in Vollbild öffnet.
 app.use((_req, res, next) => {
  res.setHeader(
    'Permissions-Policy',
    [
      'accelerometer=()',
      'ambient-light-sensor=()',
      'autoplay=()',
      'battery=()',
      'camera=()',
      'clipboard-read=()',
      'clipboard-write=(self)',
      'cross-origin-isolated=()',
      'display-capture=()',
      'encrypted-media=()',
      'fullscreen=(self)',
      'geolocation=()',
      'gyroscope=()',
      'hid=()',
      'idle-detection=()',
      'magnetometer=()',
      'microphone=()',
      'midi=()',
      'payment=()',
      'picture-in-picture=()',
      'publickey-credentials-get=()',
      'screen-wake-lock=()',
      'sync-xhr=()',
      'usb=()',
      'web-share=()',
      'xr-spatial-tracking=()',
    ].join(', '),
  );
  next();
 });
 // HTTPS-only-Header (HSTS + upgrade-insecure-requests) nur setzen, wenn
 // wirklich TLS davor läuft – sonst sperrt sich die App auf direkt-via-IP-
 // Deployments (Browser versucht /assets/* via https zu laden → SSL-Error).
 // Aktivieren mit HTTPS_ENABLED=true in der .env, sobald ein TLS-Proxy
 // (Caddy/Traefik/Nginx) vor OpenCRM steht.
 const httpsEnabled = process.env.HTTPS_ENABLED === 'true';
 app.use(
  helmet({
-    // CSP ausschalten – wird bei SPA schwierig, frontend setzt eigene CSP via meta
+    contentSecurityPolicy: {
-    contentSecurityPolicy: false,
+      useDefaults: true,
-    // Cross-Origin-Resource-Policy: "same-site" für SPA mit gleicher Origin
+      directives: {
        'default-src': ["'self'"],
        'script-src': ["'self'"],
        'style-src': ["'self'", "'unsafe-inline'"],
        'img-src': ["'self'", 'data:', 'blob:'],
        'font-src': ["'self'", 'data:'],
        'connect-src': ["'self'"],
        // Explizit gesetzt obwohl Fallback auf default-src/script-src greift –
        // ZAP markiert sonst "No-Fallback-Direktiven" als CSP-Lücke.
        'worker-src': ["'self'"],
        'manifest-src': ["'self'"],
        'media-src': ["'self'"],
        // 'self': eigene App darf eigene Resourcen in iframes embeden (z.B. die
        // annotierte PDF-Vorschau in der Auftragsvorlagen-Konfiguration).
        // 'none' würde sogar same-origin blocken und damit die UI brechen.
        // Externe Sites bleiben weiterhin gesperrt.
        'frame-ancestors': ["'self'"],
        'object-src': ["'none'"],
        'base-uri': ["'self'"],
        'form-action': ["'self'"],
        // useDefaults bringt 'upgrade-insecure-requests' selbst mit – explizit
        // auf null setzen entfernt es aus dem Header (helmet-API).
        'upgrade-insecure-requests': httpsEnabled ? [] : null,
      },
    },
    // HSTS NIE in Helmet senden – der vorgelagerte TLS-Reverse-Proxy
    // (Nginx Proxy Manager) macht das bereits. Doppelter Header verletzt
    // RFC 6797 (Multiple Header Entries) und wird von ZAP angemahnt.
    // HTTPS_ENABLED-Flag bleibt für upgrade-insecure-requests (CSP) relevant.
    strictTransportSecurity: false,
    crossOriginResourcePolicy: { policy: 'same-site' },
  }),
 );
@@ -99,6 +222,9 @@ app.use(
 // JSON-Body-Limit: 5 MB (Uploads laufen über multer, brauchen kein json())
 app.use(express.json({ limit: '5mb' }));
 // Cookie-Parser: wird für den httpOnly-Refresh-Token-Cookie gebraucht
 // (POST /api/auth/refresh liest ihn aus req.cookies).
 app.use(cookieParser());
 // Audit-Logging Middleware (DSGVO-konform)
 app.use(auditContextMiddleware);
@@ -127,6 +253,15 @@ app.get('/api/uploads/*', authenticate as any, (req, res, next) => {
  return (downloadFile as any)(req, res, next);
 });
 // Cache-Control für alle API-Responses: `no-store` verhindert, dass Shared
 // Caches (CDN/Reverse-Proxy/Browser-History) JSON mit sensiblen Daten
 // vorhalten. Statische Frontend-Assets unter /assets/* sind weiter cacheable
 // (siehe express.static mit immutable weiter unten).
 app.use('/api', (_req, res, next) => {
  res.setHeader('Cache-Control', 'no-store');
  next();
 });
 // Öffentliche Routes (OHNE Authentifizierung)
 app.use('/api/public/consent', consentPublicRoutes);
@@ -171,8 +306,29 @@ app.get('/api/health', (req, res) => {
 if (process.env.NODE_ENV === 'production') {
  const publicPath = path.join(process.cwd(), 'public');
-  // Serve static files
+  // Vite-Build-Assets (z.B. /assets/index-abc123.js) haben einen Content-Hash
-  app.use(express.static(publicPath));
+  // im Dateinamen – das Image ist also versioniert. Daher kann der Browser
  // sie für ein Jahr aggressiv cachen und muss nicht revalidieren.
  app.use(
    '/assets',
    express.static(path.join(publicPath, 'assets'), {
      maxAge: '1y',
      immutable: true,
    }),
  );
  // Rest des Frontends (index.html selbst, vite.svg, robots.txt, sitemap.xml).
  // express.static findet index.html bei GET /, deshalb MUSS hier das gleiche
  // no-store-Verhalten greifen wie im SPA-Fallback weiter unten – sonst
  // serviert der erste Static-Handler / mit dem express-Default `max-age=0`,
  // bevor der Fallback überhaupt greift, und der Browser cached die alte SPA.
  app.use(
    express.static(publicPath, {
      setHeaders: (res) => {
        res.setHeader('Cache-Control', 'no-store, must-revalidate');
      },
    }),
  );
  // SPA fallback: serve index.html for all non-API routes
  app.get('*', (req, res, next) => {
@@ -180,6 +336,9 @@ if (process.env.NODE_ENV === 'production') {
    if (req.path.startsWith('/api')) {
      return next();
    }
    // SPA-Wurzel darf NIE gecached werden – sonst sieht der Browser nach einem
    // Deploy weiterhin die alte index.html mit alten Asset-Hashes.
    res.setHeader('Cache-Control', 'no-store, must-revalidate');
    res.sendFile(path.join(publicPath, 'index.html'));
  });
 }
@@ -31,7 +31,17 @@ export async function authenticate(
    // Algorithmus explizit auf HS256 festlegen (Defense-in-Depth gegen alg-confusion).
    const decoded = jwt.verify(token, process.env.JWT_SECRET as string, {
      algorithms: ['HS256'],
-    }) as JwtPayload;
+    }) as JwtPayload & { type?: string };
    // Defense-in-Depth: Refresh-Tokens haben `type: 'refresh'` und dürfen
    // NICHT für normale API-Calls verwendet werden – nur am /api/auth/refresh-
    // Endpoint. Legacy-Tokens (vor der Refresh-Token-Einführung) haben kein
    // `type` und werden als Access akzeptiert, damit bestehende Sessions nicht
    // zwangsabgemeldet werden.
    if (decoded.type && decoded.type !== 'access') {
      res.status(401).json({ success: false, error: 'Falscher Token-Typ' });
      return;
    }
    // Prüfen ob Token durch Rechteänderung/Passwort-Reset invalidiert wurde
    if (decoded.userId && decoded.iat) {
@@ -7,6 +7,7 @@ const router = Router();
 router.post('/login', loginRateLimiter, authController.login);
 router.post('/customer-login', loginRateLimiter, authController.customerLogin);
 router.post('/refresh', authController.refresh);
 router.get('/me', authenticate, authController.me);
 router.post('/logout', authenticate, authController.logout);
 router.post('/register', authenticate, requirePermission('users:create'), authController.register);
@@ -15,4 +16,7 @@ router.post('/register', authenticate, requirePermission('users:create'), authCo
 router.post('/password-reset/request', passwordResetRateLimiter, authController.requestPasswordReset);
 router.post('/password-reset/confirm', passwordResetRateLimiter, authController.confirmPasswordReset);
 // Force-Change-Password nach Einmalpasswort-Login (Kundenportal)
 router.post('/change-initial-portal-password', authenticate, authController.changeInitialPortalPassword);
 export default router;
@@ -42,6 +42,9 @@ router.delete('/:id', authenticate, requirePermission('contracts:delete'), contr
 // Follow-up contract
 router.post('/:id/follow-up', authenticate, requirePermission('contracts:create'), contractController.createFollowUp);
 // VVL (Vertragsverlängerung beim selben Anbieter, vollständige Kopie + Datums-Berechnung)
 router.post('/:id/renewal', authenticate, requirePermission('contracts:create'), contractController.createRenewal);
 // Snooze (Vertrag zurückstellen)
 router.patch('/:id/snooze', authenticate, requirePermission('contracts:update'), contractController.snoozeContract);
@@ -37,6 +37,8 @@ router.get('/:customerId/portal', authenticate, requirePermission('customers:upd
 router.put('/:customerId/portal', authenticate, requirePermission('customers:update'), customerController.updatePortalSettings);
 router.post('/:customerId/portal/password', authenticate, requirePermission('customers:update'), customerController.setPortalPassword);
 router.get('/:customerId/portal/password', authenticate, requirePermission('customers:update'), customerController.getPortalPassword);
 router.post('/:customerId/portal/password/generate', authenticate, requirePermission('customers:update'), customerController.generatePortalPassword);
 router.post('/:customerId/portal/send-credentials', authenticate, requirePermission('customers:update'), customerController.sendPortalCredentials);
 // Representatives (Vertreter)
 router.get('/:customerId/representatives', authenticate, requirePermission('customers:read'), customerController.getRepresentatives);
@@ -1,9 +1,25 @@
 import { Router } from 'express';
 import multer from 'multer';
 import * as factoryDefaultsController from '../controllers/factoryDefaults.controller.js';
 import { authenticate, requirePermission } from '../middleware/auth.js';
 const router = Router();
 // In-Memory-Upload für die ZIP – wird direkt verarbeitet, keine temporäre Datei.
 const upload = multer({
  storage: multer.memoryStorage(),
  fileFilter: (_req, file, cb) => {
    const ok =
      file.mimetype === 'application/zip' ||
      file.mimetype === 'application/x-zip-compressed' ||
      file.mimetype === 'application/octet-stream' || // manche Browser senden das für .zip
      file.originalname.toLowerCase().endsWith('.zip');
    if (ok) cb(null, true);
    else cb(new Error('Nur ZIP-Dateien sind erlaubt'));
  },
  limits: { fileSize: 50 * 1024 * 1024 },
 });
 // Preview (was wäre im Export drin?)
 router.get(
  '/preview',
@@ -20,4 +36,13 @@ router.get(
  factoryDefaultsController.exportFactoryDefaults,
 );
 // Import aus ZIP (multipart, Feld 'zip')
 router.post(
  '/import',
  authenticate,
  requirePermission('settings:update'),
  upload.single('zip'),
  factoryDefaultsController.importFactoryDefaults,
 );
 export default router;
@@ -12,4 +12,7 @@ router.delete('/:id', authenticate, requirePermission('customers:delete'), stres
 // Passwort zurücksetzen (generiert neues Passwort und setzt es beim Provider)
 router.post('/:id/reset-password', authenticate, requirePermission('customers:update'), stressfreiEmailController.resetPassword);
 // Weiterleitungen neu setzen (z.B. nach Änderung der Kunden-Stamm-E-Mail)
 router.post('/:id/sync-forwarding', authenticate, requirePermission('customers:update'), stressfreiEmailController.syncForwarding);
 export default router;
@@ -112,6 +112,13 @@ function determineSensitivity(resourceType: string): AuditSensitivity {
    Authentication: 'CRITICAL',
    BankCard: 'CRITICAL',
    IdentityDocument: 'CRITICAL',
    // Klartext-Passwort-Reads – jeder Decrypt-Vorgang muss nachvollziehbar sein
    PortalPassword: 'CRITICAL',
    ContractPassword: 'CRITICAL',
    SimCardCredentials: 'CRITICAL',
    InternetCredentials: 'CRITICAL',
    SipCredentials: 'CRITICAL',
    MailboxCredentials: 'CRITICAL',
    // HIGH
    Customer: 'HIGH',
    User: 'HIGH',
@@ -7,6 +7,26 @@ import { encrypt, decrypt } from '../utils/encryption.js';
 import { sendEmail, SmtpCredentials } from './smtpService.js';
 import { getSystemEmailCredentials } from './emailProvider/emailProviderService.js';
 // Token-Lifetimes
 // - Access-Token: kurzlebig, nur im Browser-Memory → XSS klaut max. 15 min
 // - Refresh-Token: lang, im httpOnly-Cookie → kein JS-Zugriff
 const ACCESS_TOKEN_EXPIRES_IN = (process.env.JWT_EXPIRES_IN || '15m') as jwt.SignOptions['expiresIn'];
 const REFRESH_TOKEN_EXPIRES_IN = (process.env.JWT_REFRESH_EXPIRES_IN || '7d') as jwt.SignOptions['expiresIn'];
 // Helper: signiert ein Access- bzw. Refresh-JWT mit dem `type`-Claim als
 // Unterscheidung. Der Refresh-Token landet im httpOnly-Cookie und wird beim
 // /auth/refresh-Endpoint geprüft, der dann einen neuen Access ausgibt.
 export function signAccessToken(payload: JwtPayload): string {
  return jwt.sign({ ...payload, type: 'access' }, process.env.JWT_SECRET as string, {
    expiresIn: ACCESS_TOKEN_EXPIRES_IN,
  });
 }
 export function signRefreshToken(payload: JwtPayload): string {
  return jwt.sign({ ...payload, type: 'refresh' }, process.env.JWT_SECRET as string, {
    expiresIn: REFRESH_TOKEN_EXPIRES_IN,
  });
 }
 // Bcrypt-Cost-Faktor: 12 = OWASP-empfohlen (Stand 2026), ca. 250 ms pro Hash.
 // Bestehende Hashes mit Faktor 10 bleiben gültig (bcrypt kodiert den Faktor im Hash).
 const BCRYPT_COST = 12;
@@ -100,12 +120,12 @@ export async function login(email: string, password: string) {
    isCustomerPortal: false,
  };
-  const token = jwt.sign(payload, process.env.JWT_SECRET as string, {
+  const accessToken = signAccessToken(payload);
-    expiresIn: (process.env.JWT_EXPIRES_IN || '7d') as jwt.SignOptions['expiresIn'],
+  const refreshToken = signRefreshToken(payload);
  });
  return {
-    token,
+    accessToken,
    refreshToken,
    user: {
      id: user.id,
      email: user.email,
@@ -160,6 +180,21 @@ export async function customerLogin(email: string, password: string) {
    throw new Error('Ungültige Anmeldedaten');
  }
  // Einmalpasswort-Check: wurde es per "Zugangsdaten versenden" verschickt?
  // Falls ja, jetzt sofort verbrauchen – Hash + Encrypted nullen, damit
  // weder Re-Login noch Klartext-Abruf möglich ist. Customer landet im
  // Force-Change-Password-Flow.
  const mustChangePassword = customer.portalPasswordMustChange === true;
  if (mustChangePassword) {
    await prisma.customer.update({
      where: { id: customer.id },
      data: {
        portalPasswordHash: null,
        portalPasswordEncrypted: null,
        portalLastLogin: new Date(),
      },
    });
  } else {
    // Lazy-Upgrade analog zu Mitarbeiter-Login
    maybeUpgradePasswordHash('customer', customer.id, password, customer.portalPasswordHash).catch(() => {});
@@ -168,6 +203,7 @@ export async function customerLogin(email: string, password: string) {
      where: { id: customer.id },
      data: { portalLastLogin: new Date() },
    });
  }
  // IDs der Kunden sammeln, die dieser Kunde vertreten kann
  const representedCustomerIds = customer.representingFor.map(
@@ -188,12 +224,13 @@ export async function customerLogin(email: string, password: string) {
    representedCustomerIds,
  };
-  const token = jwt.sign(payload, process.env.JWT_SECRET as string, {
+  const accessToken = signAccessToken(payload);
-    expiresIn: (process.env.JWT_EXPIRES_IN || '7d') as jwt.SignOptions['expiresIn'],
+  const refreshToken = signRefreshToken(payload);
  });
  return {
-    token,
+    accessToken,
    refreshToken,
    mustChangePassword,
    user: {
      id: customer.id,
      email: customer.portalEmail,
@@ -202,6 +239,7 @@ export async function customerLogin(email: string, password: string) {
      permissions: customerPermissions,
      customerId: customer.id,
      isCustomerPortal: true,
      mustChangePassword,
      representedCustomers: customer.representingFor.map((rep) => ({
        id: rep.customer.id,
        customerNumber: rep.customer.customerNumber,
@@ -214,6 +252,94 @@ export async function customerLogin(email: string, password: string) {
  };
 }
 // Refresh-Token verifizieren und neuen Access-Token ausstellen. Wirft bei
 // ungültigem/abgelaufenem/invalidiertem Token. Greift auch tokenInvalidatedAt
 // vom User/Customer ab → bei Rolle-Ändern oder Logout sind alle Tokens (auch
 // das Refresh) sofort tot.
 export async function refreshAccessToken(refreshToken: string): Promise<{
  accessToken: string;
  refreshToken: string;
  user: any;
 }> {
  let decoded: any;
  try {
    decoded = jwt.verify(refreshToken, process.env.JWT_SECRET as string, {
      algorithms: ['HS256'],
    });
  } catch {
    throw new Error('Refresh-Token ungültig oder abgelaufen');
  }
  if (decoded.type !== 'refresh') {
    throw new Error('Falscher Token-Typ');
  }
  const issuedAt = decoded.iat ? decoded.iat * 1000 : 0;
  // Mitarbeiter
  if (!decoded.isCustomerPortal && decoded.userId) {
    const user = await prisma.user.findUnique({
      where: { id: decoded.userId },
      include: {
        roles: { include: { role: { include: { permissions: { include: { permission: true } } } } } },
      },
    });
    if (!user || !user.isActive) throw new Error('Benutzer nicht aktiv');
    if (user.tokenInvalidatedAt && issuedAt < user.tokenInvalidatedAt.getTime()) {
      throw new Error('Refresh-Token wurde invalidiert (Logout/Rechteänderung)');
    }
    const permissions = new Set<string>();
    for (const ur of user.roles) {
      for (const rp of ur.role.permissions) {
        permissions.add(`${rp.permission.resource}:${rp.permission.action}`);
      }
    }
    const payload: JwtPayload = {
      userId: user.id,
      email: user.email,
      permissions: Array.from(permissions),
      customerId: user.customerId ?? undefined,
      isCustomerPortal: false,
    };
    return {
      accessToken: signAccessToken(payload),
      refreshToken: signRefreshToken(payload),
      user: {
        id: user.id,
        email: user.email,
        firstName: user.firstName,
        lastName: user.lastName,
        permissions: Array.from(permissions),
        customerId: user.customerId,
        isCustomerPortal: false,
      },
    };
  }
  // Customer-Portal
  if (decoded.isCustomerPortal && decoded.customerId) {
    const customer = await prisma.customer.findUnique({ where: { id: decoded.customerId } });
    if (!customer || !customer.portalEmail) throw new Error('Portal-Konto nicht gefunden');
    if (customer.portalTokenInvalidatedAt && issuedAt < customer.portalTokenInvalidatedAt.getTime()) {
      throw new Error('Refresh-Token wurde invalidiert');
    }
    const portalUser = await getCustomerPortalUser(customer.id);
    if (!portalUser) throw new Error('Portal-Konto nicht gefunden');
    const payload: JwtPayload = {
      email: customer.portalEmail,
      permissions: portalUser.permissions,
      customerId: customer.id,
      isCustomerPortal: true,
      representedCustomerIds: portalUser.representedCustomers?.map((c: any) => c.id),
    };
    return {
      accessToken: signAccessToken(payload),
      refreshToken: signRefreshToken(payload),
      user: portalUser,
    };
  }
  throw new Error('Refresh-Token konnte nicht interpretiert werden');
 }
 // Kundenportal-Passwort setzen/ändern
 export async function setCustomerPortalPassword(customerId: number, password: string) {
  console.log('[SetPortalPassword] Setze Passwort für Kunde:', customerId);
@@ -223,17 +349,45 @@ export async function setCustomerPortalPassword(customerId: number, password: st
  console.log('[SetPortalPassword] Hash erstellt, Länge:', hashedPassword.length);
  // Manuelles Setzen ist KEIN Einmalpasswort → Flag immer zurücksetzen,
  // falls vorher ein OTP gesetzt war.
  await prisma.customer.update({
    where: { id: customerId },
    data: {
      portalPasswordHash: hashedPassword,
      portalPasswordEncrypted: encryptedPassword,
      portalPasswordMustChange: false,
    },
  });
  console.log('[SetPortalPassword] Passwort gespeichert');
 }
 // Vom Endkunden selbst gesetztes Initial-Passwort nach OTP-Login.
 // Speichert neuen Hash, löscht das verbrauchte Encrypted-Feld (Klartext-
 // Speicherung soll bei OFF self-service nicht zurückkommen) und invalidiert
 // sofort alle bestehenden Sessions, damit Login mit dem neuen Passwort
 // gefordert wird.
 export async function changeInitialPortalPassword(customerId: number, newPassword: string) {
  const hashedPassword = await bcrypt.hash(newPassword, BCRYPT_COST);
  await prisma.customer.update({
    where: { id: customerId },
    data: {
      portalPasswordHash: hashedPassword,
      portalPasswordEncrypted: null,
      portalPasswordMustChange: false,
      portalTokenInvalidatedAt: new Date(),
    },
  });
 }
 export async function markPortalPasswordForChange(customerId: number) {
  await prisma.customer.update({
    where: { id: customerId },
    data: { portalPasswordMustChange: true },
  });
 }
 // Kundenportal-Passwort im Klartext abrufen
 export async function getCustomerPortalPassword(customerId: number): Promise<string | null> {
  const customer = await prisma.customer.findUnique({
@@ -405,6 +559,86 @@ function getPublicUrl(): string {
  return process.env.PUBLIC_URL || 'http://localhost:5173';
 }
 /**
 * Portal-Zugangsdaten per E-Mail an den Kunden versenden. Nur durch Admin-
 * UI ausgelöst – nie automatisch –, weil das Klartext-Passwort im Mail-
 * Body steht. Login-URL zeigt auf das `/portal/login`-Frontend-Route.
 */
 export async function sendPortalCredentialsEmail(params: {
  to: string;
  customer: { firstName: string | null; lastName: string | null; salutation: string | null; companyName: string | null };
  loginEmail: string;
  password: string;
 }): Promise<void> {
  const systemEmail = await getSystemEmailCredentials();
  if (!systemEmail) {
    throw new Error('Kein System-E-Mail-Konto konfiguriert (Einstellungen → E-Mail-Provider)');
  }
  const credentials: SmtpCredentials = {
    host: systemEmail.smtpServer,
    port: systemEmail.smtpPort,
    user: systemEmail.emailAddress,
    password: systemEmail.password,
    encryption: systemEmail.smtpEncryption,
    allowSelfSignedCerts: systemEmail.allowSelfSignedCerts,
  };
  const loginUrl = `${getPublicUrl()}/portal/login`;
  const name = params.customer.companyName?.trim()
    || `${params.customer.firstName || ''} ${params.customer.lastName || ''}`.trim()
    || 'Kunde';
  // HTML-Escape – Customer-Namen können theoretisch Sonderzeichen enthalten,
  // die wir nicht ungefiltert in die Mail rendern wollen.
  const esc = (s: string) =>
    s.replace(/&/g, '&amp;').replace(/</g, '&lt;').replace(/>/g, '&gt;').replace(/"/g, '&quot;');
  const html = `
    <div style="font-family: Arial, sans-serif; max-width: 600px; margin: 0 auto;">
      <h2 style="color: #1e40af;">Ihre Zugangsdaten zum Kundenportal</h2>
      <p>Hallo ${esc(name)},</p>
      <p>anbei Ihre Zugangsdaten zum Kundenportal:</p>
      <table style="border-collapse: collapse; margin: 16px 0;">
        <tr><td style="padding: 6px 12px; color: #6b7280;">Login-URL:</td>
            <td style="padding: 6px 12px;"><a href="${loginUrl}">${esc(loginUrl)}</a></td></tr>
        <tr><td style="padding: 6px 12px; color: #6b7280;">E-Mail:</td>
            <td style="padding: 6px 12px; font-family: monospace;">${esc(params.loginEmail)}</td></tr>
        <tr><td style="padding: 6px 12px; color: #6b7280;">Passwort:</td>
            <td style="padding: 6px 12px; font-family: monospace;">${esc(params.password)}</td></tr>
      </table>
      <p style="color: #b91c1c; font-size: 14px; font-weight: 600;">
        ⚠️ Dieses Passwort ist ein <u>Einmalpasswort</u>.
      </p>
      <p style="color: #6b7280; font-size: 14px;">
        Beim ersten Login werden Sie aufgefordert, ein eigenes Passwort zu vergeben.
        Danach ist dieses Passwort hier <strong>nicht mehr gültig</strong> – falls Sie den
        Vorgang abbrechen, fordern Sie bitte neue Zugangsdaten an oder nutzen die
        Passwort-vergessen-Funktion.
      </p>
      <hr style="border: none; border-top: 1px solid #e5e7eb; margin: 24px 0;">
      <p style="color: #9ca3af; font-size: 12px;">
        Diese Nachricht enthält sensible Zugangsdaten – bitte sicher verwahren oder nach
        dem Login löschen.
      </p>
    </div>
  `;
  await sendEmail(
    credentials,
    systemEmail.emailAddress,
    {
      to: params.to,
      subject: 'Ihre Zugangsdaten zum Kundenportal',
      html,
    },
    {
      context: 'portal-credentials',
      triggeredBy: 'admin-action',
    },
  );
 }
 /**
 * Passwort-Reset-Link per Email senden.
 * Findet User/Customer per Email. Wirft keinen Error wenn nicht gefunden
@@ -249,6 +249,7 @@ export async function createBackup(): Promise<BackupResult> {
      { name: 'EmailLog', query: () => prisma.emailLog.findMany() },
      { name: 'AuditRetentionPolicy', query: () => prisma.auditRetentionPolicy.findMany() },
      { name: 'AuditLog', query: () => prisma.auditLog.findMany() },
      { name: 'SecurityEvent', query: () => prisma.securityEvent.findMany() },
    ];
    let totalRecords = 0;
@@ -310,6 +311,7 @@ export async function restoreBackup(backupName: string): Promise<RestoreResult>
    // Logs & Audit zuerst (hängen an allem)
    await prisma.auditLog.deleteMany({});
    await prisma.emailLog.deleteMany({});
    await prisma.securityEvent.deleteMany({});
    // Detail-Tabellen
    await prisma.carInsuranceDetails.deleteMany({});
@@ -887,6 +889,18 @@ export async function restoreBackup(backupName: string): Promise<RestoreResult>
          }
        },
      },
      {
        name: 'SecurityEvent',
        restore: async (data: any[]) => {
          for (const item of data) {
            await prisma.securityEvent.upsert({
              where: { id: item.id },
              update: convertDates(item),
              create: convertDates(item),
            });
          }
        },
      },
    ];
    let totalRestored = 0;
@@ -49,6 +49,18 @@ export interface EmailListOptions {
  limit?: number;
  offset?: number;
  includeBody?: boolean;
  // Suche / Filter (alle AND-verknüpft)
  search?: string;                // Volltextsuche über subject + from + body
  fromFilter?: string;            // Absender enthält
  toFilter?: string;              // Empfänger enthält
  subjectFilter?: string;         // Subject enthält
  bodyFilter?: string;            // Body enthält (text/html)
  attachmentNameFilter?: string;  // Anhang-Dateiname enthält
  hasAttachments?: boolean;       // Nur mit/ohne Anhang
  isRead?: boolean;               // Gelesen-Status
  isStarred?: boolean;            // Markiert-Status
  receivedFrom?: Date;            // Empfangen ab
  receivedTo?: Date;              // Empfangen bis
 }
 // ==================== SYNC FUNCTIONS ====================
@@ -273,6 +285,59 @@ export async function getCachedEmails(
    where.folder = EmailFolder.INBOX;
  }
  // ===== Such-/Filter-Parameter =====
  // Volltext-Quicksearch: durchsucht parallel Subject, From-Address/Name und
  // Body. MariaDB `contains` ist case-insensitive bei utf8mb4_unicode_ci.
  if (options.search && options.search.trim()) {
    const q = options.search.trim();
    where.OR = [
      { subject: { contains: q } },
      { fromAddress: { contains: q } },
      { fromName: { contains: q } },
      { textBody: { contains: q } },
    ];
  }
  // Feldspezifische Filter (alle AND-verknüpft mit dem Rest)
  if (options.fromFilter?.trim()) {
    const q = options.fromFilter.trim();
    // Treffer in fromAddress ODER fromName – für den Nutzer ist „Von" beides
    where.AND = [
      ...(Array.isArray(where.AND) ? where.AND : where.AND ? [where.AND] : []),
      { OR: [{ fromAddress: { contains: q } }, { fromName: { contains: q } }] },
    ];
  }
  if (options.toFilter?.trim()) {
    where.toAddresses = { contains: options.toFilter.trim() };
  }
  if (options.subjectFilter?.trim()) {
    where.subject = { contains: options.subjectFilter.trim() };
  }
  if (options.bodyFilter?.trim()) {
    const q = options.bodyFilter.trim();
    where.AND = [
      ...(Array.isArray(where.AND) ? where.AND : where.AND ? [where.AND] : []),
      { OR: [{ textBody: { contains: q } }, { htmlBody: { contains: q } }] },
    ];
  }
  if (options.attachmentNameFilter?.trim()) {
    where.attachmentNames = { contains: options.attachmentNameFilter.trim() };
  }
  if (typeof options.hasAttachments === 'boolean') {
    where.hasAttachments = options.hasAttachments;
  }
  if (typeof options.isRead === 'boolean') {
    where.isRead = options.isRead;
  }
  if (typeof options.isStarred === 'boolean') {
    where.isStarred = options.isStarred;
  }
  if (options.receivedFrom || options.receivedTo) {
    where.receivedAt = {};
    if (options.receivedFrom) (where.receivedAt as Prisma.DateTimeFilter).gte = options.receivedFrom;
    if (options.receivedTo) (where.receivedAt as Prisma.DateTimeFilter).lte = options.receivedTo;
  }
  // Body-Felder nur wenn explizit angefordert (spart Bandbreite)
  const select: Prisma.CachedEmailSelect = {
    id: true,
@@ -2,6 +2,7 @@ import { ContractType, ContractStatus } from '@prisma/client';
 import prisma from '../lib/prisma.js';
 import { generateContractNumber, paginate, buildPaginationResponse } from '../utils/helpers.js';
 import { encrypt, decrypt } from '../utils/encryption.js';
 import { sanitizeCustomerStrict } from '../utils/sanitize.js';
 export interface ContractFilters {
  customerId?: number;
@@ -154,7 +155,18 @@ export async function getContractById(id: number, decryptPassword = false) {
  if (!contract) return null;
-  // Decrypt password if requested and exists
+  // SECURITY: Embedded Customer-Objekt sanitizen, sonst leaken
  // portalPasswordHash + portalPasswordEncrypted + Reset-Token in jede
  // contract.customer-Response. Der direkte `/customers/:id`-Endpoint hat
  // den Schutz schon; hier wäre er ohne Sanitize bypassbar.
  if (contract.customer) {
    (contract as Record<string, unknown>).customer = sanitizeCustomerStrict(
      contract.customer as Record<string, unknown>,
    );
  }
  // Decrypt password if requested and exists (Contract-Anbieter-Passwort,
  // nicht zu verwechseln mit Customer-Portal-Passwort)
  if (decryptPassword && contract.portalPasswordEncrypted) {
    try {
      (contract as Record<string, unknown>).portalPasswordDecrypted = decrypt(
@@ -385,6 +397,15 @@ export async function createContract(data: ContractCreateData) {
    },
  });
  // Embedded Customer-Objekt sanitizen (siehe getContractById – derselbe
  // Schutz; createContract gibt den frisch erstellten Vertrag inkl. Customer
  // zurück, und der darf keine Passwort-Hashes/-Encryptions leaken).
  if (contract.customer) {
    (contract as Record<string, unknown>).customer = sanitizeCustomerStrict(
      contract.customer as Record<string, unknown>,
    );
  }
  return contract;
 }
@@ -765,6 +786,251 @@ export async function createFollowUpContract(previousContractId: number) {
  return createContract(newContractData);
 }
 /**
 * Hilfsfunktion: extrahiert die Anzahl Monate aus einer ContractDuration.
 * Code-Beispiele: "12M", "24M", "1J", "2J". Falls nichts erkannt wird, fällt
 * sie auf 12 Monate als sicheren Default zurück.
 */
 function durationToMonths(code: string | null | undefined, description: string | null | undefined): number {
  const c = (code || '').trim();
  const d = (description || '').trim();
  let m = c.match(/^(\d+)\s*M$/i);
  if (m) return parseInt(m[1], 10);
  m = c.match(/^(\d+)\s*J$/i);
  if (m) return parseInt(m[1], 10) * 12;
  m = d.match(/(\d+)\s*Monat/i);
  if (m) return parseInt(m[1], 10);
  m = d.match(/(\d+)\s*Jahr/i);
  if (m) return parseInt(m[1], 10) * 12;
  return 12;
 }
 /**
 * VVL = Vertragsverlängerung beim selben Anbieter.
 *
 * Im Gegensatz zu createFollowUpContract werden ALLE Daten 1:1 kopiert:
 * Provider, Tarif, Portal-Credentials, Preise, Notes, ContractDocuments.
 *
 * Berechnet wird das neue Startdatum: altes startDate + Vertragslaufzeit.
 * Stimmt das gefundene Datum nicht mit dem späteren Auftrag überein, kann
 * der User es im Vertrag manuell anpassen.
 *
 * NICHT mitkopiert wird:
 *   - das Auftragsdokument (documentType "Auftragsformular") – das ist
 *     schließlich die NEU zu unterschreibende VVL.
 *   - Kündigungsschreiben/-bestätigung (das war der ALTE Cancel-Flow,
 *     bei einer VVL nicht relevant)
 */
 export async function createRenewalContract(previousContractId: number) {
  const previousContract = await getContractById(previousContractId, true);
  if (!previousContract) {
    throw new Error('Vorgängervertrag nicht gefunden');
  }
  // Bereits ein Folge-/VVL-Vertrag vorhanden?
  const existing = await prisma.contract.findFirst({
    where: { previousContractId },
    select: { id: true, contractNumber: true },
  });
  if (existing) {
    throw new Error(`Es existiert bereits ein Folgevertrag: ${existing.contractNumber}`);
  }
  // Neues Startdatum = altes Start + Laufzeit
  let newStartDate: Date | null = null;
  let newEndDate: Date | null = null;
  if (previousContract.startDate && previousContract.contractDuration) {
    const months = durationToMonths(
      previousContract.contractDuration.code,
      previousContract.contractDuration.description,
    );
    newStartDate = new Date(previousContract.startDate);
    newStartDate.setMonth(newStartDate.getMonth() + months);
    newEndDate = new Date(newStartDate);
    newEndDate.setMonth(newEndDate.getMonth() + months);
  }
  // Vertrags-Daten 1:1 kopieren (außer id/contractNumber/Datums-/Cancellation-Felder)
  const contractNumber = generateContractNumber(previousContract.type);
  const newContract = await prisma.contract.create({
    data: {
      contractNumber,
      customerId: previousContract.customerId,
      type: previousContract.type,
      status: 'DRAFT',
      contractCategoryId: previousContract.contractCategoryId,
      addressId: previousContract.addressId,
      billingAddressId: previousContract.billingAddressId,
      bankCardId: previousContract.bankCardId,
      identityDocumentId: previousContract.identityDocumentId,
      salesPlatformId: previousContract.salesPlatformId,
      cancellationPeriodId: previousContract.cancellationPeriodId,
      contractDurationId: previousContract.contractDurationId,
      previousContractId: previousContract.id,
      previousProviderId: previousContract.previousProviderId,
      providerId: previousContract.providerId,
      tariffId: previousContract.tariffId,
      providerName: previousContract.providerName,
      tariffName: previousContract.tariffName,
      customerNumberAtProvider: previousContract.customerNumberAtProvider,
      portalUsername: previousContract.portalUsername,
      portalPasswordEncrypted: previousContract.portalPasswordEncrypted,
      commission: previousContract.commission,
      notes: previousContract.notes,
      startDate: newStartDate,
      endDate: newEndDate,
      // Cancellation-Felder bewusst leer lassen – die VVL hat den alten
      // Cancel-Flow nicht geerbt.
    },
  });
  // Detail-Tabellen 1:1 kopieren (id rausnehmen, contractId neu)
  if (previousContract.energyDetails) {
    const ed = previousContract.energyDetails;
    const newEnergy = await prisma.energyContractDetails.create({
      data: {
        contractId: newContract.id,
        meterId: ed.meterId,
        maloId: ed.maloId,
        annualConsumption: ed.annualConsumption,
        annualConsumptionKwh: ed.annualConsumptionKwh,
        basePrice: ed.basePrice,
        unitPrice: ed.unitPrice,
        unitPriceNt: ed.unitPriceNt,
        bonus: ed.bonus,
        previousProviderName: ed.previousProviderName,
        previousCustomerNumber: ed.previousCustomerNumber,
      },
    });
    // ContractMeter-Verknüpfungen mitkopieren
    for (const cm of ed.contractMeters || []) {
      await prisma.contractMeter.create({
        data: {
          energyContractDetailsId: newEnergy.id,
          meterId: cm.meterId,
          position: cm.position,
          installedAt: cm.installedAt,
          removedAt: cm.removedAt,
          finalReading: cm.finalReading,
        },
      });
    }
  }
  if (previousContract.internetDetails) {
    const id = previousContract.internetDetails;
    const newInet = await prisma.internetContractDetails.create({
      data: {
        contractId: newContract.id,
        downloadSpeed: id.downloadSpeed,
        uploadSpeed: id.uploadSpeed,
        routerModel: id.routerModel,
        routerSerialNumber: id.routerSerialNumber,
        installationDate: id.installationDate,
        internetUsername: id.internetUsername,
        internetPasswordEncrypted: id.internetPasswordEncrypted,
        propertyType: id.propertyType,
        propertyLocation: id.propertyLocation,
        connectionLocation: id.connectionLocation,
        homeId: id.homeId,
        activationCode: id.activationCode,
      },
    });
    for (const pn of id.phoneNumbers || []) {
      await prisma.phoneNumber.create({
        data: {
          internetContractDetailsId: newInet.id,
          phoneNumber: pn.phoneNumber,
          isMain: pn.isMain,
          sipUsername: pn.sipUsername,
          sipPasswordEncrypted: pn.sipPasswordEncrypted,
          sipServer: pn.sipServer,
        },
      });
    }
  }
  if (previousContract.mobileDetails) {
    const md = previousContract.mobileDetails;
    const newMob = await prisma.mobileContractDetails.create({
      data: {
        contractId: newContract.id,
        requiresMultisim: md.requiresMultisim,
        dataVolume: md.dataVolume,
        includedMinutes: md.includedMinutes,
        includedSMS: md.includedSMS,
        deviceModel: md.deviceModel,
        deviceImei: md.deviceImei,
        phoneNumber: md.phoneNumber,
        simCardNumber: md.simCardNumber,
      },
    });
    for (const sc of md.simCards || []) {
      await prisma.simCard.create({
        data: {
          mobileDetailsId: newMob.id,
          phoneNumber: sc.phoneNumber,
          simCardNumber: sc.simCardNumber,
          isMultisim: sc.isMultisim,
          isMain: sc.isMain,
          pin: sc.pin,
          puk: sc.puk,
        },
      });
    }
  }
  if (previousContract.tvDetails) {
    await prisma.tvContractDetails.create({
      data: {
        contractId: newContract.id,
        receiverModel: previousContract.tvDetails.receiverModel,
        smartcardNumber: previousContract.tvDetails.smartcardNumber,
        package: previousContract.tvDetails.package,
      },
    });
  }
  if (previousContract.carInsuranceDetails) {
    const ci = previousContract.carInsuranceDetails;
    await prisma.carInsuranceDetails.create({
      data: {
        contractId: newContract.id,
        licensePlate: ci.licensePlate,
        hsn: ci.hsn,
        tsn: ci.tsn,
        vin: ci.vin,
        vehicleType: ci.vehicleType,
        firstRegistration: ci.firstRegistration,
        noClaimsClass: ci.noClaimsClass,
        insuranceType: ci.insuranceType,
        deductiblePartial: ci.deductiblePartial,
        deductibleFull: ci.deductibleFull,
        previousInsurer: ci.previousInsurer,
      },
    });
  }
  // ContractDocuments mitkopieren – AUSSER "Auftragsformular" (das ist die
  // neue Unterschrift, die der User selbst hochlädt). Files werden NICHT
  // physisch dupliziert; beide Verträge zeigen auf dieselbe Datei.
  const docs = await prisma.contractDocument.findMany({
    where: { contractId: previousContract.id },
  });
  for (const d of docs) {
    if (d.documentType.toLowerCase().includes('auftragsformular')) continue;
    await prisma.contractDocument.create({
      data: {
        contractId: newContract.id,
        documentType: d.documentType,
        documentPath: d.documentPath,
        originalName: d.originalName,
        notes: d.notes,
        uploadedBy: d.uploadedBy,
      },
    });
  }
  return prisma.contract.findUnique({ where: { id: newContract.id } });
 }
 // Decrypt password for viewing
 export async function getContractPassword(id: number): Promise<string | null> {
  const contract = await prisma.contract.findUnique({
@@ -129,3 +129,35 @@ export async function createNewContractFromPredecessorEntry(
    createdBy,
  });
 }
 /**
 * Automatischen Historie-Eintrag für VVL (Vertragsverlängerung) im Vorgängervertrag.
 */
 export async function createRenewalHistoryEntry(
  previousContractId: number,
  newContractNumber: string,
  createdBy: string
 ) {
  return createHistoryEntry(previousContractId, {
    title: `Vertragsverlängerung erstellt: ${newContractNumber}`,
    description: `Eine Vertragsverlängerung (VVL) als ${newContractNumber} wurde aus diesem Vertrag erstellt – alle Daten wurden 1:1 übernommen, das Auftragsdokument muss neu hochgeladen werden.`,
    isAutomatic: true,
    createdBy,
  });
 }
 /**
 * Automatischen Historie-Eintrag im neuen VVL-Vertrag.
 */
 export async function createNewRenewalFromPredecessorEntry(
  newContractId: number,
  previousContractNumber: string,
  createdBy: string
 ) {
  return createHistoryEntry(newContractId, {
    title: `VVL zu ${previousContractNumber}`,
    description: `Dieser Vertrag wurde als Vertragsverlängerung (VVL) zu ${previousContractNumber} erstellt.`,
    isAutomatic: true,
    createdBy,
  });
 }
@@ -469,6 +469,22 @@ export async function deprovisionEmail(localPart: string): Promise<EmailOperatio
  }
 }
 // Weiterleitungsziele ersetzen (set:, nicht add:) – nutzen wir, um nach einer
 // Kunden-Email-Änderung die Forwards einer Stressfrei-Adresse auf den neuen
 // Kunden-Inbox + unsere Service-Adresse zu setzen.
 export async function setEmailForwardTargets(
  localPart: string,
  targets: string[],
 ): Promise<EmailOperationResult> {
  try {
    const provider = await getProviderInstance();
    return provider.updateForwardTargets(localPart, targets);
  } catch (error) {
    const errorMessage = error instanceof Error ? error.message : 'Unbekannter Fehler';
    return { success: false, error: errorMessage };
  }
 }
 // E-Mail umbenennen
 export async function renameProvisionedEmail(
  oldLocalPart: string,
@@ -1,15 +1,32 @@
 /**
 * Factory-Defaults: Export + Import von Stammdaten-Katalogen.
- * Enthält KEINE Kundendaten, Verträge, Dokumente oder Einstellungen –
+ * Enthält KEINE Kundendaten, Verträge, Dokumente oder E-Mails –
 * nur reine Kataloge: Anbieter, Tarife, Kündigungsfristen, Laufzeiten,
- * Vertragskategorien und PDF-Auftragsvorlagen.
+ * Vertragskategorien, PDF-Auftragsvorlagen und ausgewählte
 * HTML-Templates (Datenschutz / Impressum / Vollmacht).
 */
 import fs from 'fs';
 import path from 'path';
 import archiver from 'archiver';
 import AdmZip from 'adm-zip';
 import prisma from '../lib/prisma.js';
 // Whitelist der AppSetting-Keys, die ins Factory-Default-Bundle gehören.
 // Bewusst klein gehalten: nur HTML-Templates für rechtliche Standardtexte –
 // keine Secrets, keine SMTP-Konfiguration, keine User-spezifischen Settings.
 export const FACTORY_DEFAULT_APP_SETTING_KEYS = [
  'privacyPolicyHtml',
  'authorizationTemplateHtml',
  'imprintHtml',
  'websitePrivacyPolicyHtml',
 ] as const;
 export interface AppSettingExport {
  key: (typeof FACTORY_DEFAULT_APP_SETTING_KEYS)[number];
  value: string;
 }
 export interface FactoryDefaultsManifest {
  version: 1;
  exportedAt: string;
@@ -20,6 +37,7 @@ export interface FactoryDefaultsManifest {
    contractDurations: number;
    contractCategories: number;
    pdfTemplates: number;
    appSettings: number;
  };
 }
@@ -49,7 +67,7 @@ export interface PdfTemplateExport {
 * Sammelt alle Katalog-Daten aus der DB.
 */
 export async function collectFactoryDefaults() {
-  const [providers, cancellationPeriods, contractDurations, contractCategories, pdfTemplates] =
+  const [providers, cancellationPeriods, contractDurations, contractCategories, pdfTemplates, appSettings] =
    await Promise.all([
      prisma.provider.findMany({
        include: { tariffs: { select: { name: true, isActive: true } } },
@@ -59,6 +77,11 @@ export async function collectFactoryDefaults() {
      prisma.contractDuration.findMany({ orderBy: { code: 'asc' } }),
      prisma.contractCategory.findMany({ orderBy: { sortOrder: 'asc' } }),
      prisma.pdfTemplate.findMany({ orderBy: { name: 'asc' } }),
      prisma.appSetting.findMany({
        where: { key: { in: [...FACTORY_DEFAULT_APP_SETTING_KEYS] } },
        select: { key: true, value: true },
        orderBy: { key: 'asc' },
      }),
    ]);
  return {
@@ -108,6 +131,7 @@ export async function collectFactoryDefaults() {
        pdfFilename: sanitizeFilename(t.name) + path.extname(t.originalName || '.pdf'),
      };
    }),
    appSettings: appSettings as AppSettingExport[],
  };
 }
@@ -132,6 +156,7 @@ export async function exportFactoryDefaults(): Promise<Buffer> {
      contractDurations: data.contractDurations.length,
      contractCategories: data.contractCategories.length,
      pdfTemplates: data.pdfTemplates.length,
      appSettings: data.appSettings.length,
    },
  };
@@ -160,6 +185,9 @@ export async function exportFactoryDefaults(): Promise<Buffer> {
    archive.append(JSON.stringify(data.pdfTemplates, null, 2), {
      name: 'pdf-templates/pdf-templates.json',
    });
    archive.append(JSON.stringify(data.appSettings, null, 2), {
      name: 'app-settings/app-settings.json',
    });
    // PDF-Dateien physisch hinzufügen (Pfade aus DB laden)
    const uploadsRoot = path.join(process.cwd(), 'uploads');
@@ -192,3 +220,244 @@ export async function exportFactoryDefaults(): Promise<Buffer> {
    })();
  });
 }
 // ============================================================
 // IMPORT
 // ============================================================
 export interface FactoryDefaultsImportResult {
  providers: number;
  tariffs: number;
  cancellationPeriods: number;
  contractDurations: number;
  contractCategories: number;
  pdfTemplates: number;
  pdfTemplatesSkipped: number;
  appSettings: number;
  warnings: string[];
 }
 function parseJsonEntry<T>(zip: AdmZip, name: string): T[] {
  const entry = zip.getEntry(name);
  if (!entry) return [];
  try {
    const parsed = JSON.parse(entry.getData().toString('utf-8'));
    return Array.isArray(parsed) ? parsed : [];
  } catch {
    return [];
  }
 }
 /**
 * Wendet ein Factory-Defaults-ZIP idempotent auf die DB an.
 * - upsert über unique-Keys: nichts wird gelöscht
 * - PDFs landen in `${uploads}/pdf-templates/` mit eindeutigem Suffix
 * - AppSettings nur Whitelist-Keys (FACTORY_DEFAULT_APP_SETTING_KEYS)
 *
 * Robust gegen Zip-Slip: wir greifen nur auf bekannte Entry-Namen zu
 * (`pdf-templates/<basename>`), niemals auf einen aus dem ZIP konstruierten
 * Pfad im Filesystem.
 */
 export async function importFactoryDefaults(
  zipBuffer: Buffer,
 ): Promise<FactoryDefaultsImportResult> {
  const zip = new AdmZip(zipBuffer);
  const result: FactoryDefaultsImportResult = {
    providers: 0,
    tariffs: 0,
    cancellationPeriods: 0,
    contractDurations: 0,
    contractCategories: 0,
    pdfTemplates: 0,
    pdfTemplatesSkipped: 0,
    appSettings: 0,
    warnings: [],
  };
  // --- Providers + Tariffs
  const providers = parseJsonEntry<ProviderExport>(zip, 'providers/providers.json');
  for (const p of providers) {
    if (!p.name) continue;
    const provider = await prisma.provider.upsert({
      where: { name: p.name },
      update: {
        portalUrl: p.portalUrl ?? null,
        usernameFieldName: p.usernameFieldName ?? null,
        passwordFieldName: p.passwordFieldName ?? null,
        isActive: p.isActive ?? true,
      },
      create: {
        name: p.name,
        portalUrl: p.portalUrl ?? null,
        usernameFieldName: p.usernameFieldName ?? null,
        passwordFieldName: p.passwordFieldName ?? null,
        isActive: p.isActive ?? true,
      },
    });
    result.providers++;
    for (const t of p.tariffs ?? []) {
      if (!t.name) continue;
      await prisma.tariff.upsert({
        where: { providerId_name: { providerId: provider.id, name: t.name } },
        update: { isActive: t.isActive ?? true },
        create: { providerId: provider.id, name: t.name, isActive: t.isActive ?? true },
      });
      result.tariffs++;
    }
  }
  // --- Contract-Meta
  const cancellationPeriods = parseJsonEntry<{ code: string; description: string; isActive?: boolean }>(
    zip,
    'contract-meta/cancellation-periods.json',
  );
  for (const c of cancellationPeriods) {
    if (!c.code || !c.description) continue;
    await prisma.cancellationPeriod.upsert({
      where: { code: c.code },
      update: { description: c.description, isActive: c.isActive ?? true },
      create: { code: c.code, description: c.description, isActive: c.isActive ?? true },
    });
    result.cancellationPeriods++;
  }
  const contractDurations = parseJsonEntry<{ code: string; description: string; isActive?: boolean }>(
    zip,
    'contract-meta/contract-durations.json',
  );
  for (const d of contractDurations) {
    if (!d.code || !d.description) continue;
    await prisma.contractDuration.upsert({
      where: { code: d.code },
      update: { description: d.description, isActive: d.isActive ?? true },
      create: { code: d.code, description: d.description, isActive: d.isActive ?? true },
    });
    result.contractDurations++;
  }
  const contractCategories = parseJsonEntry<{
    code: string;
    name: string;
    icon?: string | null;
    color?: string | null;
    sortOrder?: number;
    isActive?: boolean;
  }>(zip, 'contract-meta/contract-categories.json');
  for (const c of contractCategories) {
    if (!c.code || !c.name) continue;
    await prisma.contractCategory.upsert({
      where: { code: c.code },
      update: {
        name: c.name,
        icon: c.icon ?? null,
        color: c.color ?? null,
        sortOrder: c.sortOrder ?? 0,
        isActive: c.isActive ?? true,
      },
      create: {
        code: c.code,
        name: c.name,
        icon: c.icon ?? null,
        color: c.color ?? null,
        sortOrder: c.sortOrder ?? 0,
        isActive: c.isActive ?? true,
      },
    });
    result.contractCategories++;
  }
  // --- PDF-Vorlagen (JSON + binär aus dem ZIP)
  const pdfTemplates = parseJsonEntry<PdfTemplateExport>(
    zip,
    'pdf-templates/pdf-templates.json',
  );
  if (pdfTemplates.length > 0) {
    const uploadsRoot = path.join(process.cwd(), 'uploads');
    const pdfDestDir = path.join(uploadsRoot, 'pdf-templates');
    if (!fs.existsSync(pdfDestDir)) {
      fs.mkdirSync(pdfDestDir, { recursive: true });
    }
    for (const t of pdfTemplates) {
      if (!t.name || !t.pdfFilename) continue;
      // Anti-Zip-Slip: nur basename verwenden, kein Pfad
      const basename = path.basename(t.pdfFilename);
      const entry = zip.getEntry(`pdf-templates/${basename}`);
      if (!entry) {
        result.pdfTemplatesSkipped++;
        result.warnings.push(`PDF fehlt im ZIP: ${basename} – Vorlage "${t.name}" übersprungen`);
        continue;
      }
      const ext = path.extname(t.originalName || basename) || '.pdf';
      const uniqueSuffix = Date.now() + '-' + Math.round(Math.random() * 1e9);
      const safeName = t.name.replace(/[^a-zA-Z0-9]/g, '-');
      const destFilename = `seed-${safeName}-${uniqueSuffix}${ext}`;
      const destPdf = path.join(pdfDestDir, destFilename);
      const relativePath = `/uploads/pdf-templates/${destFilename}`;
      fs.writeFileSync(destPdf, entry.getData());
      // Bei existierender Vorlage die alte Datei aufräumen
      const existing = await prisma.pdfTemplate.findUnique({ where: { name: t.name } });
      if (existing?.templatePath) {
        const oldRel = existing.templatePath.startsWith('/uploads/')
          ? existing.templatePath.substring('/uploads/'.length)
          : existing.templatePath;
        const oldAbs = path.join(uploadsRoot, oldRel);
        if (fs.existsSync(oldAbs)) {
          try {
            fs.unlinkSync(oldAbs);
          } catch {
            // ignore
          }
        }
      }
      const fieldMappingJson = JSON.stringify(t.fieldMapping ?? {});
      await prisma.pdfTemplate.upsert({
        where: { name: t.name },
        update: {
          description: t.description ?? null,
          providerName: t.providerName ?? null,
          templatePath: relativePath,
          originalName: t.originalName,
          fieldMapping: fieldMappingJson,
          phoneFieldPrefix: t.phoneFieldPrefix ?? null,
          maxPhoneFields: t.maxPhoneFields ?? 8,
          isActive: t.isActive ?? true,
        },
        create: {
          name: t.name,
          description: t.description ?? null,
          providerName: t.providerName ?? null,
          templatePath: relativePath,
          originalName: t.originalName,
          fieldMapping: fieldMappingJson,
          phoneFieldPrefix: t.phoneFieldPrefix ?? null,
          maxPhoneFields: t.maxPhoneFields ?? 8,
          isActive: t.isActive ?? true,
        },
      });
      result.pdfTemplates++;
    }
  }
  // --- AppSettings (HTML-Templates, Whitelist)
  const appSettings = parseJsonEntry<AppSettingExport>(zip, 'app-settings/app-settings.json');
  const allowedKeys = new Set<string>(FACTORY_DEFAULT_APP_SETTING_KEYS);
  for (const s of appSettings) {
    if (!s.key || typeof s.value !== 'string') continue;
    if (!allowedKeys.has(s.key)) {
      result.warnings.push(`AppSetting-Key '${s.key}' nicht auf Whitelist – ignoriert`);
      continue;
    }
    await prisma.appSetting.upsert({
      where: { key: s.key },
      update: { value: s.value },
      create: { key: s.key, value: s.value },
    });
    result.appSettings++;
  }
  return result;
 }
@@ -155,14 +155,16 @@ export async function detectThresholds(): Promise<void> {
    });
    for (const g of grouped) {
      if ((g._count as number) < b.threshold) continue;
-      // Prüfen ob wir für diese (IP+Type+Stunde) schon einen CRITICAL emittiert haben
+      // Debounce: pro IP max. 1 SUSPICIOUS-Alert pro 60min (sliding window).
-      const hourBucket = new Date(now.getTime() - (now.getTime() % (60 * 60 * 1000)));
+      // Vorher: floor(now, hour) → resettete bei Stundenwechsel und produzierte
      // doppelte Alerts (Bug aus Runde 10).
      const oneHourAgo = new Date(now.getTime() - 60 * 60 * 1000);
      const existing = await prisma.securityEvent.findFirst({
        where: {
          type: 'SUSPICIOUS',
          severity: 'CRITICAL',
          ipAddress: g.ipAddress,
-          createdAt: { gte: hourBucket },
+          createdAt: { gte: oneHourAgo },
        },
      });
      if (existing) continue;
@@ -7,6 +7,8 @@ import {
  checkEmailExists,
  getProviderDomain,
  updateMailboxPassword,
  setEmailForwardTargets,
  getActiveProviderConfig,
 } from './emailProvider/emailProviderService.js';
 import { generateSecurePassword } from '../utils/passwordGenerator.js';
@@ -113,6 +115,8 @@ export async function createEmail(data: CreateEmailData) {
          ...emailData,
          isActive: true,
          hasMailbox: true,
          isProvisioned: true,
          provisionedAt: new Date(),
          emailPasswordEncrypted: passwordEncrypted,
        },
      });
@@ -131,6 +135,11 @@ export async function createEmail(data: CreateEmailData) {
      ...emailData,
      isActive: true,
      hasMailbox: createMailbox || false,
      // Provisioned-Flag nur setzen wenn Provider-Aufruf gerade lief (oder
      // die Mail bei Plesk schon existierte und der „existiert bereits"-Pfad
      // gegriffen hat).
      isProvisioned: !!provisionAtProvider,
      provisionedAt: provisionAtProvider ? new Date() : null,
    },
  });
 }
@@ -201,7 +210,7 @@ export async function syncMailboxStatus(id: number): Promise<{
 }> {
  const stressfreiEmail = await prisma.stressfreiEmail.findUnique({
    where: { id },
-    select: { email: true, hasMailbox: true },
+    select: { email: true, hasMailbox: true, isProvisioned: true, provisionedAt: true },
  });
  if (!stressfreiEmail) {
@@ -213,19 +222,42 @@ export async function syncMailboxStatus(id: number): Promise<{
  // Provider-Status prüfen
  const providerStatus = await checkEmailExists(localPart);
  // Self-Healing für `isProvisioned`: das Flag wurde in einer früheren Code-
  // Version beim Provisioning nie gesetzt → DB ist stellenweise inkonsistent
  // zum Provider. Wir reconciliieren bei jedem Status-Sync mit.
  const updates: Record<string, unknown> = {};
  if (!providerStatus.exists) {
    // Beim Provider nicht (mehr) vorhanden → DB-Flag entsprechend
    if (stressfreiEmail.isProvisioned) {
      updates.isProvisioned = false;
    }
    if (stressfreiEmail.hasMailbox) {
      updates.hasMailbox = false;
    }
    if (Object.keys(updates).length > 0) {
      await prisma.stressfreiEmail.update({ where: { id }, data: updates });
      return { success: true, hasMailbox: false, wasUpdated: true };
    }
    return { success: true, hasMailbox: false, wasUpdated: false };
  }
-  const providerHasMailbox = providerStatus.hasMailbox === true;
+  // Beim Provider vorhanden → isProvisioned auf true ziehen falls noch nicht
  if (!stressfreiEmail.isProvisioned) {
    updates.isProvisioned = true;
    if (!stressfreiEmail.provisionedAt) {
      updates.provisionedAt = new Date();
    }
  }
-  // DB aktualisieren wenn Status abweicht
+  const providerHasMailbox = providerStatus.hasMailbox === true;
  if (stressfreiEmail.hasMailbox !== providerHasMailbox) {
-    await prisma.stressfreiEmail.update({
+    updates.hasMailbox = providerHasMailbox;
-      where: { id },
+  }
-      data: { hasMailbox: providerHasMailbox },
+
-    });
+  if (Object.keys(updates).length > 0) {
-    console.log(`Mailbox-Status für ${stressfreiEmail.email} aktualisiert: ${stressfreiEmail.hasMailbox} -> ${providerHasMailbox}`);
+    await prisma.stressfreiEmail.update({ where: { id }, data: updates });
    console.log(`Stressfrei-Status für ${stressfreiEmail.email} reconciled:`, updates);
    return { success: true, hasMailbox: providerHasMailbox, wasUpdated: true };
  }
@@ -251,6 +283,120 @@ export async function getDecryptedPassword(id: number): Promise<string | null> {
  }
 }
 // Weiterleitungen einer Stressfrei-Adresse neu setzen (z.B. nach Änderung der
 // Stamm-E-Mail des Kunden). Ersetzt alle bestehenden Forwards durch
 // [aktuelle Kunden-E-Mail, defaultForwardEmail aus Provider-Config].
 //
 // Wenn die Adresse `hasMailbox` ist: setzt zusätzlich das im CRM verschlüsselt
 // hinterlegte Passwort am Provider neu (Use-Case: Plesk-Restore, manueller
 // Eingriff im Plesk-UI etc. – CRM und Provider können sich entkoppeln, sodass
 // IMAP/SMTP-Logins im CRM nicht mehr passen). Self-Healing.
 //
 // Idempotent: das Plesk-CLI `set:` überschreibt die Adressliste komplett, kein
 // Duplikat-Risiko bei Mehrfachaufruf. Wenn die Operation erfolgreich war wird
 // das `isProvisioned`-Flag automatisch auf `true` gezogen (historische
 // Einträge, bei denen das Flag nie gesetzt wurde, werden so geheilt).
 export async function syncForwardingForEmail(
  id: number,
 ): Promise<{
  success: boolean;
  forwardTargets?: string[];
  customerEmail?: string;
  passwordReset?: boolean;
  error?: string;
 }> {
  const stressfreiEmail = await prisma.stressfreiEmail.findUnique({
    where: { id },
    select: {
      email: true,
      customerId: true,
      isProvisioned: true,
      hasMailbox: true,
      emailPasswordEncrypted: true,
    },
  });
  if (!stressfreiEmail) {
    return { success: false, error: 'StressfreiEmail nicht gefunden' };
  }
  const customer = await prisma.customer.findUnique({
    where: { id: stressfreiEmail.customerId },
    select: { email: true },
  });
  if (!customer?.email) {
    return { success: false, error: 'Kunde hat keine Stamm-E-Mail-Adresse hinterlegt' };
  }
  const config = await getActiveProviderConfig();
  const forwardTargets: string[] = [customer.email];
  if (config?.defaultForwardEmail) {
    forwardTargets.push(config.defaultForwardEmail);
  }
  const localPart = stressfreiEmail.email.split('@')[0];
  // 1) Forwards neu setzen.
  const forwardResult = await setEmailForwardTargets(localPart, forwardTargets);
  if (!forwardResult.success) {
    // Wenn Plesk meldet „nicht gefunden", liefern wir eine sprechende Meldung
    // statt der rohen Provider-Nachricht.
    const err = forwardResult.error || 'Provider-Update fehlgeschlagen';
    const friendly = /not\s*found|nicht\s*gefunden/i.test(err)
      ? 'E-Mail-Adresse beim Provider nicht gefunden – wurde sie dort gelöscht?'
      : err;
    return { success: false, error: friendly };
  }
  // 2) Wenn Mailbox: Passwort aus CRM-Speicher entschlüsseln und am Provider
  //    neu setzen (Self-Healing nach Provider-seitigen Änderungen).
  let passwordReset = false;
  if (stressfreiEmail.hasMailbox && stressfreiEmail.emailPasswordEncrypted) {
    try {
      const password = decrypt(stressfreiEmail.emailPasswordEncrypted);
      const pwResult = await updateMailboxPassword(localPart, password);
      if (!pwResult.success) {
        // Forwards waren schon erfolgreich – wir geben Forward-Erfolg + Passwort-
        // Fehler kombiniert zurück, statt die ganze Operation rot zu machen.
        return {
          success: false,
          forwardTargets,
          customerEmail: customer.email,
          error:
            'Weiterleitungen aktualisiert, aber Passwort-Sync fehlgeschlagen: ' +
            (pwResult.error || 'unbekannt'),
        };
      }
      passwordReset = true;
    } catch (e) {
      return {
        success: false,
        forwardTargets,
        customerEmail: customer.email,
        error:
          'Weiterleitungen aktualisiert, aber Passwort konnte nicht entschlüsselt werden – ' +
          'evtl. wurde der ENCRYPTION_KEY rotiert',
      };
    }
  }
  // 3) Self-Healing: nach erfolgreichem Provider-Aufruf wissen wir definitiv,
  //    dass die Adresse beim Provider existiert → Flag korrigieren.
  if (!stressfreiEmail.isProvisioned) {
    await prisma.stressfreiEmail.update({
      where: { id },
      data: { isProvisioned: true, provisionedAt: new Date() },
    });
  }
  return {
    success: true,
    forwardTargets,
    customerEmail: customer.email,
    passwordReset,
  };
 }
 // Passwort neu generieren und beim Provider setzen
 export async function resetMailboxPassword(id: number): Promise<{ success: boolean; password?: string; error?: string }> {
  const stressfreiEmail = await prisma.stressfreiEmail.findUnique({
@@ -88,6 +88,43 @@ export function generateSimplePassword(length = 12): string {
  });
 }
 // ==================== PASSWORD COMPLEXITY VALIDATION ====================
 /**
 * Mindestanforderungen für vom User vergebene Passwörter.
 * Generator-Output (generateSecurePassword) erfüllt diese standardmäßig.
 */
 export interface PasswordComplexityResult {
  ok: boolean;
  errors: string[];
 }
 export function validatePasswordComplexity(pw: unknown): PasswordComplexityResult {
  const errors: string[] = [];
  if (typeof pw !== 'string') {
    return { ok: false, errors: ['Passwort fehlt oder ist kein Text'] };
  }
  if (pw.length < 12) errors.push('mindestens 12 Zeichen');
  if (!/[a-z]/.test(pw)) errors.push('mindestens einen Kleinbuchstaben');
  if (!/[A-Z]/.test(pw)) errors.push('mindestens einen Großbuchstaben');
  if (!/[0-9]/.test(pw)) errors.push('mindestens eine Ziffer');
  // Sonderzeichen-Set bewusst breit – auch Leerzeichen + Unicode-Punktuation
  // zulassen, damit gängige Passwort-Manager-Outputs nicht abgelehnt werden.
  if (!/[^A-Za-z0-9]/.test(pw)) errors.push('mindestens ein Sonderzeichen');
  return { ok: errors.length === 0, errors };
 }
 /**
 * Wirft mit sprechender Fehlermeldung, wenn das Passwort die Komplexität
 * nicht erfüllt. Für Aufruf direkt im Controller, der die Exception fängt.
 */
 export function assertPasswordComplexity(pw: unknown): void {
  const r = validatePasswordComplexity(pw);
  if (!r.ok) {
    throw new Error('Passwort erfüllt Mindestanforderungen nicht: ' + r.errors.join(', '));
  }
 }
 // Kryptografisch sichere Zufallszahl
 function getRandomInt(max: number): number {
  const bytes = randomBytes(4);
@@ -110,6 +110,12 @@ const USER_UPDATABLE_FIELDS = [
  'signalNumber',
  'roleIds',
  'password', // nur Admin, wird im Service gehashed
  // hasGdprAccess + hasDeveloperAccess sind keine User-Spalten – der Service
  // mappt sie auf die versteckten Rollen DSGVO/Developer (siehe
  // setUserGdprAccess / setUserDeveloperAccess). Müssen aber auf der Whitelist
  // stehen, damit pick() sie nicht aus dem Request entfernt.
  'hasGdprAccess',
  'hasDeveloperAccess',
  // Nicht: id, customerId, tokenInvalidatedAt, passwordResetToken, passwordResetExpiresAt
 ] as const;
@@ -1,4 +1,19 @@
-version: '3.8'
+# OpenCRM – komplettes Setup: MariaDB + Backend/Frontend + Adminer
 # Konfiguration über ./.env (siehe ./.env.example)
 #
 # Quick-Start (Compose v2):
 #   cp .env.example .env       # Werte anpassen (Secrets rotieren!)
 #   docker compose up -d       # erstes Mal: holt Images, baut Backend, startet alles
 # Quick-Start (Compose v1, Legacy):
 #   docker-compose up -d
 #
 # Browser:
 #   http://localhost:${OPENCRM_PORT}     # CRM
 #   http://localhost:${ADMINER_PORT}     # DB-UI
 #
 # Daten liegen alle unter ./data/* – Bind-Mounts statt Volumes (auf Wunsch).
 #version: '3.8'
 services:
  db:
@@ -6,20 +21,92 @@ services:
    container_name: opencrm-db
    restart: unless-stopped
    environment:
-      MYSQL_ROOT_PASSWORD: rootpassword
+      MARIADB_ROOT_PASSWORD: ${DB_ROOT_PASSWORD}
-      MYSQL_DATABASE: opencrm
+      MARIADB_DATABASE: ${DB_NAME}
-      MYSQL_USER: opencrm
+      MARIADB_USER: ${DB_USER}
-      MYSQL_PASSWORD: opencrm123
+      MARIADB_PASSWORD: ${DB_PASSWORD}
    ports:
-      - "3306:3306"
+      # Externe Erreichbarkeit für lokale DB-Tools (TablePlus etc.).
      # Auf 127.0.0.1 binden – kein public exposure.
      - "127.0.0.1:${DB_PORT:-3306}:3306"
    volumes:
-      - mariadb_data:/var/lib/mysql
+      - ${DB_DATA_DIR:-./data/db}:/var/lib/mysql
    healthcheck:
      test: ["CMD", "healthcheck.sh", "--connect", "--innodb_initialized"]
-      start_period: 10s
+      start_period: 20s
      interval: 10s
      timeout: 5s
-      retries: 3
+      retries: 5
  opencrm:
    build:
      context: .
      dockerfile: backend/Dockerfile
    container_name: opencrm-app
    restart: unless-stopped
    depends_on:
      db:
        condition: service_healthy
    environment:
      # DATABASE_URL wird vom entrypoint.sh aus den DB_*-Komponenten gebaut –
      # mit encodeURIComponent für Passwörter mit Sonderzeichen ($, !, #, @, :,
      # / etc.). KEIN root für die App, sondern der App-User ${DB_USER}, den
      # MariaDB beim ersten Start automatisch mit GRANT ALL PRIVILEGES auf
      # ${DB_NAME}.* anlegt (über MARIADB_USER/MARIADB_PASSWORD).
      DB_HOST: db
      DB_PORT: 3306
      DB_NAME: ${DB_NAME}
      DB_USER: ${DB_USER}
      DB_PASSWORD: ${DB_PASSWORD}
      JWT_SECRET: ${JWT_SECRET}
      JWT_EXPIRES_IN: ${JWT_EXPIRES_IN:-15m}
      JWT_REFRESH_EXPIRES_IN: ${JWT_REFRESH_EXPIRES_IN:-7d}
      ENCRYPTION_KEY: ${ENCRYPTION_KEY}
      NODE_ENV: production
      PORT: 3001
      LISTEN_ADDR: 0.0.0.0
      CORS_ORIGINS: ${CORS_ORIGINS:-}
      HTTPS_ENABLED: ${HTTPS_ENABLED:-false}
      RUN_SEED: ${RUN_SEED:-false}
    ports:
      - "${OPENCRM_PORT:-3010}:3001"
    volumes:
-  mariadb_data:
+      # Bind-Mounts für persistente Daten unter ./data/
      - ${UPLOADS_DIR:-./data/uploads}:/app/uploads
      - ${FACTORY_DEFAULTS_DIR:-./data/factory-defaults}:/app/factory-defaults
      - ${BACKUPS_DIR:-./data/backups}:/app/prisma/backups
  adminer:
    image: adminer:latest
    container_name: opencrm-adminer
    restart: unless-stopped
    depends_on:
      - db
    environment:
      ADMINER_DEFAULT_SERVER: db
      ADMINER_DESIGN: ${ADMINER_DESIGN:-pepa-linha}
    # Adminers offizieller entrypoint linkt nur Designs, deren CSS exakt
    # `adminer.css` heißt. Manche Designs (dracula, adminer-dark) haben aber
    # `adminer-dark.css`. Wir machen den Symlink generisch: erstes .css im
    # gewählten Design wird verlinkt. Danach übergeben wir an den originalen
    # entrypoint.sh.
    entrypoint:
      - /bin/sh
      - -c
      - >
        cd /var/www/html;
        if [ -n "$$ADMINER_DESIGN" ] && [ -d "designs/$$ADMINER_DESIGN" ]; then
          CSS=$$(ls designs/$$ADMINER_DESIGN/*.css 2>/dev/null | head -1);
          if [ -n "$$CSS" ]; then
            ln -sf "$$CSS" adminer.css;
            touch .adminer-init;
            echo "[adminer-bootstrap] Theme aktiv: $$ADMINER_DESIGN -> $$CSS";
          else
            echo "[adminer-bootstrap] Design '$$ADMINER_DESIGN' enthält kein CSS – nutze Default";
          fi;
        fi;
        exec entrypoint.sh docker-php-entrypoint "$$@"
      - --
    command: ["php", "-S", "[::]:8080", "-t", "/var/www/html"]
    ports:
      - "127.0.0.1:${ADMINER_PORT:-8090}:8080"
@@ -230,6 +230,146 @@ Nichts Kritisches mehr gefunden. Liefert noch:
 - **Concurrent Password-Reset Race**: Token wird nach erstem Confirm
  atomar gelöscht – zweiter Versuch findet keinen Token. ✅
 ### Runde 11 – Externer Pentest-Folge: Header-Hygiene + Klartext-Audit
 Externer Pentest (testssl, ZAP, Nikto, Nuclei) gegen Prod-VM hat drei
 Klassen Defense-in-Depth-Findings rausgespült. Reale Ausnutzbarkeit jeweils
 gering, aber Audit-Bewertung fordert konsistente Header-Hygiene.
 - **HSTS-Doppel-Header (18×)**: Nginx-Proxy-Manager (TLS-Terminierung) UND
  Helmet schickten beide `Strict-Transport-Security` → RFC-6797-Verletzung.
  Helmet's HSTS deaktiviert (`strictTransportSecurity: false`); der
  Reverse-Proxy übernimmt die Policy zentral am Edge.
 - **Cache-Control (~10×)**: `/api/*` → `no-store` (sensible JSON-Daten),
  SPA-HTML (`/`, `/sitemap.xml`, `/robots.txt`) → `no-store, must-revalidate`
  (sonst hängt der Browser nach Deploy an alter `index.html` fest),
  `/assets/*.{js,css}` → `public, max-age=31536000, immutable` (Vite-Bundles
  haben Content-Hash im Filename).
 - **CSP No-Fallback-Direktiven (2×)**: `worker-src`, `manifest-src`,
  `media-src` jetzt explizit auf `'self'`.
 - **CSP `frame-ancestors`**: war `'none'`, das blockt auch same-origin-iframes
  → PDF-Vorschau im PDF-Template-Editor lädt nicht. Korrigiert auf
  `'self'` (eigene App darf eigene Resourcen embeden, externe Sites bleiben
  via `X-Frame-Options: SAMEORIGIN` weiter gesperrt).
 - **BREACH (CVE-2013-3587)**: testssl meldet "potentially VULNERABLE,
  gzip HTTP compression detected" – theoretischer Side-Channel-Angriff
  auf gzip-komprimierte HTTPS-Responses. Praktisch klein bei JWT-SPA (keine
  reflektierten Secrets im Response), Audit-Marker bleibt aber MEDIUM.
  Fix: gzip im Reverse-Proxy für `/api/*` deaktivieren (Custom-Location im
  NPM, Statische Assets bleiben weiter komprimiert). README dokumentiert
  Setup.
 - **`Server: openresty` + `x-served-by`-Banner**: am NPM via
  `more_clear_headers Server X-Served-By;` weg.
 - **Audit-Log für Klartext-Passwort-Reads**: Pentest fand "HOCH (post-auth):
  Klartext-Passwörter über API abrufbar" — reversible AES-256-GCM ist
  by-design für das Feature "Anbieter-Login anzeigen", aber **keiner** der
  sechs Endpoints (`PortalPassword`, `ContractPassword`, `SimCardCredentials`,
  `InternetCredentials`, `SipCredentials`, `MailboxCredentials`) schrieb
  bisher einen Audit-Log-Eintrag. Jetzt: `action: 'READ'` mit eigenem
  Resource-Type + `sensitivity: CRITICAL`, Label nennt explizit "Klartext
  … entschlüsselt" + Resource-ID. Damit ist im Audit-Log-Viewer jederzeit
  nachvollziehbar, wer wann welches Passwort eingesehen hat
  (DSGVO + Insider-Threat).
 ### Runde 13 – KRITISCH: IDOR auf Stressfrei-Email-Sub-Routes (Live-Pentest-Fund)
 Externer Pentest hat einen echten Credential-Exfiltration-Angriff erfolgreich
 durchgespielt: **als Portal-User von Kunde A komplette IMAP/SMTP-Klartext-
 Credentials von Kunde B abgreifen können**.
 **Angriffspfad:**
 1. Portal-Login als Kunde A
 2. `/api/stressfrei-emails/{id}` GET unterschied saubere Antworten:
   - „E-Mail-Konto nicht gefunden" (ID existiert nicht)
   - „Kein Zugriff auf diese Kundendaten" (ID existiert, gehört anderem)
   → Information-Disclosure: Existenz von IDs durchprobierbar
 3. `/api/stressfrei-emails/{id}/credentials` GET ohne Ownership-Check →
   IMAP/SMTP-Server, Username und **Klartext-Passwort** der fremden Mailbox
 **Root Cause:** der Haupt-Endpoint `GET /:id` hatte `canAccessStressfreiEmail`,
 die 8 Sub-Endpoints unter `:id/*` hatten **alle keinen** Ownership-Check —
 nur `authenticate + requirePermission('customers:read')`, was jeder Portal-User
 hat.
 **Betroffene Endpoints (alle gefixt):**
 - `GET /:id/credentials` ← **der kritische** (Klartext-Passwort + IMAP/SMTP)
 - `GET /:id/folder-counts`
 - `POST /:id/sync`
 - `POST /:id/send`
 - `POST /:id/enable-mailbox`
 - `POST /:id/sync-mailbox-status`
 - `POST /:id/reset-password`
 - `PUT /:id` (updateEmail im stressfreiEmail.controller)
 - `DELETE /:id` (deleteEmail)
 `canAccessStressfreiEmail(req, res, emailId)` als erste Zeile in jedem
 Controller. `canAccessResourceByCustomerId` emittiert bei Fehlversuch
 automatisch ein `ACCESS_DENIED MEDIUM`-Event ins Security-Monitoring → bei
 >5 Versuchen in 5 min wird ein `CRITICAL SUSPICIOUS`-Event erzeugt + Alert
 verschickt.
 **Live-verifiziert (Portal-User Kunde A versucht Email-ID von Kunde B):**
 | Endpoint | Vorher | Nachher |
 | --- | --- | --- |
 | `GET /:id/credentials` | 🚨 **200 mit Klartext-Passwort** | ✅ 403 |
 | `GET /:id/folder-counts` | 🚨 200 | ✅ 403 |
 | `POST /:id/sync` | 🚨 200 | ✅ 403 |
 | `POST /:id/send` | 🚨 fremde Mailbox zum Versand missbrauchbar | ✅ 403 |
 | `POST /:id/enable-mailbox` | 🚨 200 | ✅ 403 |
 | `POST /:id/sync-mailbox-status` | 🚨 200 | ✅ 403 |
 | `POST /:id/reset-password` | 🚨 fremdes Mailbox-Passwort zurücksetzbar | ✅ 403 |
 | `POST /:id/sync-forwarding` | (vorher schon gefixt) | ✅ 403 |
 | `PUT /:id` | 🚨 fremde Adresse änderbar | ✅ 403 |
 | `DELETE /:id` | 🚨 fremde Adresse löschbar | ✅ 403 |
 | Eigene Email-ID | (legitim) | ✅ 200/400 (durch) |
 | Security-Monitor | – | 8× `ACCESS_DENIED MEDIUM` geloggt ✅ |
 **Lehre:** wenn ein Haupt-Endpoint `:id` einen Ownership-Check hat, müssen
 **alle** Sub-Endpoints unter `:id/*` denselben Check haben. Eine fehlende
 Zeile am Anfang eines Sub-Controllers reicht für komplette Credential-
 Exfiltration über das Customer-Portal.
 ### Runde 12 – JWT raus aus localStorage (XSS-Resistenz)
 Externer Pentest: "JWT in `localStorage` (MITTEL)". Bei einer XSS-Lücke
 irgendwo in der App wäre der Token JS-erreichbar → Angreifer könnte alle
 Anbieter-Credentials abrufen. Aktuell gibt's keinen bekannten XSS-Vektor
 (CSP `script-src 'self'`, React-DOM-Escaping, keine `dangerouslySetInnerHTML`
 außer in Admin-befüllten HTML-Templates), aber das Defense-in-Depth-Pattern
 gehört auf den SPA-Branchenstandard:
 - **Access-Token**: 15 min Lifetime, lebt **nur im JavaScript-Memory**
  (Modul-State in `api.ts` + `AuthContext`). Kein `localStorage` mehr.
 - **Refresh-Token**: 7 Tage, im **httpOnly-Cookie** (`Secure` bei
  `HTTPS_ENABLED`, `SameSite=Strict`, `Path=/api/auth`). JS hat keinen
  Zugriff → XSS klaut **maximal** einen 15-min-Access-Token.
 - **POST `/api/auth/refresh`**: liest Cookie, gibt neuen Access aus, rotiert
  Refresh-Cookie. Prüft `tokenInvalidatedAt` (Logout/Rollenänderung =
  sofortige Invalidation aller Tokens, auch des Refresh).
 - **Auth-Middleware**: lehnt Refresh-Tokens (`type: 'refresh'`) als Bearer
  ab → 401 `"Falscher Token-Typ"`. Defense-in-Depth gegen Token-Confusion.
 - **Axios-Interceptor**: bei 401 → Single-Flight-Refresh-Retry. Original-Request
  wird transparent wiederholt; concurrent 401s teilen sich denselben
  Refresh-Aufruf.
 - **App-Start**: ruft `/auth/refresh` auf; wenn Cookie gültig → User
  automatisch eingeloggt, kein Re-Login nach Tab-Reload trotz
  memory-only Access-Token.
 - **Logout**: löscht Cookie + setzt `tokenInvalidatedAt` → auch parallele
  Sessions auf anderen Geräten sind ungültig.
 Live-Tests (alle ✅):
 | Test | Resultat |
 | --- | --- |
 | Login | Cookie `HttpOnly; SameSite=Strict; Path=/api/auth` gesetzt, Access-Token im Body |
 | API-Call mit Bearer | 200 |
 | API-Call ohne Bearer | 401 |
 | `/auth/refresh` mit Cookie | 200, rotiertes Cookie, neuer Access |
 | `/auth/refresh` ohne Cookie | 401 |
 | Refresh-Token als Bearer benutzt | 401 „Falscher Token-Typ" |
 | Logout → `/auth/refresh` | 401 (Cookie weg, tokenInvalidatedAt gesetzt) |
 ---
 ## 🔧 Geprüft + sauber (kein Bug, aber explizit getestet)
@@ -97,6 +97,312 @@ isolierte Instanz (keine Multi-Tenancy im Code), Provisioning + Abrechnung
 ## ✅ Erledigt
 - [x] **🔐 Einmalpasswort-Flow für Portal-Credentials**
  - **Intention**: Wenn wir Zugangsdaten per E-Mail an den Kunden
    schicken, kennen wir das Passwort als Admin – das ist solange OK,
    bis er sich einmal eingeloggt hat. Danach soll er gezwungen sein,
    sich ein eigenes zu vergeben, und das per-Mail-Passwort ist tot.
  - **Datenmodell**: neues Feld `portalPasswordMustChange: Boolean
    @default(false)` am Customer.
  - **Flow**:
    1. Admin klickt **Zugangsdaten versenden** → Flag wird gesetzt,
       Mail-Template weist explizit auf „Einmalpasswort" hin.
    2. Kunde loggt sich mit dem OTP ein → Backend gibt
       `mustChangePassword: true` im Login-Response zurück UND
       **konsumiert das OTP sofort**: setzt `portalPasswordHash =
       null` und `portalPasswordEncrypted = null`. Ein zweiter
       Login mit demselben Passwort schlägt fehl (401).
    3. Frontend (`ProtectedRoute`) sieht `mustChangePassword=true`
       und leitet auf `/change-initial-password` um – egal welche
       Route der Kunde aufrufen will, er kommt nicht weiter.
    4. Auf der Seite gibt er ein neues, komplexes Passwort vor
       (Live-Hint mit ✓/○, dieselben Regeln wie Backend).
    5. `POST /api/auth/change-initial-portal-password` speichert
       neuen Hash, **löscht das Encrypted-Feld** (Admin kann das
       eigene Passwort des Kunden nicht mehr im Klartext lesen),
       setzt `portalTokenInvalidatedAt = now()` und
       `portalPasswordMustChange = false`.
    6. Frontend loggt aus, leitet zu `/login?changed=1`,
       Erfolgs-Banner: „Passwort wurde geändert. Bitte mit dem
       neuen Passwort anmelden."
  - **Edge case**: Tab geschlossen ohne Setzen → Kunde ist
    ausgesperrt (OTP weg, eigenes Passwort nicht gesetzt). Lösung
    aus seiner Sicht: Passwort-vergessen-Funktion oder Admin
    versendet neue Zugangsdaten.
  - **Edge case**: Admin macht zwischendurch nochmal manuelles
    „Setzen" → `mustChange` wird automatisch wieder `false`. So
    kann ein versehentlich versendetes OTP problemlos durch ein
    direkt-gesetztes Passwort ersetzt werden.
  - **Live-verifiziert (10 Schritte)**: Setzen → Send → Flag in
    DB=true → Login mit OTP gibt mustChange=true zurück + Hash
    in DB ist null → Re-Login mit OTP → 401 → Change-Endpoint
    schwach → 400 → komplex → 200 → Login mit neuem PW →
    mustChange=false + tokenInvalidatedAt gesetzt.
 - [x] **🔐 Passwort-Komplexität + Portal-Credentials-UX**
  - **Problem**: Bisher reichten 6 Zeichen für gesetzte Passwörter
    (Portal-Login, User-Reset, Registrierung, User-Anlage). Das hat
    der Pentest bemängelt, und es entsprach auch nicht dem, was wir
    selbst von Endkunden erwarten würden.
  - **Lösung**:
    * `validatePasswordComplexity()` in `passwordGenerator.ts`:
      mind. 12 Zeichen + Großbuchstaben + Kleinbuchstaben + Ziffer
      + Sonderzeichen, mit detaillierter Fehlerliste auf deutsch.
    * Erzwungen in **5 Endpoints**: `setPortalPassword`,
      `confirmPasswordReset`, `register`, `createUser`, `updateUser`.
  - **Neue UX im Kunden-Portal-Block (CustomerDetail)**:
    * **Generate-Button**: erzeugt 16-Zeichen-Zufallspasswort, das
      garantiert allen Komplexitätsregeln entspricht, und füllt
      das Eingabefeld direkt aus.
    * **Send-Credentials-Button**: schickt Login-URL + Username +
      Klartext-Passwort an die Kunden-E-Mail. Funktioniert nur,
      wenn "Portal aktiviert" tatsächlich aktiviert ist.
    * **Live-Komplexitäts-Hint** beim Tippen: ✓/○-Liste zeigt
      sofort, welche Regeln noch fehlen.
    * `alert()`-Boxen durch Toast-Notifications ersetzt.
  - **Live-verifiziert**: schwaches Passwort `hallo123` → HTTP 400
    mit Fehlerliste, komplexes Passwort `Hallo123!Test` → HTTP 200,
    Generator-Endpoint liefert 16-Zeichen-Passwort, Send-Credentials
    versendet Mail nur bei portalEnabled=true.
 - [x] **🌐 Real-IP hinter Nginx-Proxy-Manager**
  - **Problem**: Rate-Limiter und Security-Monitor haben statt der
    echten Client-IP nur die NPM-IP (`172.0.2.12`) geloggt. Damit
    wären alle Threshold-basierten Blockings nutzlos – ein Brute-
    Force von 100 verschiedenen Clients wäre für uns 1 Quelle.
  - **Root Cause**: `app.set('trust proxy', 'loopback')` – das passt
    nur, wenn der Proxy auf 127.0.0.1 läuft. NPM läuft aber auf
    einem anderen Host, also wurde X-Forwarded-For ignoriert.
  - **Fix**: trust-proxy abhängig von `HTTPS_ENABLED`:
    `HTTPS_ENABLED=true` → `1` (genau 1 Hop, der NPM), sonst
    `loopback` (Direkt-Verbindungen lokal).
  - **Live-verifiziert**: req.ip zeigt jetzt die echte Browser-IP
    statt der NPM-IP, Threshold-Events triggern korrekt.
 - [x] **🚨 KRITISCH: IDOR auf Stressfrei-Email-Sub-Routes (Pentest-Fund)**
  - **Realer Angriff erfolgreich durchgespielt**: Portal-User konnte über
    `/api/stressfrei-emails/{id}/credentials` die kompletten Klartext-
    IMAP/SMTP-Zugangsdaten der Mailbox eines anderen Kunden abrufen.
  - **Root Cause**: der Haupt-Endpoint `GET /:id` hatte
    `canAccessStressfreiEmail`-Check, die **8 Sub-Endpoints** unter
    `:id/*` hatten alle KEINEN Ownership-Check (nur `authenticate +
    requirePermission('customers:read')`, was Portal-User von Haus aus
    haben).
  - **Fix**: `canAccessStressfreiEmail(req, res, id)` als erste Zeile in
    allen 9 betroffenen Controllern: `getMailboxCredentials`,
    `getFolderCounts`, `syncAccount`, `sendEmailFromAccount`,
    `enableMailbox`, `syncMailboxStatus`, `resetPassword`, `updateEmail`,
    `deleteEmail`.
  - **Security-Monitor**: `canAccessResourceByCustomerId` emittiert
    bei jedem Fehlversuch automatisch ein `ACCESS_DENIED MEDIUM`-Event
    → Threshold-Detection (>5 in 5 min) erzeugt `CRITICAL SUSPICIOUS` +
    Sofort-Alert.
  - **Live-verifiziert**: Portal-User Kunde A probiert Email-ID von
    Kunde B durch alle 8 Sub-Routes → **alle 8× HTTP 403**, eigene
    Email-ID kommt sauber durch (200/400), 8× `ACCESS_DENIED`-Events
    im Security-Monitor.
 - [x] **🛡️ JWT-Tokens raus aus localStorage – Refresh-Cookie-Pattern**
  - Pentest-Finding „JWT in localStorage (MITTEL)": bei XSS könnte JS
    den Token klauen + alle Anbieter-Credentials abrufen. Lösung:
    Branchenstandard für SPAs.
  - **Access-Token**: kurzlebig (15 min), lebt nur im
    JavaScript-Memory (Modul-State + AuthContext). Kein localStorage
    mehr → XSS-Angriff klaut maximal einen 15-min-Token, mit dem er
    eh nicht weit kommt.
  - **Refresh-Token**: 7 Tage Lifetime, im **httpOnly-Cookie** (`Secure`
    bei HTTPS_ENABLED, `SameSite=Strict`, `Path=/api/auth`). JavaScript
    hat **keinen Zugriff** → XSS kann ihn nicht klauen.
  - Backend:
    * `signAccessToken/signRefreshToken` mit `type`-Claim als
      Unterscheidung; Auth-Middleware lässt nur `type=access` durch
    * Login + Customer-Login setzen Cookie + geben Access im Body
    * `POST /api/auth/refresh` liest Cookie, gibt neuen Access aus,
      rotiert Refresh-Cookie, prüft `tokenInvalidatedAt`
      (sofortige Invalidation bei Rolle-Ändern/Logout)
    * Logout löscht Cookie + setzt `tokenInvalidatedAt`
    * `cookie-parser` als neue dependency
  - Frontend:
    * `api.ts`: in-memory `tokenStore` + axios-Interceptor mit
      Auto-Refresh-Retry bei 401 (single-flight gegen
      Concurrent-Requests)
    * `AuthContext`: beim App-Start `/auth/refresh` aufrufen → wenn
      Cookie noch gültig, ist der User automatisch eingeloggt
      (kein Re-Login nach Tab-Reload trotz memory-only Access-Token)
    * 9 alte `localStorage.getItem('token')`-Stellen migriert auf
      `getAccessToken()` (PDF-Vorschau-iframe, Audit-Log-Export,
      Backup-Download, File-Download-URL, …)
  - Live verifiziert: Login setzt Cookie+Bearer, API-Calls mit
    Bearer→200, ohne→401, Refresh-Endpoint rotiert Cookie sauber,
    Refresh-Token wird als Bearer (Access) abgelehnt („Falscher
    Token-Typ"), Logout löscht Cookie + invalidiert Token.
 - [x] **🔒 Audit-Log für alle Klartext-Passwort-Reads**
  - Pentest-Finding „Klartext-Passwörter über API abrufbar (HIGH,
    post-auth)" → reversible Verschlüsselung ist by-design (Feature
    „Anbieter-Login anzeigen" braucht es), aber jeder Decrypt-Vorgang
    sollte im Audit-Log auftauchen. Bisher: keiner der 6 Endpoints
    schrieb ein Log.
  - Audit-Logs jetzt für: `getPortalPassword`, `getContractPassword`,
    `getSimCardCredentials`, `getInternetCredentials`,
    `getSipCredentials`, `getMailboxCredentials`.
  - `action: 'READ'`, eigene Resource-Types (PortalPassword,
    ContractPassword, SimCardCredentials, InternetCredentials,
    SipCredentials, MailboxCredentials), alle mit `sensitivity:
    CRITICAL` über die Sensitivity-Map.
  - Label nennt explizit „Klartext … entschlüsselt" + Ressourcen-ID,
    damit im Audit-Log-Viewer auf einen Blick erkennbar ist, was
    passiert ist (DSGVO-Nachvollziehbarkeit + Insider-Threat-Erkennung).
 - [x] **↗ E-Mail-Postfach: Weiterleiten + Erneut senden**
  - **Weiterleiten** (Compose-Modal-Erweiterung): neuer Button im
    EmailDetail öffnet das ComposeEmailModal im Forward-Modus –
    To-Feld leer (User trägt den neuen Empfänger ein), Betreff mit
    „Fwd:"-Prefix, Body mit zitierten Original-Headern (Von, An,
    Datum, Betreff) + Original-Text.
  - **Erneut senden** (One-Click): schickt die Mail noch einmal an
    die ursprüngliche Empfänger-Adresse (= die Stressfrei-Adresse
    selbst). Damit läuft sie durch die heute hinterlegten Forwards
    und landet beim aktuell konfigurierten Kunden-Postfach – Use-Case:
    Stressfrei-Adresse wurde nach Empfang umgestellt, Original ist nur
    in der alten Inbox. Confirm-Dialog mit Hinweis, dass Anhänge nicht
    erneut mit gesendet werden (Weiterleiten dafür nutzen). Toast für
    Erfolg/Fehler.
 - [x] **🔍 E-Mail-Postfach: Suche + erweiterte Filter (Variante B)**
  - Suchleiste über der Email-Liste – durchsucht parallel Subject,
    From-Address/Name und Body.
  - Filter-Button mit Badge (Anzahl aktiver Filter) klappt eine Box mit
    Detail-Filtern auf: Von, An, Betreff, Inhalt, Datum von/bis,
    Anhang-Dateiname, Mit/Ohne Anhang, Gelesen-Status, Markiert-Status.
    Alle Filter werden im Backend mit UND verknüpft.
  - „Alle zurücksetzen"-Button räumt komplett auf.
  - Backend: `GET /api/customers/:id/emails` nimmt die Filter als
    Query-Parameter entgegen, `getCachedEmails` übersetzt sie in eine
    Prisma `where`-Klausel.
  - **Bewusst nicht gebaut**: voller AND/OR-Builder mit Plus-Button und
    Bool-Verschachtelung – Trade-off-Diskussion mit User: reale
    Use-Cases sind quasi immer AND, UI-Komplexität verschachtelter
    Bool-Builder bringt mehr Bedienprobleme als Mehrwert.
 - [x] **🔁 Stressfrei-Adressen: Weiterleitungen + Passwort manuell synchronisieren**
  - Refresh-Icon-Button in der Action-Reihe jeder Stressfrei-Adresse
    (Tooltip erklärt: „ersetzt die Forwards am Provider durch
    Kunden-Stamm-E-Mail + Service-Adresse"). Use-Case: nach Änderung der
    Stamm-E-Mail eines Kunden, oder nach Wechsel der
    `defaultForwardEmail` in den Provider-Settings.
  - **Bei `hasMailbox: true`** wird zusätzlich das im CRM verschlüsselt
    hinterlegte Mailbox-Passwort am Provider neu gesetzt. Self-Healing
    für den Fall, dass jemand im Plesk-UI manuell ein anderes Passwort
    gesetzt hat und IMAP/SMTP im CRM nicht mehr passt.
  - Backend nutzt Plesk's `updateForwardTargets` (`set:email1,email2`
    → ersetzt komplett, idempotent) + bei Mailbox auch
    `updateMailboxPassword` (Plesk-Passwort-Update).
  - Endpoint: `POST /api/stressfrei-emails/:id/sync-forwarding`,
    `customers:update`-Permission, Audit-Log mit Forward-Targets +
    Passwort-Reset-Marker.
  - Self-Healing: `isProvisioned`-Flag wird bei erfolgreichem
    Provider-Aufruf automatisch auf `true` korrigiert (historischer Bug:
    Flag wurde beim `createEmail` mit `provisionAtProvider: true` nie
    gesetzt – jetzt behoben + Backfill via Sync).
  - Erfolgs-/Fehler-Meldungen via `react-hot-toast` (statt `alert()`)
    mit Liste der gesetzten Forward-Targets + Hinweis ob Passwort-Reset
    durchgeführt wurde.
  - In der Kundenakte (Stammdaten → Kontakt → E-Mail) externes
    Link-Icon, das in neuem Tab direkt den Stressfrei-Tab des Kunden
    öffnet – sichtbar nur wenn Stressfrei-Adressen vorhanden sind.
 - [x] **🛡️ Pentest-Hardening-Runde 11: Header-Hygiene**
  - **HSTS-Doppel-Header** (18× low im Audit): Helmet's
    `Strict-Transport-Security` komplett deaktiviert. Der Nginx Proxy Manager
    vor der CRM-VM setzt HSTS bereits, doppelter Header verletzte RFC 6797.
  - **Cache-Control** (≥10× info im Audit):
    `/api/*` bekommt `no-store` (sensible JSON-Daten),
    SPA-HTML (`/`, `/sitemap.xml`, `/robots.txt`, `/vite.svg`) bekommt
    `no-store, must-revalidate` (sonst hängt Browser an alter index.html
    fest nach Deploy),
    `/assets/*` (Vite-Build mit Content-Hash im Filename) bekommt
    `public, max-age=31536000, immutable`.
  - **CSP No-Fallback-Direktiven** (2× medium): `worker-src`, `manifest-src`,
    `media-src` explizit auf `'self'` – ZAP markiert sonst „Failure to
    Define Directive with No Fallback".
  - Bewusst NICHT angefasst: `style-src 'unsafe-inline'` (Tailwind/React-
    inline-styles, kompletter Refactor unverhältnismäßig).
  - Live verifiziert: Headers für `/`, `/api/*`, `/assets/*.js` und SPA-
    Fallback-Pfade alle wie erwartet.
 - [x] **🐛 PDF-Vorschau im PDF-Template-Editor lädt nicht**
  - CSP-Direktive `frame-ancestors 'none'` blockte ALLE iframe-Embeddings
    der eigenen Resourcen, auch same-origin – Browser zeigte je nach
    Variante "Verbindung abgelehnt" oder CSP-Violation.
  - Fix: `frame-ancestors 'self'` (statt `'none'`). App darf eigene
    Resourcen embeden (z.B. die annotierte PDF-Vorschau), externe Sites
    bleiben weiterhin gesperrt.
 - [x] **🔁 Factory-Defaults Sync-Scripts (dev ↔ prod ↔ Image)**
  - `./factory-export.sh` zieht eine ZIP per API in `factory-exports/`
    (gitignored Drop-Box).
  - `./factory-import.sh [zip]` lädt die ZIP per API in eine andere Instanz
    – ohne Argument wählt es die jüngste ZIP automatisch.
  - `./factory-import.sh --save-as-builtin` entpackt die ZIP zusätzlich nach
    `backend/factory-defaults/` (vorher aufgeräumt). Damit landet sie beim
    nächsten `docker-compose up --build` als Werkseinstellung im Image und
    seedet frische DBs automatisch.
  - Konfigurierbar per Env: `OPENCRM_URL`, `OPENCRM_EMAIL`,
    `OPENCRM_PASSWORD` (sonst interaktive Abfrage).
  - README-Abschnitt „Factory-Defaults: Stammdaten-Kataloge teilen"
    komplett überarbeitet (drei Transport-Pfade, Auto-Seed, Whitelist).
 - [x] **🚀 Auto-Seed: Werkseinstellungen beim Erst-Deploy**
  - Inhalt von `backend/factory-defaults/` wird via Dockerfile als
    `/app/factory-defaults-builtin/` ins Image gebrannt.
  - Entrypoint spielt sie nach erfolgreichem Auto-Seed (frische DB) automatisch
    via `tsx scripts/seed-factory-defaults.ts` ein – steuerbar über
    `FACTORY_DEFAULTS_DIR`.
  - Damit bringen neue VMs sofort Anbieter, Tarife, PDF-Auftragsvorlagen +
    Datenschutzerklärung/Impressum mit, ohne manuelles UI-/CLI-Import.
  - Bestehende Installs werden NIE überschrieben (Trigger nur wenn der
    Auto-Seed im selben Start-Lauf gelaufen ist).
 - [x] **📦 Factory-Defaults: HTML-Templates + Import via UI**
  - Datenschutzerklärung, Impressum, Vollmacht-Vorlage und Website-Datenschutz
    werden jetzt mit ins Factory-Defaults-ZIP gepackt (`app-settings/`-Ordner,
    Whitelist-geschützt – andere AppSetting-Keys werden ignoriert).
  - Import läuft jetzt auch über die UI (Einstellungen → Factory-Defaults →
    „ZIP hochladen"). Der CLI-Weg `npm run seed:defaults` bleibt erhalten und
    wurde gleichermaßen um die HTML-Templates erweitert.
  - Zwei-Wege-Roundtrip live verifiziert: Export → AppSetting löschen →
    Import → Wert wieder vollständig hergestellt; Counts in Audit-Log.
 - [x] **🐛 Benutzer-Verwaltung: DSGVO- + Entwickler-Zugriff zuweisbar**
  - Mass-Assignment-Whitelist (`pickUserUpdate`) hat `hasGdprAccess` /
    `hasDeveloperAccess` rausgefiltert → Service erhielt sie nie → Rollen
    DSGVO/Developer waren in der UI nicht zuweisbar (Checkbox ohne Wirkung).
  - Beide Felder zur Whitelist hinzugefügt + Audit-Log liest die Pre-Werte
    jetzt aus den geladenen Rollen (kein False-Positive-Change mehr).
 - [x] **🔒 HTTPS-only-Header per Flag (`HTTPS_ENABLED`)**
  - HSTS + `upgrade-insecure-requests` (CSP) sperrten den Browser bei
    direktem `http://ip:port`-Zugriff aus (`ERR_SSL_PROTOCOL_ERROR`).
  - Beide Header default OFF, kommen nur mit `HTTPS_ENABLED=true` (sobald
    TLS-Reverse-Proxy davor steht).
 - [x] **🗃️ Prisma-Migrations-System (statt `db push`)**
  - Initial-Migration `0_init` aus aktuellem Schema generiert
    (`prisma migrate diff --from-empty --to-schema-datamodel`).
  - 24 alte gedriftete Migrations gelöscht – frischer Start.
  - `migration_lock.toml` für MySQL hinzugefügt.
  - Container-Entrypoint umgebaut:
    - Auto-Baseline-Detection: bestehende DB ohne `_prisma_migrations` →
      `migrate resolve --applied 0_init` läuft automatisch.
    - Statt `db push --accept-data-loss` jetzt `migrate deploy` (idempotent,
      datenerhaltend, keine stillen DROPs mehr).
  - Neuer npm-Script `schema:sync` (lokal/Dev): legt automatisch eine
    versionierte Migration mit Zeitstempel-Namen an
    (`prisma migrate dev --name auto_$(date +%Y%m%d_%H%M%S)`).
  - Workflow ab jetzt: schema.prisma ändern → `npm run schema:sync` →
    Migration committen → Push → Container-Restart wendet sie automatisch an.
 - [x] **🔄 Automatische Vertrags-Status-Übergänge**
  - Nightly-Cron (02:00 + Catch-up 60s nach Start): alle Verträge mit
    `status=ACTIVE` und `endDate < heute` → `EXPIRED` (mit Audit-Log).
@@ -0,0 +1,64 @@
 #!/usr/bin/env bash
 # Factory-Defaults-Export – holt eine ZIP vom laufenden OpenCRM und legt sie
 # in ./factory-exports/ ab. Dieselbe ZIP, die du auch über die UI bekommst.
 #
 # Workflow:
 #   ./factory-export.sh                          # default: localhost:3010, admin@admin.com
 #   OPENCRM_URL=https://crm.example.de \
 #   OPENCRM_EMAIL=admin@example.de \
 #     ./factory-export.sh                        # gegen die Prod-Instanz
 #
 # Optional:
 #   OPENCRM_PASSWORD=… (sonst wird interaktiv abgefragt)
 #
 # Die ZIP ist gitignored – du kannst sie via scp transferieren und mit
 # ./factory-import.sh auf der anderen Seite einspielen.
 set -euo pipefail
 URL="${OPENCRM_URL:-http://localhost:3010}"
 EMAIL="${OPENCRM_EMAIL:-admin@admin.com}"
 PASSWORD="${OPENCRM_PASSWORD:-}"
 REPO_ROOT="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
 EXPORT_DIR="$REPO_ROOT/factory-exports"
 mkdir -p "$EXPORT_DIR"
 if [ -z "$PASSWORD" ]; then
  read -r -s -p "Passwort für $EMAIL @ $URL: " PASSWORD
  echo
 fi
 echo "→ Login als $EMAIL @ $URL"
 LOGIN_RESPONSE="$(curl -sS -X POST "$URL/api/auth/login" \
  -H 'Content-Type: application/json' \
  --data-raw "$(E="$EMAIL" P="$PASSWORD" python3 -c 'import json,os;print(json.dumps({"email":os.environ["E"],"password":os.environ["P"]}))')")"
 TOKEN="$(printf '%s' "$LOGIN_RESPONSE" | python3 -c 'import json,sys;d=json.load(sys.stdin);print((d.get("data") or {}).get("token","") or d.get("token",""))')"
 if [ -z "$TOKEN" ]; then
  echo "✗ Login fehlgeschlagen. Antwort:"
  echo "$LOGIN_RESPONSE" | head -c 500
  echo
  exit 1
 fi
 TIMESTAMP="$(date +%Y-%m-%d-%H%M)"
 DEST="$EXPORT_DIR/factory-defaults-$TIMESTAMP.zip"
 echo "→ Lade ZIP nach $DEST"
 HTTP_CODE="$(curl -sS -o "$DEST" -w '%{http_code}' \
  -H "Authorization: Bearer $TOKEN" \
  "$URL/api/factory-defaults/export")"
 if [ "$HTTP_CODE" != "200" ]; then
  echo "✗ Export-Endpoint antwortete mit HTTP $HTTP_CODE"
  rm -f "$DEST"
  exit 1
 fi
 SIZE_KB="$(du -k "$DEST" | cut -f1)"
 echo "✓ Export erfolgreich: $DEST (${SIZE_KB} KB)"
 echo
 echo "Inhalt:"
 unzip -l "$DEST" | sed 's/^/    /'
@@ -0,0 +1,140 @@
 #!/usr/bin/env bash
 # Factory-Defaults-Import – pflegt eine ZIP in eine OpenCRM-Instanz ein.
 # Idempotent (upserts pro Kategorie, nichts wird gelöscht).
 #
 # Aufruf:
 #   ./factory-import.sh                                  # jüngste ZIP aus factory-exports/
 #   ./factory-import.sh ./factory-exports/foo.zip        # explizite ZIP
 #   ./factory-import.sh --save-as-builtin                # nach Import auch ins
 #   ./factory-import.sh --save-as-builtin ./foo.zip      # backend/factory-defaults/
 #                                                        # entpacken → nächster
 #                                                        # Image-Build hat sie
 #                                                        # als Werkseinstellung
 #
 # ENV (wie factory-export.sh):
 #   OPENCRM_URL       (default http://localhost:3010)
 #   OPENCRM_EMAIL     (default admin@admin.com)
 #   OPENCRM_PASSWORD  (sonst interaktiv)
 set -euo pipefail
 URL="${OPENCRM_URL:-http://localhost:3010}"
 EMAIL="${OPENCRM_EMAIL:-admin@admin.com}"
 PASSWORD="${OPENCRM_PASSWORD:-}"
 REPO_ROOT="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
 EXPORT_DIR="$REPO_ROOT/factory-exports"
 BUILTIN_DIR="$REPO_ROOT/backend/factory-defaults"
 # Argumente parsen: erlaubt sind --save-as-builtin und 0/1 ZIP-Pfade in
 # beliebiger Reihenfolge.
 SAVE_AS_BUILTIN=false
 ZIP_PATH=""
 for arg in "$@"; do
  case "$arg" in
    --save-as-builtin) SAVE_AS_BUILTIN=true ;;
    -h|--help)
      sed -n '2,16p' "$0" | sed 's/^# \?//'
      exit 0
      ;;
    --*) echo "✗ Unbekanntes Flag: $arg"; exit 2 ;;
    *)
      if [ -n "$ZIP_PATH" ]; then
        echo "✗ Mehrere ZIP-Pfade angegeben (nur einer erlaubt)"; exit 2
      fi
      ZIP_PATH="$arg"
      ;;
  esac
 done
 if [ -z "$ZIP_PATH" ]; then
  # Jüngste ZIP automatisch wählen
  ZIP_PATH="$(ls -1t "$EXPORT_DIR"/*.zip 2>/dev/null | head -1 || true)"
  if [ -z "$ZIP_PATH" ]; then
    echo "✗ Keine ZIP angegeben und keine in $EXPORT_DIR/ gefunden."
    echo "  Aufruf:  ./factory-import.sh <pfad/zur/factory-defaults.zip>"
    exit 1
  fi
  echo "→ Keine ZIP angegeben – nehme jüngste aus $EXPORT_DIR/:"
  echo "  $(basename "$ZIP_PATH")"
 fi
 if [ ! -f "$ZIP_PATH" ]; then
  echo "✗ Datei nicht gefunden: $ZIP_PATH"
  exit 1
 fi
 if [ -z "$PASSWORD" ]; then
  read -r -s -p "Passwort für $EMAIL @ $URL: " PASSWORD
  echo
 fi
 echo "→ Login als $EMAIL @ $URL"
 LOGIN_RESPONSE="$(curl -sS -X POST "$URL/api/auth/login" \
  -H 'Content-Type: application/json' \
  --data-raw "$(E="$EMAIL" P="$PASSWORD" python3 -c 'import json,os;print(json.dumps({"email":os.environ["E"],"password":os.environ["P"]}))')")"
 TOKEN="$(printf '%s' "$LOGIN_RESPONSE" | python3 -c 'import json,sys;d=json.load(sys.stdin);print((d.get("data") or {}).get("token","") or d.get("token",""))')"
 if [ -z "$TOKEN" ]; then
  echo "✗ Login fehlgeschlagen. Antwort:"
  echo "$LOGIN_RESPONSE" | head -c 500
  echo
  exit 1
 fi
 echo "→ Upload + Import: $(basename "$ZIP_PATH")"
 RESPONSE="$(curl -sS -X POST "$URL/api/factory-defaults/import" \
  -H "Authorization: Bearer $TOKEN" \
  -F "zip=@$ZIP_PATH")"
 # Hübsch ausgeben + auf success prüfen
 if ! printf '%s' "$RESPONSE" | python3 -c '
 import json, sys
 r = json.load(sys.stdin)
 if not r.get("success"):
    print("✗ Import fehlgeschlagen:", r.get("error", "(unbekannt)"))
    sys.exit(1)
 d = r.get("data", {})
 print("✓ Import erfolgreich:")
 for label, key in [
    ("Anbieter",          "providers"),
    ("Tarife",            "tariffs"),
    ("Kündigungsfristen", "cancellationPeriods"),
    ("Laufzeiten",        "contractDurations"),
    ("Vertragskategorien","contractCategories"),
    ("PDF-Vorlagen",      "pdfTemplates"),
    ("HTML-Templates",    "appSettings"),
 ]:
    print(f"    {label}: {d.get(key, 0)}")
 skipped = d.get("pdfTemplatesSkipped", 0)
 if skipped:
    print(f"    (PDF-Vorlagen übersprungen: {skipped})")
 warnings = d.get("warnings", []) or []
 if warnings:
    print("Hinweise:")
    for w in warnings:
        print(f"    - {w}")
 '; then
  exit 1
 fi
 # --save-as-builtin: ZIP zusätzlich in backend/factory-defaults/ entpacken,
 # damit der nächste Image-Build sie als Werkseinstellung mitnimmt.
 # Vorher räumen wir auf (außer README.md + .gitkeep), damit nichts Veraltetes
 # liegen bleibt.
 if [ "$SAVE_AS_BUILTIN" = "true" ]; then
  echo
  echo "→ --save-as-builtin: aktualisiere $BUILTIN_DIR/"
  if [ ! -d "$BUILTIN_DIR" ]; then
    mkdir -p "$BUILTIN_DIR"
  fi
  # Aufräumen: alles außer README.md und .gitkeep löschen
  find "$BUILTIN_DIR" -mindepth 1 \
    \! -name 'README.md' \! -name '.gitkeep' \
    -delete
  # ZIP entpacken (manifest.json kommt mit, ist aber harmlos)
  unzip -q -o "$ZIP_PATH" -d "$BUILTIN_DIR"
  echo "✓ Werkseinstellungen aktualisiert. Beim nächsten 'docker-compose up"
  echo "  --build' landen sie im Image und seeden frische DBs automatisch."
 fi
@@ -5,10 +5,11 @@ node_modules/
 dist/
 dist-ssr/
-# Environment
+# Environment – echte Secrets blocken, .env.example weiter mittracken
 .env
 .env.local
 .env.*.local
 !.env.example
 # Logs
 *.log
@@ -8,6 +8,7 @@ import Layout from './components/layout/Layout';
 import Login from './pages/Login';
 import PasswordResetRequest from './pages/PasswordResetRequest';
 import PasswordResetConfirm from './pages/PasswordResetConfirm';
 import ChangeInitialPassword from './pages/ChangeInitialPassword';
 import Dashboard from './pages/Dashboard';
 import CustomerList from './pages/customers/CustomerList';
 import CustomerDetail from './pages/customers/CustomerDetail';
@@ -49,7 +50,7 @@ import PortalProfile from './pages/portal/PortalProfile';
 import PortalMeters from './pages/portal/PortalMeters';
 function ProtectedRoute({ children }: { children: React.ReactNode }) {
-  const { isAuthenticated, isLoading } = useAuth();
+  const { isAuthenticated, isLoading, user } = useAuth();
  if (isLoading) {
    return (
@@ -63,9 +64,31 @@ function ProtectedRoute({ children }: { children: React.ReactNode }) {
    return <Navigate to="/login" replace />;
  }
  // Force-Change-Password-Flow: nach Einmalpasswort-Login muss der Kunde
  // zwingend ein eigenes Passwort vergeben, bevor er irgendwohin sonst
  // navigieren darf.
  if (user?.mustChangePassword) {
    return <Navigate to="/change-initial-password" replace />;
  }
  return <>{children}</>;
 }
 function ChangeInitialPasswordGate() {
  const { isAuthenticated, isLoading, user } = useAuth();
  if (isLoading) {
    return (
      <div className="min-h-screen flex items-center justify-center">
        <div className="text-gray-500">Laden...</div>
      </div>
    );
  }
  if (!isAuthenticated) return <Navigate to="/login" replace />;
  // Wer nicht im Einmalpasswort-Flow ist, hat hier nichts zu suchen.
  if (!user?.mustChangePassword) return <Navigate to="/" replace />;
  return <ChangeInitialPassword />;
 }
 function PortalConsentGate({ children }: { children: React.ReactNode }) {
  const { isCustomerPortal } = useAuth();
@@ -153,6 +176,9 @@ function App() {
      <Route path="/password-reset/request" element={<PasswordResetRequest />} />
      <Route path="/password-reset" element={<PasswordResetConfirm />} />
      {/* Einmalpasswort → eigenes Passwort vergeben (eingeloggt, eigene Gate-Logik) */}
      <Route path="/change-initial-password" element={<ChangeInitialPasswordGate />} />
      <Route
        path="/"
        element={
@@ -11,6 +11,7 @@ interface ComposeEmailModalProps {
  onClose: () => void;
  account: MailboxAccount;
  replyTo?: CachedEmail;
  forwardOf?: CachedEmail; // Weiterleiten: Body vorausgefüllt, To leer
  onSuccess?: () => void;
  contractId?: number; // Optional: Vertrag dem die gesendete E-Mail zugeordnet wird
 }
@@ -20,6 +21,7 @@ export default function ComposeEmailModal({
  onClose,
  account,
  replyTo,
  forwardOf,
  onSuccess,
  contractId,
 }: ComposeEmailModalProps) {
@@ -47,6 +49,30 @@ export default function ComposeEmailModal({
          ? `\n\n--- Ursprüngliche Nachricht ---\nVon: ${replyTo.fromName || replyTo.fromAddress}\nAm: ${originalDate}\n\n${replyTo.textBody}`
          : '';
        setBody(quotedText);
      } else if (forwardOf) {
        // Weiterleiten: To leer (User trägt selbst ein), Betreff mit „Fwd:"
        setTo('');
        const existingSubject = forwardOf.subject || '';
        const hasFwdPrefix = /^(Fwd|Wg):\s*/i.test(existingSubject);
        setSubject(hasFwdPrefix ? existingSubject : `Fwd: ${existingSubject}`);
        // Original-Header + Body zitieren (mehr Felder als bei Reply, damit
        // der weitergeleitete Kontext erhalten bleibt)
        const originalDate = new Date(forwardOf.receivedAt).toLocaleString('de-DE');
        let toLine = '';
        try {
          const parsed = JSON.parse(forwardOf.toAddresses || '[]');
          if (Array.isArray(parsed) && parsed.length > 0) {
            toLine = `\nAn: ${parsed.join(', ')}`;
          }
        } catch {
          // toAddresses war kein JSON – ignorieren
        }
        const quotedText = forwardOf.textBody
          ? `\n\n--- Weitergeleitete Nachricht ---\nVon: ${
              forwardOf.fromName || forwardOf.fromAddress
            }${toLine}\nDatum: ${originalDate}\nBetreff: ${existingSubject}\n\n${forwardOf.textBody}`
          : '';
        setBody(quotedText);
      } else {
        // Neue E-Mail: Felder leer
        setTo('');
@@ -57,7 +83,7 @@ export default function ComposeEmailModal({
      setAttachments([]);
      setError(null);
    }
-  }, [isOpen, replyTo]);
+  }, [isOpen, replyTo, forwardOf]);
  // Maximale Dateigröße: 10 MB
  const MAX_FILE_SIZE = 10 * 1024 * 1024;
@@ -194,7 +220,7 @@ export default function ComposeEmailModal({
    <Modal
      isOpen={isOpen}
      onClose={handleClose}
-      title={replyTo ? 'Antworten' : 'Neue E-Mail'}
+      title={replyTo ? 'Antworten' : forwardOf ? 'Weiterleiten' : 'Neue E-Mail'}
      size="lg"
    >
      <div className="space-y-4">
@@ -1,8 +1,8 @@
-import { useState, useEffect } from 'react';
+import { useState, useEffect, useMemo } from 'react';
-import { RefreshCw, Plus, Mail, Inbox, Send, Trash2 } from 'lucide-react';
+import { RefreshCw, Plus, Mail, Inbox, Send, Trash2, Search, SlidersHorizontal, X } from 'lucide-react';
 import { useQuery, useMutation, useQueryClient } from '@tanstack/react-query';
 import toast from 'react-hot-toast';
-import { cachedEmailApi, stressfreiEmailApi, CachedEmail } from '../../services/api';
+import { cachedEmailApi, stressfreiEmailApi, CachedEmail, EmailFilterParams } from '../../services/api';
 import { useAuth } from '../../context/AuthContext';
 import { useProviderSettings } from '../../hooks/useProviderSettings';
 import Button from '../ui/Button';
@@ -26,6 +26,68 @@ export default function EmailClientTab({ customerId }: EmailClientTabProps) {
  const [showCompose, setShowCompose] = useState(false);
  const [showAssign, setShowAssign] = useState(false);
  const [replyToEmail, setReplyToEmail] = useState<CachedEmail | null>(null);
  const [forwardEmail, setForwardEmail] = useState<CachedEmail | null>(null);
  // Such- und Filterzustand. Alle Filter sind AND-verknüpft im Backend.
  const [searchQuery, setSearchQuery] = useState('');
  const [showFilters, setShowFilters] = useState(false);
  const [filterFrom, setFilterFrom] = useState('');
  const [filterTo, setFilterTo] = useState('');
  const [filterSubject, setFilterSubject] = useState('');
  const [filterBody, setFilterBody] = useState('');
  const [filterAttachmentName, setFilterAttachmentName] = useState('');
  const [filterHasAttachments, setFilterHasAttachments] = useState<'any' | 'yes' | 'no'>('any');
  const [filterReadStatus, setFilterReadStatus] = useState<'any' | 'unread' | 'read'>('any');
  const [filterStarred, setFilterStarred] = useState<'any' | 'starred'>('any');
  const [filterDateFrom, setFilterDateFrom] = useState('');
  const [filterDateTo, setFilterDateTo] = useState('');
  // Filter-Parameter (memoized) – fließen in queryKey + queryFn.
  const filterParams: EmailFilterParams = useMemo(() => {
    const p: EmailFilterParams = {};
    if (searchQuery.trim()) p.search = searchQuery.trim();
    if (filterFrom.trim()) p.fromFilter = filterFrom.trim();
    if (filterTo.trim()) p.toFilter = filterTo.trim();
    if (filterSubject.trim()) p.subjectFilter = filterSubject.trim();
    if (filterBody.trim()) p.bodyFilter = filterBody.trim();
    if (filterAttachmentName.trim()) p.attachmentNameFilter = filterAttachmentName.trim();
    if (filterHasAttachments === 'yes') p.hasAttachments = true;
    if (filterHasAttachments === 'no') p.hasAttachments = false;
    if (filterReadStatus === 'read') p.isRead = true;
    if (filterReadStatus === 'unread') p.isRead = false;
    if (filterStarred === 'starred') p.isStarred = true;
    if (filterDateFrom) p.receivedFrom = new Date(filterDateFrom + 'T00:00:00').toISOString();
    if (filterDateTo) p.receivedTo = new Date(filterDateTo + 'T23:59:59').toISOString();
    return p;
  }, [
    searchQuery,
    filterFrom,
    filterTo,
    filterSubject,
    filterBody,
    filterAttachmentName,
    filterHasAttachments,
    filterReadStatus,
    filterStarred,
    filterDateFrom,
    filterDateTo,
  ]);
  const activeFilterCount = Object.keys(filterParams).length;
  const clearAllFilters = () => {
    setSearchQuery('');
    setFilterFrom('');
    setFilterTo('');
    setFilterSubject('');
    setFilterBody('');
    setFilterAttachmentName('');
    setFilterHasAttachments('any');
    setFilterReadStatus('any');
    setFilterStarred('any');
    setFilterDateFrom('');
    setFilterDateTo('');
  };
  const queryClient = useQueryClient();
  const { hasPermission } = useAuth();
@@ -50,11 +112,12 @@ export default function EmailClientTab({ customerId }: EmailClientTabProps) {
  // E-Mails laden (nur für INBOX und SENT)
  const { data: emailsData, isLoading: emailsLoading, refetch: refetchEmails } = useQuery({
-    queryKey: ['emails', 'customer', customerId, selectedAccountId, selectedFolder],
+    queryKey: ['emails', 'customer', customerId, selectedAccountId, selectedFolder, filterParams],
    queryFn: () =>
      cachedEmailApi.getForCustomer(customerId, {
        accountId: selectedAccountId || undefined,
        folder: selectedFolder as 'INBOX' | 'SENT',
        ...filterParams,
      }),
    enabled: !!selectedAccountId && selectedFolder !== 'TRASH',
  });
@@ -131,14 +194,74 @@ export default function EmailClientTab({ customerId }: EmailClientTabProps) {
  const handleReply = () => {
    setReplyToEmail(emailDetail || null);
    setForwardEmail(null);
    setShowCompose(true);
  };
  const handleForward = () => {
    setForwardEmail(emailDetail || null);
    setReplyToEmail(null);
    setShowCompose(true);
  };
  const handleNewEmail = () => {
    setReplyToEmail(null);
    setForwardEmail(null);
    setShowCompose(true);
  };
  // "Erneut senden": die E-Mail an die ursprüngliche Empfänger-Adresse
  // (= die Stressfrei-Adresse selbst) noch einmal schicken. Use-Case:
  // wenn die Forwards der Stressfrei-Adresse zwischenzeitlich auf eine
  // andere Kunden-E-Mail umgestellt wurden, kommt die alte Mail dort nicht
  // an – durch erneutes Senden ans Postfach läuft sie durch die jetzt
  // aktuellen Forwards und landet beim neuen Empfänger.
  const handleResend = async () => {
    if (!emailDetail || !selectedAccount) return;
    let toAddresses: string[] = [];
    try {
      const parsed = JSON.parse(emailDetail.toAddresses || '[]');
      if (Array.isArray(parsed)) toAddresses = parsed;
    } catch {
      // Fallback: bekannte Mailbox-Adresse
      if (selectedAccount.email) toAddresses = [selectedAccount.email];
    }
    if (toAddresses.length === 0 && selectedAccount.email) {
      toAddresses = [selectedAccount.email];
    }
    const hasAttachments = emailDetail.hasAttachments;
    const lines = [
      `Diese E-Mail erneut an ${toAddresses.join(', ')} senden?`,
      '',
      'Die Mail wird via SMTP wieder ans Postfach zugestellt und nimmt den',
      'Weg durch die AKTUELL hinterlegten Forwards – damit landet sie bei',
      'dem heute hinterlegten Empfänger (auch wenn er sich seit dem',
      'Original-Empfang geändert hat).',
    ];
    if (hasAttachments) {
      lines.push('', '⚠ Hinweis: Anhänge werden NICHT erneut versendet. Wenn du Anhänge brauchst, nutze stattdessen "Weiterleiten".');
    }
    if (!confirm(lines.join('\n'))) return;
    try {
      const subj = emailDetail.subject || '(Kein Betreff)';
      await stressfreiEmailApi.sendEmail(selectedAccount.id, {
        to: toAddresses,
        subject: subj,
        text: emailDetail.textBody || undefined,
        html: emailDetail.htmlBody || undefined,
      });
      toast.success('E-Mail wurde erneut an ' + toAddresses.join(', ') + ' gesendet.');
      // Gesendet-Ordner-Counts aktualisieren
      queryClient.invalidateQueries({ queryKey: ['folder-counts', selectedAccountId] });
      queryClient.invalidateQueries({ queryKey: ['emails'] });
    } catch (err: any) {
      toast.error(err?.response?.data?.error || err?.message || 'Fehler beim erneuten Senden');
    }
  };
  const handleAssignContract = () => {
    setShowAssign(true);
  };
@@ -302,7 +425,144 @@ export default function EmailClientTab({ customerId }: EmailClientTabProps) {
      {/* Content */}
      <div className="flex flex-1 overflow-hidden">
        {/* Email List */}
-        <div className="w-1/3 border-r border-gray-200 overflow-auto">
+        <div className="w-1/3 border-r border-gray-200 flex flex-col overflow-hidden">
          {selectedFolder !== 'TRASH' && selectedAccountId && (
            <div className="border-b border-gray-200 bg-gray-50 p-2 space-y-2">
              {/* Suchleiste */}
              <div className="flex items-center gap-1">
                <div className="relative flex-1">
                  <Search className="absolute left-2 top-1/2 -translate-y-1/2 w-4 h-4 text-gray-400" />
                  <input
                    type="text"
                    value={searchQuery}
                    onChange={(e) => setSearchQuery(e.target.value)}
                    placeholder="Suche in Betreff, Absender, Inhalt…"
                    className="w-full pl-8 pr-7 py-1.5 text-sm border border-gray-300 rounded focus:outline-none focus:ring-1 focus:ring-blue-500 focus:border-blue-500"
                  />
                  {searchQuery && (
                    <button
                      onClick={() => setSearchQuery('')}
                      className="absolute right-1.5 top-1/2 -translate-y-1/2 text-gray-400 hover:text-gray-600"
                      title="Suche zurücksetzen"
                    >
                      <X className="w-4 h-4" />
                    </button>
                  )}
                </div>
                <button
                  onClick={() => setShowFilters((v) => !v)}
                  className={`flex items-center gap-1 px-2 py-1.5 text-sm border rounded ${
                    showFilters || activeFilterCount > 0
                      ? 'bg-blue-50 border-blue-300 text-blue-700'
                      : 'bg-white border-gray-300 text-gray-600 hover:bg-gray-50'
                  }`}
                  title="Erweiterte Filter ein-/ausblenden"
                >
                  <SlidersHorizontal className="w-4 h-4" />
                  {activeFilterCount > 0 && (
                    <span className="text-xs font-semibold">{activeFilterCount}</span>
                  )}
                </button>
              </div>
              {/* Ausklappbare erweiterte Filter (alle AND-verknüpft) */}
              {showFilters && (
                <div className="space-y-2 pt-1 border-t border-gray-200">
                  <div className="grid grid-cols-2 gap-2">
                    <input
                      type="text"
                      value={filterFrom}
                      onChange={(e) => setFilterFrom(e.target.value)}
                      placeholder="Von (Adresse/Name)"
                      className="px-2 py-1 text-xs border border-gray-300 rounded focus:outline-none focus:ring-1 focus:ring-blue-500"
                    />
                    <input
                      type="text"
                      value={filterTo}
                      onChange={(e) => setFilterTo(e.target.value)}
                      placeholder="An"
                      className="px-2 py-1 text-xs border border-gray-300 rounded focus:outline-none focus:ring-1 focus:ring-blue-500"
                    />
                    <input
                      type="text"
                      value={filterSubject}
                      onChange={(e) => setFilterSubject(e.target.value)}
                      placeholder="Betreff enthält"
                      className="px-2 py-1 text-xs border border-gray-300 rounded focus:outline-none focus:ring-1 focus:ring-blue-500"
                    />
                    <input
                      type="text"
                      value={filterBody}
                      onChange={(e) => setFilterBody(e.target.value)}
                      placeholder="Inhalt enthält"
                      className="px-2 py-1 text-xs border border-gray-300 rounded focus:outline-none focus:ring-1 focus:ring-blue-500"
                    />
                    <input
                      type="date"
                      value={filterDateFrom}
                      onChange={(e) => setFilterDateFrom(e.target.value)}
                      title="Empfangen ab"
                      className="px-2 py-1 text-xs border border-gray-300 rounded focus:outline-none focus:ring-1 focus:ring-blue-500"
                    />
                    <input
                      type="date"
                      value={filterDateTo}
                      onChange={(e) => setFilterDateTo(e.target.value)}
                      title="Empfangen bis"
                      className="px-2 py-1 text-xs border border-gray-300 rounded focus:outline-none focus:ring-1 focus:ring-blue-500"
                    />
                    <input
                      type="text"
                      value={filterAttachmentName}
                      onChange={(e) => setFilterAttachmentName(e.target.value)}
                      placeholder="Anhang-Dateiname"
                      className="col-span-2 px-2 py-1 text-xs border border-gray-300 rounded focus:outline-none focus:ring-1 focus:ring-blue-500"
                    />
                  </div>
                  <div className="grid grid-cols-3 gap-2">
                    <select
                      value={filterHasAttachments}
                      onChange={(e) => setFilterHasAttachments(e.target.value as 'any' | 'yes' | 'no')}
                      className="px-2 py-1 text-xs border border-gray-300 rounded bg-white focus:outline-none focus:ring-1 focus:ring-blue-500"
                    >
                      <option value="any">Anhang: egal</option>
                      <option value="yes">Mit Anhang</option>
                      <option value="no">Ohne Anhang</option>
                    </select>
                    <select
                      value={filterReadStatus}
                      onChange={(e) => setFilterReadStatus(e.target.value as 'any' | 'unread' | 'read')}
                      className="px-2 py-1 text-xs border border-gray-300 rounded bg-white focus:outline-none focus:ring-1 focus:ring-blue-500"
                    >
                      <option value="any">Status: egal</option>
                      <option value="unread">Ungelesen</option>
                      <option value="read">Gelesen</option>
                    </select>
                    <select
                      value={filterStarred}
                      onChange={(e) => setFilterStarred(e.target.value as 'any' | 'starred')}
                      className="px-2 py-1 text-xs border border-gray-300 rounded bg-white focus:outline-none focus:ring-1 focus:ring-blue-500"
                    >
                      <option value="any">Stern: egal</option>
                      <option value="starred">Nur markiert</option>
                    </select>
                  </div>
                  <div className="flex items-center justify-between text-xs text-gray-500">
                    <span>Filter werden mit UND verknüpft.</span>
                    {activeFilterCount > 0 && (
                      <button
                        onClick={clearAllFilters}
                        className="text-blue-600 hover:underline"
                      >
                        Alle zurücksetzen
                      </button>
                    )}
                  </div>
                </div>
              )}
            </div>
          )}
          <div className="flex-1 overflow-auto">
          {selectedFolder === 'TRASH' ? (
            <TrashEmailList
              emails={trashEmails}
@@ -344,6 +604,7 @@ export default function EmailClientTab({ customerId }: EmailClientTabProps) {
            />
          )}
          </div>
        </div>
        {/* Email Detail */}
        <div className="flex-1 overflow-auto">
@@ -351,6 +612,8 @@ export default function EmailClientTab({ customerId }: EmailClientTabProps) {
            <EmailDetail
              email={emailDetail}
              onReply={handleReply}
              onForward={handleForward}
              onResend={selectedFolder !== 'TRASH' ? handleResend : undefined}
              onAssignContract={handleAssignContract}
              onDeleted={() => {
                setSelectedEmail(null);
@@ -382,9 +645,11 @@ export default function EmailClientTab({ customerId }: EmailClientTabProps) {
          onClose={() => {
            setShowCompose(false);
            setReplyToEmail(null);
            setForwardEmail(null);
          }}
          account={selectedAccount}
          replyTo={replyToEmail || undefined}
          forwardOf={forwardEmail || undefined}
          onSuccess={() => {
            // Gesendete E-Mails aktualisieren
            queryClient.invalidateQueries({ queryKey: ['emails', 'customer', customerId, selectedAccountId, 'SENT'] });
@@ -1,5 +1,5 @@
 import { useState, useEffect } from 'react';
-import { Reply, Star, Paperclip, Link2, X, Download, ExternalLink, Trash2, Undo2, Save, FileDown } from 'lucide-react';
+import { Reply, Forward, RotateCcw, Star, Paperclip, Link2, X, Download, ExternalLink, Trash2, Undo2, Save, FileDown } from 'lucide-react';
 import DOMPurify from 'dompurify';
 import { CachedEmail, cachedEmailApi } from '../../services/api';
 import { useMutation, useQueryClient } from '@tanstack/react-query';
@@ -13,6 +13,8 @@ import SaveEmailAsPdfModal from './SaveEmailAsPdfModal';
 interface EmailDetailProps {
  email: CachedEmail;
  onReply: () => void;
  onForward?: () => void; // Weiterleiten (öffnet ComposeModal im Forward-Modus)
  onResend?: () => void;  // Erneut an Empfänger senden (One-Click-Resend)
  onAssignContract: () => void;
  onDeleted?: () => void; // Callback nach Löschen
  isSentFolder?: boolean;
@@ -25,6 +27,8 @@ interface EmailDetailProps {
 export default function EmailDetail({
  email,
  onReply,
  onForward,
  onResend,
  onAssignContract,
  onDeleted,
  isSentFolder: _isSentFolder = false,
@@ -222,6 +226,28 @@ export default function EmailDetail({
                  <Reply className="w-4 h-4 mr-1" />
                  Antworten
                </Button>
                {onForward && (
                  <Button
                    variant="secondary"
                    size="sm"
                    onClick={onForward}
                    title="Diese E-Mail als neue Nachricht weiterleiten (Empfänger kann beliebig eingegeben werden, Inhalt + Header werden zitiert)"
                  >
                    <Forward className="w-4 h-4 mr-1" />
                    Weiterleiten
                  </Button>
                )}
                {onResend && (
                  <Button
                    variant="ghost"
                    size="sm"
                    onClick={onResend}
                    title="Erneut an die ursprüngliche Empfänger-Adresse senden. Nützlich wenn die Stressfrei-Weiterleitungsadresse umgezogen ist – die Mail kommt dann an den aktuell hinterlegten Forward-Empfänger."
                  >
                    <RotateCcw className="w-4 h-4 mr-1" />
                    Erneut senden
                  </Button>
                )}
                {/* E-Mail als PDF speichern */}
                <Button
                  variant="ghost"
@@ -1,5 +1,6 @@
 import { createContext, useContext, useState, useEffect, ReactNode } from 'react';
-import { authApi } from '../services/api';
+import axios from 'axios';
 import { authApi, setAccessToken, getAccessToken } from '../services/api';
 import type { User } from '../types';
 interface AuthContextType {
@@ -7,8 +8,8 @@ interface AuthContextType {
  isLoading: boolean;
  isAuthenticated: boolean;
  login: (email: string, password: string) => Promise<void>;
-  customerLogin: (email: string, password: string) => Promise<void>;
+  customerLogin: (email: string, password: string) => Promise<User>;
-  logout: () => void;
+  logout: () => Promise<void>;
  hasPermission: (permission: string) => boolean;
  isCustomer: boolean;
  isCustomerPortal: boolean;
@@ -40,67 +41,66 @@ export function AuthProvider({ children }: { children: ReactNode }) {
    }
  }, [user, developerMode]);
  // Beim App-Start versuchen, einen Access-Token via Refresh-Cookie zu holen.
  // Wenn das klappt → User ist eingeloggt. Wenn nicht → User muss sich neu
  // anmelden. Der Access-Token bleibt nur im memory (kein localStorage).
  useEffect(() => {
-    const token = localStorage.getItem('token');
+    (async () => {
-    if (token) {
+      try {
-      authApi.me()
+        const res = await axios.post('/api/auth/refresh', {}, { withCredentials: true });
-        .then((res) => {
+        if (res.data?.success && res.data?.data?.token) {
-          if (res.success && res.data) {
+          setAccessToken(res.data.data.token);
-            setUser(res.data);
+          // Danach den vollen User aus /me laden (Permissions etc.)
-          } else {
+          const me = await authApi.me();
-            localStorage.removeItem('token');
+          if (me.success && me.data) setUser(me.data);
        }
-        })
+      } catch {
-        .catch(() => {
+        // Kein gültiger Refresh-Cookie → User ist nicht eingeloggt
-          localStorage.removeItem('token');
+      } finally {
        })
        .finally(() => {
          setIsLoading(false);
        });
    } else {
        setIsLoading(false);
      }
    })();
  }, []);
  const login = async (email: string, password: string) => {
    const res = await authApi.login(email, password);
    if (res.success && res.data) {
-      localStorage.setItem('token', res.data.token);
+      setAccessToken(res.data.token);
      setUser(res.data.user);
    } else {
      throw new Error(res.error || 'Login fehlgeschlagen');
    }
  };
-  const customerLogin = async (email: string, password: string) => {
+  const customerLogin = async (email: string, password: string): Promise<User> => {
    const res = await authApi.customerLogin(email, password);
    if (res.success && res.data) {
-      localStorage.setItem('token', res.data.token);
+      setAccessToken(res.data.token);
      setUser(res.data.user);
-    } else {
+      return res.data.user;
      throw new Error(res.error || 'Login fehlgeschlagen');
    }
    throw new Error(res.error || 'Login fehlgeschlagen');
  };
-  const logout = () => {
+  const logout = async () => {
-    localStorage.removeItem('token');
+    // Server-Logout: invalidiert Refresh-Token-Cookie + tokenInvalidatedAt
    try {
      await authApi.logout();
    } catch {
      // Selbst wenn der Server-Logout fehlschlägt: client-side clear
    }
    setAccessToken(null);
    setUser(null);
  };
  const refreshUser = async () => {
-    const token = localStorage.getItem('token');
+    if (!getAccessToken()) return;
    if (token) {
    try {
      const res = await authApi.me();
-        console.log('refreshUser response:', res);
+      if (res.success && res.data) setUser(res.data);
        console.log('permissions:', res.data?.permissions);
        if (res.success && res.data) {
          setUser(res.data);
        }
    } catch (err) {
      console.error('refreshUser error:', err);
    }
    }
  };
  const hasPermission = (permission: string) => {
@@ -0,0 +1,124 @@
 import { useState } from 'react';
 import { useNavigate } from 'react-router-dom';
 import { useAuth } from '../context/AuthContext';
 import { authApi } from '../services/api';
 import Button from '../components/ui/Button';
 import Input from '../components/ui/Input';
 import Card from '../components/ui/Card';
 const MIN_LENGTH = 12;
 function checkComplexity(pw: string) {
  return {
    length: pw.length >= MIN_LENGTH,
    upper: /[A-Z]/.test(pw),
    lower: /[a-z]/.test(pw),
    digit: /[0-9]/.test(pw),
    special: /[^A-Za-z0-9]/.test(pw),
  };
 }
 function ComplexityHint({ pw }: { pw: string }) {
  const c = checkComplexity(pw);
  const items: [boolean, string][] = [
    [c.length, `Mindestens ${MIN_LENGTH} Zeichen`],
    [c.upper, 'Großbuchstabe'],
    [c.lower, 'Kleinbuchstabe'],
    [c.digit, 'Ziffer'],
    [c.special, 'Sonderzeichen'],
  ];
  return (
    <ul className="text-xs mt-2 space-y-0.5">
      {items.map(([ok, label]) => (
        <li key={label} className={ok ? 'text-green-700' : 'text-gray-500'}>
          {ok ? '✓' : '○'} {label}
        </li>
      ))}
    </ul>
  );
 }
 export default function ChangeInitialPassword() {
  const { logout, user } = useAuth();
  const navigate = useNavigate();
  const [newPassword, setNewPassword] = useState('');
  const [repeat, setRepeat] = useState('');
  const [error, setError] = useState('');
  const [isSaving, setIsSaving] = useState(false);
  const c = checkComplexity(newPassword);
  const meetsComplexity = c.length && c.upper && c.lower && c.digit && c.special;
  const matches = newPassword.length > 0 && newPassword === repeat;
  const canSubmit = meetsComplexity && matches && !isSaving;
  const handleSubmit = async (e: React.FormEvent) => {
    e.preventDefault();
    setError('');
    if (!canSubmit) return;
    setIsSaving(true);
    try {
      const res = await authApi.changeInitialPortalPassword(newPassword);
      if (!res.success) {
        throw new Error(res.error || 'Passwort konnte nicht geändert werden');
      }
      await logout();
      navigate('/login?changed=1', { replace: true });
    } catch (err) {
      setError(err instanceof Error ? err.message : 'Fehler beim Setzen des Passworts');
      setIsSaving(false);
    }
  };
  return (
    <div className="min-h-screen flex items-center justify-center bg-gray-100 p-4">
      <Card className="w-full max-w-md">
        <div className="text-center mb-6">
          <h1 className="text-2xl font-bold text-gray-900">Neues Passwort vergeben</h1>
          <p className="text-gray-600 mt-2 text-sm">
            Hallo {user?.firstName || 'Kunde'}, Sie haben sich mit einem Einmalpasswort
            angemeldet. Bitte vergeben Sie jetzt Ihr eigenes Passwort. Danach werden Sie
            ausgeloggt und können sich mit dem neuen Passwort anmelden.
          </p>
        </div>
        {error && (
          <div className="mb-4 p-3 bg-red-50 border border-red-200 text-red-700 rounded-lg text-sm">
            {error}
          </div>
        )}
        <form onSubmit={handleSubmit} className="space-y-4">
          <div>
            <Input
              label="Neues Passwort"
              type="password"
              value={newPassword}
              onChange={(e) => setNewPassword(e.target.value)}
              required
              autoComplete="new-password"
            />
            {newPassword.length > 0 && <ComplexityHint pw={newPassword} />}
          </div>
          <div>
            <Input
              label="Passwort wiederholen"
              type="password"
              value={repeat}
              onChange={(e) => setRepeat(e.target.value)}
              required
              autoComplete="new-password"
            />
            {repeat.length > 0 && !matches && (
              <p className="text-xs text-red-600 mt-1">Passwörter stimmen nicht überein</p>
            )}
          </div>
          <Button type="submit" className="w-full" disabled={!canSubmit}>
            {isSaving ? 'Speichere...' : 'Passwort setzen und ausloggen'}
          </Button>
        </form>
      </Card>
    </div>
  );
 }
@@ -1,11 +1,13 @@
 import { useState } from 'react';
-import { useNavigate, Link } from 'react-router-dom';
+import { useNavigate, useSearchParams, Link } from 'react-router-dom';
 import { useAuth } from '../context/AuthContext';
 import Button from '../components/ui/Button';
 import Input from '../components/ui/Input';
 import Card from '../components/ui/Card';
 export default function Login() {
  const [searchParams] = useSearchParams();
  const passwordChanged = searchParams.get('changed') === '1';
  const [email, setEmail] = useState('');
  const [password, setPassword] = useState('');
  const [error, setError] = useState('');
@@ -28,8 +30,13 @@ export default function Login() {
    }
    try {
-      await customerLogin(email, password);
+      const portalUser = await customerLogin(email, password);
      // Einmalpasswort-Login → erzwungenes Passwort-Setzen vor Dashboard
      if (portalUser?.mustChangePassword) {
        navigate('/change-initial-password', { replace: true });
      } else {
        navigate('/');
      }
    } catch {
      // Beide fehlgeschlagen
      setError('Ungültige Anmeldedaten');
@@ -45,6 +52,12 @@ export default function Login() {
          <p className="text-gray-600 mt-2">Melden Sie sich an</p>
        </div>
        {passwordChanged && !error && (
          <div className="mb-4 p-4 bg-green-50 border border-green-200 text-green-700 rounded-lg text-sm">
            Passwort wurde geändert. Bitte mit dem neuen Passwort anmelden.
          </div>
        )}
        {error && (
          <div className="mb-4 p-4 bg-red-50 border border-red-200 text-red-700 rounded-lg">
            {error}
@@ -2,7 +2,7 @@ import { useState, useEffect } from 'react';
 import { useParams, Link, useNavigate, useLocation } from 'react-router-dom';
 import { pushHistory, popHistory } from '../../utils/navigation';
 import { useQuery, useMutation, useQueryClient } from '@tanstack/react-query';
-import { contractApi, uploadApi, meterApi, contractTaskApi, appSettingsApi, gdprApi, pdfTemplateApi } from '../../services/api';
+import { contractApi, uploadApi, meterApi, contractTaskApi, appSettingsApi, gdprApi, pdfTemplateApi, getAccessToken } from '../../services/api';
 import { ContractEmailsSection } from '../../components/email';
 import { ContractDetailModal, ContractHistorySection } from '../../components/contracts';
 import InvoicesSection from '../../components/contracts/InvoicesSection';
@@ -1514,6 +1514,26 @@ export default function ContractDetail() {
    },
  });
  // VVL = Vertragsverlängerung beim selben Anbieter (alle Daten 1:1 + Datum berechnet)
  const renewalMutation = useMutation({
    mutationFn: () => contractApi.createRenewal(contractId),
    onSuccess: (data) => {
      if (data.data) {
        navigate(`/contracts/${data.data.id}/edit`);
      } else {
        alert('VVL wurde erstellt, aber keine ID zurückgegeben');
      }
    },
    onError: (error) => {
      console.error('VVL Fehler:', error);
      alert(`Fehler beim Erstellen der VVL: ${error instanceof Error ? error.message : 'Unbekannter Fehler'}`);
    },
  });
  // Dropdown-Toggle für VVL
  const [showFollowUpMenu, setShowFollowUpMenu] = useState(false);
  const [showVvlConfirm, setShowVvlConfirm] = useState(false);
  // Un-Snooze Mutation
  const unsnoozeMutation = useMutation({
    mutationFn: () => contractApi.snooze(contractId, {}),
@@ -1756,14 +1776,50 @@ export default function ContractDetail() {
              </Link>
            )}
            {hasPermission('contracts:create') && !c.followUpContract && (
              <div className="relative inline-flex">
                {/* Hauptaktion: Folgevertrag anlegen */}
                <Button
                  variant="secondary"
                  onClick={() => setShowFollowUpConfirm(true)}
-                disabled={followUpMutation.isPending}
+                  disabled={followUpMutation.isPending || renewalMutation.isPending}
                  className="!rounded-r-none !border-r-0"
                >
                  <Copy className="w-4 h-4 mr-2" />
                  {followUpMutation.isPending ? 'Erstelle...' : 'Folgevertrag anlegen'}
                </Button>
                {/* Dropdown-Pfeil für VVL */}
                <Button
                  variant="secondary"
                  onClick={() => setShowFollowUpMenu(!showFollowUpMenu)}
                  disabled={followUpMutation.isPending || renewalMutation.isPending}
                  className="!rounded-l-none !px-2"
                  title="Weitere Optionen"
                >
                  <ChevronDown className="w-4 h-4" />
                </Button>
                {showFollowUpMenu && (
                  <>
                    {/* Click-outside-Overlay */}
                    <div
                      className="fixed inset-0 z-10"
                      onClick={() => setShowFollowUpMenu(false)}
                    />
                    <div className="absolute top-full right-0 mt-1 z-20 w-56 bg-white border border-gray-200 rounded-lg shadow-lg py-1">
                      <button
                        type="button"
                        onClick={() => {
                          setShowFollowUpMenu(false);
                          setShowVvlConfirm(true);
                        }}
                        className="w-full text-left px-4 py-2 text-sm hover:bg-gray-100 flex items-center gap-2"
                      >
                        <Copy className="w-4 h-4 text-gray-500" />
                        VVL anlegen
                      </button>
                    </div>
                  </>
                )}
              </div>
            )}
            {c.followUpContract && (
              <Link to={`/contracts/${c.followUpContract.id}`}>
@@ -3077,6 +3133,53 @@ export default function ContractDetail() {
        </div>
      </Modal>
      {/* VVL Bestätigung */}
      <Modal
        isOpen={showVvlConfirm}
        onClose={() => setShowVvlConfirm(false)}
        title="Vertragsverlängerung (VVL) anlegen"
        size="sm"
      >
        <div className="space-y-4">
          <p className="text-gray-700">
            Möchten Sie eine Vertragsverlängerung für diesen Vertrag anlegen?
          </p>
          <p className="text-sm text-gray-500">
            Alle Daten werden 1:1 übernommen (auch Provider, Tarif, Portal-
            Zugang, Preise und Vertragsdokumente). Das Startdatum wird auf
            den nächsten Laufzeit-Beginn berechnet (altes Startdatum +
            Vertragslaufzeit). Das <strong>Auftragsdokument</strong> wird
            <strong> nicht </strong> mitkopiert – das ist die neue,
            unterschriebene VVL, die Sie selbst hochladen.
          </p>
          {c.startDate && c.contractDuration?.description && (
            <div className="text-xs text-gray-500 bg-gray-50 p-2 rounded">
              Vorhersage: alter Beginn{' '}
              <strong>{new Date(c.startDate).toLocaleDateString('de-DE')}</strong> +{' '}
              <strong>{c.contractDuration.description}</strong>
              {' = '}neuer VVL-Beginn (siehe danach im Vertrag)
            </div>
          )}
          <div className="flex justify-end gap-3 pt-2">
            <Button
              variant="secondary"
              onClick={() => setShowVvlConfirm(false)}
            >
              Nein
            </Button>
            <Button
              onClick={() => {
                setShowVvlConfirm(false);
                renewalMutation.mutate();
              }}
              disabled={renewalMutation.isPending}
            >
              {renewalMutation.isPending ? 'Erstelle...' : 'Ja, VVL anlegen'}
            </Button>
          </div>
        </div>
      </Modal>
      {/* Status-Info Modal */}
      <StatusInfoModal isOpen={showStatusInfo} onClose={() => setShowStatusInfo(false)} />
@@ -3381,13 +3484,13 @@ function GenerateOrderButton({ contractId }: { contractId: number }) {
        setShowInputModal({ templateId, templateName });
      } else {
        // Direkt generieren (GET-Link)
-        const token = localStorage.getItem('token');
+        const token = getAccessToken();
-        window.open(`${pdfTemplateApi.generateUrl(templateId, contractId)}?token=${token}`, '_blank');
+        window.open(`${pdfTemplateApi.generateUrl(templateId, contractId)}?token=${token || ''}`, '_blank');
      }
    } catch {
      // Fallback: direkt generieren
-      const token = localStorage.getItem('token');
+      const token = getAccessToken();
-      window.open(`${pdfTemplateApi.generateUrl(templateId, contractId)}?token=${token}`, '_blank');
+      window.open(`${pdfTemplateApi.generateUrl(templateId, contractId)}?token=${token || ''}`, '_blank');
    }
  };
@@ -3459,7 +3562,7 @@ function GenerateInputModal({ templateId, templateName, contractId, onClose }: {
  const inputs = inputsData?.data;
  const handleGenerate = () => {
-    const token = localStorage.getItem('token');
+    const token = getAccessToken();
    const params = new URLSearchParams();
    params.set('token', token || '');
    if (stressfreiEmailId) params.set('stressfreiEmailId', stressfreiEmailId);
@@ -2,6 +2,7 @@ import { useState, useEffect } from 'react';
 import { useParams, Link, useNavigate, useSearchParams, useLocation } from 'react-router-dom';
 import { pushHistory, popHistory } from '../../utils/navigation';
 import { useQuery, useMutation, useQueryClient } from '@tanstack/react-query';
 import toast from 'react-hot-toast';
 import { customerApi, addressApi, bankCardApi, documentApi, meterApi, uploadApi, contractApi, stressfreiEmailApi, emailProviderApi, gdprApi, StressfreiEmail, ContractTreeNode } from '../../services/api';
 import { EmailClientTab } from '../../components/email';
 import { useAuth } from '../../context/AuthContext';
@@ -13,7 +14,7 @@ import Modal from '../../components/ui/Modal';
 import Input from '../../components/ui/Input';
 import Select from '../../components/ui/Select';
 import FileUpload from '../../components/ui/FileUpload';
-import { Edit, Plus, Trash2, MapPin, CreditCard, FileText, Gauge, Eye, EyeOff, Download, Globe, UserPlus, X, Search, Mail, Copy, Check, ChevronDown, ChevronRight, Info, Shield, ShieldCheck, ShieldX, ShieldAlert, Lock, ArrowLeft, Cake } from 'lucide-react';
+import { Edit, Plus, Trash2, MapPin, CreditCard, FileText, Gauge, Eye, EyeOff, Download, Globe, UserPlus, X, Search, Mail, Copy, Check, ChevronDown, ChevronRight, Info, Shield, ShieldCheck, ShieldX, ShieldAlert, Lock, ArrowLeft, Cake, RefreshCw, ExternalLink } from 'lucide-react';
 import CopyButton, { CopyableBlock } from '../../components/ui/CopyButton';
 import BirthdayManagementModal from '../../components/BirthdayManagementModal';
 import { formatDate } from '../../utils/dateFormat';
@@ -353,6 +354,17 @@ export default function CustomerDetail({ portalCustomerId }: { portalCustomerId?
                    {c.email}
                  </a>
                  <CopyButton value={c.email} />
                  {(c.stressfreiEmails?.length ?? 0) > 0 && (
                    <a
                      href={`/customers/${c.id}?tab=stressfrei`}
                      target="_blank"
                      rel="noopener noreferrer"
                      className="text-gray-400 hover:text-blue-600 ml-1"
                      title="Stressfrei-Wechseln-Adressen öffnen (neuer Tab). Nach Änderung der Stamm-E-Mail dort die Weiterleitungen synchronisieren."
                    >
                      <ExternalLink className="w-3.5 h-3.5" />
                    </a>
                  )}
                </dd>
              </div>
            )}
@@ -1784,6 +1796,38 @@ function ContractsTab({
  );
 }
 // Passwort-Komplexität – muss zur Backend-Regel in
 // backend/src/utils/passwordGenerator.ts:validatePasswordComplexity passen.
 function passwordMeetsComplexity(pw: string): boolean {
  return (
    pw.length >= 12 &&
    /[a-z]/.test(pw) &&
    /[A-Z]/.test(pw) &&
    /[0-9]/.test(pw) &&
    /[^A-Za-z0-9]/.test(pw)
  );
 }
 // Live-Hinweis welche Komplexitäts-Anforderungen noch fehlen
 function PasswordComplexityHint({ password }: { password: string }) {
  const checks = [
    { ok: password.length >= 12, label: '≥ 12 Zeichen' },
    { ok: /[a-z]/.test(password), label: 'Kleinbuchstabe' },
    { ok: /[A-Z]/.test(password), label: 'Großbuchstabe' },
    { ok: /[0-9]/.test(password), label: 'Ziffer' },
    { ok: /[^A-Za-z0-9]/.test(password), label: 'Sonderzeichen' },
  ];
  return (
    <ul className="mt-2 text-xs space-y-0.5">
      {checks.map((c) => (
        <li key={c.label} className={c.ok ? 'text-green-600' : 'text-gray-500'}>
          {c.ok ? '✓' : '○'} {c.label}
        </li>
      ))}
    </ul>
  );
 }
 // Gespeichertes Passwort anzeigen
 function StoredPasswordDisplay({ customerId }: { customerId: number }) {
  const [showStoredPassword, setShowStoredPassword] = useState(false);
@@ -1886,10 +1930,35 @@ function PortalTab({
    onSuccess: () => {
      setNewPassword('');
      queryClient.invalidateQueries({ queryKey: ['customer-portal', customerId] });
-      alert('Passwort wurde gesetzt');
+      toast.success('Passwort wurde gesetzt');
    },
    onError: (error: Error) => {
-      alert(error.message);
+      toast.error(error.message);
    },
  });
  // Passwort generieren (16 Zeichen, komplex) – ins Input-Feld füllen
  const generatePasswordMutation = useMutation({
    mutationFn: () => customerApi.generatePortalPassword(customerId),
    onSuccess: (res) => {
      const generated = res.data?.password || '';
      setNewPassword(generated);
      setShowPassword(true);
      toast.success('Komplexes Passwort generiert – jetzt „Setzen" klicken.');
    },
    onError: (error: Error) => {
      toast.error(error.message);
    },
  });
  // Zugangsdaten per E-Mail an den Kunden senden
  const sendCredentialsMutation = useMutation({
    mutationFn: () => customerApi.sendPortalCredentials(customerId),
    onSuccess: (res) => {
      toast.success(res.message || 'Zugangsdaten gesendet');
    },
    onError: (error: Error) => {
      toast.error(error.message);
    },
  });
@@ -1991,7 +2060,7 @@ function PortalTab({
                    type={showPassword ? 'text' : 'password'}
                    value={newPassword}
                    onChange={(e) => setNewPassword(e.target.value)}
-                    placeholder="Mindestens 6 Zeichen"
+                    placeholder="Mind. 12 Zeichen, Groß/Klein/Zahl/Sonderzeichen"
                    disabled={!canEdit}
                  />
                  <button
@@ -2002,15 +2071,48 @@ function PortalTab({
                    {showPassword ? <EyeOff className="w-4 h-4" /> : <Eye className="w-4 h-4" />}
                  </button>
                </div>
                <Button
                  variant="secondary"
                  onClick={() => generatePasswordMutation.mutate()}
                  disabled={!canEdit || generatePasswordMutation.isPending}
                  title='Komplexes Passwort generieren (16 Zeichen, Groß/Klein/Zahl/Sonderzeichen). Wird ins Feld geschrieben – danach "Setzen" klicken.'
                >
                  {generatePasswordMutation.isPending ? 'Generieren...' : 'Generieren'}
                </Button>
                <Button
                  onClick={() => setPasswordMutation.mutate(newPassword)}
-                  disabled={!canEdit || newPassword.length < 6 || setPasswordMutation.isPending}
+                  disabled={!canEdit || !passwordMeetsComplexity(newPassword) || setPasswordMutation.isPending}
                  title={passwordMeetsComplexity(newPassword) ? 'Passwort speichern' : 'Komplexität nicht erfüllt'}
                >
                  {setPasswordMutation.isPending ? 'Speichern...' : 'Setzen'}
                </Button>
              </div>
              {/* Komplexitäts-Hinweise: zeigt live welche Anforderungen erfüllt sind */}
              {newPassword.length > 0 && !passwordMeetsComplexity(newPassword) && (
                <PasswordComplexityHint password={newPassword} />
              )}
              {portal?.hasPassword && (
                <>
                  <StoredPasswordDisplay customerId={customerId} />
                  <div className="mt-3">
                    <Button
                      variant="secondary"
                      size="sm"
                      onClick={() => {
                        if (confirm(
                          'Aktuelles Portal-Passwort und Login-URL per E-Mail an den Kunden senden?\n\n' +
                          'Hinweis: Das Passwort wird im Klartext in der E-Mail enthalten sein.'
                        )) {
                          sendCredentialsMutation.mutate();
                        }
                      }}
                      disabled={!canEdit || sendCredentialsMutation.isPending}
                      title="Login-URL + E-Mail + Passwort an die Kunden-E-Mail versenden"
                    >
                      {sendCredentialsMutation.isPending ? 'Sende...' : 'Zugangsdaten per E-Mail versenden'}
                    </Button>
                  </div>
                </>
              )}
            </div>
          )}
@@ -2964,6 +3066,31 @@ function StressfreiEmailsTab({
    onSuccess: () => queryClient.invalidateQueries({ queryKey: ['customer', customerId] }),
  });
  // Weiterleitungen am Provider neu setzen (Stamm-Email-Wechsel-Use-Case).
  // Wenn die Adresse hasMailbox=true ist, wird zusätzlich das im CRM
  // hinterlegte Passwort am Provider neu gesetzt (Self-Healing nach
  // manuellen Eingriffen am Provider).
  const syncForwardingMutation = useMutation({
    mutationFn: stressfreiEmailApi.syncForwarding,
    onSuccess: (res) => {
      const targets = res?.data?.forwardTargets || [];
      const passwordReset = res?.data?.passwordReset;
      const lines = [
        'Weiterleitungen aktualisiert:',
        ...targets.map((t) => `• ${t}`),
      ];
      if (passwordReset) lines.push('Mailbox-Passwort am Provider neu gesetzt.');
      toast.success(lines.join('\n'), { duration: 5000 });
      queryClient.invalidateQueries({ queryKey: ['customer', customerId] });
    },
    onError: (err: any) => {
      toast.error(
        err?.response?.data?.error || err?.message || 'Fehler beim Aktualisieren der Weiterleitungen',
        { duration: 6000 },
      );
    },
  });
  const filtered = showInactive ? emails : emails.filter((e) => e.isActive);
  return (
@@ -3023,6 +3150,40 @@ function StressfreiEmailsTab({
                    >
                      <Edit className="w-4 h-4" />
                    </Button>
                    {emailItem.isProvisioned && (
                      <Button
                        variant="ghost"
                        size="sm"
                        disabled={syncForwardingMutation.isPending}
                        onClick={() => {
                          const lines = [
                            `Weiterleitungen für ${emailItem.email} jetzt neu setzen?`,
                            '',
                            'Alle bestehenden Weiterleitungen am Provider werden ersetzt durch:',
                            '• die aktuelle Stamm-E-Mail des Kunden',
                            '• unsere Service-Weiterleitungsadresse aus den Provider-Einstellungen',
                          ];
                          if (emailItem.hasMailbox) {
                            lines.push(
                              '',
                              'Zusätzlich wird das im CRM hinterlegte Mailbox-Passwort am Provider neu gesetzt.',
                            );
                          }
                          if (confirm(lines.join('\n'))) {
                            syncForwardingMutation.mutate(emailItem.id);
                          }
                        }}
                        title={
                          emailItem.hasMailbox
                            ? 'Weiterleitungen + Mailbox-Passwort synchronisieren. Nützlich nach Änderung der Kunden-Stamm-E-Mail oder nach manuellem Eingriff am Provider.'
                            : 'Weiterleitungen synchronisieren – ersetzt die Forwards am Provider durch (Kunden-Stamm-E-Mail + Service-Adresse). Nützlich nach Änderung der Stamm-E-Mail.'
                        }
                      >
                        <RefreshCw
                          className={`w-4 h-4 ${syncForwardingMutation.isPending ? 'animate-spin' : ''}`}
                        />
                      </Button>
                    )}
                    {emailItem.isActive ? (
                      <Button
                        variant="ghost"
@@ -1,6 +1,6 @@
 import { useQuery, useMutation, useQueryClient } from '@tanstack/react-query';
 import { useAuth } from '../../context/AuthContext';
-import { gdprApi } from '../../services/api';
+import { gdprApi, getAccessToken } from '../../services/api';
 import type { ConsentType, ConsentStatus, CustomerConsent } from '../../types';
 import {
  Shield,
@@ -93,7 +93,7 @@ export default function PortalPrivacy() {
  const consents = data?.data?.consents || [];
  const privacyPolicyHtml = data?.data?.privacyPolicyHtml || '';
  const allGranted = consents.every((c) => c.status === 'GRANTED');
-  const token = localStorage.getItem('token');
+  const token = getAccessToken();
  return (
    <div>
@@ -1,7 +1,7 @@
 import { useState } from 'react';
 import { useQuery } from '@tanstack/react-query';
 import { useNavigate } from 'react-router-dom';
-import { auditLogApi, AuditLogSearchParams } from '../../services/api';
+import { auditLogApi, AuditLogSearchParams, getAccessToken } from '../../services/api';
 import type { AuditLog, AuditAction, AuditSensitivity } from '../../types';
 import Card from '../../components/ui/Card';
 import Button from '../../components/ui/Button';
@@ -301,7 +301,7 @@ export default function AuditLogs() {
    try {
      if (format === 'csv') {
        // CSV direkt als Download
-        const token = localStorage.getItem('token');
+        const token = getAccessToken();
        const params = new URLSearchParams();
        params.set('format', 'csv');
        if (filters.action) params.set('action', filters.action);
@@ -1,7 +1,7 @@
 import { useState, useRef } from 'react';
 import { useQuery, useMutation, useQueryClient } from '@tanstack/react-query';
 import { Database, Download, Upload, Trash2, RefreshCw, HardDrive, Clock, FileText, FolderOpen, Archive, AlertTriangle, Bomb } from 'lucide-react';
-import { backupApi, BackupInfo } from '../../services/api';
+import { backupApi, BackupInfo, getAccessToken } from '../../services/api';
 import { useAuth } from '../../context/AuthContext';
 import Button from '../../components/ui/Button';
@@ -90,7 +90,7 @@ export default function DatabaseBackup() {
  // Download mit Auth-Token
  const handleDownload = async (name: string) => {
-    const token = localStorage.getItem('token');
+    const token = getAccessToken();
    const url = backupApi.getDownloadUrl(name);
    try {
@@ -1,11 +1,12 @@
-import { useState } from 'react';
+import { useRef, useState } from 'react';
 import { Link } from 'react-router-dom';
-import { useQuery } from '@tanstack/react-query';
+import { useQuery, useQueryClient } from '@tanstack/react-query';
 import Card from '../../components/ui/Card';
 import Button from '../../components/ui/Button';
 import {
  ArrowLeft,
  Download,
  Upload,
  Package,
  Info,
  Loader2,
@@ -17,6 +18,7 @@ import {
  Calendar,
  FileType,
  FileText,
  FileCode,
 } from 'lucide-react';
 import api from '../../services/api';
@@ -27,6 +29,19 @@ interface PreviewCounts {
  contractDurations: number;
  contractCategories: number;
  pdfTemplates: number;
  appSettings: number;
 }
 interface ImportResult {
  providers: number;
  tariffs: number;
  cancellationPeriods: number;
  contractDurations: number;
  contractCategories: number;
  pdfTemplates: number;
  pdfTemplatesSkipped: number;
  appSettings: number;
  warnings: string[];
 }
 export default function FactoryDefaults() {
@@ -34,6 +49,12 @@ export default function FactoryDefaults() {
  const [downloadError, setDownloadError] = useState<string | null>(null);
  const [downloadDone, setDownloadDone] = useState(false);
  const fileInputRef = useRef<HTMLInputElement>(null);
  const [importing, setImporting] = useState(false);
  const [importError, setImportError] = useState<string | null>(null);
  const [importResult, setImportResult] = useState<ImportResult | null>(null);
  const queryClient = useQueryClient();
  const { data: previewData, isLoading } = useQuery({
    queryKey: ['factory-defaults-preview'],
    queryFn: async () => {
@@ -86,9 +107,39 @@ export default function FactoryDefaults() {
        { icon: Calendar, label: 'Laufzeiten', count: counts.contractDurations, color: 'text-pink-600' },
        { icon: FileType, label: 'Vertragskategorien', count: counts.contractCategories, color: 'text-orange-600' },
        { icon: FileText, label: 'PDF-Auftragsvorlagen', count: counts.pdfTemplates, color: 'text-green-600' },
        { icon: FileCode, label: 'HTML-Templates', count: counts.appSettings ?? 0, color: 'text-teal-600' },
      ]
    : [];
  const handleImport = async (file: File) => {
    setImporting(true);
    setImportError(null);
    setImportResult(null);
    try {
      const formData = new FormData();
      formData.append('zip', file);
      const res = await api.post<{ success: boolean; data: ImportResult; error?: string }>(
        '/factory-defaults/import',
        formData,
        { headers: { 'Content-Type': 'multipart/form-data' } },
      );
      if (!res.data.success) {
        throw new Error(res.data.error || 'Fehler beim Import');
      }
      setImportResult(res.data.data);
      // Caches invalidieren – neue Anbieter, Tarife, Vorlagen tauchen sofort
      // an anderer Stelle (Provider-Liste, Vertrag-Anlage, …) auf.
      queryClient.invalidateQueries();
    } catch (err: any) {
      setImportError(
        err?.response?.data?.error || err?.message || 'Fehler beim Import',
      );
    } finally {
      setImporting(false);
      if (fileInputRef.current) fileInputRef.current.value = '';
    }
  };
  return (
    <div>
      <div className="flex items-center gap-4 mb-6">
@@ -109,14 +160,15 @@ export default function FactoryDefaults() {
        <div className="text-sm text-blue-900 space-y-1">
          <p className="font-medium">Was sind Factory-Defaults?</p>
          <p>
-            Das sind <strong>reine Stammdaten-Kataloge</strong> wie Anbieter, Tarife,
+            Das sind <strong>Stammdaten-Kataloge</strong> wie Anbieter, Tarife,
-            Kündigungsfristen, Vertragskategorien und PDF-Auftragsvorlagen. Du kannst sie
+            Kündigungsfristen, Vertragskategorien, PDF-Auftragsvorlagen und die
-            exportieren, um sie in anderen OpenCRM-Installationen als Startpunkt zu
+            HTML-Standardtexte (Datenschutzerklärung, Impressum, Vollmacht-Vorlage,
-            verwenden.
+            Website-Datenschutz). Du kannst sie exportieren, um sie in anderen
            OpenCRM-Installationen als Startpunkt zu verwenden.
          </p>
          <p className="pt-1">
-            <strong>Nicht enthalten</strong> sind Kundendaten, Verträge, Dokumente, Emails
+            <strong>Nicht enthalten</strong> sind Kundendaten, Verträge, Dokumente, E-Mails
-            oder Einstellungen – dafür gibt es den separaten{' '}
+            oder Konfigurationen (SMTP, Secrets) – dafür gibt es den separaten{' '}
            <Link to="/settings/database-backup" className="underline">
              Datenbank-Backup
            </Link>
@@ -127,16 +179,10 @@ export default function FactoryDefaults() {
      <Card title="Export" className="mb-6">
        <p className="text-sm text-gray-600 mb-4">
-          Erstellt ein ZIP mit allen Kataloge-Daten + PDF-Vorlagen. Lade es herunter und
+          Erstellt ein ZIP mit allen Kataloge-Daten, PDF-Auftragsvorlagen und den
-          entpacke den Inhalt in einer anderen Installation unter{' '}
+          HTML-Standardtexten (Datenschutz / Impressum / Vollmacht). In einer anderen
-          <code className="bg-gray-100 px-1.5 py-0.5 rounded text-xs">
+          OpenCRM-Installation kannst du es dann unten unter <strong>Import</strong> wieder
-            backend/factory-defaults/
+          einspielen.
          </code>
          , dann dort{' '}
          <code className="bg-gray-100 px-1.5 py-0.5 rounded text-xs">
            npm run seed:defaults
          </code>{' '}
          ausführen.
        </p>
        {isLoading ? (
@@ -191,34 +237,88 @@ export default function FactoryDefaults() {
      </Card>
      <Card title="Import">
-        <div className="space-y-3 text-sm text-gray-600">
+        <p className="text-sm text-gray-600 mb-4">
-          <p>
+          Lade hier eine zuvor exportierte Factory-Defaults-ZIP hoch. Bestehende Einträge
-            Der Import läuft über ein Kommandozeilen-Script – dadurch bleibt klar, was wann
+          werden anhand des Unique-Keys (Name / Code) <strong>aktualisiert</strong>, neue
-            passiert und es gibt keine ungeplanten Überschreibungen im Produktivbetrieb.
+          werden angelegt. Es wird nichts gelöscht – der Vorgang ist idempotent.
        </p>
-          <ol className="list-decimal list-inside space-y-1 ml-2">
+
-            <li>
+        <input
-              ZIP in einer beliebigen Installation herunterladen und den Inhalt nach{' '}
+          ref={fileInputRef}
-              <code className="bg-gray-100 px-1.5 py-0.5 rounded text-xs">
+          type="file"
-                backend/factory-defaults/
+          accept=".zip,application/zip,application/x-zip-compressed"
-              </code>{' '}
+          className="hidden"
-              entpacken
+          onChange={(e) => {
-            </li>
+            const f = e.target.files?.[0];
-            <li>
+            if (f) handleImport(f);
-              Optional mehrere ZIPs zusammenwerfen (JSON-Dateien werden automatisch gemerged)
+          }}
-            </li>
+        />
-            <li>
+
-              Im Backend-Ordner:{' '}
+        <div className="flex items-center gap-3">
-              <code className="bg-gray-100 px-1.5 py-0.5 rounded text-xs">
+          <Button
            onClick={() => fileInputRef.current?.click()}
            disabled={importing}
            variant="secondary"
          >
            {importing ? (
              <>
                <Loader2 className="w-4 h-4 mr-2 animate-spin" />
                Import läuft…
              </>
            ) : (
              <>
                <Upload className="w-4 h-4 mr-2" />
                ZIP hochladen
              </>
            )}
          </Button>
          <span className="text-xs text-gray-500">
            Alternativ:{' '}
            <code className="bg-gray-100 px-1.5 py-0.5 rounded">
              npm run seed:defaults
-              </code>
+            </code>{' '}
-            </li>
+            im Backend
-          </ol>
+          </span>
          <p className="pt-2">
            Das Script läuft <strong>idempotent</strong> – gleiche Einträge werden per
            unique-Key aktualisiert, neue hinzugefügt. Kann beliebig oft ausgeführt werden.
          </p>
        </div>
        {importResult && (
          <div className="mt-4 p-3 bg-green-50 border border-green-200 rounded-lg text-sm text-green-800">
            <div className="flex items-center gap-2 font-medium mb-2">
              <Check className="w-4 h-4" />
              Import erfolgreich
            </div>
            <ul className="list-disc list-inside space-y-0.5 text-xs">
              <li>Anbieter: {importResult.providers}</li>
              <li>Tarife: {importResult.tariffs}</li>
              <li>Kündigungsfristen: {importResult.cancellationPeriods}</li>
              <li>Laufzeiten: {importResult.contractDurations}</li>
              <li>Vertragskategorien: {importResult.contractCategories}</li>
              <li>
                PDF-Vorlagen: {importResult.pdfTemplates}
                {importResult.pdfTemplatesSkipped > 0 &&
                  ` (${importResult.pdfTemplatesSkipped} übersprungen)`}
              </li>
              <li>HTML-Templates: {importResult.appSettings}</li>
            </ul>
            {importResult.warnings.length > 0 && (
              <div className="mt-2 pt-2 border-t border-green-200 text-amber-700 text-xs">
                <div className="font-medium mb-1">Hinweise:</div>
                <ul className="list-disc list-inside space-y-0.5">
                  {importResult.warnings.map((w, i) => (
                    <li key={i}>{w}</li>
                  ))}
                </ul>
              </div>
            )}
          </div>
        )}
        {importError && (
          <div className="mt-3 p-3 bg-red-50 border border-red-200 rounded-lg flex items-start gap-2 text-sm text-red-700">
            <AlertCircle className="w-4 h-4 flex-shrink-0 mt-0.5" />
            <span>{importError}</span>
          </div>
        )}
      </Card>
    </div>
  );
@@ -8,6 +8,7 @@ import Button from '../../components/ui/Button';
 import Select from '../../components/ui/Select';
 import { ArrowLeft, FileText, Users, CheckCircle, Clock, XCircle, AlertTriangle, Download, X, ChevronRight } from 'lucide-react';
 import { fileUrl } from '../../utils/fileUrl';
 import { useAuth } from '../../context/AuthContext';
 const STATUS_OPTIONS = [
  { value: '', label: 'Alle Status' },
@@ -155,6 +156,7 @@ function ProcessModal({ request, onClose, onProcess, isPending }: ProcessModalPr
 export default function GDPRDashboard() {
  const navigate = useNavigate();
  const queryClient = useQueryClient();
  const { user } = useAuth();
  const [statusFilter, setStatusFilter] = useState<DeletionRequestStatus | ''>('');
  const [selectedRequest, setSelectedRequest] = useState<DataDeletionRequest | null>(null);
@@ -191,11 +193,10 @@ export default function GDPRDashboard() {
  const handleProcess = (action: 'complete' | 'partial' | 'reject', reason?: string) => {
    if (!selectedRequest) return;
    const user = JSON.parse(localStorage.getItem('user') || '{}');
    processMutation.mutate({
      id: selectedRequest.id,
      data: {
-        processedBy: user.email || 'System',
+        processedBy: user?.email || 'System',
        action,
        retentionReason: reason,
      },
@@ -272,6 +272,16 @@ export default function Monitoring() {
              <option value={100}>100</option>
              <option value={200}>200</option>
            </select>
            <Button
              variant="secondary"
              size="sm"
              onClick={() => queryClient.invalidateQueries({ queryKey: ['monitoring-events'] })}
              disabled={eventsLoading}
              title="Events jetzt neu laden. Auto-Refresh läuft sonst alle 30 s im Hintergrund."
            >
              <RefreshCw className={`w-4 h-4 mr-1 ${eventsLoading ? 'animate-spin' : ''}`} />
              Aktualisieren
            </Button>
            <Button variant="secondary" size="sm" onClick={() => setShowClearConfirm(true)}>
              <Trash2 className="w-4 h-4 mr-1" /> Log leeren
            </Button>
@@ -1,7 +1,7 @@
 import { useState } from 'react';
 import { useQuery, useMutation, useQueryClient } from '@tanstack/react-query';
 import { useNavigate } from 'react-router-dom';
-import { pdfTemplateApi, contractApi } from '../../services/api';
+import { pdfTemplateApi, contractApi, getAccessToken } from '../../services/api';
 import type { PdfTemplate, CrmField, Contract } from '../../types';
 import Card from '../../components/ui/Card';
 import Button from '../../components/ui/Button';
@@ -276,7 +276,7 @@ function FieldMappingModal({ template, onClose }: { template: PdfTemplate; onClo
          <span className="text-gray-400 text-xs">[Feldname] zeigt wo das Feld in der PDF liegt</span>
        </div>
        <iframe
-          src={`/api/pdf-templates/${template.id}/preview?token=${localStorage.getItem('token')}`}
+          src={`/api/pdf-templates/${template.id}/preview?token=${getAccessToken() || ''}`}
          className="flex-1 w-full bg-white"
          title="PDF Vorschau mit Feldnamen"
        />
@@ -428,11 +428,11 @@ function TestPreviewModal({ template, onClose }: { template: PdfTemplate; onClos
  });
  const contracts: Contract[] = contractsData?.data || [];
-  const token = localStorage.getItem('token');
+  const token = getAccessToken();
  const handleGenerate = () => {
    if (!selectedContractId) return;
-    const url = `${pdfTemplateApi.generateUrl(template.id, selectedContractId)}?token=${token}`;
+    const url = `${pdfTemplateApi.generateUrl(template.id, selectedContractId)}?token=${token || ''}`;
    window.open(url, '_blank');
  };
@@ -1,41 +1,112 @@
 import axios from 'axios';
 import type { ApiResponse, Customer, Contract, ContractTask, ContractTaskSubtask, ContractTaskStatus, SalesPlatform, CancellationPeriod, ContractDuration, ContractCategory, Provider, Tariff, User, Address, BankCard, IdentityDocument, Meter, MeterReading, Invoice, Role, PortalSettings, CustomerRepresentative, CustomerSummary, ContractHistoryEntry, AuditLog, AuditSensitivity, AuditRetentionPolicy, CustomerConsent, ConsentType, ConsentStatus, DataDeletionRequest, DeletionRequestStatus, GDPRDashboardStats, RepresentativeAuthorization } from '../types';
 // ============================================================================
 // In-Memory-Token-Store
 // ============================================================================
 // Der Access-Token wird BEWUSST nicht in localStorage gespeichert (XSS-Schutz).
 // Stattdessen lebt er im Modul-State + wird über den /api/auth/refresh-Endpoint
 // nach Page-Reload neu geholt (Refresh-Token sitzt in einem httpOnly-Cookie,
 // das JavaScript nie sieht).
 let accessToken: string | null = null;
 const tokenListeners = new Set<(t: string | null) => void>();
 export function setAccessToken(t: string | null): void {
  accessToken = t;
  tokenListeners.forEach((l) => l(t));
 }
 export function getAccessToken(): string | null {
  return accessToken;
 }
 export function subscribeToken(listener: (t: string | null) => void): () => void {
  tokenListeners.add(listener);
  return () => tokenListeners.delete(listener);
 }
 // ============================================================================
 // Axios-Instance
 // ============================================================================
 const api = axios.create({
  baseURL: '/api',
-  headers: {
+  headers: { 'Content-Type': 'application/json' },
-    'Content-Type': 'application/json',
+  // withCredentials: Cookies werden bei same-origin-Requests mitgeschickt.
-  },
+  // Wichtig für den /auth/refresh-Endpoint (liest den refresh_token-Cookie).
  withCredentials: true,
 });
-// Add auth token to requests
+// Request: Bearer-Header aus dem in-memory-Store
 api.interceptors.request.use((config) => {
-  const token = localStorage.getItem('token');
+  if (accessToken) {
-  if (token) {
+    config.headers.Authorization = `Bearer ${accessToken}`;
    config.headers.Authorization = `Bearer ${token}`;
  }
  return config;
 });
-// Handle auth errors and extract error messages
+// Refresh-Retry-Mechanismus für 401-Antworten.
 //
 // Wenn der Access-Token abgelaufen ist (15-min-Lifetime), antwortet jeder
 // API-Aufruf mit 401. Der Interceptor probiert dann einmal /auth/refresh →
 // holt neuen Access-Token (Refresh-Token kommt automatisch via httpOnly-Cookie)
 // → wiederholt den ursprünglichen Request transparent. Wenn der Refresh selbst
 // scheitert (echt abgemeldet / Cookie weg): wir leiten zur Login-Seite um.
 //
 // Concurrent-Request-Protection: wenn 401 mehrfach parallel kommt, gibt's
 // nur einen aktiven refresh-Aufruf; alle wartenden Requests teilen sich das
 // Ergebnis.
 let refreshInflight: Promise<string | null> | null = null;
 async function doRefresh(): Promise<string | null> {
  if (refreshInflight) return refreshInflight;
  refreshInflight = (async () => {
    try {
      const res = await axios.post<ApiResponse<{ token: string }>>(
        '/api/auth/refresh',
        {},
        { withCredentials: true },
      );
      const newToken = res.data?.data?.token || null;
      setAccessToken(newToken);
      return newToken;
    } catch {
      setAccessToken(null);
      return null;
    } finally {
      refreshInflight = null;
    }
  })();
  return refreshInflight;
 }
 api.interceptors.response.use(
  (response) => response,
-  (error) => {
+  async (error) => {
-    // Bei 401 nur dann zur Login-Seite umleiten, wenn wir NICHT gerade auf der Login-Seite sind
+    const original = error.config;
-    // Login-Endpunkte ausschließen, da 401 dort "falsches Passwort" bedeutet
+    const status = error.response?.status;
-    const isLoginEndpoint = error.config?.url?.includes('/auth/login') ||
+    const url: string = original?.url || '';
                            error.config?.url?.includes('/auth/customer-login');
-    if (error.response?.status === 401 && !isLoginEndpoint) {
+    // Auth-Endpoints selbst nicht refreshen – sonst Endlos-Schleife
-      localStorage.removeItem('token');
+    const isAuthEndpoint =
-      localStorage.removeItem('user');
+      url.includes('/auth/login') ||
      url.includes('/auth/customer-login') ||
      url.includes('/auth/refresh') ||
      url.includes('/auth/logout');
    if (status === 401 && !isAuthEndpoint && !original?._retried) {
      original._retried = true;
      const newToken = await doRefresh();
      if (newToken) {
        original.headers = original.headers || {};
        original.headers.Authorization = `Bearer ${newToken}`;
        return api(original);
      }
      // Refresh fehlgeschlagen → echt abmelden + zur Login-Seite
      if (typeof window !== 'undefined' && !window.location.pathname.startsWith('/login')) {
        window.location.href = '/login';
      }
    // Extract error message from response
    const message = error.response?.data?.error || error.message || 'Ein Fehler ist aufgetreten';
    const enhancedError = new Error(message);
    return Promise.reject(enhancedError);
    }
    const message = error.response?.data?.error || error.message || 'Ein Fehler ist aufgetreten';
    return Promise.reject(new Error(message));
  },
 );
 // Auth
@@ -52,6 +123,14 @@ export const authApi = {
    const res = await api.get<ApiResponse<User>>('/auth/me');
    return res.data;
  },
  logout: async () => {
    const res = await api.post<ApiResponse<void>>('/auth/logout');
    return res.data;
  },
  changeInitialPortalPassword: async (newPassword: string) => {
    const res = await api.post<ApiResponse<void>>('/auth/change-initial-portal-password', { newPassword });
    return res.data;
  },
 };
 // Customers
@@ -93,6 +172,14 @@ export const customerApi = {
    const res = await api.get<ApiResponse<{ password: string | null }>>(`/customers/${customerId}/portal/password`);
    return res.data;
  },
  generatePortalPassword: async (customerId: number) => {
    const res = await api.post<ApiResponse<{ password: string }>>(`/customers/${customerId}/portal/password/generate`);
    return res.data;
  },
  sendPortalCredentials: async (customerId: number) => {
    const res = await api.post<ApiResponse<void>>(`/customers/${customerId}/portal/send-credentials`);
    return res.data;
  },
  // Vertreter-Verwaltung
  getRepresentatives: async (customerId: number) => {
    const res = await api.get<ApiResponse<CustomerRepresentative[]>>(`/customers/${customerId}/representatives`);
@@ -268,6 +355,7 @@ export interface StressfreiEmail {
  platform?: string;
  notes?: string;
  isActive: boolean;
  isProvisioned?: boolean;
  hasMailbox: boolean;
  createdAt: string;
  updatedAt: string;
@@ -426,6 +514,17 @@ export const stressfreiEmailApi = {
    const res = await api.post<ApiResponse<{ password: string }>>(`/stressfrei-emails/${id}/reset-password`);
    return res.data;
  },
  // Weiterleitungen neu setzen (z.B. nach Änderung der Kunden-Stamm-E-Mail).
  // Wenn die Adresse hasMailbox=true ist, wird zusätzlich das im CRM
  // hinterlegte Passwort am Provider neu gesetzt (Self-Healing).
  syncForwarding: async (id: number) => {
    const res = await api.post<ApiResponse<{
      forwardTargets: string[];
      customerEmail: string;
      passwordReset?: boolean;
    }>>(`/stressfrei-emails/${id}/sync-forwarding`);
    return res.data;
  },
  // E-Mails synchronisieren
  syncEmails: async (id: number, fullSync = false) => {
    const res = await api.post<ApiResponse<SyncResult>>(`/stressfrei-emails/${id}/sync`, {}, { params: { full: fullSync } });
@@ -451,9 +550,28 @@ export const stressfreiEmailApi = {
 };
 // Cached Email API (E-Mail-Client)
 export interface EmailFilterParams {
  accountId?: number;
  folder?: 'INBOX' | 'SENT';
  limit?: number;
  offset?: number;
  // Suche / Filter (alle AND-verknüpft)
  search?: string;
  fromFilter?: string;
  toFilter?: string;
  subjectFilter?: string;
  bodyFilter?: string;
  attachmentNameFilter?: string;
  hasAttachments?: boolean;
  isRead?: boolean;
  isStarred?: boolean;
  receivedFrom?: string;   // ISO date
  receivedTo?: string;     // ISO date
 }
 export const cachedEmailApi = {
  // E-Mails für Kunden abrufen
-  getForCustomer: async (customerId: number, options?: { accountId?: number; folder?: 'INBOX' | 'SENT'; limit?: number; offset?: number }) => {
+  getForCustomer: async (customerId: number, options?: EmailFilterParams) => {
    const res = await api.get<ApiResponse<CachedEmail[]>>(`/customers/${customerId}/emails`, { params: options });
    return res.data;
  },
@@ -513,11 +631,15 @@ export const cachedEmailApi = {
    return res.data;
  },
  // Anhang-URL (view=true für inline anzeigen, sonst download)
  // Hinweis: gibt die URL mit dem aktuellen Access-Token als Query-Param zurück,
  // weil <iframe>/<a> keinen Authorization-Header senden können. Der Token läuft
  // nach 15 min ab – wenn Anhang dann geöffnet wird, kommt 401; UI muss in dem
  // Fall die URL frisch holen.
  getAttachmentUrl: (emailId: number, filename: string, view?: boolean) => {
-    const token = localStorage.getItem('token');
+    const token = getAccessToken();
    const encodedFilename = encodeURIComponent(filename);
    const viewParam = view ? '&view=true' : '';
-    return `${api.defaults.baseURL}/emails/${emailId}/attachments/${encodedFilename}?token=${token}${viewParam}`;
+    return `${api.defaults.baseURL}/emails/${emailId}/attachments/${encodedFilename}?token=${token || ''}${viewParam}`;
  },
  // Ungelesene E-Mails zählen
  getUnreadCount: async (params: { customerId?: number; contractId?: number }) => {
@@ -657,6 +779,10 @@ export const contractApi = {
    const res = await api.post<ApiResponse<Contract>>(`/contracts/${id}/follow-up`);
    return res.data;
  },
  createRenewal: async (id: number) => {
    const res = await api.post<ApiResponse<Contract>>(`/contracts/${id}/renewal`);
    return res.data;
  },
  getPassword: async (id: number) => {
    const res = await api.get<ApiResponse<{ password: string }>>(`/contracts/${id}/password`);
    return res.data;
@@ -7,6 +7,7 @@ export interface User {
  customerId?: number;
  roles?: Role[];
  isCustomerPortal?: boolean;
  mustChangePassword?: boolean;
  representedCustomers?: CustomerSummary[];
  whatsappNumber?: string;
  telegramUsername?: string;
@@ -13,9 +13,11 @@
 * sauberere Lösung mit kurzlebigen Download-Tokens (signierte URLs)
 * wäre v1.1-Item.
 */
 import { getAccessToken } from '../services/api';
 export function fileUrl(path: string | null | undefined): string {
  if (!path) return '';
-  const token = localStorage.getItem('token');
+  const token = getAccessToken();
  const normalizedPath = path.startsWith('/') ? path : '/' + path;
  const base = `/api/files/download?path=${encodeURIComponent(normalizedPath)}`;
  if (!token) return base;
		`@@ -1,2 +0,0 @@`
			`-- AlterTable`
			ALTER TABLE `User` ADD COLUMN `tokenInvalidatedAt` DATETIME(3) NULL;
		`@@ -1,2 +0,0 @@`
			`-- AlterTable`
			ALTER TABLE `EnergyContractDetails` ADD COLUMN `annualConsumptionKwh` DOUBLE NULL;
		`@@ -1,2 +0,0 @@`
			`-- AlterTable`
			ALTER TABLE `Contract` ADD COLUMN `nextReviewDate` DATETIME(3) NULL;
		`@@ -1,2 +0,0 @@`
			`-- AlterTable`
			ALTER TABLE `Contract` ADD COLUMN `contractNumberAtProvider` VARCHAR(191) NULL;