# Security Notes

## Umgesetzte Maßnahmen

- Passwörter werden mit Argon2 gehasht.
- Zustandsändernde Requests sind CSRF-geschützt.
- Benutzerzugriffe werden serverseitig an die eigene Identität gebunden.
- Admin-Endpunkte sind rollenbasiert abgesichert.
- Passwort-Reset-Tokens werden nur gehasht gespeichert.
- MFA unterstützt TOTP und E-Mail-Codes.
- Besonders sensible Betriebsgeheimnisse können verschlüsselt gespeichert werden.

## Betriebsrichtlinien

- `SESSION_SECRET` und `DATA_ENCRYPTION_KEY` getrennt und stark setzen.
- Reverse-Proxy und TLS aktuell halten.
- Logins und Admin-Aktionen überwachen.
- Backups schützen und regelmäßig testen.

## Meldung von Sicherheitsproblemen

Bitte veröffentliche Sicherheitsprobleme nicht direkt als öffentliches Issue. Nutze einen privaten Kontaktkanal des Betreibers oder maintainerspezifische Security-Kontaktdaten.