# MYP Platform - Sicherheitsdokumentation

## Übersicht
Diese Dokumentation beschreibt die Sicherheitsmaßnahmen der MYP Platform, insbesondere für den Kiosk-Modus.

## Kiosk-Sicherheit

### Passwort-Schutz
- **Deaktivierungspasswort**: `744563017196A`
- Das Passwort ist als sicherer Hash gespeichert
- Fehlgeschlagene Versuche werden protokolliert

### Systemhärtung
- Kernel-Parameter für erhöhte Sicherheit
- Firewall-Konfiguration

### Überwachung
- Audit-Logs für Systemzugriffe
- Monitoring verdächtiger Prozesse
- Integritätsprüfung des Dateisystems
- Benachrichtigungen bei Sicherheitsereignissen

## Netzwerksicherheit

### Firewall-Regeln
```bash
# Eingehende Verbindungen
Port 22 (SSH)
Port 80 (HTTP) - Für Web-Interface
Port 443 (HTTPS) - Für sichere Verbindungen

# Ausgehende Verbindungen
Nur notwendige Dienste erlaubt
```

### Rate Limiting
- Login-Versuche: 5 pro Minute
- API-Aufrufe: 200 pro Tag, 50 pro Stunde
- Automatische IP-Sperrung bei Missbrauch

## Authentifizierung

### Session-Management
- Sichere Session-Cookies
- Automatische Abmeldung nach Inaktivität
- CSRF-Schutz für alle Formulare

## Datenschutz

### Verschlüsselung
- Passwörter mit bcrypt gehashed
- HTTPS für alle Verbindungen
- Sichere Cookie-Einstellungen

### Logging
- Keine sensiblen Daten in Logs
- Strukturierte Logs für Audit-Zwecke
- Automatische Log-Rotation

## Wartung

### Regelmäßige Aufgaben
- Sicherheitsupdates installieren
- Log-Dateien überprüfen
- Backup-Integrität testen
- Benutzerkonten auditieren

### Monitoring-Befehle
```bash
# System-Status
systemctl status myp-kiosk
systemctl status myp-backend

# Logs überprüfen
journalctl -u myp-kiosk -f
tail -f /var/log/myp/security.log
```

## Incident Response

### Bei Sicherheitsvorfällen
1. System isolieren (Netzwerk trennen)
2. Logs sichern
3. Forensische Analyse
4. System neu aufsetzen
5. Sicherheitsmaßnahmen verstärken

## Compliance

### Standards
- ISO 27001 Informationssicherheit
- DSGVO Datenschutz
- Mercedes-Benz IT-Sicherheitsrichtlinien

### Audit-Anforderungen
- Monatliche Sicherheitsberichte
- Jährliche Penetrationstests
- Kontinuierliche Vulnerability-Scans

## Konfiguration

### Sicherheitsparameter
```python
# Flask-Konfiguration
SECRET_KEY = "zufälliger-256-bit-schlüssel"
SESSION_COOKIE_SECURE = True
SESSION_COOKIE_HTTPONLY = True
SESSION_COOKIE_SAMESITE = 'Lax'

# Rate Limiting
RATELIMIT_STORAGE_URL = "redis://localhost:6379"
RATELIMIT_DEFAULT = "200 per day, 50 per hour"
```

### Systemparameter
```bash
# Kernel-Härtung
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
```

## Troubleshooting

### Häufige Probleme
1. **Kiosk startet nicht**: Service-Status prüfen
2. **Passwort funktioniert nicht**: Hash-Integrität überprüfen
3. **Netzwerk blockiert**: Firewall-Regeln kontrollieren

---

**WICHTIG**: Diese Dokumentation enthält sicherheitskritische Informationen und darf nur autorisierten Personen zugänglich gemacht werden.