User Security Audit¶
Das User Security Audit Tool ermöglicht Administratoren eine umfassende Sicherheitsanalyse einzelner Benutzer. Es prüft Rollen, Permissions, Credentials und berechnet einen Security Score.
Übersicht¶
- 2 API-Endpoints für programmatischen Zugriff
- Security Score (0–100) mit automatischer Risikobewertung
- Permission-Matrix über 37 Platform-Module
- Zugriff: Admin-Bereich → Benutzerliste → Shield-Icon
API-Endpoints¶
Beide Endpoints erfordern die Permission users.read und respektieren Multi-Tenant-Scoping.
Security Audit abrufen¶
Gibt einen vollständigen Sicherheitsbericht zurück:
| Bereich | Inhalt |
|---|---|
| User | Stammdaten, 2FA-Status, letzter Login |
| Kunde | Zugeordneter Kunde mit Status |
| Tenants | Mandanten, Plan, Module, Quotas |
| Rollen | Zugewiesene Rollen + je Rolle alle Permissions |
| Permissions | Deduplizierte Liste aller Berechtigungen |
| API-Keys | Alle API-Keys mit Prefix, Scopes, letzter Nutzung |
| App-Passwörter | Alle App-Passwörter mit Scopes |
| OAuth | Verbundene OAuth-Provider |
| Sessions | Aktive Sessions (nicht abgelaufene Refresh-Tokens) |
| Subscriptions | Abonnements des Kunden |
| Projekte | Projekte + gebuchte Addons |
| Security Score | Score, Level, Issues, positive Befunde |
Beispiel-Response
{
"user": {
"uuid": "abc-123",
"email": "user@example.com",
"totp_enabled": false,
"telegram_2fa": false,
"last_login_at": "2026-03-10T14:30:00+00:00"
},
"customer": {
"name": "Beispiel GmbH",
"status": "active"
},
"roles": [
{
"name": "user",
"display_name": "Benutzer",
"permissions": ["customers.read", "tickets.read", "tickets.create"]
}
],
"security_score": {
"score": 40,
"level": "kritisch",
"issues": ["Kein TOTP/2FA aktiviert (-15)"],
"good": ["Login innerhalb 30 Tage (+5)"]
}
}
Permission-Check (Zugriffs-Matrix)¶
Prüft alle 37 Platform-Module auf Lese- und Schreibzugriff:
Beispiel-Response
{
"user_uuid": "abc-123",
"user_email": "user@example.com",
"is_super_admin": false,
"total_modules": 37,
"allowed_read": 5,
"allowed_write": 3,
"denied_read": 32,
"denied_write": 33,
"modules": [
{
"module": "calendar",
"label": "Kalender",
"category": "crm",
"read": {
"permission": "customers.read",
"allowed": true,
"level": "success"
},
"write": {
"permission": "customers.update",
"allowed": false,
"level": "denied"
}
}
]
}
Security Score¶
Der Score wird automatisch berechnet und berücksichtigt mehrere Faktoren:
| Kriterium | Auswirkung |
|---|---|
| TOTP (2FA) aktiviert | +20 Punkte |
| Kein TOTP | -15 Punkte |
| Telegram 2FA | +5 Punkte |
| E-Mail verifiziert | +5 Punkte |
| E-Mail nicht verifiziert | -5 Punkte |
| Login innerhalb 30 Tage | +5 Punkte |
| Login 30–90 Tage her | ±0 Punkte |
| Login > 90 Tage her | -10 Punkte |
| Nie eingeloggt | -15 Punkte |
| Mehr als 5 API-Keys | -5 Punkte |
| Mehr als 5 App-Passwörter | -5 Punkte |
| Super-Admin Rolle | -5 Punkte |
Bewertung:
- ≥ 80 → :material-check-circle:{ .text-green } Gut
- ≥ 50 → :material-alert:{ .text-yellow } Mittel
- < 50 → :material-close-circle:{ .text-red } Kritisch
Modul-Kategorien¶
Die 37 geprüften Module sind in folgende Kategorien unterteilt:
| Kategorie | Module |
|---|---|
| Core | Dashboard, API-Keys, Self-Service |
| Admin | Benutzer, Kunden, Mandanten, Domains, Pakete, Projekte, Abrechnung, Abonnements, Einstellungen, Audit-Log, Sicherheit, Workflows, Secret Store, Impersonieren |
| Support | Tickets |
| System | Monitoring, Backups, Infrastruktur, System |
| Services | E-Mail, Hosting, DNS, SSL, Telefonie, CMS, OCR |
| CRM | Kontakte, Kalender, Deals, Rechnungen, Angebote |
| Infra | KI-Assistent, Chat, Dokumentation |
Frontend-Nutzung¶
- Im Admin-Bereich → Benutzer öffnen
- In der Benutzerliste auf das Shield-Icon (🛡️) klicken
- Das Audit-Modal zeigt 5 Tabs:
| Tab | Inhalt |
|---|---|
| Übersicht | Score-Kreis, User-Info, Kundeninformation |
| Zugriffs-Matrix | Modul-Grid mit Filter (Alle / Verweigert / Erlaubt) |
| Rollen & Rechte | Zugewiesene Rollen mit allen Permissions |
| Credentials | API-Keys, App-Passwörter, OAuth-Verbindungen, aktive Sessions |
| Ressourcen | Tenants, Subscriptions, Projekte mit Addons |
Berechtigungen¶
| Permission | Beschreibung |
|---|---|
users.read |
Beide Audit-Endpoints abrufen |
Multi-Tenant-Scoping
Administratoren sehen nur Benutzer innerhalb ihres sichtbaren Kundenkreises. Super-Admins haben Zugriff auf alle Benutzer.