<!-- canonical: https://helperx.app/de/docs/security -->
<!-- lang: de -->
<!-- updated: 2026-07-16 -->

# Security

Auth-Tokens und Proxy-Credentials werden at rest mit AES-256-GCM verschlüsselt. Der Schlüssel stammt aus einer Server-Umgebungsvariable.

## Was verschlüsselt wird

At rest verschlüsselt:

- **X auth tokens** — Session-Cookie für den Zugriff auf X.
- **Proxy credentials** — Proxy-String inkl. User und Passwort.

Modul-Settings, Display-Namen und andere nicht-sensible Daten liegen im Klartext.

## So funktioniert es

Sensible Werte werden vor dem Speichern mit **AES-256-GCM** (authenticated encryption) verschlüsselt. Jeder Wert hat einen eigenen zufälligen IV — derselbe Token ergibt zweimal unterschiedliche Ciphertexts.

Entschlüsselung nur zur Laufzeit, wenn ein Modul die Credential braucht (z. B. X-API-Call).

## Key-Setup

Der Schlüssel kommt aus der Server-Env-Variable **X_TOKEN_ENC_KEY**. Beliebiger String möglich.

Ohne Variable ist Verschlüsselung aus; Credentials liegen im Klartext. Beim Start gibt es einmalig ein Warning-Log.

## Legacy-Daten

Klartext-Credentials (von vor der Verschlüsselung) werden normal gelesen und beim nächsten Speichern automatisch verschlüsselt. Keine manuelle Migration.

## Sicherheitsumfang

**Schützt:** DB-Dumps und zufälligen Disk-Zugriff. Verschlüsselte Tokens ohne Key sind nutzlos.

**Schützt nicht:** Code-Execution auf dem Server kann die Env-Var lesen und alles entschlüsseln. Das ist SaaS-Standard-Baseline.

Operator-Guide: [Token & Session Security for X Tools](https://helperx.app/de/blog/x-auth-token-security-automation). Cookies und Auth-Tokens nie in Chats paste’n.
