security: 9 Findings aus Security-Audit behoben (CRITICAL + HIGH + MEDIUM)

CRITICAL:
- C-1: LDAP tls_verify Default False → True (MITM-Schutz)
- C-2: TOTP-Secret Fernet-verschlüsselt in DB (statt Plaintext)
  - core/crypto.py: encrypt_value() / decrypt_value() helper
  - Migration 0026: totp_secret VARCHAR(64→500), ldap tls_verify default=true
  - _totp_plain() helper mit Legacy-Fallback für bestehende Werte

HIGH:
- H-1: Kiosk Nonce-Cache asyncio.Lock (Race Condition behoben)
- H-2: File-Upload-Limit 10 MB (import_kimai.py + users.py CSV-Import)
- H-3: CORS allow_methods/allow_headers explizit eingeschränkt (war *)
- H-4: TrustedHostMiddleware aktiviert wenn ALLOWED_HOSTS gesetzt

MEDIUM:
- M-1: IP-Logging nutzt X-Forwarded-For hinter nginx-Proxy
- M-4: Audit-Log für password_changed, totp_enabled, totp_disabled
- M-5: CalDAV verify_ssl in Production erzwungen (_effective_verify_ssl)

152/152 Tests grün

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

DEVLOG.md

@@ -954,3 +954,66 @@ Keine Commits in dieser Session.
 - backend/app/services/kiosk_auth_service.py | 195 +++++++++++++++++++++++++++++
 
 ---
+## 2026-05-24 12:52 – 12:53 (1m)
+**Beschreibung:** Claude Code Session
+**Projekt:** timemaster
+
+### Commits
+- 7e19311 feat: CALDAV_ALLOWED_CIDRS Whitelist für interne CalDAV/Nextcloud-Server
+
+### Geänderte Dateien
+- DEVLOG.md                              | 14 ++++++++++++++
+- backend/app/core/config.py             |  6 ++++++
+- backend/app/services/caldav_service.py | 29 +++++++++++++++++++++++++++--
+
+---
+## 2026-05-24 12:55 – 12:56 (1m)
+**Beschreibung:** Claude Code Session
+**Projekt:** timemaster
+
+### Commits
+Keine Commits in dieser Session.
+
+### Geänderte Dateien
+- DEVLOG.md                              | 14 ++++++++++++++
+- backend/app/core/config.py             |  6 ++++++
+- backend/app/services/caldav_service.py | 29 +++++++++++++++++++++++++++--
+
+---
+## 2026-05-24 12:57 – 12:58 (0m)
+**Beschreibung:** Claude Code Session
+**Projekt:** timemaster
+
+### Commits
+Keine Commits in dieser Session.
+
+### Geänderte Dateien
+- DEVLOG.md                              | 14 ++++++++++++++
+- backend/app/core/config.py             |  6 ++++++
+- backend/app/services/caldav_service.py | 29 +++++++++++++++++++++++++++--
+
+---
+## 2026-05-24 13:01 – 13:01 (0m)
+**Beschreibung:** Claude Code Session
+**Projekt:** timemaster
+
+### Commits
+Keine Commits in dieser Session.
+
+### Geänderte Dateien
+- DEVLOG.md                              | 14 ++++++++++++++
+- backend/app/core/config.py             |  6 ++++++
+- backend/app/services/caldav_service.py | 29 +++++++++++++++++++++++++++--
+
+---
+## 2026-05-24 13:03 – 13:04 (0m)
+**Beschreibung:** Claude Code Session
+**Projekt:** timemaster
+
+### Commits
+- a639de1 docs: CalDAV-Konfiguration und CALDAV_ALLOWED_CIDRS in deployment.md
+
+### Geänderte Dateien
+- docs/deployment.md | 75 ++++++++++++++++++++++++++++++++++++++++++++++++++++++
+
+---