diff --git a/.htaccess b/.htaccess
new file mode 100644
index 0000000..2bff599
--- /dev/null
+++ b/.htaccess
@@ -0,0 +1,33 @@
+# Schütze Konfigurationsdateien im Hauptverzeichnis
+<Files "config.php">
+    Require all denied
+</Files>
+
+<Files ".env">
+    Require all denied
+</Files>
+
+<Files ".env.*">
+    Require all denied
+</Files>
+
+# Blockiere Zugriff auf Backup-Dateien
+<FilesMatch "\.(bak|backup|old|orig|save)$">
+    Require all denied
+</FilesMatch>
+
+# Verhindere Zugriff auf versteckte Dateien
+<FilesMatch "^\.">
+    Require all denied
+</FilesMatch>
+
+# Verhindere Directory Listing
+Options -Indexes
+
+# Zusätzliche Sicherheits-Header
+<IfModule mod_headers.c>
+    Header set X-Content-Type-Options "nosniff"
+    Header set X-Frame-Options "SAMEORIGIN"
+    Header set X-XSS-Protection "1; mode=block"
+    Header set Referrer-Policy "strict-origin-when-cross-origin"
+</IfModule>
diff --git a/forms/.htaccess b/forms/.htaccess
index 0feabdc..918df5e 100644
--- a/forms/.htaccess
+++ b/forms/.htaccess
@@ -3,6 +3,18 @@
     Require all denied
 </Files>
 
+<Files ".env">
+    Require all denied
+</Files>
+
+<Files ".env.*">
+    Require all denied
+</Files>
+
+<Files "config.php.backup">
+    Require all denied
+</Files>
+
 <Files "test-*.php">
     Require all denied
 </Files>
diff --git a/forms/config.php b/forms/config.php
deleted file mode 100644
index 5df05f9..0000000
--- a/forms/config.php
+++ /dev/null
@@ -1,54 +0,0 @@
-<?php
-/**
- * WICHTIG: Diese Datei ist veraltet!
- * Bitte verwenden Sie stattdessen die neue config.php im Hauptverzeichnis
- * oder noch besser: Verschieben Sie die Config außerhalb des Webroots
- * 
- * Diese Datei wird aus Kompatibilitätsgründen beibehalten, sollte aber
- * durch die neue Sicherheitskonfiguration ersetzt werden.
- * 
- * Siehe: /config.php oder /SECURITY.md für Anweisungen
- */
-
-// Sicherheitskonstante setzen
-define('CONFIG_LOADED', true);
-
-// Empfänger-E-Mail-Adresse
-define('RECEIVING_EMAIL', 'webkontakt@hkw-anwaelte.de');
-
-// SMTP-Konfiguration
-// WARNUNG: Diese Credentials sollten in Umgebungsvariablen gespeichert werden!
-define('SMTP_CONFIG', [
-    'host' => 'mail.webfarben.net',
-    'username' => 'hkw@webfarben.net',
-    'password' => 'B^o16ei32', // ACHTUNG: Bitte in .env auslagern!
-    'port' => '465',
-    'secure' => 'ssl',
-    'auth' => true
-]); 
-
-// reCAPTCHA Secret Key
-// WARNUNG: Sollte in Umgebungsvariablen gespeichert werden!
-define('RECAPTCHA_SECRET', '6LfXn6kqAAAAAJGZ3H371N7kFeNYj7-HW8osLgLq');
-
-// Sicherheitseinstellungen
-define('RATE_LIMIT_MAX', 5);
-define('RATE_LIMIT_WINDOW', 3600);
-define('MIN_FORM_TIME', 5);
-define('MAX_FILE_SIZE', 20 * 1024 * 1024);
-
-// Erlaubte Dateitypen
-define('ALLOWED_FILE_TYPES', ['pdf', 'doc', 'docx', 'jpg', 'jpeg', 'png']);
-
-// Spam-Wort-Blacklist
-define('SPAM_WORDS', [
-    'casino', 'viagra', 'lottery', 'winner', 'cialis', 
-    'sex', 'porn', 'loan', 'bitcoin', 'escort', 'xxx', 
-    'pharmacy', 'earn money', 'credit', 'crypto'
-]);
-
-// E-Mail-Domain-Blacklist
-define('SPAM_DOMAINS', [
-    'mail.ru', 'yopmail.com', 'tempmail', 'trashmail', 
-    '10minutemail', 'guerrillamail', 'mailinator'
-]);