software-wartung24.de
· 5 Min. Lesezeit· Sandor Farkas

Software-Audit: Was er kostet und wann er sich wirklich lohnt

SicherheitKosten & PlanungSoftware-Audit
Software-Audit: Was er kostet und wann er sich wirklich lohnt

Ein Softwareaudit klingt nach Aufwand. Das ist er auch. Aber er bringt etwas, das man sonst selten bekommt: Klarheit.

Viele Unternehmen betreiben Software seit Jahren, ohne ihren genauen Zustand zu kennen. Man weiß, dass sie läuft. Man weiß nicht immer, wie sicher sie ist, wie gut dokumentiert, oder was ein Ausfall wirklich kosten würde.

Dieser Artikel erklärt, was ein Softwareaudit ist, was er kostet und in welchen Situationen er sich tatsächlich rechnet.

Was ist ein Software-Audit?

Ein Software-Audit ist eine systematische Prüfung einer bestehenden Anwendung. Untersucht wird der Zustand des Codes, der eingesetzten Bibliotheken, der Infrastruktur und der Dokumentation.

Das Ergebnis ist kein Werturteil über die Vergangenheit. Es ist ein Befund über den Ist-Zustand. Wie beim Arzt: nicht dramatisch, nicht beschönigt, sondern konkret und nachvollziehbar.

Typische Fragen, die ein Audit beantwortet:

Welche Sicherheitslücken sind bekannt oder wahrscheinlich? Welche Teile des Codes sind besonders fehleranfällig? Welche technischen Schulden haben sich im Laufe der Zeit angesammelt? Wie gut ist das System dokumentiert? Und was würde ein Ausfall bedeuten?

Was wird konkret geprüft?

Ein Audit besteht in der Regel aus mehreren Prüfbereichen. Die Gewichtung hängt vom Ziel ab.

Sicherheit

Dieser Bereich ist oft der dringlichste. Geprüft wird, ob bekannte Sicherheitslücken in eingesetzten Bibliotheken vorhanden sind, ob Datenbankzugriffe korrekt abgesichert sind und ob Eingaben ausreichend validiert werden. Bei älterer Legacy Software fallen hier regelmäßig Schwachstellen auf, die sich über Jahre unbemerkt angesammelt haben.

Ein CVE, also ein dokumentierter Sicherheitsmangel, in einer Abhängigkeit die seit drei Jahren nicht aktualisiert wurde: Das ist kein theoretisches Risiko. Das ist ein offenes Fenster.

Code-Qualität und Wartbarkeit

Es geht nicht um Schönheit, sondern um Risiko. Schlecht strukturierter Code ist schwerer zu verstehen, schwerer zu testen und teurer zu ändern. Das erhöht die Fehleranfälligkeit bei jeder Weiterentwicklung.

Konkrete Indikatoren: Gibt es automatisierte Tests? Ist der Code modular aufgebaut? Gibt es Bereiche, die kein Entwickler ohne stundenlange Einarbeitung versteht?

Abhängigkeiten

Moderne Software nutzt Bibliotheken von Drittanbietern, Frameworks und externe Dienste. Jede dieser Abhängigkeiten hat einen eigenen Lebenszyklus. Veraltete oder nicht mehr gepflegte Pakete sind ein Sicherheitsrisiko, das sich oft schnell beheben lässt, wenn man es erst einmal kennt.

Dokumentation und Wissensstand

Wer kann das System im Ernstfall erklären? Gibt es eine technische Dokumentation? Gibt es Runbooks für den Fehlerfall? Fehlendes Wissen ist ein unterschätztes Risiko, besonders wenn eine Person mit Systemkenntnissen das Unternehmen verlässt.

Was kostet ein Software-Audit?

Das hängt vom Umfang ab. Eine Pauschale für alle Situationen gibt es nicht. Aber es gibt Orientierungswerte.

Einfacher Sicherheits-Scan

Automatisierte Prüfung auf bekannte Lücken in Abhängigkeiten und öffentlich sichtbaren Konfigurationsfehlern. Preis: einige hundert Euro bis etwa 1.000 Euro. Dauer: ein bis zwei Tage.

Dieser Scan ersetzt keinen vollständigen Audit. Er gibt aber einen ersten Eindruck und eignet sich als günstige Ersteinschätzung, bevor man tiefer einsteigt.

Strukturierter Code-Audit

Ein erfahrener Entwickler analysiert die Codebasis gezielt. Schwerpunkte werden vorab definiert, zum Beispiel Sicherheit, Wartbarkeit oder Datenbankperformance. Preis: 2.000 bis 8.000 Euro, je nach Systemgröße und Komplexität. Dauer: mehrere Tage bis zwei Wochen.

Das Ergebnis ist ein schriftlicher Bericht mit konkreten Befunden und priorisierten Handlungsempfehlungen.

Umfassender Due-Diligence-Audit

Dieser Umfang kommt vor allem bei Unternehmenskäufen oder größeren Investitionsentscheidungen zum Einsatz. Alle relevanten Bereiche werden systematisch untersucht: Code, Infrastruktur, Sicherheit, Dokumentation, Lizenzfragen. Preis: 8.000 Euro und mehr. Dauer: zwei bis vier Wochen.

Das Ergebnis ist eine vollständige Risikoeinschätzung, auf deren Basis fundierte Entscheidungen getroffen werden können.

Wann lohnt sich ein Software-Audit wirklich?

Ein Audit ist nicht in jeder Situation sinnvoll. Es gibt aber klare Szenarien, in denen er sich fast immer rechnet.

Vor dem Kauf oder der Übernahme eines Unternehmens

Wer ein Unternehmen kauft, kauft auch dessen Software. Ohne Audit kauft man die Katze im Sack. Wie hoch sind die technischen Schulden? Gibt es offene Sicherheitslücken? Wie abhängig ist der Betrieb von Personen, die das System im Detail kennen?

Ein Audit kostet hier oft deutlich weniger als die erste unangenehme Überraschung nach der Übernahme.

Bei begründeten Sicherheitszweifeln

Eine Anwendung läuft seit Jahren ohne Updates. Die eingesetzte PHP-Version ist veraltet. Es gab einen unklaren Vorfall. Jetzt fragt man sich: Wie sicher ist das System wirklich?

In dieser Situation liefert ein Audit eine konkrete Antwort statt Spekulation. Und die Antwort bestimmt den nächsten Schritt.

Vor größeren Investitionen in eine bestehende Anwendung

Wer 30.000 oder 50.000 Euro in die Weiterentwicklung eines Systems stecken will, sollte vorher wissen, worauf er aufbaut. Ist der Code so strukturiert, dass neue Funktionen realistisch umsetzbar sind? Oder wird die Investition von angesammelten technischen Schulden aufgefressen?

Ein Audit kostet in dieser Situation 2.000 bis 5.000 Euro. Die Alternativkosten einer falschen Investitionsentscheidung liegen oft weit darüber.

Bei einem Entwicklerwechsel

Ein Entwickler verlässt das Unternehmen. Sein Nachfolger tritt eine kaum dokumentierte Codebasis an. Ein Audit hilft dabei, den Ist-Zustand zu erfassen und eine Grundlage für die Übergabe zu schaffen. Er macht implizites Wissen explizit, bevor es verloren geht.

Was Sie nach einem Audit haben

Ein guter Softwareaudit endet mit einem schriftlichen Bericht. Keine Meinungen, keine allgemeinen Einschätzungen, sondern konkrete Befunde: Lücke X in Bibliothek Y, Schwachstelle Z im Bereich Datenbankzugriff, fehlende Dokumentation im Bereich Deployment.

Dazu kommen priorisierte Handlungsempfehlungen. Was muss sofort behoben werden? Was kann noch einige Monate warten? Was sollte langfristig angegangen werden?

Das ist die Grundlage für eine fundierte Entscheidung, was als nächstes mit der Software passiert. Mehr über die möglichen Folgeschritte lesen Sie in unserem Überblick zur Software-Wartung.

Fazit: Klarheit hat ihren Preis. Unwissenheit auch.

Ein Softwareaudit ist eine Investition in Klarheit. Er kostet Geld. Aber er schützt vor teureren Entscheidungen auf unsicherer Basis.

Wer Software kauft, erbt, beauftragt oder weiterentwickeln will, ohne den Zustand zu kennen, trägt ein Risiko, das sich vermeiden lässt.

Sprechen Sie uns an. Das Erstgespräch ist kostenlos. Wir schauen uns an, ob und welcher Audit für Ihre Situation sinnvoll ist, und geben Ihnen eine ehrliche Einschätzung bevor irgendein Auftrag erteilt wird.

Weitere Artikel

Branchensoftware warten lassen: Das Beispiel Reise- und Buchungssoftware
· 5 Min. Lesezeit

Branchensoftware warten lassen: Das Beispiel Reise- und Buchungssoftware

Inhouse vs. outsourcing bei Reisesoftware ist keine Glaubensfrage, sondern eine Rechnung. Warum Branchensoftware besondere Sorgfalt braucht und wie Sie interne und externe Wartung sinnvoll kombinieren, zeigt dieser Artikel am Beispiel von Reise- und Buchungssystemen.

SzenarienTeam & EntwicklerSoftware-Wartung
Outsourcing von Softwareentwicklung: Vor- und Nachteile im Mittelstand
· 6 Min. Lesezeit

Outsourcing von Softwareentwicklung: Vor- und Nachteile im Mittelstand

Outsourcing vs. Inhouse-Softwareentwicklung ist eine Entscheidung mit Folgen. Dieser Artikel wägt Kostenvorteil, Flexibilität, Abhängigkeit und Kommunikationsaufwand ehrlich ab und zeigt, worauf Sie bei der Anbieterauswahl achten sollten.

Team & EntwicklerOutsourcingSoftwareentwicklung
Softwareentwicklung: Inhouse oder Outsourcing? Die Entscheidungsmatrix
· 6 Min. Lesezeit

Softwareentwicklung: Inhouse oder Outsourcing? Die Entscheidungsmatrix

Softwareentwicklung Outsourcing oder eigenes Team? Diese Grundsatzfrage entscheidet über Kosten, Tempo und Kontrolle. Dieser Artikel liefert eine klare Entscheidungsmatrix für den Mittelstand, ohne pauschale Empfehlung.

Team & EntwicklerKosten & PlanungOutsourcing

Bereit, Ihre Software in gute Hände zu geben?

Das Erstgespräch ist kostenlos und unverbindlich. Wir schauen uns an, was Sie haben, und sagen Ihnen ehrlich, was möglich ist.

Kostenlose Erstberatung anfragen