software-wartung24.de
· 7 Min. Lesezeit· Sandor Farkas

Software-Audit: Was dabei passiert – und warum KI ihn nicht ersetzt

Software-Audit: Was dabei passiert – und warum KI ihn nicht ersetzt

Stellen Sie sich vor, Sie kaufen eine Immobilie. Bevor Sie unterschreiben, lassen Sie einen Gutachter durch das Gebäude gehen. Er schaut in den Keller, prüft die Elektrik, testet die Heizung. Am Ende bekommt Sie einen Bericht: Was ist in Ordnung, was ist reparaturbedürftig, was ist ein Sicherheitsrisiko.

Ein Software-Audit funktioniert genauso. Nur dass das Gebäude aus Code besteht.

Der Begriff klingt formal. Das Ergebnis ist es nicht: Ein Audit sagt Ihnen ehrlich, in welchem Zustand Ihre Software ist. Was läuft gut, wo schlummern Risiken, und was sollten Sie als nächstes tun.

Dieser Artikel erklärt, was dabei konkret passiert - und warum ein Audit auch im Jahr 2026, wo KI-Werkzeuge Code in Sekunden analysieren können, weiterhin ein menschliches Urteil braucht.

Was ist ein Software-Audit überhaupt?

Ein Software-Audit ist eine strukturierte Bestandsaufnahme. Jemand mit technischer Erfahrung schaut sich Ihre Software systematisch an - nicht um sie sofort zu reparieren, sondern um ein ehrliches Bild ihres Zustands zu liefern.

Das Ergebnis ist kein Gutachten in Juristensprache. Es ist eine Liste: Was funktioniert verlässlich, was ist technisch veraltet, was ist ein Sicherheitsrisiko, was kostet Sie Geld durch unnötige Komplexität.

Ein Audit ist kein Angriff auf Ihre bisherige Arbeit oder auf die Entwickler, die die Software gebaut haben. Software altert. Das ist normal. Ein Audit macht sichtbar, was die Zeit angerichtet hat - damit Sie fundiert entscheiden können, was als nächstes passiert.

Wann braucht man einen Software-Audit?

Es gibt typische Auslöser. Manche sind akut, manche strategisch.

Akute Auslöser:

  • Die Software zeigt Fehler, deren Ursache niemand mehr kennt.
  • Ein Sicherheitsvorfall hat stattgefunden oder wird befürchtet.
  • Ein wichtiger Entwickler hat das Unternehmen verlassen und das Wissen mit.
  • Eine Aktualisierung hat etwas kaputt gemacht, das vorher funktioniert hat.

Strategische Auslöser:

  • Sie übernehmen ein Unternehmen und mit ihm dessen Software.
  • Sie planen eine Modernisierung und wollen wissen, wo Sie anfangen sollen.
  • Sie arbeiten mit einem neuen Dienstleister und möchten den aktuellen Zustand dokumentiert haben.
  • Die Software läuft seit Jahren ohne Pflege - und das Bauchgefühl sagt, dass das nicht für immer gut geht.

In all diesen Fällen ist ein Audit das Richtige, bevor Geld in Lösungen fließt. Denn ohne Diagnose behandelt man ins Blaue.

Was passiert bei einem Software-Audit - Schritt für Schritt

Schritt 1: Briefing und Zielsetzung

Zu Beginn steht ein Gespräch. Kein technisches Verhör, sondern ein strukturiertes Briefing: Wofür wird die Software eingesetzt? Welche Probleme sind bekannt? Was soll der Audit klären?

Ein guter Auditor will verstehen, wie die Software in Ihrem Unternehmen lebt - nicht nur, was der Code sagt. Ein technisch fehlerfreies System kann trotzdem ein geschäftliches Risiko sein, wenn es zum Beispiel auf einem Server läuft, dessen Betriebssystem seit zwei Jahren keine Updates mehr erhält.

Schritt 2: Analyse der Softwareversionen und Abhängigkeiten

Als erstes prüft der Auditor, auf welchen Fundamenten die Software steht. Das bedeutet: Welche Programmiersprache wird verwendet, in welcher Version? Welche Bibliotheken und Frameworks sind eingebunden? Sind diese noch aktuell und werden noch gepflegt?

Das klingt technisch. Die Konsequenz ist es nicht: Eine Software, die auf einer PHP-Version läuft, für die es seit drei Jahren keine Sicherheits-Updates mehr gibt, ist angreifbar - ganz unabhängig davon, wie gut der eigentliche Code geschrieben wurde. Das ist wie ein TÜV-geprüftes Auto auf abgefahrenen Reifen.

Veraltete Abhängigkeiten sind einer der häufigsten Befunde bei Legacy-Software. Und einer der vermeidbarsten.

Schritt 3: Sicherheitsanalyse

Hier wird geprüft, ob bekannte Sicherheitslücken (CVE - Common Vulnerabilities and Exposures) in den eingesetzten Komponenten vorliegen. Das sind öffentlich dokumentierte Schwachstellen, für die es in vielen Fällen bereits Angriffswerkzeuge gibt.

Darüber hinaus schaut der Auditor auf typische Schwachstellenmuster: Werden Nutzereingaben korrekt geprüft, bevor sie verarbeitet werden? Sind Zugriffsrechte sauber geregelt? Werden sensible Daten verschlüsselt übertragen?

Nicht jede gefundene Schwachstelle ist ein unmittelbarer Notfall. Aber jede ist ein Risiko, das bewertet werden muss. Der Audit liefert diese Bewertung.

Schritt 4: Code-Qualität und Wartbarkeit

Dieser Teil des Audits ist weniger über Sicherheit und mehr über die Zukunft der Software. Wie lesbar ist der Code? Gibt es Dokumentation? Sind Kernfunktionen so gebaut, dass ein neuer Entwickler sie versteht und weiterentwickeln kann?

Das ist für Nicht-Techniker schwer greifbar - aber die Konsequenz ist konkret: Software, die niemand mehr versteht, ist teuer in der Wartung, teuer bei Fehlern und ein Risiko beim nächsten Entwicklerwechsel.

Ein Audit macht dieses Risiko sichtbar und messbar.

Schritt 5: Infrastruktur und Betriebsumgebung

Software lebt nicht im luftleeren Raum. Sie läuft auf einem Server, der gewartet werden muss. Sie kommuniziert mit anderen Diensten. Sie wird von Menschen bedient, die Zugänge haben.

Der Audit prüft daher auch: Ist der Server aktuell gehalten? Wer hat Zugriff auf was? Gibt es Backups, und werden sie auch regelmäßig getestet? Ein Backup das nie wiederhergestellt wurde, ist kein Backup - es ist eine ungeprüfte Hoffnung.

Schritt 6: Auditbericht und Handlungsempfehlungen

Am Ende steht ein schriftlicher Bericht. Kein technisches Handbuch für Entwickler - sondern ein lesbares Dokument für Entscheider. Es listet die Befunde, bewertet sie nach Dringlichkeit, und gibt klare Empfehlungen, was wann getan werden sollte.

Dringlichkeit hat drei Stufen: Was sofort behoben werden muss, was mittelfristig geplant werden sollte, und was langfristig berücksichtigt werden kann.

Was KI beim Audit kann - und was nicht

KI-gestützte Werkzeuge sind in der Code-Analyse in den letzten Jahren erheblich besser geworden. Das ist keine Übertreibung. Erst im Mai 2026 hat ein KI-Modell in einem öffentlich bekannten Fall 19 echte Sicherheitslücken in Symfony - einem der meistgenutzten PHP-Frameworks - gefunden. Kein einziger Fehlalarm, alle 19 Befunde bestätigt.

Das ist beeindruckend. Und es zeigt, dass KI beim Audit ein ernstzunehmendes Werkzeug ist.

Aber es zeigt auch, was KI nicht kann.

KI bewertet keinen Kontext. Eine Sicherheitslücke in einem öffentlich erreichbaren Login-Formular ist kritischer als dieselbe Lücke in einem internen Verwaltungstool. KI findet die Lücke. Aber ob sie für Sie ein akutes Risiko ist, hängt davon ab, wie Ihre Software eingesetzt wird - und das weiß die KI nicht.

KI versteht keine Geschäftsprozesse. Ein Auditor, der versteht, dass Ihre Software täglich Bestellungen für 200 Kunden verarbeitet, bewertet Ausfallrisiken anders als ein Werkzeug, das nur Code sieht.

KI priorisiert nicht für Sie. Ein Audit ohne Priorisierung ist eine Liste von Problemen ohne Plan. Was zuerst, was kann warten, was ist ein Notfall - das sind Urteile, die menschliche Erfahrung brauchen.

KI prüft keine Infrastruktur. Server, Zugriffsrechte, Backup-Prozesse, menschliche Abläufe: Das alles ist Teil eines vollständigen Audits und liegt außerhalb dessen, was automatisierte Code-Analyse liefern kann.

KI ist ein leistungsfähiges Werkzeug im Audit-Prozess. Aber ein Werkzeug braucht jemanden, der es hält, führt und die Ergebnisse einordnet.

Was ein Audit kostet - und was er spart

Die Kosten eines Software-Audits hängen vom Umfang ab. Eine kleinere Anwendung ist in wenigen Tagen analysiert. Eine komplexe, gewachsene Systemlandschaft braucht mehr Zeit.

Die relevante Gegenfrage ist eine andere: Was kostet ein Sicherheitsvorfall, der durch eine bekannte und behebbare Lücke entstand? Was kostet ein Ausfall, der durch eine vermeidbare Inkompatibilität ausgelöst wurde? Was kostet die Suche nach einem Fehler in einer undokumentierten Codebasis, die niemand mehr versteht?

Ein Audit ist eine Investition in Klarheit. Wer weiß, wo er steht, trifft bessere Entscheidungen. Wer nicht weiß, wo er steht, zahlt irgendwann den Preis dafür.

Fazit: Sehen, was da ist

Ein Software-Audit macht keine Probleme. Er macht sie sichtbar. Das ist der Unterschied.

Viele Unternehmen vermeiden Audits aus demselben Grund, aus dem manche Menschen einen Arzttermin meiden: Es könnte etwas rauskommen. Aber was nicht gefunden wird, verschwindet nicht. Es wartet.

Die gute Nachricht: Die meisten Befunde eines Audits sind behebbar. Und die meisten Risiken sind, einmal bekannt, gut beherrschbar.

Unsere Software-Audits für Legacy-Anwendungen liefern Ihnen ein ehrliches Bild des Zustands Ihrer Software - mit klaren Prioritäten, ohne Fachchinesisch, und mit einem Plan für den nächsten Schritt. Wir schauen hin, auch wenn der Code alt ist. Gerade dann.

Neugierig, wie Ihre Software dasteht? Sprechen Sie uns an - das Erstgespräch ist kostenlos, und Sie bekommen ein realistisches Bild, bevor Sie irgendetwas beauftragen.

Verwandte Artikel: Symfony schließt 19 Sicherheitslücken - KI findet, was Menschen übersehen, Was sind technische Schulden?

Veröffentlicht am 21. Mai 2026 | Kategorie: Wartung & Qualität

Weitere Artikel

· 5 Min. Lesezeit

Software-Wartungsbudget planen, auch ohne IT-Hintergrund

Ein Software-Wartungsbudget planen klingt nach einer Aufgabe für IT-Profis. Ist es aber nicht. Dieser Artikel zeigt, welche Faktoren das Budget bestimmen und wie Sie einen realistischen Posten in Ihre Jahresplanung aufnehmen.

Kosten & PlanungSoftware-WartungBudget
· 5 Min. Lesezeit

Zehn Zeichen dass Ihre Software dringend Aufmerksamkeit braucht

Wann ist eine Software Wartung notwendig? Zeichen dafür gibt es viele, doch die meisten werden übersehen. Dieser Artikel zeigt zehn konkrete Warnsignale, die jeder erkennen kann, auch ohne technischen Hintergrund.

Legacy GrundlagenSoftware-WartungSicherheit

Bereit, Ihre Software in gute Hände zu geben?

Das Erstgespräch ist kostenlos und unverbindlich. Wir schauen uns an, was Sie haben, und sagen Ihnen ehrlich, was möglich ist.

Kostenlose Erstberatung anfragen →