software-wartung24.de
🔒

Sicherheit & Härtung: Schwachstellen-Analyse, DSGVO, Patches

Wir prüfen Ihre Software auf bekannte Sicherheitslücken, veraltete Komponenten und DSGVO-Verstöße und beheben, was gefährlich ist. Ergebnis: schriftlicher Bericht und konkreter Maßnahmenplan.

Sicherheit ist kein Zustand, sondern ein Prozess. Trotzdem braucht jeder Prozess einen sauberen Startpunkt: einen Moment, in dem Sie wissen, woran Sie sind. Genau dafür ist unser Sicherheits-Audit gedacht. Wir prüfen Ihre Bestandsanwendung systematisch auf Schwachstellen, dokumentieren das Risiko in nachvollziehbarer Form, und setzen die wichtigsten Härtungsmaßnahmen direkt um.

Das richtet sich an Unternehmen, die eine gewachsene Software produktiv betreiben und keine genaue Antwort auf die Frage „Wie sicher ist das eigentlich?" geben können. Typische Auslöser: ein Wechsel der Geschäftsführung, eine Anfrage des Wirtschaftsprüfers, ein Sicherheitsvorfall bei einem Mitbewerber, oder die schlichte Erkenntnis, dass die letzte Sicherheitsprüfung Jahre zurückliegt. Hintergrundwissen zu Begriffen finden Sie im Glossar zu CVE-Sicherheitslücken und End-of-Life-Komponenten.

Zwei Begriffe, die immer wieder auftauchen

Schwachstellen-Scan (früher oft „CVE-Scan" genannt): Abgleich aller von Ihrer Software verwendeten Bibliotheken und Komponenten gegen öffentliche Sicherheitsdatenbanken. So sehen wir, welche Bausteine Ihrer Software bekannte Sicherheitslücken haben und welche davon Sie wirklich betreffen.

Härtung: Server und Anwendung so konfigurieren, dass Angriffsflächen minimiert werden. Konkret: nur die Dienste laufen lassen, die wirklich gebraucht werden, sichere Standard-Einstellungen setzen, klare Zugriffsrechte vergeben.

Was wir konkret tun

Wir machen einen mehrschichtigen Sicherheits-Audit: angefangen bei den eingesetzten Bibliotheken (Komponenten-Inventar mit CVE-Abgleich gegen die NVD und das GitHub Advisory Database), über die Konfiguration des Webservers (TLS-Suiten, Header, Verzeichnisrechte), bis hin zur Anwendungslogik (Eingabevalidierung, Authentifizierung, Session-Handling, SQL-Aufrufe). Wir prüfen DSGVO-relevante Punkte: Wo werden personenbezogene Daten gespeichert, wer hat Zugriff, wie lange werden sie aufbewahrt, gibt es ein Verzeichnis der Verarbeitungstätigkeiten.

Wir lesen Code, wir lesen Logs, wir testen exemplarisch. Kein automatisierter Black-Box-Scan allein, sondern manuelle Analyse durch Menschen, die das System verstehen wollen. Am Ende bekommen Sie einen Bericht in Klartext: Was ist kritisch, was ist mittel, was ist Kosmetik. Die wichtigsten Maßnahmen setzen wir direkt um (Patches, Konfigurationsänderungen, Härtung), soweit das im Pauschalpreis enthalten ist.

Ablauf in Schritten

  1. Kick-off (1 Tag). Wir bekommen Zugriff auf Code und Server, klären den Geltungsbereich (welche Systeme, welche Tiefe), und vereinbaren den Zeitrahmen.
  2. Inventar (2–3 Tage). Vollständige Liste aller Komponenten: Sprache, Framework, Bibliotheken, Webserver, Datenbank, Betriebssystem, externe Dienste.
  3. CVE-Abgleich (1–2 Tage). Jede Komponente gegen aktuelle Schwachstellen-Datenbanken prüfen, betroffene Stellen im Code lokalisieren, Ausnutzbarkeit einschätzen.
  4. Konfigurations- und Code-Review (3–5 Tage). TLS, HTTP-Header, Verzeichnisrechte, Authentifizierung, Session-Handling, kritische Code-Pfade.
  5. DSGVO-Prüfung (1–2 Tage). Datenflüsse, Speicherorte, Löschkonzepte, Verzeichnis der Verarbeitungstätigkeiten.
  6. Berichtsentwurf und Besprechung (1 Tag). Sie bekommen den Bericht vorab, wir gehen ihn gemeinsam durch.
  7. Umsetzung der wichtigsten Patches (2–5 Tage je nach Umfang). Die kritischen Punkte werden direkt gepatcht und verifiziert.

Was Sie bekommen

  • Komponenten-Inventar mit Versions- und CVE-Status (Tabelle, exportierbar)
  • Audit-Bericht im PDF mit Priorisierung der Befunde (kritisch / hoch / mittel / niedrig)
  • DSGVO-Kurzbericht mit konkreten Handlungsempfehlungen
  • Härtungsplan mit Schätzungen für Aufwand und Wirkung
  • Umsetzung der kritischen und hochrangigen Patches im Festpreis
  • Verifikation nach Umsetzung: Wir prüfen, dass die Lücken tatsächlich geschlossen sind
  • Optional: Übergabe in laufende Software-Wartung mit Monitoring

FAQ

Was unterscheidet Ihr Audit von einem automatisierten Vulnerability-Scan?

Automatisierte Scanner liefern eine Liste, oft mit vielen Fehlalarmen und ohne Bewertung der tatsächlichen Ausnutzbarkeit. Wir nutzen automatisierte Werkzeuge als Ausgangspunkt, aber die eigentliche Arbeit ist die manuelle Bewertung: Ist diese Lücke in Ihrem konkreten Kontext ausnutzbar, oder läuft die betroffene Funktion nur intern hinter einer Firewall? Diese Einordnung lässt sich nicht automatisieren. Sie bekommen am Ende keine 400-seitige Scanner-Liste, sondern eine kompakte, priorisierte Bewertung.

Wir haben gar kein Budget für ein großes Umbauprojekt, bringt der Audit dann etwas?

Ja, gerade dann. Ein Audit zeigt Ihnen, wo das Risiko wirklich liegt und welche Maßnahmen den größten Hebel haben. Oft sind die wichtigsten Schritte überraschend einfach und günstig: ein Header setzen, eine Bibliothek aktualisieren, eine Konfiguration anziehen. Sie müssen nicht das ganze System modernisieren, um deutlich sicherer zu werden. Der Bericht hilft Ihnen auch, gegenüber Geschäftsleitung, Wirtschaftsprüfer oder Versicherung zu argumentieren und ein realistisches Budget zu planen.

Was ist mit DSGVO, sind Sie auch Datenschutzbeauftragte?

Nein, wir ersetzen keinen Datenschutzbeauftragten. Wir prüfen die technische Seite: Wo liegen personenbezogene Daten, wie sind sie geschützt, gibt es Löschmöglichkeiten, sind Auftragsverarbeitungen technisch sauber umgesetzt. Die rechtliche Bewertung und die Erstellung von Verarbeitungsverzeichnissen liegt bei Ihrem oder einem externen DSB. Wir arbeiten gut mit Datenschutzbeauftragten zusammen und liefern ihnen die technischen Grundlagen, die sie für ihre Arbeit brauchen.

Wie lange dauert ein Audit, und stört das den laufenden Betrieb?

Ein typisches Audit dauert zwei bis drei Wochen Kalenderzeit, davon etwa 8–12 Arbeitstage tatsächliche Aufwand. Wir arbeiten überwiegend lesend auf einer Kopie Ihrer Systeme oder mit Read-Only-Zugriff auf die Produktion. Der laufende Betrieb wird nicht gestört. Nur für die Umsetzung der Patches stimmen wir Wartungsfenster mit Ihnen ab, meist abends oder am Wochenende, bei vielen Systemen aber auch unterbrechungsfrei möglich.

Was kommt nach dem Audit?

Das hängt von den Befunden ab. In den meisten Fällen empfehlen wir nach dem Audit den Einstieg in unsere laufende Software-Wartung, damit der erreichte Stand gehalten wird. Größere Befunde, etwa ein End-of-Life-Framework oder eine veraltete PHP-Version, gehören in die Modernisierung. Bei akuten Themen (zum Beispiel ein laufender Angriff oder ein gerade erst entdeckter Vorfall) ist die System-Analyse & Notfall-Leistung das richtige Modul. Lesen Sie auch das Szenario zur PHP-5.6-Migration.

Bereit, anzufangen?

Ein Sicherheits-Audit ist die billigste Versicherung, die Sie für Ihre Software abschließen können, vorausgesetzt, Sie machen ihn, bevor etwas passiert. Lassen Sie uns 30 Minuten sprechen und klären, ob ein Audit für Ihr System sinnvoll ist und in welchem Umfang.

Audit anfragen →

Bereit, Ihre Software in gute Hände zu geben?

Das Erstgespräch ist kostenlos und unverbindlich. Wir schauen uns an, was Sie haben, und sagen Ihnen ehrlich, was möglich ist.

Kostenlose Erstberatung anfragen →