Sicherheits-Audit mit Maßnahmenplan
Ein kompakter Sicherheits-Check für Ihre bestehende Anwendung: CVE-Scan, stichprobenartiges Code-Review, Konfigurations-Check und ein priorisierter Maßnahmenplan. Sie wissen danach, woran Sie sind.
Viele Bestandsanwendungen sind nie systematisch auf Sicherheit geprüft worden. Wenn Sie wissen wollen, woran Sie stehen, ohne gleich ein großes Projekt zu starten, ist unser kompakter Sicherheits-Audit der richtige Einstieg. Er liefert in wenigen Tagen eine ehrliche Standortbestimmung mit einem Maßnahmenplan, den Sie selbst priorisieren können.
Der Audit ist bewusst schlank gehalten. Er ersetzt keinen ausführlichen Sicherheits- und Härtungsauftrag (siehe Sicherheit und Härtung), beantwortet aber die wichtigsten Fragen: Welche bekannten Schwachstellen betreffen Ihre Anwendung, wo gibt es offensichtliche Konfigurationsfehler, welche Punkte sollten Sie zuerst angehen. Begriffe wie CVE, DSGVO-Compliance und Open Source sind im Glossar erklärt.
Was wir konkret tun
Wir machen ein Inventar aller eingesetzten Komponenten: Sprache, Framework, Bibliotheken, Webserver, Datenbank, Betriebssystem. Jede Komponente wird gegen aktuelle Schwachstellen-Datenbanken geprüft, und wir bewerten, ob eine bekannte Lücke in Ihrem konkreten Kontext ausnutzbar ist oder nicht.
Wir schauen uns die Konfiguration des Webservers an: TLS-Suiten, HTTP-Header, Verzeichnisrechte, offene Ports. Wir prüfen die Anwendungskonfiguration auf typische Schwachstellen: aktivierte Debug-Modi, Standard-Passwörter, freiliegende Admin-Bereiche, fehlende Authentifizierung an internen Endpunkten.
Wir lesen den Code stichprobenartig an den sicherheitskritischen Stellen: Authentifizierung, Session-Handling, Eingabevalidierung, Datenbankzugriffe, Datei-Uploads. Das ist kein vollständiges Code-Review, aber es deckt erfahrungsgemäß die meisten offensichtlichen Probleme auf.
Am Ende bekommen Sie einen kompakten Bericht mit priorisiertem Maßnahmenplan. Welche Punkte sind kritisch, welche wichtig, welche kosmetisch. Was sollten Sie diese Woche tun, was diesen Monat, was im nächsten Quartal.
Ablauf in Schritten
- Kick-off (1 Tag). Wir bekommen lesenden Zugriff auf Code und Server und klären den Geltungsbereich.
- Komponenten-Inventar und CVE-Scan (1–2 Tage). Vollständige Liste aller Komponenten mit Versionen und bekannten Schwachstellen.
- Konfigurations-Check (1 Tag). Webserver, Anwendungskonfiguration, Zugriffsrechte.
- Code-Review-Stichprobe (1–2 Tage). Sicherheitskritische Stellen im Code, manuell geprüft.
- Bericht und Besprechung (1 Tag). Sie bekommen den Bericht vorab, wir gehen ihn in einem 60-minütigen Termin gemeinsam durch.
Was Sie bekommen
- Komponenten-Inventar mit Versions- und CVE-Status
- Kompakter Audit-Bericht mit priorisiertem Maßnahmenplan
- Liste der konkreten Befunde mit Belegen aus Ihrem System
- Empfehlung, welche Befunde Sie selbst beheben können und welche Begleitung sinnvoll ist
- 60-minütige Besprechung zur gemeinsamen Durchsicht
- Optional: Umsetzung der wichtigsten Punkte über Sicherheit und Härtung oder laufende Wartung
Für wen es geeignet ist
Der kompakte Audit passt für Unternehmen, die eine bestehende Webanwendung betreiben und einen ersten ehrlichen Sicherheitsbericht wollen. Typische Auslöser: eine Anfrage des Wirtschaftsprüfers, ein Vorfall im Umfeld, ein Wechsel der Verantwortung, die schlichte Frage „wie steht es eigentlich um unsere Software". Auch im Vorfeld einer Migration oder Modernisierung ist der Audit hilfreich, weil er die Prioritäten klärt.
Wer eine ausführliche Prüfung mit umfangreichem Code-Review, vollständiger DSGVO-Bewertung und direkter Umsetzung der Härtungsmaßnahmen braucht, ist mit unserem größeren Modul Sicherheit und Härtung besser bedient.
Was es kostet
Der Einstieg liegt bei 590 € netto für kleinere Anwendungen mit überschaubarem Funktionsumfang. Mittelgroße Anwendungen liegen typisch zwischen 900 und 1.800 €. Der Audit hat einen klar definierten Umfang, Sie bekommen einen Festpreis, bevor wir beginnen. Wenn sich während des Audits zeigt, dass ein bestimmter Punkt mehr Tiefe braucht, sprechen wir mit Ihnen, bevor wir den Umfang erweitern.
FAQ
Was ist der Unterschied zum großen Sicherheits-Audit?
Der kompakte Audit ist eine schnelle Standortbestimmung mit Maßnahmenplan, ohne direkte Umsetzung. Sie liefert in wenigen Tagen ein klares Bild. Der größere Audit unter Sicherheit und Härtung ist tiefer, beinhaltet eine vollständige DSGVO-Prüfung, ausführliches Code-Review und die direkte Umsetzung der wichtigsten Härtungsmaßnahmen. Wenn Sie noch nicht wissen, welche Tiefe Sie brauchen, beginnen Sie mit dem kompakten Audit. Wir empfehlen ehrlich, ob der größere Auftrag danach sinnvoll ist.
Brauchen wir den Audit, wenn unsere Anwendung hinter einer Firewall im internen Netz läuft?
Auch interne Anwendungen sollten geprüft werden. Viele Sicherheitsvorfälle beginnen mit einem Fuß in der Tür (etwa über eine Phishing-Mail), und dann zählt, wie schwer es ein Angreifer im internen Netz hat. Eine interne Anwendung mit veralteten Bibliotheken und Standard-Passwörtern ist ein leichtes Ziel, sobald jemand reinkommt. Der Audit hilft, diese Risiken zu erkennen.
Was ist mit DSGVO, deckt der Audit das ab?
Der kompakte Audit prüft die technische Seite des Datenschutzes nur stichprobenartig: Wo liegen personenbezogene Daten, sind sie verschlüsselt, gibt es offensichtliche Lücken. Eine vollständige DSGVO-Bewertung mit Verarbeitungsverzeichnis und Auftragsverarbeitung gehört in den größeren Audit unter Sicherheit und Härtung und idealerweise in die Hände eines Datenschutzbeauftragten.
Können wir den Audit ohne Quellcode machen, nur gegen die laufende Anwendung?
Eingeschränkt ja, aber wir empfehlen den Zugriff auf den Quellcode. Ohne Code bleibt das Code-Review aus und wir können nur die von außen sichtbaren Punkte bewerten. Das hat seinen Wert, blendet aber wichtige Risiken aus. Falls Sie wirklich keinen Zugriff auf den Code haben (etwa bei einer Übernahme im Vorfeld), sagen wir Ihnen das ehrlich und passen den Umfang an.
Wie schnell bekommen wir den Bericht?
Vom Kick-off bis zum Bericht vergehen typisch 2 Wochen Kalenderzeit. Bei dringenden Fällen (etwa kurz vor einem wichtigen Termin) ist auch eine Woche möglich, das stimmen wir individuell ab.
Bereit, anzufangen?
Lassen Sie uns 30 Minuten sprechen. Sie beschreiben Ihre Anwendung, wir klären den passenden Umfang und nennen einen Festpreis. Kostenlos, ohne Vertragsbindung.