Ich vertraue keinem Compliance-Label. Ich schaue mir den Code an.
Die meisten Sicherheits-Checks prüfen ob Wordfence installiert ist. Ich prüfe ob dein Chatbot-Anbieter API-Schlüssel im Frontend ausliefert.
Warum das wichtig ist
Sicherheitslücken sind kein „Passiert schon nicht“-Problem.
Das ist kein automatischer Scan. Das ist ein manuelles Code-Review. Ich prüfe Client-Side-Code, Token-Handling, CORS-Konfiguration, Session-Replay-Risiken, Dependency-Schwachstellen – und ob das was auf der Compliance-Seite steht auch im Code stimmt.
Die meisten Sicherheitslücken sind nicht spektakulär. Sie sind banal. Und genau deshalb werden sie übersehen – bis jemand sie ausnutzt.
Häufig
Sicherheitsprobleme entstehen durch kleine, übersehene Konfigurationsfehler.
Teuer
Die Folgekosten sind oft deutlich höher als ein früher Sicherheitscheck.
Kritisch
Bei sensiblen Daten ist Vertrauen schnell weg, wenn Sicherheit nicht stimmt.
Was ich prüfe
Umfassend, verständlich, umsetzbar.
Client-Side Code Review
API-Schlüssel im Frontend? Token im Local Storage? Verschlüsselungsschlüssel im Quellcode? Ich schaue mir an was der Browser sieht.
Drittanbieter-Analyse
Marketing vs. Realität: Wenn ein Anbieter „DSGVO-konform“ draufschreibt, prüfe ich ob das im Code stimmt. Dependencies, Lizenzen, bekannte CVEs.
DSGVO-Check
Nicht nur ob ein Cookie-Banner existiert – sondern ob es funktioniert. Tracking vor Einwilligung, Datenweitergabe an Dritte, fehlende AVVs.
Barrierefreiheit (WCAG 2.1 AA)
Screenreader, Tastatur-Navigation, Kontraste, Formulare. Systematische Prüfung, nicht nur ein automatisierter Scan.
Performance-Audit
Core Web Vitals, Ladezeiten, Bildoptimierung. Was bremst deine Seite aus und kostet dich Kunden?
Zugang & Konfiguration
CORS-Policies, Session-Handling, Berechtigungen, Server-Header. Die Details die automatische Scans nicht finden.
Aus der Praxis
CVSS 10.0 – die höchste Risikostufe.
Bei einem Security-Audit für eine Healthcare-Plattform habe ich eine kritische Schwachstellenkette gefunden: unautorisierter Zugriff auf Patientendaten, Session-Hijacking und Privilege Escalation. CVSS-Score: 10.0 von 10.0.
Das heißt: Jeder mit Internetzugang hätte auf sensible Daten zugreifen können. Die Schwachstelle wurde sofort gemeldet und vom Entwicklerteam behoben.
Das passiert, wenn Sicherheit als „optional“ behandelt wird. Mein Job ist dafür zu sorgen, dass es bei dir nicht so weit kommt.
Den kompletten Fall mit Timeline, Findings und Responsible Disclosure findest du hier:
Zum Blogpost →Investition
ab 750 €
- Umfassende Sicherheitsanalyse
- DSGVO-Compliance-Check
- Barrierefreiheits-Prüfung (WCAG 2.1 AA)
- Performance-Audit
- Verständlicher Bericht mit Prioritäten
- Nachbesprechung per Video-Call
Alle Preise netto zzgl. MwSt. Exakter Preis nach Erstgespräch, abhängig vom Umfang der Website.
Häufige Fragen
Fragen zum Sicherheits-Audit
Wie läuft ein Audit ab?
Ich bekomme Zugang zu deiner Website (oder prüfe von außen, je nach Scope). Dann teste ich systematisch alle Bereiche: Sicherheit, DSGVO, Barrierefreiheit, Performance. Du bekommst einen verständlichen Bericht mit konkreten Maßnahmen, nach Priorität sortiert.
Muss ich dir Admin-Zugang geben?
Kommt drauf an. Für einen externen Security-Check brauche ich keinen Zugang. Für einen vollständigen Audit (inkl. Plugin-Analyse, Berechtigungen) schon. Alles wird vorher besprochen.
Kannst du die Probleme auch beheben?
Ja. Wenn du willst, setze ich die Maßnahmen direkt um – oder dein bestehendes Team nutzt meinen Bericht als Leitfaden. Beides funktioniert.
Ist das nur für WordPress?
Nein. Ich prüfe WordPress, Custom Code, Shopify, und andere Plattformen. Die Methodik passt sich an die Technologie an.
Für wen ist das?
Für jeden der wissen will, ob seine Website sicher ist. Besonders relevant für Praxen, Therapeuten, Healthcare und alle die mit sensiblen Daten arbeiten.
Sicherheits-Audit anfragen
15 Minuten, kostenlos. Ich schaue mir deine Website an und sage dir, was geprüft werden sollte.