Zum Inhalt springen

Kostenloses Security Review · Vertraulich & unverbindlich

Wie sicher ist Ihre Software wirklich?

Über Jahre gewachsene Systeme — oder Zweifel, ob die letzte Agentur sauber gearbeitet hat? Wir prüfen Code, Abhängigkeiten und Infrastruktur und liefern einen priorisierten Befund mit konkreten Schwachstellen und klaren Empfehlungen.

  • Kostenlos & unverbindlich
  • Vertraulich · NDA auf Wunsch
  • Antwort werktags innerhalb von 24 h
  • In-house aus Hamburg
BEFUND HC-2026-··· · VERTRAULICH
Beispielhafte Darstellung

Veraltete Bibliothek mit bekannter Lücke

Kritisch
package.json

Öffentlich dokumentiert — automatisiert ausnutzbar

API-Schlüssel im JavaScript-Bundle

Kritisch
main.js

Für jeden Besucher im Browser auslesbar

Fehlende Berechtigungsprüfung am Endpunkt

Hoch
/api/rechnung/:id

Fremde Daten per ID-Hochzählen abrufbar

● 2 kritisch ● 1 hoch · Jeder Befund manuell verifiziert — keine Kundendaten

Für wen

Zwei Situationen, in denen sich ein Review sofort lohnt

Gewachsene Software

Ihr System läuft seit Jahren. Es wurde erweitert, umgebaut, unter Zeitdruck geflickt. Niemand hat mehr den vollen Überblick — und keiner traut sich an ein Update, weil unklar ist, was dabei umfällt.

  • Abhängigkeiten seit Jahren nicht aktualisiert
  • Die ursprünglichen Entwickler sind weg
  • Keine Tests, kein sauberes Deployment

Die Zweitmeinung

Eine Agentur oder ein Freelancer hat für Sie gebaut. Sieht gut aus — aber ist es auch sicher, sauber und wartbar? Wir schauen unabhängig und sachlich drauf: mit belegbaren Befunden, ohne Konkurrenz-Rhetorik.

  • Rechnung bezahlt, aber das Bauchgefühl bleibt
  • Kein Einblick in Code-Qualität und Dokumentation
  • Unklar, ob DSGVO sauber umgesetzt ist

Typische Befunde

So sieht ein Befund aus — an typischen Beispielen

Typische Befunde, wie wir sie immer wieder sehen — ohne Kundendaten. Erkennen Sie etwas wieder?

HC-···-003Kritisch
Abhängigkeiten

Bekannte Sicherheitslücke in veralteter Bibliothek

"framework": "^2.1.████" // 3 bekannte CVEs, u. a. Remote-Code-Execution

Risiko: Öffentlich dokumentierte Lücke — wird automatisiert ausgenutzt, ohne dass Sie jemand gezielt angreift.

Typisch bei: Systemen ohne regelmäßige Updates

HC-···-007Kritisch
Authentifizierung

API-Schlüssel im ausgelieferten JavaScript

const API_KEY = "sk_live_████████"

Risiko: Jeder Besucher kann den Schlüssel im Browser auslesen und Ihre Schnittstelle auf Ihre Kosten nutzen.

Typisch bei: schnell gewachsenen Frontends

HC-···-014Hoch
Zugriffskontrolle

Fehlende Berechtigungsprüfung am Endpunkt (IDOR)

GET /api/rechnung/1042 // prüft nicht, wem die Rechnung gehört

Risiko: Kunde A kann durch Hochzählen der ID die Rechnungen von Kunde B abrufen.

Typisch bei: Portalen und Kundenbereichen

HC-···-031Mittel
Wartbarkeit

Keine Tests, kein CI — jede Änderung ist Blindflug

tests/ … leer · Deployment: manuell per FTP

Risiko: Kleine Fixes lösen unbemerkt neue Fehler aus; Weiterentwicklung wird teuer und riskant.

Typisch bei: Übernahmen von Vorgänger-Dienstleistern

Das sind vier von oft dutzenden Befunden. Ihr priorisierter Report zeigt, welche bei Ihnen wirklich zählen. Wie wir Software-Audits aufziehen

Ihren eigenen Befund anfragen

2-Minuten-Selbstcheck

Acht ehrliche Fragen. Ihre blinden Flecken in Klartext.

Keine Anmeldung, keine Daten an uns — der Check läuft komplett in Ihrem Browser. „Weiß nicht" ist eine normale Antwort und zählt trotzdem als offener Punkt: Was niemand im Blick hat, kann niemand absichern.

Frage 1 von 8: Wurden die Bibliotheken und Frameworks Ihrer Software in den letzten 6 Monaten aktualisiert?

Frage 1 von 81/8

Wurden die Bibliotheken und Frameworks Ihrer Software in den letzten 6 Monaten aktualisiert?

Risiko-Radar

  • Updates & Abhängigkeiten
  • Zugänge
  • Backups
  • Offboarding
  • Abhängigkeit von Dritten
  • Monitoring
  • DSGVO & Datenflüsse
  • Unabhängige Prüfung

Prüfumfang

Was das Security Review unter die Lupe nimmt

Kein oberflächlicher Scan, sondern die Bereiche, in denen Mittelstands-Software erfahrungsgemäß am häufigsten verwundbar ist.

01

Code & Architektur

Struktur, Muster, Fehlerbehandlung — offensichtliche Schwachstellen im Anwendungscode.

Manuell
02

Abhängigkeiten & Supply-Chain

Veraltete Pakete, bekannte Sicherheitslücken (CVEs), riskante Lizenzen.

Automatisiert + CVE-Abgleich
03

Authentifizierung & Zugriffe

Sessions, Tokens, Rollen und Rechte: Wer kommt an was — und wer sollte es nicht?

Automatisiert + manuell
04

Datenschutz & DSGVO

Datenflüsse, Speicherung, Logging: wo personenbezogene Daten liegen und wie sie geschützt sind.

Manuell + Scan
05

Infrastruktur & Deployment

Konfiguration, Secrets, TLS, exponierte Endpunkte, Backups und Wiederherstellung.

Automatisiert + manuell
06

Wartbarkeit & Betrieb

Tests, CI/CD, Monitoring, technische Schuld — wie sicher sind künftige Änderungen?

Manuell

Aus akuten Funden wird oft laufender Schutz — unser Wartungs- & Support-Modell übernimmt danach.

Ablauf

Von der Anfrage zum Befund — in vier Schritten

In der Regel liegt der Befund fünf bis zehn Werktage nach Zugang vor. Sie wissen jederzeit, was passiert und was wir sehen.

01

Anfrage & Zugang

Sie schildern kurz Ihr System — ein paar Sätze genügen. Wir klären Umfang und auf Wunsch ein NDA. Lesender Zugriff oder ein Code-Export reicht; Sie geben nur frei, was Sie freigeben wollen.

02

Automatisierte Analyse

Scans über Abhängigkeiten, Secrets, bekannte Sicherheitslücken und Konfiguration — breite Abdeckung in kurzer Zeit.

03

Manuelle Prüfung

Ein erfahrener Entwickler liest den kritischen Code: Authentifizierung, Rechte, Datenflüsse — genau dort, wo automatische Scanner blind sind.

04

Befund & Gespräch

Sie erhalten den priorisierten Befund: jede Schwachstelle mit Schweregrad, Risiko in Klartext und Empfehlung — und wir besprechen ihn gemeinsam in 30 Minuten.

Ehrlich gesagt

Warum ist das kostenlos?

Weil es sich für uns rechnet: Ein Teil der Befunde ist so relevant, dass Kunden die Behebung beauftragen — oft bei uns. Verpflichtet sind Sie zu nichts.

Die ehrlichste Arbeitsprobe

Statt Folien zeigen wir, wie wir denken — an Ihrem echten System. Das überzeugt mehr als jedes Verkaufsgespräch.

Der Befund gehört Ihnen

Sie bekommen den vollständigen Report — auch ohne Folgeauftrag. Selbst umsetzen, an Ihre bisherige Agentur geben oder liegen lassen: Ihre Entscheidung.

Kein Verkaufsdruck

Ein Review, ein Report, ein ehrliches Gespräch. Kein Abo, kein Kleingedrucktes, kein Nachfassen im Wochentakt.

Kostenloses Security Review

Fordern Sie Ihren Befund an

Zwei, drei Sätze zu Ihrem System genügen — URL, Tech-Stack oder einfach, worum es geht. Zugang klären wir danach, auf Wunsch mit NDA.

Wir nutzen Ihre Angaben nur zur Antwort. Keine Listen, kein Newsletter.

FAQ

Häufige Fragen zum kostenlosen Security Review

In Zahlen

Das ist hafencity.dev

15+ Experten

Entwickler, Designer und Strategen aus unserem Hamburger HQ — eingespielt als ein Team.

50+ Kunden

Unternehmen aus Consumer, Healthcare und B2B vertrauen uns ihre digitalen Produkte an. Langfristige Partnerschaften sind die Regel, nicht die Ausnahme.

97% Weiterempfehlung

Wiederkehrende Engagements und Referenzen, die unsere Kunden tatsächlich anrufen. Vertrauen wächst, wenn Lieferung stimmt.

50+ Launches

Maßgeschneiderte Mobile- und Web-Produkte vom Konzept bis zur Wartung — Ende-zu-Ende verantwortet von unserem Team.

100% In-House

Strategie, Design und Entwicklung aus unserem Hamburger HQ. Ein Team, eine Projektleitung, Ihnen gegenüber verantwortlich von Kickoff bis Launch.

Seit 2023

Wir begleiten Unternehmen bei ihren digitalen Produkten — und wachsen mit den Teams, mit denen wir arbeiten.

Nächste Schritte

Lassen Sie uns über Ihr Projekt sprechen

30-minütiges Erstgespräch. Wir besprechen Ihre Ziele, klären offene Fragen und skizzieren den möglichen Projektablauf.

Termin buchen

Buchungskalender (Cal.com)

Dieser Bereich bindet den externen Dienst Cal.com ein. Mit dem Laden stimmen Sie zu, dass eine Verbindung zu Cal.com hergestellt und dabei Daten in die USA übertragen werden können.

Datenschutzerklärung