Versteckte Risiken sichtbar machen. Resilienz für Ihre Software­architektur.

Unser Fokus liegt klar auf dem PHP-Ökosystem, insbesondere auf Anwendungen, die mit dem Laravel-Framework gebaut wurden. Hier liegt unsere tiefste Expertise — und hier können wir den größten Mehrwert liefern.

Ideal für unseren Audit

• Laravel-Anwendungen (Version 6 bis 12) — unser Kerngebiet
• PHP-Anwendungen auf Basis von Symfony, CakePHP oder purem PHP
• Hybride Architekturen mit Laravel-Backend und JavaScript-Frontend (Vue.js, React, Inertia.js)
• API-Backends auf Laravel-Basis (REST, GraphQL)

Projektgrößen

Wir prüfen Projekte unterschiedlicher Größe, wobei der kostenlose Audit am besten für mittlere bis große Anwendungen geeignet ist:

• Kleine Anwendungen (< 10.000 Zeilen) — Audit möglich, aber der Aufwand ist oft überdimensioniert
• Mittlere Anwendungen (10.000–100.000 Zeilen) — Ideale Größe für einen umfassenden Audit
• Große Anwendungen (> 100.000 Zeilen) — Wir fokussieren auf die sicherheitskritischsten Module und definieren den Scope gemeinsam

Weniger geeignet

Offen gesagt ist unser Audit nicht die richtige Wahl für:

• Reine Frontend-Anwendungen ohne PHP-Backend
• WordPress-Plugins oder -Themes (dafür gibt es spezialisierte Anbieter)
• Projekte, die noch nicht in Produktion sind (ein Audit ergibt erst Sinn, wenn echte Daten verarbeitet werden)

Das Ergebnis: Wenn Ihre Anwendung auf PHP/Laravel basiert und produktive Daten verarbeitet, können wir Ihnen helfen.

Es gibt keinen Haken. Für qualifizierte Unternehmen bieten wir den Code Audit im Wert von 10.400 EUR vollständig kostenlos an. Keine versteckten Kosten, keine automatische Folgebeauftragung, keine Vertragsbindung.

Warum wir das tun

Wir investieren in den ersten Audit, weil wir wissen, dass die Qualität unserer Arbeit für sich spricht. Die Mehrzahl unserer Audit-Kunden entscheidet sich anschließend für eine Zusammenarbeit — sei es für die Behebung gefundener Schwachstellen, ein Laravel-Upgrade oder eine langfristige technische Partnerschaft.

Der Audit ist für uns kein Verlustgeschäft, sondern ein Investitionsgeschäft in qualifizierte Kundenbeziehungen. Wir zeigen Ihnen konkret, was wir können — statt es nur zu behaupten.

Was „qualifiziert" bedeutet

Wir prüfen jede Anfrage individuell. Der kostenlose Audit ist für Unternehmen gedacht, die:

• Eine produktive PHP/Laravel-Anwendung betreiben (kein Hobby-Projekt)
• Ein echtes Geschäftsinteresse an der Sicherheit ihrer Software haben
• Die Kapazität haben, identifizierte Schwachstellen perspektivisch zu beheben

Eine Anfrage ist keine automatische Zusage. Wir bestätigen die Teilnahme erst nach dem Erstgespräch.

Was Sie nicht bekommen

Transparenz ist uns wichtig — deshalb auch klar, was der kostenlose Audit nicht umfasst:

• Keine aktive Behebung der gefundenen Schwachstellen (nur Identifikation und Empfehlungen)
• Kein Penetration Testing (der Audit ist eine Code-Review, kein Angriffsszenario)
• Keine fortlaufende Überwachung (Monitoring ist ein separater Service)

Das Ergebnis: Sie erhalten echten, messbaren Mehrwert — ohne Risiko und ohne Verpflichtung.

Sie erhalten kein generisches PDF mit automatisierten Tool-Outputs, sondern einen handgeschriebenen Analysebericht von erfahrenen Entwicklern, der auf Ihr spezifisches Projekt zugeschnitten ist.

Der Ergebnisbericht (PDF)

Unser Bericht enthält für jede identifizierte Schwachstelle:

• Schweregrad-Klassifizierung nach CVSS (Critical, High, Medium, Low, Informational)
• Technische Beschreibung — Was ist das Problem und warum ist es relevant?
• Betroffene Dateien und Codepfade — Wo genau liegt die Schwachstelle?
• Proof of Concept — Wie könnte die Schwachstelle ausgenutzt werden?
• Konkrete Handlungsempfehlung — Wie wird das Problem behoben, inklusive Code-Beispielen wo sinnvoll
• Geschätzter Behebungsaufwand — Damit Sie intern oder mit uns planen können

Priorisierte Übersicht

Der Bericht beginnt mit einer Executive Summary für Entscheider:

• Gesamtbewertung des Sicherheitszustands
• Anzahl der Findings nach Schweregrad
• Top-5-Empfehlungen mit dem höchsten Impact-zu-Aufwand-Verhältnis
• Vergleich mit branchenüblichen Standards

Abschlussgespräch (30 Minuten)

Im Videogespräch mit dem zuständigen Auditor gehen wir den Bericht gemeinsam durch:

• Erklärung der kritischsten Findings
• Beantwortung technischer Rückfragen
• Empfehlung einer Behebungsreihenfolge basierend auf Ihrem Risikoprofil
• Einschätzung des Gesamtaufwands für eine vollständige Behebung

Das Ergebnis: Keine Black Box, sondern ein direkt umsetzbares Dokument, mit dem Ihr Entwicklungsteam (oder wir) sofort loslegen kann.

Unser Code Audit ist keine automatisierte Schnellanalyse, sondern eine systematische, mehrstufige Prüfung durch erfahrene Laravel-Entwickler — kombiniert mit werkzeuggestützter Analyse.

Sicherheitsanalyse

Im Kern prüfen wir Ihre Anwendung gegen die OWASP Top 10 — die weltweit anerkannte Referenz für die kritischsten Sicherheitsrisiken in Webanwendungen:

• SQL-Injection & Query-Sicherheit — Werden Datenbankabfragen sicher parametrisiert? Gibt es Stellen, an denen Nutzereingaben ungefiltert in Queries gelangen?
• Cross-Site Scripting (XSS) — Werden Ausgaben korrekt escaped? Gibt es unsichere Blade-Direktiven oder unvalidierte Nutzereingaben?
• Authentifizierung & Session-Management — Ist die Login-Logik robust? Werden Sessions korrekt invalidiert? Gibt es Schwächen bei Passwort-Reset-Flows?
• Autorisierung & Zugriffskontrolle — Werden Gates, Policies und Middleware korrekt eingesetzt? Gibt es Endpunkte ohne Berechtigungsprüfung?
• CSRF-Schutz — Sind alle zustandsändernden Requests abgesichert?
• Kryptografie — Werden Passwörter korrekt gehasht? Werden sensible Daten verschlüsselt gespeichert? Werden veraltete Algorithmen verwendet?

Dependency-Audit

Wir prüfen Ihre Composer- und NPM-Abhängigkeiten gegen aktuelle CVE-Datenbanken. Veraltete Pakete mit bekannten Schwachstellen sind einer der häufigsten Angriffsvektoren — und oft am einfachsten zu beheben.

Code-Qualität & Architektur

Neben der reinen Sicherheit analysieren wir auch:

• Einhaltung von Laravel Best Practices und Konventionen
• Architekturentscheidungen und deren langfristige Wartbarkeit
• N+1-Query-Probleme und Performance-Engpässe
• Hartcodierte Secrets, Credentials oder API-Keys im Quellcode
• Fehlerhafte oder fehlende Logging- und Monitoring-Konfigurationen

Das Ergebnis: Ein klares Bild des Sicherheits- und Qualitätszustands Ihrer Anwendung — mit konkreten, priorisierten Handlungsempfehlungen statt abstrakter Warnungen.

Nein. Der Audit ist ein eigenständiger Service ohne jegliche Folgeverpflichtung. Sie erhalten den Bericht und das Abschlussgespräch — was Sie danach mit den Erkenntnissen machen, liegt vollständig bei Ihnen.

Ihre Optionen nach dem Audit

Option 1: Sie beheben die Findings intern

Unser Bericht ist so geschrieben, dass ein erfahrenes Entwicklungsteam die Empfehlungen eigenständig umsetzen kann. Jede Schwachstelle enthält konkrete Code-Beispiele und Lösungsansätze. Wir stehen für Rückfragen zur Verfügung, auch wenn Sie die Behebung selbst durchführen.

Option 2: Sie beauftragen uns mit der Behebung

Viele unserer Audit-Kunden entscheiden sich für diesen Weg, weil wir die Codebasis bereits kennen und die Behebung entsprechend effizient umsetzen können. Wir erstellen Ihnen ein transparentes Angebot basierend auf den Findings — aufgeschlüsselt nach Schweregrad und geschätztem Aufwand.

Option 3: Sie beauftragen einen anderen Dienstleister

Auch das ist völlig in Ordnung. Der Bericht gehört Ihnen und kann als Grundlage für die Zusammenarbeit mit jedem anderen Dienstleister dienen.

Option 4: Sie unternehmen vorerst nichts

Manche Findings haben keine unmittelbare Dringlichkeit. Es ist legitim, niedrig priorisierte Schwachstellen in die langfristige Roadmap aufzunehmen und sich zunächst auf die kritischen Punkte zu konzentrieren.

Kein Verkaufsdruck

Wir sind Entwickler, keine Verkäufer. Unser Geschäftsmodell basiert darauf, dass die Qualität unserer Arbeit für sich spricht — nicht auf aggressivem Nachfassen. Sie werden nach dem Audit keinen Verkaufsanruf von uns erhalten.

Das Ergebnis: Volle Entscheidungsfreiheit. Der Audit liefert Ihnen die Grundlage — den nächsten Schritt bestimmen Sie.

Der gesamte Prozess von der Anfrage bis zum fertigen Bericht dauert in der Regel 2–3 Wochen. Die eigentliche Analyse umfasst 10 Werktage intensive Arbeit durch unsere Experten.

Phase 1: Anfrage & Vorbereitung (1–2 Werktage)

Nach Eingang Ihrer Anfrage prüfen wir diese individuell. In einem kurzen Erstgespräch klären wir:

• Umfang und Alter der Codebasis
• Eingesetzte Technologien und Frameworks
• Besondere Sicherheitsanforderungen oder Compliance-Vorgaben
• Bereiche, die vom Audit ausgeschlossen werden sollen

Anschließend unterzeichnen wir die NDA und Sie richten den Zugang ein.

Phase 2: Automatisierte Analyse (1–2 Werktage)

Unsere werkzeuggestützte Erstanalyse umfasst:

• Statische Code-Analyse mit spezialisierten PHP/Laravel-Tools
• Dependency-Audit gegen CVE-Datenbanken (Composer & NPM)
• Secret-Scanning für hartcodierte Credentials
• Konfigurationsanalyse der Laravel-Umgebung

Diese Phase liefert die datengetriebene Grundlage für die manuelle Tiefenanalyse.

Phase 3: Manuelle Expertenprüfung (5–7 Werktage)

Der Kern des Audits — erfahrene Laravel-Entwickler prüfen Ihren Code manuell:

• Jede automatisiert identifizierte Schwachstelle wird verifiziert und kontextualisiert
• Logik-basierte Schwachstellen, die kein Tool erkennt (z. B. fehlerhafte Autorisierungslogik, Race Conditions)
• Architekturentscheidungen und deren Sicherheitsauswirkungen
• Framework-spezifische Anti-Patterns

Phase 4: Bericht & Abschlussgespräch (1–2 Werktage)

Sie erhalten den detaillierten PDF-Bericht und wir besprechen die Ergebnisse in einem 30-minütigen Abschlussgespräch.

Das Ergebnis: Ein transparenter, planbarer Prozess — Sie wissen jederzeit, wo wir stehen und was als Nächstes passiert.

Automatisierte Scanner wie Snyk, SonarQube oder PHPStan sind wertvolle Werkzeuge — und wir setzen sie selbst als ersten Schritt in unserem Audit-Prozess ein. Aber sie haben fundamentale Grenzen.

Was automatisierte Tools können

• Bekannte CVEs in Abhängigkeiten erkennen (z. B. veraltetes Laravel-Paket mit bekannter Schwachstelle)
• Statische Code-Patterns identifizieren (z. B. unsichere eval()-Aufrufe, fehlendes Output-Escaping)
• Konfigurationsfehler finden (z. B. Debug-Modus in Produktion aktiv)
• Schnelle, reproduzierbare Ergebnisse liefern

Was nur ein manueller Audit findet

Die gefährlichsten Schwachstellen sind logikbasiert — und für automatisierte Tools unsichtbar:

• Fehlerhafte Autorisierungslogik — Ein Nutzer kann auf Daten eines anderen Nutzers zugreifen, weil die Policy einen Edge Case nicht abdeckt. Kein Scanner erkennt, dass $user->id !== $resource->user_id fehlt.
• Race Conditions — Zwei gleichzeitige Requests können zu inkonsistenten Daten führen (z. B. doppelte Buchungen, negative Kontostände). Das erfordert Verständnis der Geschäftslogik.
• Unsichere API-Designs — Endpunkte, die zu viele Daten zurückgeben (Mass Assignment, ungeschütztes Eager Loading), oder fehlendes Rate Limiting auf kritischen Routen.
• Framework-spezifische Anti-Patterns — Laravel bietet viele Sicherheitsmechanismen, aber nur wenn sie korrekt eingesetzt werden. Ein Scanner erkennt nicht, dass DB::raw() statt Eloquent ein Risiko darstellt.
• Kryptografische Fehler im Kontext — Ein Tool findet md5(), aber nur ein Mensch versteht, ob das in diesem Kontext ein Problem ist oder eine bewusste Designentscheidung (z. B. für Cache-Keys).

Unser kombinierter Ansatz

Wir nutzen automatisierte Tools als Effizienz-Multiplikator — nicht als Ersatz für Expertise:

1. Automatisierte Scans identifizieren die niedrig hängenden Früchte
2. Unsere Experten verifizieren jeden automatisierten Fund (False Positives eliminieren)
3. Manuelle Analyse deckt die logikbasierten Schwachstellen auf, die kein Tool findet
4. Jedes Finding wird im Kontext Ihrer spezifischen Anwendung bewertet

Das Ergebnis: Sie erhalten nicht Hunderte unqualifizierte Warnungen, sondern eine kuratierte Liste verifizierter Schwachstellen mit kontextbezogenen Handlungsempfehlungen.

Vertraulichkeit ist bei einem Code Audit nicht verhandelbar. Wir behandeln Ihren Quellcode mit der gleichen Sorgfalt, die wir für unsere eigenen Projekte aufwenden.

Geheimhaltungsvereinbarung (NDA)

Vor dem ersten Zugriff auf Ihren Code unterzeichnen wir eine rechtlich bindende NDA. Diese Vereinbarung regelt:

• Ihr Code wird ausschließlich für den Audit-Zweck verwendet
• Keine Weitergabe an Dritte — auch nicht an Subunternehmer
• Alle lokalen Kopien werden nach Abschluss des Audits vollständig gelöscht
• Vertragliche Schadensersatzpflicht bei Verstößen

Wir verwenden unsere eigene, für den Audit-Prozess optimierte NDA. Alternative Vereinbarungen können wir aus organisatorischen Gründen nicht akzeptieren — unsere NDA ist jedoch bewusst kundenfreundlich formuliert und kann vorab eingesehen werden.

Technische Sicherheitsmaßnahmen

• Zugriff ausschließlich über verschlüsselte Verbindungen (SSH/HTTPS)
• Analyse auf gesicherten Entwicklungsumgebungen — kein Cloud-Upload Ihres Codes an Drittdienste
• Keine Verwendung von AI-Tools, die Ihren Code an externe Server übermitteln würden
• Dedizierter Auditor-Account (mindtwo-auditor) mit nachvollziehbaren Zugriffsrechten

Was Sie ausschließen können

Sie behalten die volle Kontrolle darüber, was wir sehen:

• Umgebungsvariablen und .env-Dateien — können vorab entfernt werden
• Credentials und API-Keys — sollten ohnehin nicht im Repository liegen (wir prüfen das)
• Personenbezogene Daten — können aus Testdaten und Fixtures entfernt werden
• Einzelne Module oder Verzeichnisse — können vom Audit ausgenommen werden

Das Ergebnis: Maximale Transparenz bei der Analyse, maximaler Schutz für Ihre Geschäftsgeheimnisse.