Was ist ein Code-Audit?
Ein Code-Audit ist die strukturierte Prüfung des Quellcodes und der Technik hinter einer Anwendung — bei einer Website also Stack, Architektur, Code-Qualität, Abhängigkeiten und der Weg, auf dem Änderungen live gehen. Es wird nichts umgebaut. Am Ende steht ein Befund: Was trägt, was bremst, was ist ein Risiko — und in welcher Reihenfolge man es angeht.
Was prüft das Tech-Audit konkret?
Sechs Bereiche: Stack und Versionen (CMS, Framework, PHP, Datenbank), Architektur und Templates, Code-Qualität im Kern und in eigenen Modulen, Abhängigkeiten wie Plugins und Extensions, den Deployment-Prozess mit Git, CI/CD und Staging sowie die Übergabefähigkeit — Dokumentation, Zugänge und die Frage, wie schnell ein neues Team übernehmen kann.
Was kostet das Audit?
Festpreis nach Briefing. Sobald klar ist, wie groß das System ist, welches CMS läuft und welche Zugänge es gibt, nennen wir einen Preis für das Tech-Audit und halten ihn fest. Keine Tagessätze, die während der Analyse wachsen.
Wie lange dauert das Tech-Audit?
Für eine übliche Business-Website drei bis fünf Arbeitstage vom Zugang bis zum Report. Große TYPO3-Installationen mit vielen Extensions, Schnittstellen und Sprachen brauchen länger — das steht vor Beginn im Angebot, nicht danach in der Rechnung.
Was braucht ihr von uns, um zu prüfen?
Im Idealfall Lesezugriff auf das Repository, das CMS-Backend und den Server. Wenn es kein Git gibt — was häufiger vorkommt, als man denkt —, reicht ein Quellcode-Export plus Datenbank-Dump. Genau dieses Fehlen ist übrigens schon ein Befund und landet im Report.
Müssen wir die Umsetzung bei euch beauftragen?
Nein. Der tech-report gehört dir, inklusive aller Befunde und Empfehlungen. Du kannst ihn deiner bisherigen Agentur geben, deinem internen Team oder einem Dritten. Wenn du willst, übernehmen wir die Umsetzung — als Entwicklung & Umsetzung oder, wenn sich der Weiterbetrieb nicht mehr lohnt, als Relaunch & Migration. Eine Pflicht dazu gibt es nicht.
Ist das Tech-Audit ein Penetrationstest?
Nein. Wir greifen deine Seite nicht an und suchen keine Exploits. Das Tech-Audit schaut auf Stack, Architektur, Code und Deployment. Wenn du TLS-Konfiguration, Security-Header wie CSP und HSTS oder bekannte CVEs in Abhängigkeiten geprüft haben willst, ist das Security-Audit der richtige Baustein. Ein echter Penetrationstest ist eine eigene Disziplin — den machen wir nicht.