- Start
- Leistungen
- Cybersicherheit für Prager Websites
Leistungen
Cybersicherheit für Prager Websites
Ein klarer Blick darauf, wo Ihre Website und Ihre Daten angreifbar sind, und danach die Fixes, die die Lücken schließen: Audits, Penetrationstests, Code-Review und WAF-Hardening. Ab 25 000 Kč, Umfang je nach Audit.
Schnell und sicher sind kein Widerspruch
Die meisten Prager Webstudios verkaufen Ihnen entweder Tempo oder Sicherheit, selten beides. Das übliche Muster: Eine Website wird schnell aus einem Stapel Plugins zusammengesetzt, und „Sicherheit“ wird dann einmal im Jahr zum hektischen Nachpatchen der Plugins, bei denen gerade eine Lücke bekannt wurde. Wir bauen andersherum. Unsere Websites werden als handgeschriebener statischer Code ausgeliefert, an dem es fast nichts anzugreifen gibt: keine Datenbank für eine Injection, kein Admin-Login zum Durchprobieren, kein Plugin-Marktplatz, der Ihnen still die Schwachstelle eines Fremden mitliefert. Das Versprechen ist einfach: Wir bauen schnell, und wir bauen sicher, im selben Projekt.
Eine kleine Angriffsfläche ist aber nicht dasselbe wie keine. Formulare nehmen weiter Eingaben an, APIs antworten weiter, Server brauchen weiter korrekte Header und aktuelles TLS. Cybersicherheit ist genau die Stelle, an der wir die Lücken absichtlich suchen, bevor es jemand mit schlechteren Absichten tut.
Was wir konkret prüfen
- Sicherheitsaudit. Eine strukturierte Prüfung von Website, Server, DNS, TLS, Headern und Skripten Dritter, geliefert als schriftlicher Bericht, der jeden Fund nach realem Risiko einordnet, statt einer generischen Checkliste, mit der Sie nichts anfangen können.
- Penetrationstests. Mit Ihrer schriftlichen Erlaubnis und in vereinbartem Umfang greifen wir Ihre eigene Website so an, wie es ein echter Angreifer täte: Injection, Authentifizierung, Session-Handling, Missbrauch von Formularen und APIs, Datei-Uploads. Sie erhalten den Nachweis, was tatsächlich ausnutzbar ist, keine Theorie.
- Secure Code Review. Bei individuellem Code lesen wir den Quelltext auf die Fehler, die Scanner übersehen: kaputte Zugriffskontrolle, unsichere Datenbankabfragen, Schlüssel im Repository, Abhängigkeiten mit bekannten Schwachstellen.
- WAF und Hardening. Wir setzen eine Web Application Firewall vor die Website, ziehen die Serverkonfiguration nach, ergänzen die Sicherheits-Header, die Browser erwarten, und sperren alles, was nicht öffentlich sein muss.
Sicher ab dem ersten Commit
Die günstigste Sicherheitsarbeit ist die, die Sie nie nachrüsten müssen. Wenn wir eine Website bauen, ist Hardening Teil der Umsetzung, kein Aufpreis am Ende: Eingaben werden validiert, Ausgaben maskiert, Schlüssel bleiben aus dem Code heraus, Abhängigkeiten bleiben aktuell, und der Server geht mit vernünftigen Voreinstellungen online. Deshalb startet eine Prahapp-Website aus einer deutlich besseren Position als ein Template aus einem Dutzend Plugins unbekannter Herkunft.
Haben Sie bereits eine Website von jemand anderem, prüfen wir sie so, wie sie ist, und sagen Ihnen ehrlich, ob sie Hardening, einen Neubau oder gar nichts braucht.
DSGVO ist ein Sicherheitsthema, keine reine Formsache
Nach DSGVO und tschechischem Datenschutzrecht ist das Leck von Kundendaten nicht nur peinlich: Es ist meldepflichtig und kann mit einem Bußgeld enden. Die meisten Vorfälle, die wir sehen, sind dabei nicht raffiniert: ein offenes Backup, ein Formular, das Daten im Klartext verschickt, ein Analyse-Skript, das personenbezogene Daten still in ein Drittland schickt. Unser Audit deckt die technische Seite des EU-Datenschutzes ab: wo personenbezogene Daten liegen, wie sie reisen, wer sie erreicht und wie eine angemessene „technische Maßnahme“ für ein Unternehmen Ihrer Größe aussieht. Wir sind keine Anwälte und sagen das auch, aber wir schließen die technischen Lücken, die aus einer Richtlinie auf Papier ein echtes Risiko machen.
Was es kostet
Ein fokussiertes Sicherheitsaudit mit schriftlichem Bericht beginnt bei 25 000 Kč, abgestimmt auf die Größe Ihrer Website. Penetrationstests, Secure Code Review und WAF-Einrichtung kalkulieren wir pro Auftrag, sobald der Umfang feststeht, denn eine fünfseitige Broschürenseite und eine Buchungsplattform mit Logins sind nicht dieselbe Arbeit. Jeder Preis ist ein Festpreis und steht schriftlich fest, bevor wir anfangen. Wie wir das strukturieren, sehen Sie auf unserer Preisseite, oder schildern Sie uns, was Sie betreiben, und Sie erhalten innerhalb von 24 Stunden einen konkreten Umfang samt Preis.
Für wen sich das lohnt
Jedes Prager Unternehmen, das mit Kundendaten arbeitet oder sich keinen Ausfall leisten kann: Onlineshops mit Kartendaten, Praxen mit Patientenakten, Buchungsplattformen, alle, die gerade den Sicherheitsfragebogen eines Kunden nicht bestanden haben oder ihn unterschreiben sollen. Wenn Sie noch überlegen, ob Sie das brauchen, ist ein Audit der ehrliche erste Schritt: Es kostet wenig, der Umfang steht vorab fest, und es zeigt Ihnen genau, wo Sie stehen, bevor Sie überhaupt Geld für Behebungen ausgeben.
Häufige Fragen
Was ist der Unterschied zwischen einem Sicherheitsaudit und einem Penetrationstest?
Ein Audit ist eine strukturierte Prüfung: Wir sehen uns Website, Server, TLS, Header, DNS und Skripte Dritter an und übergeben einen schriftlichen Bericht, der jeden Fund nach realem Risiko einordnet. Ein Penetrationstest geht weiter und versucht, diese Funde aktiv auszunutzen, mit Ihrer schriftlichen Erlaubnis und in vereinbartem Umfang, damit Sie sehen, was ein Angreifer wirklich könnte, und nicht nur, was auf dem Papier schwach aussieht. Die meisten Unternehmen starten mit dem Audit und ergänzen den Pentest dort, wo der Einsatz es rechtfertigt.
Legt der Test meine Website lahm?
Nein. Wir testen gegen eine Kopie auf einer Staging-Umgebung oder in einem Fenster mit wenig Verkehr, stimmen den Umfang vorab schriftlich mit Ihnen ab und stoppen in dem Moment, in dem etwas riskant aussieht. Ziel ist, die Schwachstellen sicher und zu unseren Bedingungen zu finden, bevor sie jemand zu seinen findet. Sie wissen genau, was wir wann tun.
Beheben Sie die Funde oder berichten Sie nur?
Beides, und Sie entscheiden. Jeder Auftrag endet mit einem schriftlichen Bericht, mit dem jeder Entwickler arbeiten kann. Wenn wir die Lücken schließen sollen, kalkulieren wir die Behebung als Festpreis, setzen sie um und testen anschließend erneut, um zu bestätigen, dass ein Problem wirklich gelöst und nicht nur abgehakt ist.
Ist mein kleines Unternehmen überhaupt ein Ziel?
Fast jeder Angriff, den wir sehen, ist automatisiert, nicht persönlich. Bots durchsuchen das gesamte Internet nach bekannten Schwachstellen, egal wie groß Sie sind; ein kleiner Onlineshop mit einem veralteten Plugin ist ein leichteres Ziel als eine Bank. Nach der DSGVO ist ein Leck der Daten Ihrer Kunden zudem meldepflichtig und kann mit einem Bußgeld enden, die Größe des Unternehmens ist also nicht die Größe des Risikos.
Wie hilft mir eine Sicherheitsprüfung bei der DSGVO?
Die DSGVO verlangt angemessene technische Maßnahmen zum Schutz personenbezogener Daten, und die meisten Vorfälle sind technische, keine formalen Fehler: ein offenes Backup, ein Formular, das Daten im Klartext verschickt, ein Skript, das Daten in ein Drittland schickt. Unser Audit erfasst, wo personenbezogene Daten liegen, wie sie sich bewegen und wer sie erreicht, und schließt die technischen Lücken. Wir sind keine Anwälte und sagen Ihnen, wenn eine Frage eher rechtlich als technisch ist.
Unsicher, welche Leistung Sie brauchen?
Beschreiben Sie Ihre Situation, und wir zeigen Ihnen die passende Option, auch dann, wenn das heißt, Ihnen vorerst vom Kauf abzuraten.