Was prüft ein professioneller Website-Sicherheitsaudit?

Ein professioneller Website-Sicherheitsaudit prüft in zwei Stufen: Erstens eine Black-Box-Analyse der Live-Website (HTTP-Sicherheitsheader wie HSTS, Content-Security-Policy und X-Frame-Options, TLS-Konfiguration, DNS-Sicherheit mit SPF/DKIM/DMARC sowie exponierte Verzeichnisse). Zweitens eine White-Box-Analyse des Quellcodes nach dem OWASP Top-10-Standard – also Injection-Schwachstellen, Authentifizierungsfehler, fehlende Zugriffskontrollen und unsichere Abhängigkeiten.

Was bedeutet Grade A bei einem Website-Sicherheitszertifikat?

Grade A bedeutet: 0 kritische, 0 hohe Sicherheitslücken und ein Score von mindestens 90 von 100 Punkten. In unserem Bewertungssystem gibt es fünf Stufen (A bis F). Das Vollzertifikat wird ausschließlich ab Grade A ausgestellt. Ein Score von 100/100 bedeutet, dass nach der adversarialen Falschpositiv-Prüfung keine einzige bestätigte Sicherheitslücke verblieben ist.

Wie lange dauert ein Website-Sicherheitsaudit beim IFCSD?

In der Regel ein bis zwei Werktage. Die technische Prüfung läuft automatisiert; die anschließende OWASP-Code-Review und die adversariale Falschpositiv-Prüfung erfolgen manuell. Bei sehr großen Projekten mit vielen Backend-Komponenten kann die Prüfung bis zu fünf Werktage dauern.

Was kostet ein Website-Sicherheitsaudit beim IFCSD?

Der Preis richtet sich nach Umfang und Komplexität der Website und wird auf Anfrage individuell kalkuliert. Für kleine und mittelständische Unternehmen bieten wir transparente Festpreise. Erste Einschätzung: kostenlos per Kontaktformular anfragen.

Was passiert, wenn meine Website die Prüfung nicht besteht?

Sie erhalten ein provisorisches Zertifikat mit einer konkreten Mängelliste – genau welche Sicherheitslücke vorliegt, welche Auswirkung sie hat und wie sie behoben werden kann. Anschließend führen wir eine kostenlose Nachprüfung durch. Das Vollzertifikat wird erst nach bestandener Nachprüfung ausgestellt.

Wie oft sollte man eine Website auf Sicherheit prüfen lassen?

Mindestens einmal jährlich – das IFCSD-Zertifikat ist daher auf 12 Monate befristet und erinnert automatisch an die Verlängerung. Zusätzlich empfehlen wir eine Prüfung nach größeren technischen Änderungen (neues CMS, neuer Hoster, neue Funktionen) sowie nach jedem bekannt gewordenen Sicherheitsvorfall.

Website-Sicherheitsaudit bestanden: ifcsd.de erhält Grade A (100/100)

Glaubwürdigkeit lässt sich nicht nur behaupten – sie muss belegt werden. Als Institut für Cybersicherheit Deutschland prüfen wir täglich die digitale Sicherheit unserer Kunden. Die naheliegende Frage: Wie sieht es bei uns selbst aus?

Die Antwort haben wir uns im Juni 2026 offiziell geben lassen: Ein zweistufiger Sicherheitsaudit unserer eigenen Website – durchgeführt nach demselben Verfahren, das wir für Kunden einsetzen. Das Ergebnis ist öffentlich einsehbar: Grade A, 100 von 100 Punkten.

Was genau geprüft wurde

Unser Audit-Verfahren besteht aus zwei unabhängigen Prüfebenen, die kombiniert ein deutlich vollständigeres Bild ergeben als jede Einzelprüfung.

Stufe 1 – Black-Box-Analyse der Live-Website:
Hier prüfen wir, was ein Angreifer von außen sieht – ohne Quellcode-Zugang. Dazu gehören HTTP-Sicherheitsheader (HSTS, Content-Security-Policy, X-Frame-Options, Referrer-Policy, Permissions-Policy), die TLS-Konfiguration inklusive Protokollversionen, die DNS-Sicherheitsinfrastruktur mit SPF, DKIM und DMARC sowie exponierte Verzeichnisse und Konfigurationsdateien.

Stufe 2 – White-Box-Code-Review nach OWASP Top 10:
Hier analysieren wir den Quellcode der Website und aller serverseitigen Komponenten auf die zehn kritischsten Schwachstellenklassen, darunter Injection-Angriffe (SQL, HTML, Header), fehlende Zugriffskontrollen, unsichere direkte Objektreferenzen, Sicherheitsfehlkonfigurationen und bekannte Schwachstellen in verwendeten Bibliotheken.

Jeder gefundene Verdachtsfall durchläuft anschließend eine adversariale Falschpositiv-Prüfung: Wir versuchen aktiv, jeden Befund zu widerlegen, bevor er ins Zertifikat aufgenommen wird. Das verhindert, dass legitime technische Entscheidungen fälschlich als Sicherheitslücken gewertet werden.

Was wir selbst entdeckt haben

Ehrlichkeit gehört zu den Grundsätzen eines seriösen Sicherheitsinstituts: Die erste Prüfung unserer Website hat acht bestätigte Befunde ergeben – keiner kritisch, keiner hoch, aber sechs der acht dennoch relevant.

Die wichtigsten Feststellungen aus Iteration 1:

HTTP Strict Transport Security (HSTS) fehlte – Ohne diesen Header kann ein Angreifer unter bestimmten Umständen einen ersten unverschlüsselten Verbindungsversuch abfangen.
TLS 1.0 und 1.1 waren noch aktiv – Beide Protokollversionen gelten seit RFC 8996 als veraltet und unsicher.
Content-Security-Policy fehlte – Ohne CSP gibt es kein Browser-seitiges Containment bei Cross-Site-Scripting.
DMARC stand auf p=none – E-Mail-Authentifizierung war zwar konfiguriert, aber ohne Enforcement: Spoofing von @ifcsd.de-Adressen wäre möglich geblieben.
SPF-Record endete auf ~all – Softfail statt Hardfail; für eine Sicherheitsorganisation kein akzeptabler Dauerzustand.

Das sind keine theoretischen Schwachstellen – es sind reale Konfigurationslücken, die wir innerhalb weniger Stunden vollständig behoben haben.

Iteration 2: Kein einziger offener Befund

Die zweite Prüfung nach den Fixes bestätigte: Alle acht Befunde wurden behoben, keine neuen Lücken entstanden. Der endgültige Score liegt bei 100 von 100 Punkten.

Aktive Absicherungen auf ifcsd.de heute:

HSTS mit 180 Tagen, includeSubDomains und preload
TLS-Minimum: 1.2 – TLS 1.0 und 1.1 werden serverseitig abgelehnt
Vollständige Content-Security-Policy mit frame-ancestors 'none' und object-src 'none'
X-Frame-Options: DENY (Clickjacking-Schutz)
DKIM unter Selector cf2024-1, SPF mit Hardfail (-all), DMARC p=quarantine
Permissions-Policy: Kamera, Mikrofon, Geolocation und Payment deaktiviert

Das ausgestellte Zertifikat ist öffentlich verifizierbar:

Zertifikat IFCSD-WEB-2026-0621-IFC verifizieren →

Warum wir das öffentlich machen

Weil Transparenz kein Marketing ist – sie ist eine Haltung. Wer Sicherheitsberatung anbietet, muss dieselben Standards erfüllen, die er seinen Kunden empfiehlt. Das öffentlich einsehbare Zertifikat mit Verify-URL ist unser Beleg dafür.

Gleichzeitig zeigt dieser Prozess etwas Wichtiges: Selbst eine professionell betriebene Website hat nach dem ersten Audit offene Punkte. Das ist keine Ausnahme – das ist die Regel. Entscheidend ist nicht die Ausgangslage, sondern der strukturierte Umgang damit.

Ihre Website prüfen lassen?

Unser Audit-Verfahren steht ausschließlich auf Anfrage zur Verfügung – für kleine und mittelständische Unternehmen, Agenturen und Organisationen, die Verlässlichkeit beweisen wollen, nicht nur versprechen.

Was Sie erhalten: Ein vollständiges Audit-Protokoll, ein provisorisches oder abschließendes Zertifikat, eine priorisierte Mängelliste und – wenn gewünscht – Unterstützung bei der Behebung.

Preis auf Anfrage. Erste Einschätzung kostenlos.

Jetzt Website-Sicherheitscheck anfragen →

Wir haben uns selbst geprüft – und bestanden: Grade A, 100 von 100 Punkten