Warum jeder Relaunch ein Security-Audit braucht — Lehren aus 50 Webprojekten

1 Min. Lesezeit

Über 50 Webprojekte – bei jedem hat das Post-Launch-Audit Schwachstellen gefunden. Offene Admin-Zugänge, vergessene Staging-Server, Standard-Passwörter. Ein Relaunch ohne Security-Check ist russisches Roulette.

Das Wichtigste in Kürze

• 87 Prozent der Relaunches gehen ohne Security-Review live
• Top-3: Staging-Zugänge, Default Credentials, fehlende HTTPS-Redirects
• Pre-Launch-Check: 2-4 Stunden, Bruchteil der Schadensbehebung
• Scanner finden 60 Prozent – die kritischen 40 brauchen manuelle Prüfung

Die Relaunch-Falle

Checkliste am Launch-Tag: Redirects, DNS, Analytics. Was fehlt: Staging abschalten, Dev-Zugänge widerrufen, Debug aus, Security-Headers.

Häufigste Schwachstellen

Staging: staging.example.com bleibt online – schwache Passwörter, ohne WAF.

Credentials: admin/admin, API-Keys im JS, DB-Passwörter in Config-Dateien.

Mixed Content: HTTP auf HTTPS ermöglicht MITM-Angriffe.

Fazit

Zwei Stunden Check sparen Monate Nacharbeit. Die Checkliste ist simpel – die Disziplin ist schwer.

Key Facts

Staging-Exposure: 18 Prozent der Websites über vergessene Subdomains erreichbar (Detectify).

Time to Exploit: 15 Minuten nach Bekanntwerden finden Scanner neue Schwachstellen.

Häufige Fragen

Reicht ein Scanner?

Für Basics. Business-Logik braucht manuelle Prüfung.

Wer prüft?

Idealerweise jemand außerhalb des Projekts.

Kosten?

2.000-8.000 Euro. Immer günstiger als die Alternative.

Verwandte Artikel

• secIT by Heise 2026: Die Security-Roadshow für Admins und IT-Verantwortliche
• Cybersec Europe 2026: Brüssels Security-Konferenz im Herzen der EU-Regulierung
• it-sa Expo & Congress 2026: Europas größte IT-Security-Messe in Nürnberg

Mehr aus dem MBF Media Netzwerk

• Cloud-Trends auf cloudmagazin.com
• IT-Strategien auf digital-chiefs.de

Quelle Titelbild: Pexels

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik