Sicherer Code.By Design, nicht per Zufall.
Wir finden Schwachstellen, bevor Angreifer es tun – mit Threat Modeling, Secure Code Review, statischer Analyse und Penetration Testing. Geprüft nach OWASP ASVS, ISO/IEC 27034 und dem OpenSSF Secure Coding Standard.
Die meisten Breaches beginnen in einer einzigen Zeile Code
Unsichere Eingabeverarbeitung, schwache Kryptografie, verwundbare Abhängigkeiten – die Ursachen sind bekannt und vermeidbar. Wir machen sie sichtbar und schließen sie systematisch, bevor sie in Produktion gehen.
Drei SDLC-Phasen. Drei Sicherheitsdisziplinen.
Sichere Software entsteht nicht in einem Audit am Schluss. Sie entsteht in den richtigen Aktivitäten zur richtigen Zeit – und ist messbar an konkreten Artefakten.
Im Design
Bevor die erste Zeile Code entsteht: Wir modellieren Angriffsflächen, Vertrauensgrenzen und Datenflüsse – damit Sicherheit Teil der Architektur wird, nicht ein Patch danach.
- Threat Modeling nach STRIDE
- Architektur- & Trust-Boundary-Review
- Security Requirements (ASVS-Mapping)
- Misuse-Cases & Abuse-Stories
Im Code
Während die Software wächst: Secure-Coding-Standards, automatisierte Analyse und gezielte Code-Reviews fangen Schwachstellen ab, bevor sie Produktion sehen.
- OWASP Secure Coding Standards
- SAST (Bandit, Semgrep, CodeQL)
- SCA & SBOM für Abhängigkeiten
- Manuelle Reviews bei Risiko-Komponenten
Im Betrieb
Wenn die App live ist: Wir prüfen aus Angreiferperspektive, was wirklich Stand hält – und übersetzen jedes Finding in einen konkreten Code-Fix.
- Penetration Testing (Web · API · Mobile)
- DAST & API-Fuzzing in CI/CD
- Runtime-Härtung & WAF-Tuning
- Re-Test mit belastbarem Nachweis
Application Security über den gesamten Lebenszyklus
Von der Architektur bis zum Release – sechs Bausteine, die ineinandergreifen und sichere Software zur Routine machen.
Secure Code Review
Statische Quellcodeanalyse kombiniert mit manueller Experten-Prüfung. Wir bewerten gegen OWASP ASVS und ISO/IEC 27034 – mit priorisierten, sofort umsetzbaren Findings.
Penetration Testing
Methodische Angriffssimulation für Web-Apps, APIs, Mobile und Backends. Vom Recon bis zum nachgewiesenen Exploit – inklusive Business-Impact und Remediation-Plan.
Threat Modeling
Architektur-Risiken früh erkennen mit STRIDE. Wir modellieren Trust Boundaries, Datenflüsse und Angriffsvektoren, bevor die erste Zeile produktiv geht.
SAST & DevSecOps
Security in die CI/CD-Pipeline: Bandit, Semgrep, CodeQL & Co. integriert, mit maßgeschneiderten Regeln und Quality Gates – statt False-Positive-Flut.
Supply-Chain Security
Dependency- und SBOM-Analyse (SCA), Lizenz- und CVE-Monitoring. Wir sichern, was ihr nicht selbst geschrieben habt – den fremden Code in jeder modernen App.
Secure SDLC & Training
Wir verankern sichere Entwicklung im Team: Guidelines, Review-Checklisten, Live-Coding-Workshops und der Aufbau von Security Champions.
Wir härten die gesamte Angriffsoberfläche.
Eine moderne App ist nicht nur euer eigener Code – sie ist eigener Code, fremder Code und die Plattform darunter. Wir sichern alle drei Schichten konsistent ab.
Eigener Code
Logikfehler, unsichere Input-Verarbeitung, schwache Krypto, fehlerhafte Auth/AuthZ – die Klassiker, die in jedem Audit auftauchen und in jedem Review schließbar sind.
- Input-Validierung & Output-Encoding
- AuthN / AuthZ / Session-Management
- Krypto & Secrets-Handling
- Business-Logik-Schwachstellen
Abhängigkeiten
80 % einer modernen App stammt von Dritten. Wir sichern, was ihr nicht selbst geschrieben habt – mit lückenloser SBOM, kontinuierlichem CVE-Scanning und Lizenz-Hygiene.
- SCA & SBOM (SPDX / CycloneDX)
- CVE-Monitoring inkl. EPSS-Priorisierung
- Lizenz- & Provenance-Tracking
- Auto-Update-Strategien (Renovate, Dependabot)
Plattform
Container, Build-Pipeline, Cloud-Konfiguration – die unsichtbare Schicht, in der heute die meisten Breaches passieren. Wir härten sie nach Branchenstandard.
- Container- & IaC-Scanning
- Cloud Posture (CSPM) & K8s-Hardening
- CI/CD-Security & SLSA-Provenance
- Secrets-Management & Key-Rotation
Die Schwachstellen, die wir täglich finden
Bekannte Klassen, reale Auswirkungen – und in jedem Review identifizierbar und schließbar.
Eine SQL-Injection in Zeitlupe
Ein harmloses Schulformular: Eltern tragen den Namen ihres Kindes ein. Wird die Eingabe ungeprüft in eine SQL-Abfrage eingebaut, kann ein einziger Name die komplette Datenbank löschen.
Genau solche Muster spüren wir in jedem Secure Code Review auf – und ersetzen sie durch sichere, parametrisierte Abfragen.
Wir sprechen die Sprache der Auditoren
Unsere Prüfungen sind an anerkannte Standards gekoppelt – damit Ergebnisse belastbar und in eure Compliance einbettbar sind.
OWASP ASVS / MASVSVerifikationslevel L1–L3
Strukturierte Sicherheitsanforderungen für Web- und Mobile-Apps – wir prüfen risikobasiert gegen das passende Level.
ISO/IEC 27034Application Security Management
Der Rahmen für sichere Anwendungsentwicklung über den gesamten Lebenszyklus – integriert in euer ISMS.
OpenSSF Secure CodingPraxisnahe Coding-Regeln
Konkrete, lauffähige Beispiele für sichere Programmierung – mit direktem Bezug zu realen CVEs.
CWE / SANS Top 25Die gefährlichsten Schwachstellen
Wir mappen jedes Finding auf CWE-Klassen – nachvollziehbar, vergleichbar und reportingfähig.
BSI IT-GrundschutzAnerkanntes deutsches Niveau
Sichere Entwicklung im Einklang mit den BSI-Bausteinen – ideal für regulierte und öffentliche Auftraggeber.
IEC 62443 & SAE 21434Für OT & Embedded
Produkt- und Komponentensicherheit für Industrie- und Fahrzeug-Software – tief in unserer DNA verankert.
OWASP ISVS Gap-Analyse
Ihr Produkt ist vernetzt? Ergänzend zu ASVS (Web) und MASVS (Mobile) prüft der OWASP IoT Security Verification Standard vernetzte Geräte. Bewerten Sie ISVS Level 1 bis 3 interaktiv — mit Reifegrad-Radar, Gap-Heatmap und Management-ready Report.
- 149 Prüfaspekte
- 5 ISVS-Kapitel
- Level 1–3
- Management-Report
Jeder Befund. Aus drei Blickwinkeln.
Eine Schwachstelle nur zu finden reicht nicht. Wir bewerten jedes Finding aus drei Perspektiven – damit ihr genau wisst, wie schlimm es ist, wie ihr es schließt und wie ihr es belegt.
Aus Angreifer-Sicht
Wie wäre dieser Bug ausgenutzt worden? Wir beschreiben den Angriffsweg konkret – inkl. Voraussetzungen, Aufwand und maximalem Business-Impact.
- Realistischer Exploit-Pfad
- CVSS-Score & EPSS-Wahrscheinlichkeit
- Lateral-Movement-Potenzial
- Worst-Case-Szenario im Klartext
Aus Entwickler-Sicht
Wo genau ist der Fix? Wir liefern keine Theorie, sondern konkreten Code – mit der sicheren Alternative, einem Test, der den Bug abdeckt, und Aufwandsschätzung.
- Patch-Snippet im richtigen Framework
- Regression-Test als Beweis
- Refactoring-Pfad bei systemischen Mustern
- Aufwand in Personentagen
Aus Auditor-Sicht
Wer wird das prüfen? Wir mappen jedes Finding auf die Standards, die euer Auditor liest – nachvollziehbar, vergleichbar und in eure Compliance einbettbar.
- CWE-Klasse & OWASP-ASVS-Control
- ISO/IEC 27034 · BSI IT-Grundschutz
- CRA · NIS2 · DORA · AI-Act-Mapping
- Re-Test-Nachweis für die Akte
Trusted. Holistic. Engineered.
Boutique-Beratung mit Engineering-Tiefe – kein Junior-Pool, sondern erfahrene Security-Engineers an eurer Seite.
AI-Driven
Bewährte Methodik kombiniert mit KI-gestützter Analyse – für mehr Tiefe und Geschwindigkeit bei jedem Assessment.
Engineering-DNA
Produktsicherheit seit 2001 (softScheck): Threat Modeling, Pentesting und Source-Code-Analyse im Kern unserer Arbeit.
Ganzheitlich
Von der Code-Zeile bis zur EU-Compliance – NIS2, DORA, CRA und EU AI Act aus einer Hand, ohne Schnittstellenbruch.
Founder-led
Direkter Draht zu erfahrenen Experten – persönlich, verbindlich und auf Augenhöhe mit euren Entwicklerteams.
Valeri Milke
Valeri begann seine Laufbahn in der Produktsicherheit – Threat Modeling, Penetration Testing und statische Quellcodeanalyse – und verbindet heute regulatorische Tiefe mit echtem Security-Engineering. Sein Anspruch: Sicherheit, die Entwickler verstehen und sofort umsetzen können – ohne FUD, mit Code und Kontext.
Wie sicher ist eure Software wirklich?
In einem kostenlosen Erstgespräch ordnen wir eure Situation ein und zeigen, wo der schnellste Hebel für mehr Code-Sicherheit liegt – bequem via Microsoft Teams.