Startseite
WEB-SCHWACHSTELLENSCAN – PROFESSIONELLE SICHERHEITSANALYSE FÜR WEBSITES

Ihre Website auf Sicherheitslücken prüfen – gründlich und nachvollziehbar

Wir analysieren Ihre Website auf bekannte Sicherheitslücken – von fehlenden Security-Headern bis hin zu kritischen Schwachstellen in Web-Anwendungen. Sie erhalten einen verständlichen Report mit konkreten Handlungsempfehlungen.

Was wird gescannt?

  • Security-Header (CSP, HSTS, X-Frame-Options, ...)
  • Veraltete Software und bekannte CVEs
  • SQL-Injection und Cross-Site-Scripting (XSS)
  • Unsichere Authentifizierung und Session-Management
  • Offene Weiterleitungen (Open Redirects)
  • Fehlkonfigurationen im Webserver
  • Exponierte sensible Dateien und Verzeichnisse
  • CSRF-Schwachstellen
  • Ungesicherte API-Endpunkte
  • SSL/TLS-Konfiguration
  • Clickjacking-Anfälligkeit
  • Informationslecks im Quellcode
Der Scan erfolgt passiv und nicht-destruktiv – Ihre Website bleibt während des Scans vollständig verfügbar und es werden keine Daten verändert.

Ihr Scan-Report

Nach Abschluss des Scans erhalten Sie einen detaillierten HTML-Report mit:

  • Gesamtnote A–F für Ihre Website
  • Security-Header-Scorecard (x von 10 Headers korrekt gesetzt)
  • Findings nach Schweregrad (Kritisch / Hoch / Mittel / Niedrig / Info)
  • Priorisierte Handlungsliste – was zuerst beheben?
  • Detaillierte Findings mit betroffenen URLs, Beweisen und CWE-Links
  • Verständliche Erklärungen – auch für Nicht-Techniker

Mögliche Gesamtnoten:

A Sehr gut B Gut C Befriedigend D Ausreichend F Ungenügend

So läuft es ab

  • 1
    Buchung & Bestätigung Sie geben Ihre E-Mail-Adresse ein und bestätigen per Double-Opt-In-Link. Anschließend füllen Sie das Buchungsformular aus – Domain, Wunsch-Starttermin, Scope und rechtliche Autorisierungsbestätigung.
  • 2
    Terminbestätigung durch Serancon Wir kontaktieren Sie per E-Mail, bestätigen den Starttermin und klären eventuelle Rückfragen. Die durchschnittliche Scan-Dauer beträgt 1–2 Werktage.
  • 3
    Scan-Durchführung Wir führen den Web-Schwachstellenscan durch. Ihre Website bleibt während des gesamten Scans erreichbar – der Scan ist passiv und nicht-destruktiv.
  • 4
    Report-Zustellung Sie erhalten den detaillierten HTML-Report per E-Mail. Bei Fragen zu den Findings stehen wir Ihnen gerne zur Verfügung.

Was ist nicht im Scan enthalten?

Der Web-Schwachstellenscan konzentriert sich ausschließlich auf öffentlich erreichbare Webanwendungen. Folgendes ist explizit nicht Bestandteil:

  • Interne Netzwerke und Server hinter der Firewall
  • Mobile Apps (iOS / Android)
  • Desktop-Software oder On-Premise-Systeme
  • Manuelles Testen von Business-Logik (z.B. Zahlungsabläufe)
  • Social Engineering oder Phishing-Simulationen
  • Vollständiger Infrastruktur-Scan (IP-Ranges, VPN-Gateways etc.)

Web-Schwachstellenscan vs. Penetrationstest – was ist der Unterschied?

Beide Leistungen ergänzen sich – aber sie sind nicht dasselbe:

Web-Schwachstellenscan Penetrationstest
Ansatz Toolgestützt + fachlich bewertet Manuell + individuell
Tiefe Bekannte Schwachstellen & Fehlkonfigurationen Komplexe Angriffsketten, Business-Logik
Dauer 1–2 Werktage Mehrere Tage bis Wochen
Preis Ab 549 € (Festpreis) Auf Anfrage (projektabhängig)
Geeignet für Regelmäßige Überprüfung, Erstaufnahme Kritische Systeme, Compliance-Anforderungen
Empfehlung: Ein Web-Schwachstellenscan ist der ideale Einstieg – schnell, kosteneffizient und liefert sofort verwertbare Ergebnisse. Für kritische Systeme oder Compliance-Vorgaben (z.B. ISO 27001, DSGVO) empfehlen wir zusätzlich einen manuellen Penetrationstest.

So sehen Findings im Report aus

Jedes Finding enthält eine Beschreibung, die betroffene URL, den Beweis und eine konkrete Handlungsempfehlung. Hier zwei Beispiele:

HOCH
Fehlender Content-Security-Policy-Header (CSP)
Die Website setzt keinen Content-Security-Policy-Header. Dadurch können eingeschleuste Scripts (XSS) im Browser des Nutzers ausgeführt werden.
Betroffene URL: https://beispiel.de/
Empfehlung: CSP-Header mit restriktiver Direktive setzen, z.B. default-src 'self'.
MITTEL
Verzeichnis-Listing aktiviert
Unter /uploads/ ist das automatische Verzeichnis-Listing des Webservers aktiv. Angreifer können damit hochgeladene Dateien auflisten und abrufen.
Betroffene URL: https://beispiel.de/uploads/
Empfehlung: Options -Indexes in der Apache-Konfiguration setzen.

Regelmäßiger Wiederholungs-Scan

Sicherheit ist kein einmaliger Zustand – neue Schwachstellen entstehen laufend durch Software-Updates, Konfigurationsänderungen oder neu entdeckte CVEs. Mit einem regelmäßigen Wiederholungs-Scan behalten Sie dauerhaft den Überblick.

Halbjährlich

Empfohlen für die meisten Websites – prüft nach Änderungen und neuen Bedrohungen.

Nach Änderungen

Relaunch, neues CMS, neue Funktionen? Ein Scan nach großen Änderungen gibt Sicherheit.

Compliance-Nachweis

Regelmäßige Scan-Reports als Nachweis für Audits, Versicherungen oder ISO-27001-Zertifizierung.

Was kostet der Web-Schwachstellenscan?

549,00 € zzgl. MwSt. – einmalig, pro Domain. Kein Abo, keine versteckten Kosten.
Wichtig: Der Web-Schwachstellenscan ersetzt kein manuelles Penetration Testing oder einen vollständigen Infrastruktur-Schwachstellenscan. Für umfassendere Sicherheitsanalysen Ihrer IT-Infrastruktur bieten wir separate Leistungen an.
Jetzt beauftragen