01 — CI/CD-Sicherheitsaudit

CI/CD-Sicherheitsaudit für KMU — mit konkretem Preisrahmen.

Drei klar paketierte Audit-Stufen für eure CI/CD-Pipeline und Software-Lieferkette: definierter Umfang, transparenter Preisrahmen. Ihr wisst vorher, was ihr bekommt und was es kostet — statt nach drei Beratungsstunden ein Angebot über fünfstellig zu sehen.

Audit-Paket anfragen
Die Realität

Eure Pipeline ist heute der größte Angriffsvektor.

Die Lösung

  • Drei klar paketierte CI/CD-Audit-Stufen mit Festpreis-Rahmen
  • Findings priorisiert nach tatsächlichem Risiko in eurem Stack
  • Konkreter Remediation-Plan mit Aufwand pro Punkt
  • SBOM-Erstellung und Supply-Chain-Audit als Standard im Standard- und Deep-Tier
  • Optional: anschließendes Quartals-Re-Audit zur Fortschrittskontrolle
  • Bestandteil oder Ergänzung von DevSecOps as a Service

Das Problem

  • CI/CD-Setup ohne dedizierten Security-Review — jeder Push könnte bösartigen Code in Produktion bringen
  • Subprozessor-Liste der Build-Pipeline ist unbekannt oder unvollständig
  • Secrets in CI-Variablen statt in einem Vault
  • Keine SBOM, keine Supply-Chain-Prüfung, keine Ahnung was im Image steckt
  • Bei Vorfällen wie dem Bitwarden-CLI-Risk: keine Reaktionsfähigkeit
02 — Audit-Pakete

Drei CI/CD-Audit-Pakete, ein klarer Rahmen

Ihr wählt die Tiefe, wir liefern den Umfang. Jedes Paket hat fixierte Inhalte und einen Preisrahmen, den wir vor Auftragsannahme schriftlich bestätigen.

Deep-Audit

Komplexe Pipeline-Landschaften, regulatorische Anforderungen (BaFin, KRITIS, ISO 27001 mit CI-Scope, EU CRA). 6–8 Wochen. Inklusive Penetrationstests auf mehrere Pipelines, SLSA-Konformitätsprüfung, vollständiges Threat-Modeling der Software-Lieferkette, Notfall-/Restore-Übung mit eurem Team, Audit-tauglicher Bericht.

Tief

Standard-Audit

Mehrere Pipelines oder eine zentrale Pipeline mit komplexer Architektur. 3–4 Wochen. Inklusive vollständiger SBOM-Erstellung, Subprozessor-Pen-Test, Berechtigungs- und Rollen-Review, Secret-Vault-Prüfung, Supply-Chain-Bedrohungsmodell, Mini-Penetrationstest auf Build-Runner.

Empfohlen

Schnellcheck

Eine CI/CD-Pipeline (z.B. ein GitLab- oder GitHub-Actions-Setup). 5–7 Werktage. Konfigurations-Review, Secret-Scanning, Subprozessor-Liste mit Risikoklassifikation, automatisierte Schwachstellen-Scans der zentralen Build-Bilder. Ergebnis: priorisierte Findings-Liste, max. 12 Seiten, klar nach Aufwand sortiert.

Klein

Findings, die ihr nächste Woche umsetzen könnt.

Jedes Finding bekommt: Risikoklasse, Wahrscheinlichkeit, geschätzten Behebungsaufwand und einen konkreten nächsten Schritt. Wenn ihr wollt, setzen wir die Behebung im Anschluss über unser DevSecOps as a Service direkt um — ihr müsst aber nicht.

03 — Proof

Wie wir Sicherheit denken

Vier Beiträge aus dem Blog, die unseren Sicherheits-Ansatz dokumentieren — von Lieferkettenrisiken über CI/CD bis zur Architektur.

Das 3-Schichten-Modell

Wie wir Plattformen so bauen, dass Sicherheit ein architektonisches Eigentum ist und kein nachgereichter Defender.

Artikel lesen

DevSecOps-Probleme sind Entscheidungsprobleme

Warum die meisten Sicherheits-Findings sich nicht mit einem neuen Tool lösen lassen, sondern mit klaren Entscheidungen.

Artikel lesen

Ihre CI-Pipeline ist das größte Einfallstor

Warum die CI-Pipeline heute der wichtigste Security-Perimeter ist — und worauf wir bei jedem Audit primär schauen.

Artikel lesen

Bitwarden-CLI-Vorfall vom 22. April 2026

Wenn der eigene Passwortmanager zum Lieferkettenrisiko wird — ein konkreter Vorfall, der zeigt, warum Subprozessor-Prüfung Pflicht ist.

Artikel lesen

Klarer Umfang. Klarer Preisrahmen. Findings, die man umsetzen kann.

Nächster Schritt

Welches Audit-Paket passt zu eurer Lage?

In 30 Minuten klären wir, welches Paket eure CI/CD-Risiken sinnvoll abdeckt — und welches Übermaß wäre. Ihr bekommt anschließend ein konkretes Angebot mit Preisrahmen, nicht ein „kommt darauf an“. Kostenfrei, unverbindlich.

Audit-Paket anfragen

Oder direkt schreiben: kontakt@moselwal.de