CI/CD-Sicherheitsaudit für KMU — mit konkretem Preisrahmen.
Drei klar paketierte Audit-Stufen für eure CI/CD-Pipeline und Software-Lieferkette: definierter Umfang, transparenter Preisrahmen. Ihr wisst vorher, was ihr bekommt und was es kostet — statt nach drei Beratungsstunden ein Angebot über fünfstellig zu sehen.
Eure Pipeline ist heute der größte Angriffsvektor.
Die Lösung
- Drei klar paketierte CI/CD-Audit-Stufen mit Festpreis-Rahmen
- Findings priorisiert nach tatsächlichem Risiko in eurem Stack
- Konkreter Remediation-Plan mit Aufwand pro Punkt
- SBOM-Erstellung und Supply-Chain-Audit als Standard im Standard- und Deep-Tier
- Optional: anschließendes Quartals-Re-Audit zur Fortschrittskontrolle
- Bestandteil oder Ergänzung von DevSecOps as a Service
Das Problem
- CI/CD-Setup ohne dedizierten Security-Review — jeder Push könnte bösartigen Code in Produktion bringen
- Subprozessor-Liste der Build-Pipeline ist unbekannt oder unvollständig
- Secrets in CI-Variablen statt in einem Vault
- Keine SBOM, keine Supply-Chain-Prüfung, keine Ahnung was im Image steckt
- Bei Vorfällen wie dem Bitwarden-CLI-Risk: keine Reaktionsfähigkeit
Drei CI/CD-Audit-Pakete, ein klarer Rahmen
Ihr wählt die Tiefe, wir liefern den Umfang. Jedes Paket hat fixierte Inhalte und einen Preisrahmen, den wir vor Auftragsannahme schriftlich bestätigen.
Deep-Audit
Komplexe Pipeline-Landschaften, regulatorische Anforderungen (BaFin, KRITIS, ISO 27001 mit CI-Scope, EU CRA). 6–8 Wochen. Inklusive Penetrationstests auf mehrere Pipelines, SLSA-Konformitätsprüfung, vollständiges Threat-Modeling der Software-Lieferkette, Notfall-/Restore-Übung mit eurem Team, Audit-tauglicher Bericht.
Standard-Audit
Mehrere Pipelines oder eine zentrale Pipeline mit komplexer Architektur. 3–4 Wochen. Inklusive vollständiger SBOM-Erstellung, Subprozessor-Pen-Test, Berechtigungs- und Rollen-Review, Secret-Vault-Prüfung, Supply-Chain-Bedrohungsmodell, Mini-Penetrationstest auf Build-Runner.
Schnellcheck
Eine CI/CD-Pipeline (z.B. ein GitLab- oder GitHub-Actions-Setup). 5–7 Werktage. Konfigurations-Review, Secret-Scanning, Subprozessor-Liste mit Risikoklassifikation, automatisierte Schwachstellen-Scans der zentralen Build-Bilder. Ergebnis: priorisierte Findings-Liste, max. 12 Seiten, klar nach Aufwand sortiert.
Wie wir Sicherheit denken
Vier Beiträge aus dem Blog, die unseren Sicherheits-Ansatz dokumentieren — von Lieferkettenrisiken über CI/CD bis zur Architektur.
Das 3-Schichten-Modell
Wie wir Plattformen so bauen, dass Sicherheit ein architektonisches Eigentum ist und kein nachgereichter Defender.
DevSecOps-Probleme sind Entscheidungsprobleme
Warum die meisten Sicherheits-Findings sich nicht mit einem neuen Tool lösen lassen, sondern mit klaren Entscheidungen.
Ihre CI-Pipeline ist das größte Einfallstor
Warum die CI-Pipeline heute der wichtigste Security-Perimeter ist — und worauf wir bei jedem Audit primär schauen.
Bitwarden-CLI-Vorfall vom 22. April 2026
Wenn der eigene Passwortmanager zum Lieferkettenrisiko wird — ein konkreter Vorfall, der zeigt, warum Subprozessor-Prüfung Pflicht ist.
Klarer Umfang. Klarer Preisrahmen. Findings, die man umsetzen kann.
Häufig zusammen eingesetzt.
Welches Audit-Paket passt zu eurer Lage?
In 30 Minuten klären wir, welches Paket eure CI/CD-Risiken sinnvoll abdeckt — und welches Übermaß wäre. Ihr bekommt anschließend ein konkretes Angebot mit Preisrahmen, nicht ein „kommt darauf an“. Kostenfrei, unverbindlich.
Oder direkt schreiben: kontakt@moselwal.de