Ein Sicherheitsaudit ist nicht nur ein Penetrationstest. Hier ist die vollständige Checkliste.
Authentifizierung¶
- ☐ Starke Passwortanforderungen
- ☐ MFA implementiert
- ☐ Session Management (Timeout, Invalidierung)
- ☐ Rate Limiting beim Login
- ☐ Sicherer Passwort-Reset
Autorisierung¶
- ☐ Prinzip der geringsten Berechtigung
- ☐ Role-Based Access Control
- ☐ API-Endpoint-Autorisierung
- ☐ IDOR-Prävention
Daten¶
- ☐ Verschlüsselung at rest
- ☐ Verschlüsselung in transit (TLS 1.2+)
- ☐ PII-Klassifizierung
- ☐ Backup-Verschlüsselung
- ☐ Log-Sanitisierung (keine Tokens in Logs)
Infrastruktur¶
- ☐ Firewall-Regeln überprüft
- ☐ SSH-Schlüssel (keine Passwörter)
- ☐ Secrets im Secrets Manager
- ☐ Container Scanning
- ☐ Dependency Scanning (Snyk, Dependabot)
Compliance¶
- ☐ DSGVO-Einwilligung und Datenlöschung
- ☐ Cookie Consent
- ☐ Datenschutzerklärung aktuell
- ☐ Datenaufbewahrungsrichtlinie
Häufigkeit¶
Vollständiges Audit mindestens 1x jährlich. Automatisierte Scans (Dependency, Container) in CI/CD.
securityauditdevsecops