4,939 Bewertungen

Ein Datenleck. Und 20 JahreMandatsvertrauen sind weg.

Mandanten verzeihen vieles. Ein Datenleck nicht. Wir finden die Lücken, bevor es jemand anderes tut.

DIE LAGE

KI verändert gerade alles. Auch für die, die Ihnen schaden wollen.

Vor zwei Jahren brauchte ein Angreifer Expertenwissen. Heute gibt er Code in ein KI-Tool ein und bekommt eine Schwachstellen-Liste. Die Eintrittshürde ist gefallen, die Angriffe sind geblieben.

Die meisten Kanzleien merken es erst, wenn Mandantendaten abgeflossen sind. Wenn die DSGVO-Meldepflicht greift. Wenn die ersten Mandanten anrufen, weil sie verdächtige E-Mails bekommen.

Der Anruf, den keine Kanzlei je führen will.

Wir gehen davon aus, dass auf Ihre Systeme bereits geschaut wird. Die Frage ist nur, ob Sie wissen, was die Angreifer sehen.

DAS FELD WURDE NEU GEMISCHT

Firewall, Antivirus, VPN. Alte Antworten auf neue Fragen.

Klassische Schutzschichten setzen voraus, dass Angreifer langsamer sind als Ihre Wartung. Diese Annahme stimmt nicht mehr. KI-Tools finden in Stunden, wofür ein Mensch früher Wochen gebraucht hat. Was bei Ihnen seit Jahren unbemerkt im Code schlummert, ist heute ein Suchergebnis.

Firewall sieht den Angreifer nicht

Wer per legitimer Anmeldung oder über das Mandantenportal eindringt, kommt an der Firewall vorbei. Sie schützt vor 2015, nicht vor 2025.

Antivirus erkennt nur Bekanntes

KI-generierte Angriffsmuster sind frisch und einzigartig. Signaturen, Heuristiken und Endpoint-Scans laufen einer Welle hinterher, die schneller ist als ihre Updates.

Lücken aus zehn Jahren plötzlich sichtbar

In den letzten Monaten wurden bei Großkonzernen mit LLM-Tools Schwachstellen gefunden, die zehn Jahre und länger unentdeckt blieben. In Code, der hundertfach reviewed wurde.

Sicherheit von gestern darf nicht mehr Standard von heute sein. Wer heute auf klassische Schutzschichten allein vertraut, geht ein Risiko ein, das vor zwei Jahren noch nicht existiert hat.

Kostenloses Erstgespräch buchen 30 Minuten. Wir prüfen, was bei Ihnen heute sichtbar wäre.
WER WIR SIND

Fullstack-Entwickler. Über 15 Jahre Erfahrung im Team.

Wir sind keine reinen Auditoren mit Checkliste. Wir bauen seit über 15 Jahren produktive Software, deshalb wissen wir, wo Anwendungen typischerweise brechen, welche Annahmen Entwickler still treffen und wo KI-Tools heute genau hinschauen.

Wir lesen Ihren Code, nicht nur Logs. Wir verstehen Ihr Backend, nicht nur den Login-Screen. Und wenn wir etwas finden, können wir es auch beheben, Hand in Hand mit Ihrer IT.

  • Frontend & Backend
    TypeScript, React, Node, .NET, PHP. Wir lesen Code, der vor zehn Jahren geschrieben wurde, genauso wie aktuellen.
  • Datenbanken & APIs
    SQL, NoSQL, REST, GraphQL. Wir prüfen, wo Daten fließen und wo sie eigentlich nicht fließen sollten.
  • Cloud & Hosting
    Microsoft 365, AWS, Azure, eigene Server, hybride Setups. Wir schauen die ganze Kette an.
  • Infrastruktur
    Netzwerk, Mailserver, Backup, DATEV-Anbindung. Was läuft, kann auch falsch konfiguriert sein.
  • Auth & Identity
    Mandantenportale, SSO, Berechtigungen. Hier liegen die spannendsten Schwachstellen.
  • DevOps & Deployment
    Wo Code in Produktion geht, entstehen Lücken. Wir schauen Pipelines, Secrets und Konfiguration.
WARUM JETZT

Drei Dinge haben sich im letzten Jahr grundlegend verschoben.

KI-Tools sind frei verfügbar

Was vor zwei Jahren noch Expertenwerkzeug war, läuft heute im Browser. Wer angreifen will, fängt damit an.

NIS2 gilt

Viele Kanzleien fallen darunter, ohne es zu wissen. Die Meldepflichten und Anforderungen sind real und greifen jetzt.

Ihre Angriffsfläche ist gewachsen

Mandantenportale, DATEV-Anbindung, Cloud, mobile Endgeräte. Die Sicherheitsprüfung ist meist nicht mitgewachsen.

UNSER VORGEHEN

Wir denken wie ein Angreifer. Mit denselben Tools. Nur zuerst.

Vier Phasen vom ersten Gespräch bis zur Behebung. Keine Black Box, keine generischen Scan-Reports, keine Pauschalempfehlungen.

PHASE 01 · SCOPING

Wir verstehen Ihr System, bevor wir es prüfen.

Ein Sicherheitsscan ohne Kontext findet nichts Relevantes. Wir starten mit einem strukturierten Gespräch und einer technischen Bestandsaufnahme.

  • Welche Anwendungen verarbeiten Mandantendaten
  • Welche Schnittstellen bestehen zu DATEV, Microsoft 365, Cloud-Diensten
  • Welche Mandantenportale, Web-Apps oder eigene Software laufen
  • Wer hat Zugriff, von wo, mit welcher Authentifizierung
PHASE 02 · LLM-ANALYSE

KI-gestützte Tiefenprüfung von Code, Konfiguration und Infrastruktur.

Wir setzen aktuelle LLM-Tools auf Quellcode, Konfigurationsdateien, Netzwerkstruktur und Cloud-Setup an, ergänzt durch manuelle Reviews unserer Fullstack-Entwickler.

  • Statische Codeanalyse mit LLM-Pipelines (eigener Code & Drittsoftware)
  • Dependency-Scan auf bekannte CVEs und veraltete Bibliotheken
  • Auth- und Session-Logik im Mandantenportal angreifen
  • Cloud-Konfiguration, Buckets, IAM-Rollen, Secrets in Repos
  • DSGVO- und NIS2-relevante Datenflüsse nachverfolgen
PHASE 03 · BEFUND

Klarer Bericht mit Eintrittswahrscheinlichkeit und realem Schaden.

Sie bekommen kein 200-seitiges Pseudo-Audit. Sie bekommen eine priorisierte Liste, die Sie an Ihre IT, Ihren Geschäftsführer und Ihren Datenschutzbeauftragten geben können.

  • Jede Schwachstelle mit Reproduktionsweg und Risikoeinschätzung
  • Trennung in „heute beheben“, „in 30 Tagen“, „strategisch“
  • Konkrete Code- oder Konfigurations-Empfehlungen, kein Buzzword-Bingo
  • Optional: Live-Demo der gefundenen Schwachpunkte für Ihre Führungsebene
PHASE 04 · BEHEBUNG

Wir reden nicht nur, wir bauen. Hand in Hand mit Ihrer IT.

Weil wir Fullstack-Entwickler sind, hört unsere Arbeit nicht beim Bericht auf. Wir können Lücken auch direkt schließen, sauber dokumentiert und wartbar.

  • Patch-Empfehlungen oder direkte Code-Fixes durch unser Team
  • Härtung von Auth, API, Cloud-Setup
  • Dokumentation und Übergabe für Ihre interne IT
  • Re-Test nach drei Monaten, weil Sicherheit kein Einmalprojekt ist
Auf Wunsch als laufende Betreuung mit Quartals-Re-Tests, weil das Bedrohungsfeld sich monatlich verschiebt.
Kostenloses Erstgespräch buchen
FÜR WEN

Für Kanzleien, die ehrlich gesagt nicht genau wissen, wie sicher ihr Setup ist.

Diese Seite richtet sich an Kanzleien jeder Ausrichtung, Steuerberater, Rechtsanwälte, Notare, Wirtschaftsprüfer und Fachkanzleien, bei denen ein Datenleck nicht nur teuer, sondern existenziell wäre. Überall dort, wo Mandanten Ihnen seit Jahren Vertrauen schenken, ist Sicherheit nicht mehr Nebensache, sondern Geschäftsgrundlage.

  • Sie betreiben ein Mandantenportal oder eine eigene Webanwendung.
  • Sie haben DATEV, Microsoft 365 oder Cloud-Dienste produktiv im Einsatz.
  • Sie wissen, dass NIS2 oder DSGVO Sie betreffen, aber nicht genau wie.
Klingt nach Ihrer Kanzlei?
Dann lohnt sich ein 30-Minuten-Gespräch. Direkt in unseren Kalender, ohne Umweg über E-Mail.
Termin auswählen
30 MINUTEN, EHRLICH

Finden Sie es heraus, bevor es jemand anderes tut.

30 Minuten. Kein Pitch. Nur ein ehrliches Bild davon, wo Sie stehen.

1
2
3
4

Welche Art von Kanzlei führen Sie?

Hilft uns, die typischen Risiken Ihres Umfelds einzuordnen.