Infrastruktur-Audit

Infrastruktur-Audit für AI-gebaute Software, Deployment, Backups, Monitoring und Secrets prüfen lassen

KI baut die App in Tagen, doch die Infrastruktur drumherum entsteht oft nebenbei. Wer die SaaS Infrastruktur prüfen will, braucht mehr als einen Blick auf den Code: Ich prüfe Deployment, Backups, Monitoring, Logging und Secrets der AI-gebauten Software und behalte die Infrastruktur danach laufend technisch im Blick, statt es bei einem Einmal-Audit zu belassen.

Pakete ansehen
  • Baseline ab 790 €
  • Feste Monatsabos
  • Repo + CVE + Infrastruktur
  • Deutscher Ansprechpartner
Timo Wevelsiep

Direkter Ansprechpartner

Timo Wevelsiep

Softwareentwickler, Cloud-Architekt, Gründer & Geschäftsführer

Ich prüfe Code, Security und Infrastruktur und mache sichtbar, was vor Launch, Kundeneinsatz oder Due Diligence technisch riskant ist.

Ich habe produktive Software-, Infrastruktur- und Cloud-Systeme für Kunden weltweit begleitet, darunter Europa, VAE, Asien, Australien und Amerika: von automatisierten Standortplattformen über Cloud-Migrationen bis zu Remote-Access-Systemen für Industrieanlagen.

Für Fragen wie:

  • Ist dieser Release produktionsreif?
  • Welche CVEs sind wirklich kritisch?
  • Sind Auth, Datenzugriff und Tenant-Isolation sauber?
01

Was zur Infrastruktur gehört

Infrastruktur ist mehr als der Code im Repo. Sie entscheidet, ob die App online bleibt, Daten überlebt und im Fehlerfall nachvollziehbar ist. Diese Bausteine schauen wir uns an:

01Hosting und Laufzeitumgebung
02Deployment und Release-Prozess
03CI/CD-Pipeline und Build
04Backups und Wiederherstellung
05Monitoring und Alerting
06Logging und Nachvollziehbarkeit
07Secrets- und Key-Management
08Datenbank-Zugriffe und Rollen
09Rate Limits an offenen Endpunkten
02

Typische Lücken bei AI-Apps

KI-Tools liefern schnell eine lauffähige App, treffen aber selten die Betriebsentscheidungen, die eine echte Produktion braucht. Diese Infrastruktur-Lücken finden wir am häufigsten:

  • Backup existiert, wurde aber nie getestet wiederhergestellt
  • kein Monitoring und keine Alerts im Fehlerfall
  • Secrets und API-Keys liegen im Repository oder im Frontend
  • manuelles Deployment ohne reproduzierbaren Ablauf
  • keine Trennung von Staging und Produktion
  • Logging fehlt oder landet ohne Aufbewahrung im Nichts
  • Datenbank-Zugriff mit zu weitreichenden Rechten
  • offene Endpunkte ganz ohne Rate Limiting
03

Was ich prüfe

Wir schauen auf die Infrastruktur-Punkte, die über Produktionsreife entscheiden, und ordnen jeden Befund nach Schweregrad ein. Geprüft werden:

  • Hosting und Deployment: reproduzierbarer Release, Staging- und Prod-Trennung
  • Backups und Restore: Existenz, Frequenz und getestete Wiederherstellung
  • Monitoring und Alerting: Verfügbarkeit, Fehlerraten, Benachrichtigungswege
  • Logging: was protokolliert wird, wo es liegt, wie lange es bleibt
  • Secrets-Management: Speicherung, Rotation, Trennung vom Code
  • Datenbank und Zugriffe: Rollen, Rechte, Rate Limits an Endpunkten
04

Einmal prüfen reicht nicht: laufender Infrastructure Watch

Ein Einmal-Audit beschreibt die Infrastruktur von gestern. AI-gebaute Software bewegt sich schnell: Ein neues Deployment-Target, ein zusätzlicher Dienst oder ein verschobenes Secret verändert das Risikobild innerhalb von Tagen. Ein Audit-Report, der vier Wochen alt ist, deckt diese Bewegung nicht mehr ab.

Deshalb setze ich nach dem ersten Audit auf laufende Aufsicht. Die Infrastruktur wird einmal geprüft (Baseline) und danach mit Oversight, Guard oder Launch laufend technisch im Blick behalten, statt das Ergebnis im Posteingang zu archivieren.

So bleibt das Infrastruktur-Bild aktuell: Backups und Restore-Fähigkeit werden im Auge behalten, neue Dienste und veränderte Zugriffe früh kommentiert, und vor größeren Releases gibt es ein menschliches Deployment Audit mit Einschätzung statt eines automatischen Scores.

05

Baseline vs. laufendes Abo

Der Einstieg erfolgt mit einem einmaligen Audit, danach wird entschieden, ob laufende Aufsicht sinnvoll ist. Die Preise sind fest und transparent.

Baseline 790 €Abo ab 990 €/Mon
UmfangTiefe initiale Baseline: Hosting, Deployment, Backups, Secrets, ZugriffeLaufende Reviews auf Basis der Baseline
ErgebnisRisikoampel, Backup- und Restore-Check, Secrets-Check, EmpfehlungWiederkehrende Reports mit Fix-Priorisierung
Backups und MonitoringVollständige Baseline als ReferenzpunktLaufende Beobachtung von Backups, Monitoring und Zugriffen
BegleitungEinmalig, mit Empfehlung fürs passende AboAsync Sparring und direkter Kanal je nach Paket
Passt fürSauberer Startpunkt vor jedem AboProdukte, die sich weiterentwickeln
Ablauf

So läuft der Infrastruktur-Audit ab

  1. 01

    01 Kostenloser Fit-Check

    In einem kurzen Erstgespräch klären wir, wie die AI-gebaute Software betrieben wird und wo der Schuh drückt. Daraus ergibt sich, ob eine Baseline oder direkt laufende Aufsicht passt. Der Fit-Check ist kostenlos und unverbindlich.

  2. 02

    02 Scope und Zugänge

    Wir legen fest, welche Umgebungen, Repositories und Konfigurationen in den Review gehören. Ich bekomme Read-only-Zugriff auf das Repository sowie Einblick in Deployment, Backups, Monitoring und Secrets. Schreibrechte sind nicht nötig.

  3. 03

    03 Technische Analyse

    Im Kern prüfe ich Deployment und Release-Prozess, Backups samt getestetem Restore, das Secrets- und Key-Management, Monitoring und Alerting sowie Hosting und die Trennung von Staging und Produktion. Jeder Befund wird nach Schweregrad eingeordnet.

  4. 04

    04 Report und Handlungsempfehlungen

    Das Ergebnis ist ein verständlicher Report mit Risikoampel, den Top-Risiken auf einen Blick und priorisierten Findings. Zu jedem Punkt gibt es eine konkrete Empfehlung statt nur eines Scores.

  5. 05

    05 Nächster Schritt

    Aus der Baseline entsteht die Entscheidung, ob laufende Aufsicht sinnvoll ist. Wird das Produkt weiter mit AI entwickelt, begleite ich die Infrastruktur mit Oversight, Guard oder Launch laufend technisch.

Viele Projekte starten mit einem Baseline-Review. Wird das Produkt danach weiter mit AI entwickelt, kann ich es laufend begleiten.

Was ich für den Review brauche

  • Read-only-Zugriff auf das Repository
  • kurze Beschreibung von Stack, Tool und Ziel
  • Infos zu Hosting und Deployment
  • Datenbank- und Auth-Kontext
  • Hinweise auf sensible Daten oder Nutzerrollen
  • offene Fragen oder konkrete Sorgen

Was der Review liefert

  • verständliche Risikoampel
  • Top-Risiken auf einen Blick
  • priorisierte Findings
  • konkrete Handlungsempfehlungen
  • Einordnung: jetzt fixen, vor Launch fixen, später einplanen
  • optionale Empfehlung für Oversight, Guard oder Launch
Beispielbefund

So sieht ein Befund aus

veriploy-reportKritisch
INFRA-03Backups und Restore

Tägliche Backups laufen, wurden aber nie testweise zurückgespielt. Im Ernstfall ist unklar, ob die Daten wiederherstellbar sind. Empfehlung: Restore-Test in einer isolierten Umgebung durchführen und protokollieren.

Vergleich

Einmal-Audit oder laufende Aufsicht?

Einmal-AuditVeriploy laufend
ZeitpunktMomentaufnahme zu einem StichtagFortlaufend, mit jeder neuen Änderung
Backups und RestoreStand des PrüftagsLaufende Beobachtung mit Hinweis bei Lücken
Neue DiensteNicht abgedecktVeränderte Infrastruktur wird früh kommentiert
Vor dem ReleaseErneutes Audit nötigMenschliche Einschätzung im Paket enthalten
EinordnungMaßnahmenplan zum AbschlussMenschliche Priorisierung statt nur Score
FAQ

Häufige Fragen

  • Was prüft ein Infrastruktur-Audit konkret?

    Wir schauen auf Hosting, Deployment, CI/CD, Backups, Monitoring, Logging, Secrets-Management, Datenbank-Zugriffe und Rate Limits. Ziel ist, zu beurteilen, ob die Infrastruktur der AI-gebauten Software den Betrieb mit echten Nutzern trägt, und jeden Befund nach Schweregrad einzuordnen.

  • Testet ihr auch, ob Backups wirklich funktionieren?

    Wir prüfen, ob Backups existieren, wie oft sie laufen und ob ein Restore jemals getestet wurde. Ein Backup ohne getesteten Restore ist ein häufiger und kritischer Befund. Den eigentlichen Restore-Test empfehlen und begleiten wir, die Umsetzung läuft über das eigene Team oder über Wevelsiep Advisory.

  • Braucht ihr Zugriff auf Hosting und Repo?

    Für die Infrastruktur reicht uns in der Regel Lesezugriff: Read-only auf das Repository sowie Einblick in Deployment-, Monitoring- und Backup-Konfiguration. Schreibrechte brauchen wir nicht, weil wir die Änderungen nicht selbst umsetzen.

  • Macht ihr auch die Fixes?

    Im Abo nicht. Wir prüfen, priorisieren und erklären, was an der Infrastruktur zu tun ist. Die Umsetzung läuft separat über Wevelsiep Advisory bzw. WZ-IT oder das eigene Team. So bleibt das Audit unabhängig von der Umsetzung.

  • Was kostet das?

    Der Einstieg ist fest kalkuliert: Baseline 790 € einmalig. Laufende Aufsicht startet bei 990 € pro Monat (Oversight), weiter mit Guard 1.950 € und Launch 3.900 € pro Monat, größere Setups auf Anfrage mit Scale. Alle Preise netto zzgl. USt. Laufende Pakete starten mit 3 Monaten Mindestlaufzeit, danach monatlich kündbar, sofern nicht anders vereinbart.

  • Was ist der Infrastructure Watch?

    Das ist die laufende Aufsicht nach dem ersten Audit. Statt eines einmaligen Berichts behalten wir Backups, Monitoring, Secrets und Zugriffe fortlaufend im Blick, kommentieren riskante Änderungen früh und melden uns vor größeren Releases mit einer menschlichen Einschätzung.

Erkennst du diese Risiken in der eigenen App?

Der AI-App Risiko-Self-Check ordnet Produktstatus, Stack, Auth, Datenzugriff, Infrastruktur, CVEs und deinen technischen Kenntnisstand ein und zeigt, ob ein Review sinnvoll ist.

Risiko-Self-Check starten

Infrastruktur prüfen lassen und danach im Blick behalten.

Der Start erfolgt mit der Baseline, danach laufende Aufsicht im passenden Paket.

Pakete ansehen
Repo-Fit

Repo-Fit prüfen

Kurz das Projekt beschreiben.

Direkter Kontakt zu mir, kein anonymes Ticket-System. Ich melde mich mit einer ersten Einschätzung und dem passenden Einstieg.

Timo Wevelsiep

Timo Wevelsiep

Softwareentwickler, Cloud-Architekt, Gründer & Geschäftsführer

[email protected]

Mit dem Absenden wird die Datenschutzerklärung akzeptiert.

oder