Infrastruktur-Audit für AI-gebaute Software, Deployment, Backups, Monitoring und Secrets prüfen lassen
KI baut die App in Tagen, doch die Infrastruktur drumherum entsteht oft nebenbei. Wer die SaaS Infrastruktur prüfen will, braucht mehr als einen Blick auf den Code: Ich prüfe Deployment, Backups, Monitoring, Logging und Secrets der AI-gebauten Software und behalte die Infrastruktur danach laufend technisch im Blick, statt es bei einem Einmal-Audit zu belassen.
- Baseline ab 790 €
- Feste Monatsabos
- Repo + CVE + Infrastruktur
- Deutscher Ansprechpartner
Direkter Ansprechpartner
Timo Wevelsiep
Softwareentwickler, Cloud-Architekt, Gründer & Geschäftsführer
Ich prüfe Code, Security und Infrastruktur und mache sichtbar, was vor Launch, Kundeneinsatz oder Due Diligence technisch riskant ist.
Ich habe produktive Software-, Infrastruktur- und Cloud-Systeme für Kunden weltweit begleitet, darunter Europa, VAE, Asien, Australien und Amerika: von automatisierten Standortplattformen über Cloud-Migrationen bis zu Remote-Access-Systemen für Industrieanlagen.
Für Fragen wie:
- Ist dieser Release produktionsreif?
- Welche CVEs sind wirklich kritisch?
- Sind Auth, Datenzugriff und Tenant-Isolation sauber?
Was zur Infrastruktur gehört
Infrastruktur ist mehr als der Code im Repo. Sie entscheidet, ob die App online bleibt, Daten überlebt und im Fehlerfall nachvollziehbar ist. Diese Bausteine schauen wir uns an:
Typische Lücken bei AI-Apps
KI-Tools liefern schnell eine lauffähige App, treffen aber selten die Betriebsentscheidungen, die eine echte Produktion braucht. Diese Infrastruktur-Lücken finden wir am häufigsten:
- Backup existiert, wurde aber nie getestet wiederhergestellt
- kein Monitoring und keine Alerts im Fehlerfall
- Secrets und API-Keys liegen im Repository oder im Frontend
- manuelles Deployment ohne reproduzierbaren Ablauf
- keine Trennung von Staging und Produktion
- Logging fehlt oder landet ohne Aufbewahrung im Nichts
- Datenbank-Zugriff mit zu weitreichenden Rechten
- offene Endpunkte ganz ohne Rate Limiting
Was ich prüfe
Wir schauen auf die Infrastruktur-Punkte, die über Produktionsreife entscheiden, und ordnen jeden Befund nach Schweregrad ein. Geprüft werden:
- Hosting und Deployment: reproduzierbarer Release, Staging- und Prod-Trennung
- Backups und Restore: Existenz, Frequenz und getestete Wiederherstellung
- Monitoring und Alerting: Verfügbarkeit, Fehlerraten, Benachrichtigungswege
- Logging: was protokolliert wird, wo es liegt, wie lange es bleibt
- Secrets-Management: Speicherung, Rotation, Trennung vom Code
- Datenbank und Zugriffe: Rollen, Rechte, Rate Limits an Endpunkten
Einmal prüfen reicht nicht: laufender Infrastructure Watch
Ein Einmal-Audit beschreibt die Infrastruktur von gestern. AI-gebaute Software bewegt sich schnell: Ein neues Deployment-Target, ein zusätzlicher Dienst oder ein verschobenes Secret verändert das Risikobild innerhalb von Tagen. Ein Audit-Report, der vier Wochen alt ist, deckt diese Bewegung nicht mehr ab.
Deshalb setze ich nach dem ersten Audit auf laufende Aufsicht. Die Infrastruktur wird einmal geprüft (Baseline) und danach mit Oversight, Guard oder Launch laufend technisch im Blick behalten, statt das Ergebnis im Posteingang zu archivieren.
So bleibt das Infrastruktur-Bild aktuell: Backups und Restore-Fähigkeit werden im Auge behalten, neue Dienste und veränderte Zugriffe früh kommentiert, und vor größeren Releases gibt es ein menschliches Deployment Audit mit Einschätzung statt eines automatischen Scores.
Baseline vs. laufendes Abo
Der Einstieg erfolgt mit einem einmaligen Audit, danach wird entschieden, ob laufende Aufsicht sinnvoll ist. Die Preise sind fest und transparent.
| Baseline 790 € | Abo ab 990 €/Mon | |
|---|---|---|
| Umfang | Tiefe initiale Baseline: Hosting, Deployment, Backups, Secrets, Zugriffe | Laufende Reviews auf Basis der Baseline |
| Ergebnis | Risikoampel, Backup- und Restore-Check, Secrets-Check, Empfehlung | Wiederkehrende Reports mit Fix-Priorisierung |
| Backups und Monitoring | Vollständige Baseline als Referenzpunkt | Laufende Beobachtung von Backups, Monitoring und Zugriffen |
| Begleitung | Einmalig, mit Empfehlung fürs passende Abo | Async Sparring und direkter Kanal je nach Paket |
| Passt für | Sauberer Startpunkt vor jedem Abo | Produkte, die sich weiterentwickeln |
So läuft der Infrastruktur-Audit ab
- 01
01 Kostenloser Fit-Check
In einem kurzen Erstgespräch klären wir, wie die AI-gebaute Software betrieben wird und wo der Schuh drückt. Daraus ergibt sich, ob eine Baseline oder direkt laufende Aufsicht passt. Der Fit-Check ist kostenlos und unverbindlich.
- 02
02 Scope und Zugänge
Wir legen fest, welche Umgebungen, Repositories und Konfigurationen in den Review gehören. Ich bekomme Read-only-Zugriff auf das Repository sowie Einblick in Deployment, Backups, Monitoring und Secrets. Schreibrechte sind nicht nötig.
- 03
03 Technische Analyse
Im Kern prüfe ich Deployment und Release-Prozess, Backups samt getestetem Restore, das Secrets- und Key-Management, Monitoring und Alerting sowie Hosting und die Trennung von Staging und Produktion. Jeder Befund wird nach Schweregrad eingeordnet.
- 04
04 Report und Handlungsempfehlungen
Das Ergebnis ist ein verständlicher Report mit Risikoampel, den Top-Risiken auf einen Blick und priorisierten Findings. Zu jedem Punkt gibt es eine konkrete Empfehlung statt nur eines Scores.
- 05
05 Nächster Schritt
Aus der Baseline entsteht die Entscheidung, ob laufende Aufsicht sinnvoll ist. Wird das Produkt weiter mit AI entwickelt, begleite ich die Infrastruktur mit Oversight, Guard oder Launch laufend technisch.
Viele Projekte starten mit einem Baseline-Review. Wird das Produkt danach weiter mit AI entwickelt, kann ich es laufend begleiten.
Was ich für den Review brauche
- Read-only-Zugriff auf das Repository
- kurze Beschreibung von Stack, Tool und Ziel
- Infos zu Hosting und Deployment
- Datenbank- und Auth-Kontext
- Hinweise auf sensible Daten oder Nutzerrollen
- offene Fragen oder konkrete Sorgen
Was der Review liefert
- verständliche Risikoampel
- Top-Risiken auf einen Blick
- priorisierte Findings
- konkrete Handlungsempfehlungen
- Einordnung: jetzt fixen, vor Launch fixen, später einplanen
- optionale Empfehlung für Oversight, Guard oder Launch
So sieht ein Befund aus
Tägliche Backups laufen, wurden aber nie testweise zurückgespielt. Im Ernstfall ist unklar, ob die Daten wiederherstellbar sind. Empfehlung: Restore-Test in einer isolierten Umgebung durchführen und protokollieren.
Einmal-Audit oder laufende Aufsicht?
| Einmal-Audit | Veriploy laufend | |
|---|---|---|
| Zeitpunkt | Momentaufnahme zu einem Stichtag | Fortlaufend, mit jeder neuen Änderung |
| Backups und Restore | Stand des Prüftags | Laufende Beobachtung mit Hinweis bei Lücken |
| Neue Dienste | Nicht abgedeckt | Veränderte Infrastruktur wird früh kommentiert |
| Vor dem Release | Erneutes Audit nötig | Menschliche Einschätzung im Paket enthalten |
| Einordnung | Maßnahmenplan zum Abschluss | Menschliche Priorisierung statt nur Score |
Häufige Fragen
Was prüft ein Infrastruktur-Audit konkret?
Wir schauen auf Hosting, Deployment, CI/CD, Backups, Monitoring, Logging, Secrets-Management, Datenbank-Zugriffe und Rate Limits. Ziel ist, zu beurteilen, ob die Infrastruktur der AI-gebauten Software den Betrieb mit echten Nutzern trägt, und jeden Befund nach Schweregrad einzuordnen.
Testet ihr auch, ob Backups wirklich funktionieren?
Wir prüfen, ob Backups existieren, wie oft sie laufen und ob ein Restore jemals getestet wurde. Ein Backup ohne getesteten Restore ist ein häufiger und kritischer Befund. Den eigentlichen Restore-Test empfehlen und begleiten wir, die Umsetzung läuft über das eigene Team oder über Wevelsiep Advisory.
Braucht ihr Zugriff auf Hosting und Repo?
Für die Infrastruktur reicht uns in der Regel Lesezugriff: Read-only auf das Repository sowie Einblick in Deployment-, Monitoring- und Backup-Konfiguration. Schreibrechte brauchen wir nicht, weil wir die Änderungen nicht selbst umsetzen.
Macht ihr auch die Fixes?
Im Abo nicht. Wir prüfen, priorisieren und erklären, was an der Infrastruktur zu tun ist. Die Umsetzung läuft separat über Wevelsiep Advisory bzw. WZ-IT oder das eigene Team. So bleibt das Audit unabhängig von der Umsetzung.
Was kostet das?
Der Einstieg ist fest kalkuliert: Baseline 790 € einmalig. Laufende Aufsicht startet bei 990 € pro Monat (Oversight), weiter mit Guard 1.950 € und Launch 3.900 € pro Monat, größere Setups auf Anfrage mit Scale. Alle Preise netto zzgl. USt. Laufende Pakete starten mit 3 Monaten Mindestlaufzeit, danach monatlich kündbar, sofern nicht anders vereinbart.
Was ist der Infrastructure Watch?
Das ist die laufende Aufsicht nach dem ersten Audit. Statt eines einmaligen Berichts behalten wir Backups, Monitoring, Secrets und Zugriffe fortlaufend im Blick, kommentieren riskante Änderungen früh und melden uns vor größeren Releases mit einer menschlichen Einschätzung.
- CVE-Monitoring für SaaS und AI-gebaute Software, mit menschlicher Priorisierung
- AI-App production-ready machen, technische Risiken vor dem Kundeneinsatz erkennen
- Launch-Readiness-Review für AI-gebaute Produkte, Go oder No-Go vor dem Deploy
- Supabase RLS prüfen lassen, bevor Nutzerdaten über falsche Policies offenliegen
Erkennst du diese Risiken in der eigenen App?
Der AI-App Risiko-Self-Check ordnet Produktstatus, Stack, Auth, Datenzugriff, Infrastruktur, CVEs und deinen technischen Kenntnisstand ein und zeigt, ob ein Review sinnvoll ist.
Infrastruktur prüfen lassen und danach im Blick behalten.
Der Start erfolgt mit der Baseline, danach laufende Aufsicht im passenden Paket.
Repo-Fit prüfen
Kurz das Projekt beschreiben.
Direkter Kontakt zu mir, kein anonymes Ticket-System. Ich melde mich mit einer ersten Einschätzung und dem passenden Einstieg.
Timo Wevelsiep
Softwareentwickler, Cloud-Architekt, Gründer & Geschäftsführer