- Startseite
- Leistungen
- Sicherheitsaudits
Sicherheitsaudits für Software- und KI-Systeme
Wir prüfen, wie Ihre Systeme mit Daten, Zugriffen, Geheimnissen und KI-spezifischem Risiko umgehen, und übergeben Ihnen eine bewertete, behebbare Liste, keinen generischen Scan-Bericht.
Wir sind eine KI-Beratung und Individualsoftware-Firma in Limassol und arbeiten mit Teams in Zypern und der weiteren EMEA-Region. Ein Sicherheitsaudit ist hier ein praxisnahes Review, wie ein echtes System gebaut ist: seine Architektur, sein Datenumgang, wer was darf, wo Geheimnisse liegen, wovon es abhängt und die KI-spezifischen Risiken wie Prompt Injection, Datenleck und Antworten, die nicht in Ihren eigenen Quellen fundiert sind.
Das ist ein Review, kein Zertifikat. Wir verkaufen keine Pentests nach Stunden oder Compliance-Plaketten. Wir lesen das System so, wie es die Menschen, die es gebaut haben, hätten tun sollen, und halten es an denselben Produktionsstandard, an dem wir unser eigenes Produkt messen.
Das Loch sitzt still, bis jemand es findet
Die meisten Sicherheitsprobleme in Software sind nicht exotisch. Es ist ein API-Schlüssel, der in ein Repo eingecheckt wurde, eine Datenbankrolle, die mehr lesen kann, als sie sollte, eine Integration, die einer Eingabe traut, die sie nie prüft, eine Abhängigkeit drei Versionen hinter einem bekannten Fix. Das System funktioniert, demonstriert sauber und geht live. Das Loch sitzt still, bis jemand es findet.
KI-Systeme fügen eine zweite Ebene hinzu, die die meisten Reviews ganz übersehen. Ein Copilot, der an Ihre Dokumente angeschlossen ist, kann dazu gebracht werden, seine Anweisungen zu ignorieren. Ein Retrieval-System kann einen Datensatz zutage fördern, den der Fragende nie sehen sollte. Eine Modellantwort kann selbstbewusst falsch sein, ohne Spur zurück zu einer Quelle. Das sind keine Randfälle. Es sind die vorhersehbaren Ausfallmodi davon, ein Modell vor echte Daten zu stellen, und sie müssen bewusst geprüft werden.
Fünf Dinge, die wir an einen Produktionsstandard halten
Die KI-Pfade bekommen dieselbe Genauigkeit wie der Code drumherum, denn dort hören die meisten Reviews zu früh auf.
- ARCH
Architektur und Datenfluss
Wir kartieren, wie Daten tatsächlich durch das System fließen, wo sie gespeichert werden, wo sie eine Vertrauensgrenze überqueren und wo sie die EU verlassen, sodass die Risiken sichtbar statt angenommen sind.
- ACCESS
Zugriffskontrolle und Geheimnisse
Wir prüfen, wer was darf, ob Rollen auf die Arbeit zugeschnitten sind und ob Schlüssel und Zugangsdaten in env und einem Secret Store leben statt im Code oder einer Konfigurationsdatei.
- DEPS
Abhängigkeiten und Lieferkette
Wir prüfen die Bibliotheken und Dienste, von denen Sie abhängen, auf bekannte Schwachstellen, ungepflegte Pakete und solche, die mehr hereinziehen, als sie brauchen.
- AI RISK
KI-spezifisches Risiko
Prompt Injection, Datenleck durch ein Modell, Retrieval, das Datensätze zurückgibt, die der Fragende nicht sehen sollte, und Antworten, die nicht in einer zitierbaren Quelle fundiert sind, geprüft als eigene Risikoklasse.
- EU AI ACT
EU-AI-Act-Pflichten
Wir markieren, wo ein System Pflichten unter dem EU AI Act trägt, etwa Logging, menschliche Aufsicht und Transparenz, sodass sie eingeplant statt später in einem Audit entdeckt werden.
Eine bewertete Liste, keine Wand gleichrangiger Warnungen
Jeder Befund trägt einen Schweregrad, eine schlichte Beschreibung und den Fix. Sie arbeiten von oben nach unten, vom Problem, das am ehesten weh tut, zu dem, das warten kann. Das sind die Formen von Problemen, die wir finden, kein Scanner-Auswurf.
- Hoch
API-Schlüssel in die Repository-Historie eingecheckt
Rotieren und in Secret Store verschieben - Hoch
Retrieval kann Datensätze zurückgeben, die der Fragende nicht sehen sollte
Retrieval auf den Fragenden begrenzen - Mittel
Datenbankrolle liest mehr Tabellen, als die Arbeit braucht
Auf minimale Rechte einengen - Mittel
Modellantworten tragen keinen Link zurück zu einer Quelle
Antworten in Zitaten verankern - Niedrig
Abhängigkeit drei Versionen hinter einem bekannten Fix
Im nächsten Zyklus patchen
Audit, bewerten, beheben, übergeben
Audit
Wir lesen das System: Code, Architektur, Datenumgang, Zugriffe, Abhängigkeiten und die KI-Pfade. Wir arbeiten daran, wie es wirklich läuft, nicht an einem Fragebogen, und bringen zutage, was wir finden, während wir es finden.
Bewerten
Wir machen aus den Befunden eine bewertete Liste, jeder mit seiner echten Wirkung, wie wahrscheinlich er getroffen wird und einem konkreten Fix. Sie erhalten eine klare Reihenfolge zum Abarbeiten, keine Wand gleichrangiger Warnungen.
Beheben
Wo Sie es wünschen, nehmen wir die Änderungen selbst vor: die Zugriffslücke schließen, das Geheimnis verschieben, das Retrieval verankern, die Abhängigkeit patchen. Jeder Fix wird geprüft und getestet, genau wie jeder Aufbau, den wir liefern.
Übergabe
Sie erhalten den Bericht, die Fixes und die Begründung, dokumentiert, sodass Ihr Team die Arbeit weiterführen und dieselben Probleme das nächste Mal ohne uns auffangen kann.
Was auf Ihrem Tisch landet
Ein bewerteter Befundbericht
Jedes Problem, das wir gefunden haben, geordnet nach Wirkung und Wahrscheinlichkeit, jedes mit einer schlichten Erklärung und einem konkreten Fix, kein roher Scanner-Auswurf.
Fixes, wo Sie sie wünschen
Wir schließen die Probleme, die zu schließen wir gebeten werden, geprüft und getestet, sodass der Bericht nicht als Liste von Dingen in einer Schublade liegt, um die sich jemand kümmern sollte.
Ein KI-Risiko-Review
Eine klare Lesart der KI-spezifischen Exponiertheit: Prompt Injection, Datenleck, Retrieval-Fundierung und wie Daten gehandhabt werden, mit dem, was für jedes zu ändern ist.
Eine EU-AI-Act- und Datenresidenz-Lesart
Wo das System Pflichten unter dem EU AI Act trägt und wo Ihre Daten liegen, sodass die Compliance-Fragen ehrliche Antworten haben, bevor jemand Offizielles fragt.
Eine Übergabe, die Ihr Team nutzen kann
Die Befunde, die Fixes und die Begründung dokumentiert, sodass das nächste Review von hier statt von vorn beginnen kann.
Wir halten Ihr System an denselben Standard wie unser eigenes Produkt Pileform, das im Produktivbetrieb über 55 Mehrwertsteuer-Jurisdiktionen und 11 Sprachen läuft und Finanzdokumente unter echten Datenschutzpflichten liest und abstimmt. Wir haben die prüfbare, EU-gehostete, zitatfundierte Version eines KI-Systems selbst gebaut, was dieselbe Disziplin ist, die wir in Ihre Document-AI-Arbeit und die Systeme drumherum bringen.
Sehen Sie, wie das mit unserer Document-AI-Arbeit zusammenhängtVor einem Sicherheits-Review, beantwortet
Ist das ein Penetrationstest?
Nein. Ein Pentest versucht, von außen einzubrechen, und sagt Ihnen, was funktioniert hat. Wir prüfen das System von innen: seine Architektur, seinen Datenumgang, Zugriffe, Geheimnisse, Abhängigkeiten und KI-Pfade, sodass Sie die strukturellen Risiken sehen, nicht nur die, die ein Angreifer am Tag zufällig erreicht hat. Beide ergänzen sich, und wir sagen es, wenn ein Pentest der bessere nächste Schritt für Ihren Fall ist.
Stellen Sie ein Zertifikat oder eine Compliance-Plakette aus?
Nein, und wir behaupten es nicht. Wir sind Ingenieure, die prüfen, wie ein System gebaut ist, keine Zertifizierungsstelle. Was wir Ihnen geben, ist ein ehrliches, bewertetes Bild der echten Risiken und die Fixes dafür. Wenn Sie eine formale Zertifizierung brauchen, ist ein Audit wie dieses eine gute Vorbereitung darauf, aber kein Ersatz.
Was deckt der KI-spezifische Teil eigentlich ab?
Prompt Injection, Datenleck durch ein Modell, Retrieval, das Datensätze zurückgibt, die der Fragende nicht sehen sollte, Antworten, die nicht in einer zitierbaren Quelle fundiert sind, und wie Ihre Daten gespeichert und genutzt werden. Das sind die vorhersehbaren Ausfallmodi davon, ein Modell vor echte Daten zu stellen, und wir prüfen jedes als eigene Risikoklasse.
Berichten Sie nur Probleme, oder beheben Sie sie?
Beides, und das Beheben ist der Punkt. Wir bewerten, was wir finden, und schließen dann die Probleme, die Sie geschlossen haben wollen, geprüft und getestet. Ein Bericht, auf den niemand reagiert, ist wenig wert, also sind wir darauf gebaut, mit Ihnen darauf zu reagieren, statt Ihnen eine Liste zu überreichen und zu gehen.
Können Sie ein System prüfen, das Sie nicht gebaut haben?
Ja. Die meisten Systeme, die wir auditieren, sind nicht unsere. Wir lesen den Code und die Architektur, wie sie sind, weshalb der Audit-Schritt zuerst kommt: Wir arbeiten daran, wie das System wirklich läuft, nicht an Dokumentation, die veraltet sein mag.
Wohin gehen unsere Daten während des Reviews, und bleiben sie in der EU?
Ihre Daten bleiben Ihre und bleiben, wo sie sind. Wir prüfen gegen Ihre Umgebung unter Ihren Zugriffskontrollen, und Datenresidenz ist eines der Dinge, die wir prüfen, statt etwas, das wir aufs Spiel setzen. Wir sind eine in Europa verwurzelte Firma und bauen standardmäßig für EU-Datenresidenz, auch in der Document-AI-Arbeit, mit der dies oft zusammenhängt.
Sagen Sie uns, was Sie geprüft haben wollen
Ein Individualaufbau, der live geht, ein KI-System, das gleich echte Daten berührt, oder eine Plattform, die Sie geerbt haben und der Sie nicht voll trauen. Wir lesen sie ehrlich, bewerten, was wir finden, und beheben, was Sie behoben haben wollen.
Geprüft nach demselben Produktivstandard wie unser eigenes im Betrieb laufendes Produkt.
