Prüfprotokoll – IT-Sicherheitsaudit für Self-Hosted Services & Infrastruktur
Kopfdaten
| Protokoll-Nr.: | Prüfdatum: | Nächste Prüfung: | |||
| Auftraggeber: | Auftrags-Nr.: | ||||
| Auftragnehmer: | Prüfer/in: | ||||
Systemdaten
| Hostname / System: | IP-Adresse: | Betriebssystem: | |||
| Service / URL: | Umgebung: | ||||
| Virtualisierung: | Kernel-Version: | Letzte Updates: | |||
Prüfungsart & Anlass
1. Netzwerk & Ports
| Prüfpunkt | OK | WARN | FAIL | N/A | Befund / Messwert |
|---|---|---|---|---|---|
| Port-Scan durchgeführt und dokumentiert | |||||
| Nur notwendige Ports nach außen offen | |||||
| Management-Ports (SSH, RDP, Cockpit) nur intern / VPN | |||||
| IPv6 konfiguriert oder bewusst deaktiviert | |||||
| Netzwerksegmentierung vorhanden (DMZ / VLANs) | |||||
| Keine Dienste auf 0.0.0.0 die intern bleiben sollten |
2. SSL/TLS & Zertifikate
| Prüfpunkt | OK | WARN | FAIL | N/A | Befund / Messwert |
|---|---|---|---|---|---|
| Gültiges Zertifikat (nicht abgelaufen, vertrauenswürdig) | |||||
| TLS 1.2 / 1.3 erzwungen – kein TLS 1.0 / 1.1 | |||||
| Starke Cipher Suites (kein RC4, DES, 3DES, NULL) | |||||
| HSTS aktiviert (HTTP Strict Transport Security) | |||||
| Zertifikatsablauf überwacht / automatische Erneuerung |
3. Authentifizierung & Zugriffskontrolle
| Prüfpunkt | OK | WARN | FAIL | N/A | Befund / Messwert |
|---|---|---|---|---|---|
| Standard-Passwörter geändert (keine Default-Credentials) | |||||
| Starke Passwort-Policy (Mindestlänge, Komplexität) | |||||
| 2FA / MFA für Admin-Zugänge aktiviert | |||||
| Login-Versuche limitiert (Fail2ban o.ä.) | |||||
| SSH: nur Key-Authentifizierung (kein PasswordAuth) | |||||
| SSH: Root-Login deaktiviert (PermitRootLogin no) | |||||
| Keine anonymen / Gast-Accounts ohne Authentifizierung | |||||
| Inaktive Benutzerkonten deaktiviert / gelöscht |
4. Firewall & Systemhärtung
| Prüfpunkt | OK | WARN | FAIL | N/A | Befund / Messwert |
|---|---|---|---|---|---|
| Host-Firewall aktiv (ufw / iptables / nftables / firewalld) | |||||
| Default-Deny-Strategie (nur erlaubte Verbindungen) | |||||
| Regelwerk dokumentiert und begründet | |||||
| Kernel-Parameter gehärtet (sysctl.conf) | |||||
| Unnötige Systemdienste deaktiviert (systemctl) | |||||
| AppArmor / SELinux aktiv und konfiguriert |
5. Updates & Patch-Management
| Prüfpunkt | OK | WARN | FAIL | N/A | Befund / Messwert |
|---|---|---|---|---|---|
| OS vollständig gepatcht (kritische Updates eingespielt) | |||||
| Automatische Sicherheitsupdates konfiguriert | |||||
| Applikationen & Docker-Images aktuell | |||||
| CVE-Scan durchgeführt (Trivy / Grype / OpenVAS / Nessus) | |||||
| Abhängigkeiten (npm / pip / composer / go) auf CVEs geprüft |
6. Logs & Monitoring
| Prüfpunkt | OK | WARN | FAIL | N/A | Befund / Messwert |
|---|---|---|---|---|---|
| Zentrales Logging aktiv (syslog / journald / Loki / SIEM) | |||||
| Login-Ereignisse werden geloggt (Erfolg + Fehler) | |||||
| Alerting konfiguriert (E-Mail / Telegram / PagerDuty) | |||||
| Log-Rotation eingerichtet (kein Plattverlust) | |||||
| Uptime-Monitoring aktiv (externer Dienst) |
7. Backup & Notfallwiederherstellung
| Prüfpunkt | OK | WARN | FAIL | N/A | Befund / Messwert |
|---|---|---|---|---|---|
| Regelmäßige Backups konfiguriert (Zeitplan dokumentiert) | |||||
| Backup-Restore erfolgreich getestet | |||||
| 3-2-1-Strategie (mind. 1 Kopie off-site / offline) | |||||
| Backup verschlüsselt (at-rest encryption) | |||||
| Recovery-Dokumentation vorhanden (RTO / RPO definiert) |
8. Konfiguration, Secrets & App-Härtung
| Prüfpunkt | OK | WARN | FAIL | N/A | Befund / Messwert |
|---|---|---|---|---|---|
| Keine Secrets im Klartext (Vault / Secrets-Manager / .env gesichert) | |||||
| .env / Konfigdateien nicht öffentlich erreichbar (HTTP) | |||||
| Dateirechte korrekt (sensitive Dateien 600 / 640) | |||||
| App läuft nicht als Root (dedizierter Service-User) | |||||
| HTTP Security-Header gesetzt (CSP, X-Frame, CORP…) | |||||
| Keine Versionsinformationen in HTTP-Headern / Fehlerseiten | |||||
| Docker: Keine privilegierten Container ohne Begründung |
Verwendete Prüfwerkzeuge
| Tool 1: | Version: | Zweck: | |||
| Tool 2: | Version: | Zweck: | |||
| Tool 3: | Version: | Zweck: | |||
| → Werkzeug-Vorlagen im Stammdaten-Tab | |||||
Prüfergebnis & Gesamtbewertung
| Ergebnis: | |||
| Gesamtrisiko: | |||
| Kritisch: | |||
Mängel / Befunde / Empfehlungen
Unterschriften
Port-Scan Ergebnisse & Dienste-Übersicht
Scan-Konfiguration
| Ziel-Host / IP: | Scan-Datum: | Prüfer: | |||
| Scan-Tool: | Scan-Typ: | Scan von: | |||
| Scan-Befehl: | |||||
⚡ Dienst-Kategorien schnell vorladen
Port-Scan Ergebnisse
| Port | Protokoll | Transport | Status | Dienst / Service | Version / Banner | Bewertung | Bemerkung / Empfehlung |
|---|
10 Zeilen vorausgefüllt · Kategorien oben für Schnell-Import
SSL/TLS Scan (testssl.sh / sslscan / sslyze)
| Prüfpunkt | Wert / Ergebnis | Bewertung | Bemerkung |
|---|---|---|---|
| TLS-Versionen unterstützt | |||
| Stärkste Cipher Suite | |||
| Schwache Ciphers vorhanden (RC4, DES, 3DES, EXPORT) | |||
| Heartbleed / BEAST / POODLE / ROBOT / DROWN | |||
| Zertifikat CN / SAN | |||
| Zertifikat gültig bis | |||
| HSTS vorhanden | |||
| SSL Labs / testssl.sh Gesamtnote |
HTTP Security-Header (securityheaders.com)
| Header | Wert (Kurzform) | Vorhanden | Bewertung | Bemerkung |
|---|---|---|---|---|
| Content-Security-Policy | ||||
| Strict-Transport-Security | ||||
| X-Frame-Options | ||||
| X-Content-Type-Options | ||||
| Referrer-Policy | ||||
| Permissions-Policy | ||||
| Server-Header (Version verborgen) |
Bemerkungen zum Scan
Findings, Schwachstellen & Penetrationstest-Protokoll
Pentest-Informationen
| Protokoll-Nr.: | Datum von: | Datum bis: | |||
| Scope / Ziel: | |||||
| Methodik: | Authorisierung: | Prüfer: | |||
OWASP Top 10 – Kurzcheck (Web-Anwendungen)
| Kategorie | OK | WARN | FAIL | N/A | Befund |
|---|---|---|---|---|---|
| A01 – Broken Access Control | |||||
| A02 – Cryptographic Failures | |||||
| A03 – Injection (SQL, XSS, Command, SSTI…) | |||||
| A04 – Insecure Design | |||||
| A05 – Security Misconfiguration | |||||
| A06 – Vulnerable and Outdated Components | |||||
| A07 – Identification and Authentication Failures | |||||
| A08 – Software and Data Integrity Failures | |||||
| A09 – Security Logging and Monitoring Failures | |||||
| A10 – Server-Side Request Forgery (SSRF) |
Findings / Schwachstellen-Register
| # | Titel / Kurzbeschreibung | Kategorie | CVSS | Kritikalität | Status | Empfehlung / Behebung | Behoben bis |
|---|
CVE-Scan Ergebnisse (Trivy / Grype / OpenVAS / Nessus)
| CVE-ID | Betroffenes Paket / Komponente | Version | CVSS | Severity | Beschreibung (kurz) | Fix? | Status |
|---|
Executive Summary / Fazit
Unterschriften
Stammdaten, Prüfwerkzeuge-Verwaltung & Einstellungen
Firmenstammdaten / Organisation
| Firmenname: | Telefon: | ||||
| Straße: | E-Mail: | ||||
| PLZ / Ort: | Website: | ||||
| UStId / Reg.-Nr.: | Zertifizierung: | Verantwortlicher: | |||
Prüfer-Vorlagen
| Prüfer 1: | Qualifikation: | ||
| Prüfer 2: | Qualifikation: |
Deine Unterschrift speichern
Wird im Browser gespeichert und in allen Formularen verwendbar.
🛠️ Prüfwerkzeuge-Verwaltung
Gespeicherte Werkzeuge
Keine Werkzeuge gespeichert
Neues Werkzeug hinzufügen
| Name: | Version: | ||
| Zweck: | URL / Doku: |
⚙️ Einstellungen
📥 / 📤 Import & Export (Komplettes Backup)
📥 Exportieren
Alle Daten als JSON-Datei sichern
📤 Importieren
JSON-Datei ablegen oder klicken
📁 JSON-Datei hier ablegen oder klicken
🔐 Datenschutz
IT-Sicherheitsprotokoll ist 100% DSGVO-konform:
- ✅ Alle Daten werden NUR im Browser (LocalStorage) gespeichert
- ❌ Keine Daten-Übertragung an Server
- ❌ Keine Cookies, kein Tracking, keine Analytics
- ❌ Keine Drittanbieter-Verbindungen
- ✅ Vollständig offline-fähig
- ✅ Open Source unter MIT Lizenz
⚠️ Sicherheitsprotokolle mit sensiblen Befunden nur auf vertrauenswürdigen Geräten öffnen. Backups in verschlüsselten Verzeichnissen aufbewahren.