Was wir prüfen
Security & Hardening
Secrets, API-Keys, Input-Validierung, Security-Header, Dependency-Schwachstellen und unsichere AI-generierte Code-Patterns.
Hosting & Deployment
Hosting-Konfiguration, HTTPS, DNS, Staging vs. Production, CI/CD-Pipeline, Rollbacks und Deployment-Risiken.
Auth & Access Control
Login, Sessions, Cookies, Rollenmodell, horizontale und vertikale Privilege Escalation, Admin-Routen, OAuth-Konfiguration.
Monitoring & Backups
Uptime-Monitoring, Error-Tracking, Logs, Alerts, Backups und getestete Restore-Prozesse – damit Sie merken, wenn etwas schiefgeht.
Echte Probleme. Echte Fixes.
Was wir bei realen AI-gebauten Apps gefunden – und behoben – haben.
Row-Level Security war auf vier Tabellen deaktiviert.
Was wir gefunden haben
- Anonyme Nutzer konnten jede Kundenzeile lesen.
- Der service_role-Key war im Browser-Bundle sichtbar.
- Keine Audit-Logs für Datenzugriffe vorhanden.
Fix
- RLS-Policies pro Tabelle und Rolle definiert.
- Service-Key serverseitig verschoben, alten Key rotiert.
- Rate-Limit und Audit-Log auf Edge-Functions ergänzt.
OpenAI-API-Key direkt im Client-Bundle eingebettet.
Was wir gefunden haben
- Innerhalb von 24 Stunden CHF 4'000 Mehrkosten durch Missbrauch.
- Kein Rate-Limit, kein User-Quota, kein monatliches Budget-Cap.
- Sensitive User-Inputs wurden ungefiltert an die API gesendet.
Fix
- Server-Side-Proxy mit User-Authentifizierung implementiert.
- Per-User Rate-Limit und monatlicher Cost-Cap eingerichtet.
- Prompt-Sanitisierung und Logging mit Datenschutz-Filter.
Admin-Routen über Frontend-Rolle geschützt, Backend prüfte nichts.
Was wir gefunden haben
- /admin war für jeden eingeloggten User aufrufbar.
- Backend vertraute auf das role-Feld aus dem Frontend-State.
- Kein Audit-Log für administrative Aktionen.
Fix
- Server-seitige RBAC-Middleware mit JWT-Rollen-Claims.
- Route-Guards in Frontend und Backend doppelt abgesichert.
- Audit-Log für alle Admin-Aktionen mit User, Zeit und IP.
Kein Staging, keine Backups, manuelle Deployments aus main.
Was wir gefunden haben
- Tests wurden lokal laufen gelassen, nicht in CI.
- Datenbank hatte keine Scheduled Backups konfiguriert.
- Production-Secrets lagen im selben .env wie Development.
Fix
- Staging-Branch mit eigenem Vercel-Preview und Supabase-Projekt.
- Tägliche Supabase-Backups mit getestetem Restore-Prozess.
- GitHub-Actions-Pipeline mit Lint, Test und Approval-Gate.
So läuft der Check
Vier strukturierte Schritte – fixer Preis, fixe Lieferzeit
Intake & Access
Sie füllen unser kurzes Intake-Formular aus und geben uns Lese-Zugriff auf Repository, Hosting-Provider und Test-Accounts. Keine Klartext-Production-Secrets nötig.
Review entlang des Checklists
Wir prüfen Ihre App systematisch gegen unseren Production-Readiness-Checklist: Hosting, Secrets, Auth, Authorization, Datenbank, API-Exposure, Deployment, Monitoring, Backups und – falls relevant – AI-spezifische Risiken.
Report mit Severity & Fix-Plan
Sie bekommen einen schriftlichen Bericht mit Executive Summary, Findings nach Severity (Critical / High / Medium / Low / Info), priorisiertem Remediation-Roadmap und einer klaren Launch-Empfehlung: Ready, Ready after fixes oder Not ready.
Debrief & optionale Implementation
In einem Debrief-Call gehen wir die wichtigsten Findings durch und klären, was vor dem Launch fixiert sein muss. Auf Wunsch übernehmen wir die Umsetzung im Rahmen unseres Harden-&-Fix-Pakets.
Kostenlos · Keine Anmeldung
Ist Ihre App sicher für den Launch?
10 einfache Fragen. 2 Minuten. Sofort ein Risiko-Score – bevor Sie mit uns sprechen.
Der 2-Minuten Launch-Readiness-Check
Kein Tech-Jargon. Nur 10 alltagstaugliche Fragen zu Ihrer App – z. B. «wenn Ihre Datenbank morgen gelöscht wäre, könnten Sie sie wiederherstellen?». Sie erhalten sofort einen Risiko-Score und eine klare Empfehlung.
Frage 1 / 10
Sind alle Ihre API-Keys, Passwörter und geheimen Tokens auf dem Server gespeichert – und nicht in den Code eingebettet, den Ihre Nutzer im Browser herunterladen?
Frage 2 / 10
Kann jeder Nutzer ausschliesslich die eigenen Daten sehen und ändern – niemals die Daten anderer Nutzer?
Frage 3 / 10
Ist Ihr Admin-Bereich auf dem Server abgesichert – nicht nur im Menü versteckt?
Frage 4 / 10
Wenn jemand Ihre AI-Funktionen entdeckt und sie die ganze Nacht in einer Schleife aufruft – gäbe es eine harte Grenze, die Ihre Rechnung stoppt?
Frage 5 / 10
Sind die Keys für Ihre Live-App andere als die aus der Entwicklung – und an einem anderen Ort gespeichert?
Frage 6 / 10
Wenn Ihre Datenbank morgen früh versehentlich gelöscht wäre – könnten Sie die Daten von gestern innert einer Stunde wiederherstellen?
Frage 7 / 10
Wenn Ihre App nachts um 3 Uhr abstürzt – würden Sie automatisch davon erfahren, bevor sich Nutzer beschweren?
Frage 8 / 10
Wenn Sie eine Änderung veröffentlichen – läuft ein automatischer Check, bevor sie Ihre Live-Nutzer erreicht?
Frage 9 / 10
Haben Sie eine «Übungs»-Kopie der App, in der Sie Änderungen sicher testen können, bevor sie live gehen?
Frage 10 / 10
Wenn ein Kunde fragt «wer hat meine Daten wann gelöscht?» – könnten Sie die Antwort finden?
Ihre Antworten bleiben im Browser. Wir sehen sie nur, wenn Sie einen Call buchen.
Pakete & Preise
Vom CHF 290 Quick Scan bis zum laufenden Schutz nach Launch.
Quick Scan
CHF 290
Innert 24 Stunden
Pro Public-URL · weitere URL zu je CHF 290
Geeignet für
Erst-Founder, Weekend-Builds, Prototypen
Enthalten
- Automatisierter Security-Scan Ihrer Public-URL
- Top-Exposure-Check: Secrets, Header, Dependencies
- 1-Seiten-Report mit den dringendsten Findings
- 15-Minuten Walkthrough-Call (optional)
- Voll anrechenbar an Launch Guard bei Upgrade innert 30 Tagen
Launch Guard
ab CHF 2'400
4–6 Werktage
Für 1 App im Standard-Scope · Definition siehe unten
Geeignet für
Public MVPs, SaaS, Customer-Facing Apps
Enthalten
- Vollständiger Production-Readiness-Review
- Auth, Authorization, Datenbank, API, Rate-Limiting
- Hosting-, Deployment-, Backup- und Monitoring-Review
- Severity-rated Findings mit Remediation-Roadmap
- 60-Minuten Debrief-Call und Launch-Entscheidung
Launch Guard Plus
ab CHF 4'800
7–10 Werktage
Für 1 App im Standard-Scope · Definition siehe unten
Geeignet für
Apps mit Payments, sensiblen Daten oder mehreren Rollen
Enthalten
- Alles aus Launch Guard
- Tiefere Rollen- und Berechtigungstests
- Business-Logic-Abuse- und API-Misuse-Szenarien
- AI-spezifische Risiken, Payment-Flows, Admin-Funktionen
- Retest der Critical- und High-Findings
- 90-Minuten Debrief-Workshop
Harden & Fix
Auf Basis Findings
Festpreis-Quote nach Review
Geeignet für
Teams, die nicht nur einen Report, sondern fixierte Issues wollen
Enthalten
- Umsetzung der vereinbarten Findings durch b-nova
- Secret-Rotation, Auth-Fixes, RBAC, RLS, Rate-Limiting
- Backups, Monitoring, CI/CD-Härtung, Security-Header
- Retest nach Implementation
- Festpreis-Angebot nach Anzahl & Schweregrad der Findings
Ongoing Shield
Modular ab CHF 90/Monat
Monatlich · ab 1 Modul
Geeignet für
Apps in Production – kontinuierlicher Schutz statt Einmal-Check
Enthalten
- Modulare Subscription – Sie wählen genau die Module, die Sie brauchen
- Von Dependency-Scan (CHF 90/Monat) bis Support-Pool (CHF 720/Monat)
- Erweiterbar mit Vulnerability-Report, Incident-Priority, Retests
- Mengenrabatt: −10 % ab 3 Modulen, −15 % ab 5, −20 % bei allen 8
Wie sich Harden & Fix berechnet
Pro Finding ein Festpreis – direkt im Review-Report. Sie zahlen nur für die Fixes, die Sie beauftragen.
1 · Review zuerst
Im Launch Guard Review identifizieren wir alle Findings und bewerten den Aufwand pro Fix.
2 · Festpreis pro Finding
Jedes Finding im Report bekommt einen eigenen Festpreis – inklusive Retest. Keine Stundensätze, keine offene T&M-Rechnung.
3 · Sie wählen à la carte
Sie entscheiden, welche Fixes Sie beauftragen. Ihr Total ist die Summe der Fixpreise der ausgewählten Findings.
Voraussetzung ist ein Launch Guard oder Launch Guard Plus Review. Sie zahlen erst nach Freigabe der ausgewählten Fixpreise.
Wie Sie Ongoing Shield zusammenstellen
Pro Modul ein Festpreis. Sie abonnieren nur, was Sie wirklich brauchen – ab CHF 90/Monat.
Brauchen Sie nur einen monatlichen Dependency-Check? Dann buchen Sie genau das. Wachsen Ihre Anforderungen, ergänzen Sie Module flexibel.
| Modul | Preis pro Monat |
|---|---|
|
Dependency-Scan + CVE-Alerts
Wöchentlicher Scan Ihrer npm-, PyPI- oder Go-Module-Dependencies. Automatische E-Mail- oder Slack-Alerts bei neu publizierten CVEs.
|
CHF 90 |
|
Uptime + Security-Header-Monitoring
1-Minuten-Uptime-Checks, monatlicher SSL/TLS- und Security-Header-Report, Alerts bei Ausfall oder ablaufenden Zertifikaten.
|
CHF 90 |
|
Hardening-Call (30 min/Monat)
Monatlicher Live-Call mit einem b-nova-Engineer – neue Risiken, geplante Releases und Konfigurationsfragen besprechen.
|
CHF 150 |
|
Monitoring & Log-Review
Einmal pro Monat sichten wir Ihre Sentry-Errors, Logs und Alerts und liefern eine kurze Notiz mit Auffälligkeiten und Empfehlungen.
|
CHF 250 |
|
Vulnerability-Report (schriftlich, monatlich)
1–2-seitiger Report mit priorisierten Findings aus Dependencies, Konfiguration und neuen Bedrohungen für Ihren Stack.
|
CHF 350 |
|
Incident-Priority
Reaktion innerhalb von 4 h während Bürozeiten. Erste 2 h Engineering pro Vorfall im Preis – weitere Stunden zu CHF 220/h.
|
CHF 400 |
|
Quartals-Retest
Alle 3 Monate prüfen wir, ob die Critical- und High-Findings aus Ihrem letzten Review weiterhin geschlossen sind. Schriftlicher Retest-Bericht.
|
CHF 500 |
|
Support-Pool (4 h/Monat)
4 h Engineering-Zeit für kleinere Fixes, Updates oder Beratung. Bis zu 2 h auf den Folgemonat übertragbar, weitere zu CHF 220/h.
|
CHF 720 |
Mindestlaufzeit 3 Monate, danach monatlich kündbar. Mengenrabatt: −10 % ab 3 Modulen · −15 % ab 5 Modulen · −20 % bei allen 8 Modulen. Wird automatisch auf der Monatsrechnung verrechnet.
Was «1 App» bedeutet – und wann der Preis steigt
Gilt für Launch Guard und Launch Guard Plus. Die Listenpreise dieser beiden Pakete gelten für eine Standard-App; wächst der Scope, kommen die unten stehenden Add-Ons hinzu. (Quick Scan wird pro Public-URL abgerechnet, Harden & Fix pro Finding, Ongoing Shield pro Modul.)
Standard-Scope einer App
Eine «App» im Sinne von Launch Guard und Launch Guard Plus umfasst:
- 1 Frontend
- 1 Backend / API
- 1 Production-Environment
- 1 Datenbank
- Bis zu 3 User-Rollen
- Bis zu 5 Key-Workflows
- Bis zu 3 Third-Party-Integrationen
Scope-Add-Ons
| Zusätzliches Environment (z. B. Staging) | + CHF 450 |
| Zusätzliche App oder Frontend | + CHF 950 |
| Zusätzliches Backend / API | + CHF 950 |
| Mehr als 3 User-Rollen | + CHF 450 |
| Payment-Integration (z. B. Stripe) | + CHF 750 |
| File-Upload-Flow | + CHF 550 |
| AI / LLM Workflow Review | + CHF 950 |
| Pro weiterer Key-Workflow (>5) | + CHF 300 |
| Mobile-App-Review | Custom Quote |
| Express-Review innert 48h | + 50 % Aufschlag |
Den finalen Preis fixieren wir nach einem 20-minütigen Scoping-Call – kein Aufwand, keine Verpflichtung.
Was Sie davon haben
Weniger vermeidbare Sicherheitsfehler
Die häufigsten Fehler aus AI-gebautem Code finden und fixen, bevor sie in Production weh tun.
Sichereres Hosting-Setup
HTTPS, DNS, Environment-Trennung, Secrets-Handling und Deployment-Pipeline sauber konfiguriert.
Klares Bild der Launch-Risiken
Sie wissen genau, was vor dem Launch fixiert sein muss und was später passieren darf.
Priorisierter Remediation-Plan
Critical, High, Medium, Low und Info – mit Effort-Schätzung pro Finding. Direkt nutzbar in Jira, Linear oder GitHub Issues.
Schnellerer Weg zur Production
Vom Prototyp zum produktionsreifen Service in Tagen statt Wochen – ohne den Sicherheits-Schritt zu überspringen.
Optionaler Implementation-Support
Sie fixen selbst – oder b-nova übernimmt die Umsetzung im Harden-&-Fix-Paket. Ihre Wahl.
Bereit, sicher zu launchen?
Erzählen Sie uns kurz von Ihrer App – wir empfehlen das passende Paket und geben Ihnen einen Festpreis.