Ist der DSGVO-Scan kostenlos?

Ja, 100% kostenlos. Keine Anmeldung, keine Kreditkarte, keine versteckten Kosten.

Was kostet ein DSGVO-Audit?

Das DSGVO-Audit kostet €149 einmalig. NIS2-Audit €299, BFSG-Audit €590. Das NIS2+DSGVO Bundle gibt es für €499.

Was kostet eine professionelle Website?

Landingpages ab €990, Business-Websites ab €2.490, Web-Apps ab €4.990. Transparente Festpreise.

Ersetzt der Scanner einen Anwalt?

Nein. Der Scanner prüft technische Aspekte. Für rechtliche Bewertung empfehlen wir einen Fachanwalt.

Sicherheit9. April 2026· 8 Min. Lesezeit

npm Supply Chain Attacken: Wenn Ihr Code zum DSGVO-Problem wird

Am 30. März 2026 wurde der npm-Account des Axios-Lead-Maintainers „jasonsaayman" kompromittiert. Die Folge: Malicious Versionen axios@1.14.1 und axios@0.30.4 landeten im npm-Registry — mit eingebautem Remote Access Trojan. Über 300 Millionen Downloads pro Woche. Was auf den ersten Blick wie ein rein technisches Problem aussieht, hat direkte Konsequenzen für den Datenschutz — und damit für Ihr Unternehmen.

Aktueller Vorfall: 30.–31. März 2026

Nordkoreanische Hackergruppe „Sapphire Sleet" (Microsoft Threat Intelligence) kompromittierte den Axios-Maintainer-Account. Die Schadversionen waren ca. 3–4 Stunden im npm-Registry verfügbar. In dieser Zeit installierte jeder npm install einen plattformübergreifenden RAT, der Cloud-Keys, Datenbank-Passwörter und API-Token exfiltrierte.

Was ist eine Supply Chain Attack?

Stellen Sie sich vor, Sie bestellen Büromaterial von einem vertrauenswürdigen Händler. Was Sie nicht wissen: Der Händler bezieht seine Ware von einem Zulieferer, der manipuliert wurde. Das Paket sieht normal aus, aber der Inhalt ist kompromittiert.

Genau das passiert bei Software Supply Chain Attacken. Angreifer infiltrieren nicht Ihr System direkt — sie manipulieren eine Bibliothek oder ein Paket, das Ihre Software automatisch als Update herunterlädt.

Konkret bei npm:

• Angreifer übernimmt das Konto eines Paket-Maintainers
• Veröffentlicht ein Paket mit fast identischem Namen (Typosquatting)
• Injiziert schädlichen Code in eine Abhängigkeit einer Abhängigkeit

Warum das ein DSGVO-Problem ist

Artikel 32 DSGVO fordert "technische und organisatorische Maßnahmen zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus". Dazu gehört ausdrücklich auch die Sicherheit der Verarbeitungssysteme.

Angriffsvektor	DSGVO-Folge
Kundendaten exfiltriert	Datenverstoß — Meldepflicht 72h
Zugangsdaten abgefangen	Verstoß gegen Art. 32 TOMs
Hintertür installiert	Verstoß gegen Integritätssicherung
Daten manipuliert	Verstoß gegen Richtigkeit (Art. 5)

Die Bußgelder: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — je nachdem, was höher ist.

Was ist konkret bei axios passiert?

Axios ist in fast jedem modernen Web-Projekt unterwegs. Die jüngsten Vorfälle zeigen das Muster:

1Kompromittierte Maintainer-Accounts — Angreifer erhalten Zugriff auf den npm-Account eines Core-Maintainers
2Typosquatting-Varianten — Pakete wie axioss, axois oder @axios/core werden veröffentlicht
3Dependency Confusion — Interne Paketnamen werden auf npm registriert und mit Malware gefüllt
4Install-Script Injection — Schadcode wird beim npm install ausgeführt, bevor der Code überhaupt geladen wird

5 Maßnahmen, die Sie heute umsetzen können

1. npm audit regelmäßig ausführen

npm audit && npm audit fix

Das ist der absolute Minimum-Standard. Richten Sie es als automatisierten Schritt in Ihrer CI/CD-Pipeline ein.

2. Lockfiles ernst nehmen

Die package-lock.json fixiert die exakten Versionen. Nutzen Sie npm ci statt npm install in der Produktion.

3. Abhängigkeiten reduzieren

Jede Abhängigkeit ist eine potenzielle Angriffsfläche. Fragen Sie sich: Brauche ich wirklich ein ganzes Paket für diese Funktion? Kann ich die 20 Zeilen selbst schreiben?

4. Automatisiertes Monitoring

• Dependabot (GitHub-integriert, kostenlos)
• Snyk (kostenloser Tier für Open Source)
• npm audit --production in Ihrem Deployment-Script

5. Incident Response Plan

Wissen Sie, was Sie tun, wenn eine Schwachstelle in einer Ihrer Abhängigkeiten gemeldet wird? Wer informiert wird, wie schnell das Update erfolgen muss, ob betroffene Systeme vom Netz gehen müssen.

Was der DSGVO Guard dafür kann

Genau hier setzen wir mit dem DSGVO Guard an. Unsere automatisierte Lösung prüft nicht nur Ihre Website auf DSGVO-Konformität — sie überwacht auch die technischen Grundlagen:

Automatisiertes Vulnerability-Scanning Ihrer Abhängigkeiten
DSGVO-konforme Dokumentation Ihrer technischen Maßnahmen (Art. 32)
Alarmierung bei kritischen Schwachstellen in Ihrer Software-Lieferkette
Verarbeitungsverzeichnis — automatisch gepflegt, immer aktuell

Fazit

Supply Chain Attacken sind keine Seltenheit mehr — sie sind Standardwerkzeug in der Cybercrime-Toolbox. Die DSGVO fordert seit 2018, dass Unternehmen ihre technischen Systeme absichern. Wer die Software-Lieferkette ignoriert, ignoriert einen der größten Angriffsvektoren.

Die gute Nachricht: Die Grundmaßnahmen sind simpel. npm audit, Lockfiles, Dependabot. Der DSGVO Guard nimmt Ihnen die kontinuierliche Überwachung ab.

Handeln Sie, bevor die Aufsichtsbehörde handelt.

Weiterführende Artikel

Supply Chain Risiken erkennen.

DSGVO Guard — automatisierte Überwachung Ihrer Software-Lieferkette.

DSGVO Guard testen