Skip to content
Innopulse Consulting

SaaS Security & RLS Audit

Multi-Tenant-SaaS-Teams, die vor Enterprise-Deals oder Audits sicher sein wollen, dass keine Mandantendaten leaken.

Aktualisiert: 2026-07

Kurz gesagt

Ein SaaS-Security-Audit prüft gezielt die Mandantentrennung: Ist Row-Level-Security wasserdicht, greift die Zugriffskontrolle, sind typische Supabase-Fallen (Service-Role im Client, fehlende RLS) vermieden? Ergebnis ist ein Befund mit konkreten Fixes.

Die häufigste kritische Lücke in Multi-Tenant-SaaS ist keine exotische Zero-Day, sondern fehlerhafte Mandantentrennung: eine RLS-Policy, die nicht greift, ein Service-Role-Key im Browser, eine Tabelle ohne aktivierte Row-Level-Security. Das Ergebnis ist im schlimmsten Fall, dass ein Kunde die Daten eines anderen sieht.

Ein gezieltes Audit findet genau diese Klasse von Fehlern — von Leuten, die selbst Multi-Tenant-SaaS auf diesem Stack betreiben und die Fallen aus der Praxis kennen.

Was Sie erhalten

RLS-Policy-Review

Jede Tabelle: ist Row-Level-Security aktiv und korrekt?

Zugriffskontroll-Prüfung

Rollen, Claims und JWT-Handhabung auf Konsistenz geprüft.

Bekannte-Fallen-Check

Service-Role-Leak, offene Endpunkte, fehlende Policies.

Befund & Fix-Liste

Priorisierte Findings mit konkreten, umsetzbaren Korrekturen.

Ablauf

  1. 01

    Zugang & Scoping

    Schema und Zugriffsmodell verstehen.

  2. 02

    Audit

    RLS, Rollen und typische Fallen systematisch prüfen.

  3. 03

    Befund

    Findings nach Schweregrad priorisieren.

  4. 04

    Übergabe

    Fix-Liste präsentieren; optional Umsetzungsbegleitung.

Preisrahmen

Fixer Umfang, ab CHF 4’200 — abhängig von Anzahl der Tabellen und Rollen.

Indikativ, kein verbindliches Angebot — der Rahmen wird im Scoping bestätigt.

Übergeordnete Leistung: Individualsoftware-Entwicklung

Häufige Fragen

Warum ein spezielles RLS-Audit?

Weil fehlerhafte Mandantentrennung die häufigste kritische Lücke in Multi-Tenant-SaaS ist — und sich mit gezielter Prüfung zuverlässig finden lässt.

Kennt ihr den Supabase-Stack?

Ja, wir betreiben eigene Multi-Tenant-Produkte auf Supabase und kennen die typischen Fallen aus dem Betrieb.

Bekomme ich umsetzbare Fixes?

Ja, der Befund enthält priorisierte, konkrete Korrekturen — keine abstrakten Empfehlungen.

Arbeiten Sie an etwas Ähnlichem?

SaaS Security & RLS Audit

Multi-Tenant-SaaS-Teams, die vor Enterprise-Deals oder Audits sicher sein wollen, dass keine Mandantendaten leaken.