Website-Pflichtencheckvon Jurono
SicherheitCodeHostingTechnikWartung

Sind Ihre Umgebungsvariablen wirklich geheim?

Warum eine .env-Datei kein Tresor ist und wie Secrets über Builds, Container, Logs und Frontend-Bundles auslaufen.

Von Jurono
Aktualisiert: 11. Juli 2026

„Die Zugangsdaten stehen nur in der .env“ klingt sicherer, als es ist.

Eine Umgebungsvariable ist kein Tresor. Sie ist lediglich ein Transportweg für Konfiguration. Secrets können in Build-Logs, Container-Layern, Debug-Ausgaben, CI-Artefakten, Support-Screenshots oder versehentlich ausgeliefertem Frontend-Code landen.

Besonders gefährlich ist die Annahme, dass ein Secret geschützt sei, solange es nicht im Git-Repository steht. Ein API-Key kann das Repository nie berührt haben und trotzdem öffentlich im JavaScript-Bundle erscheinen.

Wo Secrets typischerweise auslaufen

  • Build-Argumente werden in Container-Images oder deren Historie sichtbar.
  • Variablen mit öffentlichen Frontend-Präfixen werden in Browser-Code eingebettet.
  • Debug-Endpunkte geben Konfiguration oder Prozessumgebungen aus.
  • CI-Jobs schreiben Werte trotz Maskierung in transformierter Form ins Log.
  • Backups und Support-Exporte enthalten .env-Dateien.
  • Alte Schlüssel bleiben nach Agentur- oder Mitarbeiterwechsel aktiv.
  • Ein gemeinsam genutztes „Master-Secret“ öffnet mehrere Systeme gleichzeitig.

Docker empfiehlt für Build-Zugangsdaten spezielle Secret- oder SSH-Mounts statt Build-Argumenten oder normalen Umgebungsvariablen. Der OWASP Secrets Management Cheat Sheet empfiehlt zentralisierte Verwaltung, kurze Gültigkeit, Rotation, eingeschränkte Berechtigungen und nachvollziehbare Zugriffe.

Schnelltest für Ihr Projekt

  1. Durchsuchen Sie das gebaute Frontend nach bekannten Schlüsselpräfixen und Domainnamen interner Dienste.
  2. Prüfen Sie Container-Historie und Image-Layer auf Build-Argumente und Dateien.
  3. Kontrollieren Sie, welche Rollen Produktions-Secrets lesen können.
  4. Listen Sie alte, ungenutzte und nie rotierte Schlüssel auf.
  5. Prüfen Sie Logs, Error Tracking und CI-Ausgaben auf sensible Werte.
  6. Klären Sie, wie ein kompromittierter Schlüssel widerrufen wird.
  7. Testen Sie, ob die Anwendung nach einer Rotation ohne längeren Ausfall weiterläuft.

Gute Secret-Hygiene ist langweilig – und genau das ist gut

Ein belastbarer Prozess trennt Entwicklungs-, Test- und Produktionszugänge. Jeder Dienst erhält nur die minimal nötigen Rechte. Secrets werden nicht in Images eingebaut, sondern zur Laufzeit sicher bereitgestellt. Rotation ist dokumentiert und möglichst automatisiert.

Wichtig ist außerdem die Klassifizierung: Nicht jede Umgebungsvariable ist geheim. Öffentliche Basis-URLs oder Feature-Flags dürfen sichtbar sein. Datenbankpasswörter, private API-Schlüssel, Signaturschlüssel und Tokens gehören dagegen in ein geeignetes Secret-Management-System.

Was Website-Pflichtencheck prüfen würde

Bei einem technischen Check betrachten wir die gesamte Kette: Quellcode, Build-Konfiguration, CI/CD, Container, Frontend-Bundles, Logs, Hosting-Einstellungen, Berechtigungen und Rotation.

Der Check ist besonders sinnvoll nach einem Agenturwechsel, einem Repository-Leak, einer Migration, einem neuen CI-System oder wenn Zugangsdaten über Jahre gewachsen sind.

„Nicht in Git“ ist nur der Anfang. Wenn Sie nicht genau wissen, wo ein Secret erzeugt, verwendet, protokolliert, rotiert und widerrufen wird, ist die eigentliche Sicherheitslücke der fehlende Prozess.

Jurono Logo

Jurono

Technische Website-Prüfung, Website-Fixes und AI-Code-Rettung für kleine Unternehmen, Praxen, Kanzleien und Gründer:innen in Deutschland.

Holen Sie sich unsere kostenlose Sicherheitscheckliste.

Kostenlose PDF herunterladen

Passende Angebote

Direkt weiterkommen

Basierend auf den Themen dieses Artikels – ohne lange Suche.

Pflichtencheck Pro

Wenn die Website wichtig ist, aber unklar bleibt, welche technischen Pflichtsignale, Risiken und Fixes wirklich Priorität haben.

549

Prüfung, Bewertung und konkreter Maßnahmenplan innerhalb von 3-5 Werktagen.

  • Alles aus dem Quick Scan, gründlicher bewertet und dokumentiert
  • Konkrete Fundstellen zu Cookie-, Tracking- und externen Dienstsignalen
  • Sichtbare Pflichtbereiche technisch geprüft, ohne Rechtsberatung
Klarheit mit Pflichtencheck Pro

Website Quick Scan

Wenn niemand genau weiß, welche Skripte, Cookie-Signale oder technischen Risiken gerade auf Ihrer Website laufen.

249

Technische Ersteinschätzung und klare Prioritäten innerhalb von 2 Werktagen.

  • Sie sehen schnell, ob Tracking, Cookies, externe Dienste oder HTTPS auffällig sind
  • Mobile-, Ladezeit- und Technik-Probleme werden verständlich eingeordnet
  • Die wichtigsten Punkte stehen in einer kurzen Prioritätenliste
Mit Website Quick Scan weitermachen

Website Schutz & Wartung

Für kleine Unternehmen ohne internes Webteam, die laufende technische Ruhe statt gelegentlicher Notfälle brauchen.

279/Monat

Monatliche technische Betreuung nach einem kurzen Onboarding-Check.

  • Updates und Backups nach Systemzugang kontrolliert begleiten
  • Monatlicher Kurzcheck auf neue technische Auffälligkeiten
  • Bis zu 90 Minuten kleine Änderungen oder Fixes pro Monat
Website Schutz & Wartung starten

Erst Klarheit, dann entscheiden.

Starten Sie mit einer technischen Prüfung. Wenn nur Kleinigkeiten auffallen, können Sie es dabei belassen, den Bericht weitergeben oder später gezielte Fixes buchen.

Technische Prüfung und Umsetzung, keine Rechtsberatung. Ich prüfe sichtbare Signale, Einbindungen und Auslieferungsprobleme; Rechtstexte und verbindliche juristische Bewertungen bleiben Aufgabe von Anwält:innen oder Datenschutzberatung.

Sind Ihre Umgebungsvariablen wirklich geheim?