Kostenloser Security-Scan für exponierte .env Dateien, API-Keys und Credentials — DSGVO-konform auf deutschen Servern.
Häufige FragenDefinition, Funktionsweise und Abgrenzung zu anderen Security-Tools.
.env-Dateien, API-Keys, Datenbank-Credentials und sonstige Geheimnisse prüft. Betrieben auf deutschen Servern (Hetzner), DSGVO-konform, ohne Account und ohne dauerhafte Speicherung der Scan-Ergebnisse.
Ein Secret Leak ist ein in HTML, JavaScript-Bundles oder öffentlich zugänglichen Konfigurationsdateien gespeichertes Geheimnis - typischerweise ein API-Key, ein Datenbank-Passwort oder ein Authentication-Token -, das versehentlich von einem Build-Prozess oder Deployment-Pipeline öffentlich gemacht wurde. Solche Leaks zählen laut OWASP Top 10 (A02:2021 Cryptographic Failures) zu den häufigsten Ursachen für Datenpannen und sind nach DSGVO Art. 32 meldepflichtig.
KEY=VALUE), die typischerweise lokal Datenbankpasswörter, API-Keys und private Schlüssel enthält. Wird sie versehentlich auf einen Webserver hochgeladen und ist unter /.env erreichbar, sind alle enthaltenen Geheimnisse öffentlich.NEXT_PUBLIC_*, VITE_*, PUBLIC_*) in das Production-Bundle einer SPA gelangt. Im Quellcode oft unsichtbar, im ausgelieferten main.js jedoch im Klartext lesbar..map-Datei, die den unminifizierten TypeScript- oder JSX-Quellcode samt Kommentaren und Variablennamen offenbart. Erleichtert Angreifern das Auffinden von Schwachstellen massiv.| Kriterium | Env Leak Scanner | git-secrets | trufflehog | GitHub Secret Scanning |
|---|---|---|---|---|
| Zugriffspunkt | Live-Website (URL) | Lokales Git-Repo | Git-Historie | GitHub-Repository |
| Installation nötig | Nein (Browser) | Ja (CLI) | Ja (CLI) | Nein (GitHub-Setting) |
| Prüft JavaScript-Bundles | Ja | Nein | Nein | Nein |
| Prüft .env-Pfade live | Ja | Nein | Nein | Nein |
| Multi-Page-Crawl | Ja (5/10/25 Seiten) | Nein | Nein | Nein |
| DSGVO-konformes Hosting | Ja (Hetzner DE) | Lokal | Lokal | USA |
| Kosten | Kostenlos | Kostenlos | Open Source / SaaS | Kostenlos (Public Repos) |
Empfehlung: Der Env Leak Scanner ist die richtige Wahl, wenn Sie kurz vor oder nach einem Deployment prüfen wollen, was tatsächlich nach außen erreichbar ist. Für die kontinuierliche Pre-Commit-Prüfung im Entwicklungsprozess ergänzen ihn lokale Tools wie git-secrets oder trufflehog ideal. Mehr Hintergrund zu Secrets-Management bietet der Wikipedia-Artikel zu Secrets management.
Schnelle Antworten zu API-Key Leaks, .env Exposition und Sicherheitschecks.
Der Scanner analysiert öffentlich erreichbare Seiten auf exponierte .env Dateien, API-Keys, Access Tokens und Datenbank-Credentials. Typische Fundstellen sind HTML-Quellcode, JavaScript-Bundles und bekannte Konfigurationspfade.
Der Check funktioniert framework-unabhängig für React, Vue, Angular, Next.js, Nuxt, Astro, WordPress, Shopify, Webflow und jede andere öffentlich erreichbare Website.
Ja. Der Scanner prüft jede erreichbare URL – ideal für Pre-Launch Security Audits auf Staging-Servern. Für localhost-Tests muss die Anwendung öffentlich tunnelbar sein.
Ja. Der Scanner läuft auf deutschen Servern (Hetzner), speichert keine personenbezogenen Daten dauerhaft und verwendet keine Tracking-Cookies.
Der Basis-Scan ist kostenlos und zeigt dir sofort kritische Sicherheitsprobleme. Für umfassende Security Audits kontaktiere uns direkt.
Sofort handeln: Betroffene Keys rotieren, Secrets aus dem Repository entfernen und Build-Prozesse prüfen. Der Scanner zeigt dir genau, wo das Problem liegt und wie kritisch es ist.
Kein Security-Theater, nur klare Schritte mit sofort sichtbarem Ergebnis.
Domain, Staging-System oder Entwicklungs-URL eingeben. Der Scanner akzeptiert jede öffentlich erreichbare Adresse.
Wir crawlen relevante Seiten und prüfen sensitive Pfade, JavaScript-Bundles und bekannte Konfigurationsdateien.
Alle Findings nach Kritikalität sortiert – von kritischen .env-Expositionen bis zu informativen Hinweisen.
Von klassischer Firmen-Website bis schnell gebauter AI-Microsite.
Staging sauber? Deploy sicher? Der Scan findet typische Leaks vor dem Go-Live. Ideal für Webflow, WordPress, Astro und React.
Schnell gebaut, schnell online – und schnell .env exposed? Perfekt für MVPs, Side-Projects und AI-generierte Anwendungen.
Public repos und JavaScript-Bundles sind häufige Fundstellen für API-Keys, Stripe Tokens und Analytics-Secrets.
Ob Startup in Berlin, Agentur in Wien oder SaaS-Team in Zürich.
Der Scanner läuft auf deutschen Servern (Hetzner) und speichert keine Scan-Daten dauerhaft. Vollständig konform mit Datenschutzanforderungen.
Keine US-Cloud, keine Third-Party-Tracker, keine Cookie-Banner nötig. Einfach URL eingeben und loslegen – Privacy by Design.
Erhalte den vollständigen Sicherheitsreport mit allen Details per E-Mail.