Claude Code ist Anthropics agentisches Coding-Tool im Terminal: Es liest deine ganze Codebase, plant Schritte, führt Shell- und Git-Befehle aus, editiert Dateien und integriert MCP-Server, Skills und Subagents. Je nach Modell und Setup kann Claude Code grosse Codebases, komplexe Refactorings und Sprachen jenseits von TypeScript besser bearbeiten als reine Browser-Builder.
Genau dadurch entsteht aber auch das Risiko. Claude Code sagt zu schnell Ja, wenn der Prompt unklar ist, und wählt einen plausiblen Pfad. Auth wird auf Endpoint A korrekt gesetzt und auf dem später hinzugefügten Endpoint B vergessen. Tests bestehen den Lauf, prüfen aber nichts Inhaltliches. Secrets landen im Code, weil das Beispiel im Tutorial es so zeigte.
Das bringen wir in Ordnung. Häufig in vier bis acht Wochen. Mit ehrlicher Einschätzung, klarem Plan und ohne versteckte Kosten.
Claude Code ist gut darin, in grossen Codebases tief zu arbeiten. Die Stärken:
Wo Claude Code an Grenzen stösst:
expect(user).toBeDefined() ist die Norm, nicht die Ausnahme.In längeren Claude-Code-Projekten können später ergänzte API-Endpoints ohne Auth-Middleware entstehen, wenn Anforderungen nicht explizit in Projektregeln verankert sind. Folge: Endpoint /admin/users/:id ist authentifiziert, /admin/users/export nicht. Datenabzug ohne Login möglich.
In Prototypen liegen Stripe-Keys, SendGrid-API-Tokens oder Datenbank-Connection-Strings gelegentlich direkt im Code statt in einem Secret-Store. Claude Code kann Beispiel-Werte aus Tutorials oder MCP-Tool-Antworten übernehmen. Sobald das Repo öffentlich oder breit geteilt wird, sind solche Schlüssel kompromittiert.
Viele Prototypen haben Tests mit Assertions wie expect(result).toBeDefined() oder expect(response.status).toBe(200), ohne zu prüfen, ob die Bestellung tatsächlich verbucht, der Lagerbestand reduziert oder die Mehrwertsteuer korrekt berechnet wurde. Der Test ist grün, der Bug ist trotzdem live.
Claude Code kann MCP-Server und Hooks aus der Projekt-Konfiguration nutzen. Öffentlich berichtete Sicherheitslücken rund um Hooks, Projekt-Konfiguration und Token-Handling zeigen: Solche Integrationen müssen auditiert werden. In Prototypen wird selten geprüft, welche MCP-Server tatsächlich vertrauenswürdig sind.
Claude Code generiert die ersten Queries mit Tenant-Filter sauber. Über mehrere Sessions, mehrere Subagents und neue Features driftet das. Eine Aggregation, eine Background-Job-Query, ein Admin-Endpoint vergisst den Filter. Folge: Mandant B sieht in einem Reporting-Endpoint Daten von Mandant A. Datenschutzpanne, schwer zu finden.
Viele Prototypen haben weder strukturiertes Logging noch Error-Monitoring. Try/Catch-Blöcke fangen Fehler ab, schreiben sie aber nirgendwo hin. Wenn etwas in Produktion bricht, erfährst du es aus einer Kundenmeldung, nicht aus deiner Telemetrie. Dazu fehlt oft ein Runbook: was tun bei Stripe-Webhook-Ausfall, bei Datenbank-Lock, bei MCP-Server-Timeout.
Dauer: 4 bis 6 Wochen.
Dauer: 8 bis 16 Wochen.
Schriftlicher Bericht, Risiko-Übersicht, Härtungs-Plan inklusive MCP- und Hook-Audit. 1 bis 2 Wochen.
Für Claude-Code-Output mit klarer Grundstruktur. 4 bis 6 Wochen. Auth-Härtung, Logging, Tests, Multi-Tenancy, MCP-Whitelist.
Für grössere Claude-Code-Codebases mit eigenen MCP-Servern, vielen Subagents und besonderer Compliance. 6 bis 8 Wochen.
Wenn zu viel von Grund auf neu gebaut werden muss. 8 bis 16 Wochen.
Wir managen Infrastruktur, Wartung, Sicherheit, Updates und Skalierung. Du kannst weiter mit Claude Code bauen; wir prüfen, härten und mergen jede Session kontrolliert über klare Regeln und eine saubere Pipeline in den produktiven Betrieb. Die monatlichen Kosten wachsen mit Nutzung und Anspruch.
Ja, wenn die Architektur tragfähig ist. Claude Code generiert oft standardnahen Code in TypeScript, Python, Go oder Rust, häufig mit Frameworks wie Next.js, Express, FastAPI oder Hono. Wir prüfen ihn, ergänzen Auth-Middleware konsistent, schreiben Projektregeln so, dass folgende Sessions weniger driften, und sichern Secrets in einem Secret-Store. Der Aufwand hängt vom Zustand der Codebase ab.
Das hängt stark von Struktur, Tests und Sicherheitsrisiko ab. Geschäftslogik, UI-Komponenten und gut strukturierte Module bleiben oft erhalten. Wir tauschen vor allem operative und sicherheitskritische Schichten: Auth, Validation, Logging, Multi-Tenancy, MCP-Konfiguration. Wenn dein Output über mehrere Agent-Sessions inkonsistent geworden ist, kann ein grösserer Umbau sinnvoller sein.
Das hängt stark von deinen Prompts und deinem CLAUDE.md ab. Häufig sehen wir: Drizzle oder Prisma als ORM, Postgres oder SQLite als Datenbank, Hono oder Express als Server, Vite oder Next.js im Frontend, Stripe für Bezahlung, Resend oder SendGrid für E-Mail. MCP-Server kommen oft für GitHub, Postgres, Filesystem oder Browser-Automation dazu. Anders als Lovable hat Claude Code keinen Standard-Stack, sondern wählt opportunistisch. Genau das prüfen wir im Audit.
MCP-Server und Hooks sind sensible Stellen. Öffentlich berichtete Claude-Code-Themen wie CVE-2025-59536 und CVE-2026-21852 zeigen, dass Projekt-Konfiguration, Hooks und Token-Handling ernsthaft geprüft werden müssen. Wir auditen aktive MCP-Server-Quellen, setzen Whitelists, prüfen riskante Shell-/Netzwerkzugriffe und behandeln Agent-Output wie jeden anderen Pull-Request: Review, Tests, dokumentierter Merge.
Claude Code nutzt Markdown-basierte Subagents, Skills, Hooks und das Verzeichnis .claude/ mit settings.json und CLAUDE.md. Codex CLI verwendet TOML-Profile, AGENTS.md und das Verzeichnis .agents/. Beide laufen agentisch, aber das Tooling, die Sandbox-Strategie und die OAuth-Bindung unterscheiden sich. Im Audit prüfen wir entsprechend andere Stellen. Wenn du beide Tools parallel nutzt, dokumentieren wir die Verantwortungs-Grenzen in einer einzigen Repo-Konstitution, damit kein Tool dem anderen ins Werk pfuscht.
Wir sind von Anfang an für dich da. Uns ist wichtig, dass ihr mit eurer SaaS-Lösung langfristig erfolgreich seid, weil beide Seiten davon profitieren: du bekommst ein stabiles Produkt, wir gewinnen eine starke langfristige Partnerschaft. Deshalb ist uns der laufende Betrieb besonders wichtig. Unsere Begleitung ist optional, sorgt aber dafür, dass Infrastruktur, Wartung, Sicherheit, Updates und Skalierung mitwachsen. Speziell bei Claude Code: wir auditen jede grössere Session über Pull-Request-Hooks, bevor sie in den Hauptbranch geht. Ohne diese Begleitung kann eine einzige unbedachte Session monatelange Härtungsarbeit aushebeln.
Ja, das ist unser Standard. Alle zwei Wochen Code-Review und Demo der letzten Features, danach die nächste Etappe. Du kannst jederzeit Prioritäten verschieben. Bei Claude-Code-Projekten arbeiten wir zusätzlich mit einer geprüften Plan-Mode-Pipeline: Du legst den Auftrag in Plan Mode an, wir reviewen den Plan vor der Ausführung und mergen das Ergebnis erst nach automatisierten Sicherheits- und Test-Checks. Das hält das Tempo hoch und die Codequalität stabil.
Ja. Wir analysieren deinen Claude-Code-Output kostenlos, inklusive MCP- und Hook-Audit, CLAUDE.md-Review und Sicherheits-Scan. Danach sagen wir dir ehrlich, ob sich eine Härtung lohnt oder ob ein Neuaufbau sinnvoller ist. Wenn du nicht mit uns arbeiten möchtest, ist das in Ordnung. Du behältst den Bericht und kannst die Empfehlungen selbst umsetzen.
Schick uns dein Git-Repo. Wir auditen es kostenlos, inklusive MCP- und Hook-Konfiguration, und schicken dir einen schriftlichen Bericht und einen klaren Härtungsplan.