DEV Community: Enjyn Gruppe

Wir haben einen Website-Crawler gebaut, der 50+ Checks in einem Scan macht — kostenlos

Enjyn Gruppe — Thu, 21 May 2026 22:44:04 +0000

Das Problem: Eine Website checken = 8 Tools öffnen

Als Software-Agentur prüfen wir bei Enjyn ständig Websites. Bei Erstgesprächen mit potenziellen Kunden, bei bestehenden Projekten, vor Übergaben, nach Releases. Die Frage ist immer dieselbe: Ist diese Website technisch sauber, DSGVO-konform und sicher?

Die Antwort findet sich in keinem einzelnen Tool:

Aspekt	Tool das wir bisher öffneten
Performance	Google PageSpeed Insights, GTmetrix
Security Headers	securityheaders.com
SSL-Zertifikat	SSL Labs
SEO	Ahrefs / Screaming Frog / Mangools
DSGVO-Check	manuell
Cookie-Banner	manuell
Schema.org	Google Rich Results Test
Mobile	PageSpeed Mobile

Acht Tools für einen Website-Check. Jedes mit eigener UI, eigenen Bewertungslogiken, eigenen Reports. Bei zwanzig Websites am Tag ist das ein halber Arbeitstag nur fürs Hin- und Herklicken.

Wir wollten ein Tool, das alles auf einmal macht — speziell für den DACH-Markt mit DSGVO-Fokus.

Die Frage: Können wir das selbst bauen?

Bestehende All-in-One-Tools gibt es. Aber:

Die meisten sind englischsprachig und ignorieren deutsche Rechtsanforderungen (Impressumspflicht §5 TMG, DSGVO-Cookie-Regeln, Google Fonts Schrems II)
Viele sind kostenpflichtige SaaS ab 50€/Monat
Die kostenlosen geben nur Teil-Reports und wollen dich in einen Funnel zwingen

Was wir wollten:

Eine URL rein, vollständiger Report raus
DSGVO-zentrisch (Impressum, Datenschutz, externe Fonts, Tracking-ohne-Consent)
Kostenlos, ohne Registrierung
Objektive Bewertung — keine subjektiven Faktoren

Also haben wir uns hingesetzt und den Enjyn Crawler gebaut. Heute prüft er über 50 Faktoren in einem einzigen Scan.

Was wir prüfen — die 50+ Checks

Vier Kategorien, jede mit konkreten technischen Tests:

Sicherheit (14 Checks)

HTTPS/SSL, HSTS Header, CSP Header, X-Frame-Options, X-Content-Type, Referrer-Policy, Permissions-Policy, security.txt, Mixed Content, CSRF-Schutz, Server-Info Leakage, PHP-Version exposed, sensible Dateien (.env, .git), WP User Enumeration.

SEO (15 Checks)

robots.txt, sitemap.xml, llms.txt, Meta-Title (10-70 Zeichen), Meta-Description (50-160 Zeichen), Canonical URL, H1-H6 Struktur, Open Graph, Twitter Cards, Schema.org, Favicon, Alt-Texte, interne/externe Links, Wortanzahl.

Rechtliches/DSGVO (12 Checks)

Impressum, Datenschutzerklärung, AGB, Widerruf, Cookie-Banner, Cookie-Richtlinie, Google Fonts (Schrems II!), Google Analytics, Facebook Pixel, Tracking ohne Consent, TMG/DDG-Prüfung, Kontaktdaten.

Performance & Mobile (13 Checks)

Ladezeit, Seitengröße, GZIP/Brotli, HTTP/2, DOM-Größe, Ressourcen-Anzahl, Bilder, Scripts, Stylesheets, Third-Party Requests, Viewport, Skip-Link, ARIA Landmarks.

Der Stack — komplett offen

Im Gegensatz zum KYC-Artikel müssen wir hier nichts verstecken — der Crawler ist Open-Approach, es gibt keinen Anti-Fraud-Grund für Geheimhaltung:

Sprache: Python 3.11+
Web-Framework: Flask
HTTP-Client: httpx (statt requests — async + HTTP/2)
HTML-Parser: BeautifulSoup4 + lxml
Spracherkennung: Lingua (AI-basiert, 95%+ Genauigkeit)
Datenbank: SQLite (Scans werden temporär gespeichert)
WSGI: Gunicorn

Bewusst kein Headless Browser (Puppeteer/Playwright). Warum? Geschwindigkeit. Ein vollständiger Scan dauert bei uns 2-8 Sekunden statt 30-60 Sekunden bei Lighthouse-basierten Tools.

Das geht, weil wir bewusst nicht jedes JavaScript ausführen. Wir analysieren das gelieferte HTML, Headers und statische Assets — das deckt 95% der relevanten Probleme ab. Die fehlenden 5% (z.B. Runtime-Performance) sind genau die, für die du PageSpeed Insights eh weiter brauchst.

Beispiel: SSL-Check

So sieht der SSL-Check unter der Haube aus:

import ssl
import socket

def check_ssl(domain):
    context = ssl.create_default_context()
    with socket.create_connection((domain, 443), timeout=5) as sock:
        with context.wrap_socket(sock, server_hostname=domain) as ssock:
            cert = ssock.getpeercert()

    # Ablaufdatum extrahieren
    not_after = cert['notAfter']
    expires = datetime.strptime(not_after, '%b %d %H:%M:%S %Y %Z')
    days_left = (expires - datetime.utcnow()).days

    if days_left < 14:
        return {'status': 'critical', 'days': days_left}
    elif days_left < 30:
        return {'status': 'warning', 'days': days_left}
    else:
        return {'status': 'ok', 'days': days_left}

Kein Hexenwerk. Nur Python-Standardbibliothek. Die meisten unserer 50+ Checks sind ähnlich straightforward — der Aufwand lag nicht im Einzelcheck, sondern im Sammeln aller Edge-Cases, die in deutschen Websites real auftreten.

Beispiel: Google Fonts Detection (Schrems II!)

Ein Check, der erst seit Schrems II 2020 wirklich wichtig ist:

def check_google_fonts(html):
    # Schrems II: Google Fonts ohne Consent = DSGVO-Verstoß
    # (LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20)

    indicators = [
        'fonts.googleapis.com',
        'fonts.gstatic.com',
        '@import url\\(.*fonts\\.google'
    ]

    for pattern in indicators:
        if re.search(pattern, html, re.IGNORECASE):
            return {
                'status': 'critical',
                'reason': 'Google Fonts wird extern geladen',
                'risk': 'IP-Übertragung in die USA ohne Consent',
                'fix': 'Self-Hosting der Fonts oder Consent vor Laden'
            }

    return {'status': 'ok'}

Das ist ein typischer Crawler-Check, den kein internationales Tool macht, weil das Rechtsproblem deutsch-spezifisch ist.

Das Scoring: eRate + eTrust

Statt eine einzige "Note" zu geben, splitten wir das Ergebnis bewusst in zwei Bewertungen:

eRate — Technische Qualität (0-100%)

Kategorie	Max. Punkte
Sicherheit	30
Datenschutz & Rechtliches	25
SEO & Auffindbarkeit	25
Performance	20

eTrust — Vertrauenswürdigkeit (0-100%)

Faktor	Punkte
SSL/HTTPS	15
Impressum	15
Datenschutzerklärung	12
Kontaktinformationen	10
Keine Malware-Indikatoren	10
Sichere Formulare	8
Professionelles Erscheinungsbild	8
Transparenz	7

Warum zwei Werte? Weil eine Website technisch perfekt sein kann (eRate A+), aber unseriös wirken (kein Impressum, kein Kontakt → eTrust D). Beide Aspekte sind für Besucher relevant — und werden mit nur einem Score vermischt.

Was wir bewusst NICHT machen

Keine echte Performance-Messung im Browser. Wir messen Server-Response-Time und Asset-Größen, nicht Time-to-Interactive oder Largest Contentful Paint. Dafür gibt es PageSpeed Insights — wir wollten nicht der zweite sein, sondern die anderen 95% abdecken.

Keine Penetration Tests. Wir scannen passiv. Kein Brute-Force, kein Port-Scanning, kein SQL-Injection-Test. Das wäre ohne Erlaubnis des Website-Betreibers illegal.

Keine englischsprachigen Websites. Wir erkennen die Sprache der Website automatisch (via Lingua + HTML lang-Attribut) und führen den vollständigen Scan nur für deutschsprachige Websites durch. Internationale Seiten bekommen einen reduzierten Report.

Keine Hidden-Funnel-Logic. Du bekommst den vollen Report ohne E-Mail-Adresse, ohne Signup, ohne "Premium-Features dahinter". Die Bewertung ist die Bewertung.

Das Widget — Trust nach außen tragen

Nach jedem Scan kannst du das eRate/eTrust-Widget kostenlos auf deine Website einbinden. Ähnlich wie Trustpilot, aber für objektive Technik-Kriterien statt subjektive Bewertungen:

<iframe 
  src="https://crawler.eg-core.de/widget/embed?domain=deinedomain.de"
  width="300" 
  height="150"
  frameborder="0">
</iframe>

Wir verifizieren beim Einbetten, dass die anzeigende Domain mit der gescannten übereinstimmt — kein "Fake-A+-Badge", den jemand stehlen könnte.

Warum das was bringt: Ein automatisch generiertes, unbestechliches Vertrauenssiegel. Im Gegensatz zu kaufbaren Gütesiegeln bedeutet ein A+ hier real, dass dein technisches Setup sauber ist.

Wer das nutzt

Aktuell scannen wir mit dem Crawler intern:

Vor jedem Erstgespräch mit potenziellen Kunden — wir gehen vorbereitet ins Meeting
Nach jedem Projekt-Release als Quality Gate
Quartalsweise für alle Hosting-Kunden, die unser Audit-Paket gebucht haben

Extern wird er von Webentwicklern, Agenturen und einigen Datenschutzbeauftragten genutzt, um schnell Sites zu screenen. Genaue Zahlen behalten wir für uns — aber er läuft stabil und schnell genug für unseren Bedarf.

Wenn du es probieren willst

Scanner: crawler.eg-core.de/scan — keine Registrierung, direkt URL eingeben
Rating-Erklärung: crawler.eg-core.de/widget/info — alle Bewertungskriterien im Detail
Technische Doku: crawler.eg-core.de/widget/tech — für Entwickler, die alle Checks im Detail nachlesen wollen

Wenn du das Widget auf deiner Website einbinden willst: nach erfolgreichem Scan bekommst du den Embed-Code direkt im Report.

Warum wir eine eigene KYC-API gebaut haben — und es kostenlos rausgeben

Enjyn Gruppe — Thu, 21 May 2026 22:29:31 +0000

Das Problem: KYC ist teuer. Sehr teuer.

Vor knapp einem Jahr hatten wir bei Enjyn ein wiederkehrendes Muster: Für mehrere unserer Kundenprojekte brauchten wir eine zuverlässige Identitätsprüfung — mal für Altersverifikation, mal für eine Community-Plattform, mal für einen Marktplatz mit Verkäufer-KYC.

Wir haben uns die üblichen Verdächtigen angeschaut:

Anbieter	Preis pro Verifikation	Setup
Onfido	ab ~2 €	Enterprise-Sales
IDnow	ab ~2–5 €	Vertrieblicher Erstkontakt
Veriff	ab ~1–3 €	Self-Service, aber Mindestvolumen

Bei einem unserer Projekte mit erwarteten 1.500 Verifikationen im Monat wären das 2.250 – 7.500 € monatlich gewesen. Für ein Tool, das vor allem im Hintergrund läuft und „nur" prüft, ob ein Personalausweis echt ist.

Die ehrliche Erkenntnis: Wir wollten das nicht zahlen. Und unsere Kunden auch nicht.

Die Frage: Können wir das selbst bauen?

Ein paar Wochenenden Recherche später war klar: Ja, können wir. Die Bestandteile sind technisch alle vorhanden:

Dokumenten-OCR für Ausweisdaten (Name, Geburtsdatum, MRZ-Zone)
Dokumenten-Authentizitätsprüfung (Hologramme, Sicherheitsmerkmale, MRZ-Checksums)
Datenabgleich zwischen Nutzer-Eingabe und Ausweisdaten
Auto-Datenextraktion aus Vorder- und Rückseite

Was wir nicht wollten:

Daten in die USA schicken (DSGVO-Albträume mit Schrems II)
Cloud-Lösungen mit Per-Call-Pricing (genau das Problem, das wir lösen wollten)
Black-Box-Modelle, deren Funktion wir nicht erklären können

Also haben wir uns hingesetzt und unsere eigene KI/ML-Pipeline gebaut. Komplett in-house, auf eigenen Servern in Deutschland.

Der Stack — grob umrissen

Aus naheliegenden Gründen veröffentlichen wir nicht jedes Detail (Anti-Fraud-Schutz), aber das große Bild:

Bildverarbeitung: Ausweis-Bilder werden zuerst normalisiert, entzerrt und auf Qualität geprüft. Zu unscharf, zu schräg oder Bildschirm-Fotografie → automatische Ablehnung.

OCR & MRZ-Parsing: Die Maschinenlesbare Zone (MRZ) deutscher Ausweise und Reisepässe wird ausgelesen, validiert (Prüfsummen) und mit den OCR-Daten aus dem visuellen Bereich abgeglichen.

Datenabgleich: Die vom Anwender vorab angegebenen Daten (Vorname, Nachname, Geburtsdatum) werden mit den extrahierten Ausweisdaten verglichen. Diskrepanzen → Status failed.

Auto-Löschung: Hochgeladene Bilder werden nach 10 Minuten gelöscht, Satus-Daten nach 30 Tagen. Mehr nicht.

Wie die API aussieht

Wir nutzen einen einfachen, dreistufigen Flow — bewusst minimalistisch gehalten:

1. Verifikations-Session erstellen

curl -X POST https://api.verify.enjyn.de/api/v1/verify \
  -H "Content-Type: application/json" \
  -H "X-API-Key: YOUR_API_KEY" \
  -d '{
    "vorname": "Max",
    "nachname": "Mustermann",
    "geburtsdatum": "01.01.1990",
    "return_url": "https://ihre-website.de/callback.html"
  }'

Response:

{
  "success": true,
  "session_id": "uuid",
  "token": "secure-token",
  "verify_url": "https://api.verify.enjyn.de/verify/token",
  "qr_url": "https://api.verify.enjyn.de/api/v1/qr-code/token"
}

Du leitest den Nutzer auf die verify_url weiter — oder zeigst den QR-Code an, damit er die Verifikation auf dem Smartphone fortsetzt. Der Nutzer lädt dort Vorder- und Rückseite seines Ausweises hoch, der Rest passiert automatisch.

2. Status nach Callback abrufen

Nach Abschluss leiten wir den Nutzer auf deine return_url weiter. Wichtig: Der status-Parameter in der URL ist nicht vertrauenswürdig (kann manipuliert werden). Den echten Status holst du dir per API:

curl https://api.verify.enjyn.de/api/v1/get-result/{session_id} \
  -H "X-API-Key: YOUR_API_KEY"

Response bei Erfolg:

{
  "success": true,
  "status": "verified",
  "vorname": "Max",
  "nachname": "Mustermann",
  "geburtsdatum": "01.01.1990",
  "verified_at": "2026-05-21T23:42:18Z"
}

3. Vollständige JavaScript-Integration

// 1. Session erstellen
const response = await fetch('https://api.verify.enjyn.de/api/v1/verify', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/json',
        'X-API-Key': 'YOUR_API_KEY'
    },
    body: JSON.stringify({
        vorname: 'Max',
        nachname: 'Mustermann',
        geburtsdatum: '01.01.1990',
        return_url: 'https://ihre-website.de/callback.html'
    })
});

const { verify_url, session_id } = await response.json();

// Session-ID lokal merken für späteren Abruf
sessionStorage.setItem('kyc_session', session_id);

// 2. Nutzer zur Verifikation weiterleiten
window.location.href = verify_url;

// 3. Auf der Callback-Seite: Status SICHER validieren
const sessionId = sessionStorage.getItem('kyc_session');
const result = await fetch(
    `https://api.verify.enjyn.de/api/v1/get-result/${sessionId}`,
    { headers: { 'X-API-Key': 'YOUR_API_KEY' } }
);
const verification = await result.json();

if (verification.status === 'verified') {
    console.log('✓ Verifiziert:', verification.vorname);
}

Status-Werte

Status	Beschreibung
`pending`	Wartet auf Nutzer-Upload
`processing`	Bilder werden verarbeitet
`verified`	✅ Erfolgreich
`failed`	❌ Fehlgeschlagen

Was wir bewusst NICHT machen

Keine internationalen Ausweise (noch nicht). Wir prüfen aktuell deutsche Personalausweise und Reisepässe. Das deckt unseren Use Case ab. Internationale Dokumente erfordern Trainingsdaten und Validierung, die wir bisher nicht haben.

Kein BaFin-Level KYC. Für Banken und Finanzdienstleister gibt es regulatorische Anforderungen (qualifizierte elektronische Signatur, Video-Ident mit Schulungsanforderungen), die wir nicht abdecken. Wenn du als Bank KYC brauchst: nimm IDnow oder PostIdent. Wir sind die richtige Wahl für E-Commerce, Communities, SaaS, Events und Marktplätze.

Kein Speichern der Originaldaten über Wochen. Manche Anbieter behalten Dokumente monatelang für „Audit-Zwecke". Wir nicht. Bilder weg nach 10min, Session (anonymisiert) weg nach 30 Tagen.

Warum wir es kostenlos rausgeben

Faire Frage. Antwort in drei Teilen:

Erstens — Eigeninteresse. Wir nutzen es selbst in mehreren Projekten. Es kostenlos verfügbar zu machen, kostet uns kaum mehr als es nur intern zu nutzen. Die Infrastruktur läuft sowieso.

Zweitens — Marktposition. Wir sind eine Software-Agentur. Kunden, die unser KYC-API ausprobieren und damit zufrieden sind, fragen uns irgendwann auch für andere Dinge an. Hosting, Custom-Entwicklung, SEO. Das funktioniert.

Drittens — wir können Volumen-Preise später noch differenzieren. Aktuell ist es bis zu 150 Verifys (nur erfolgreich) Monatlich kostenlos.

Aktuelle Nutzung

Wir haben aktuell 8 aktive Partner, die zusammen 60–150 Verifikationen pro Monat durchführen. Klein, aber stetig wachsend. Wir wollten erst sicher sein, dass die Pipeline robust läuft, bevor wir lauter werden.

Das hier ist der Anfang davon, lauter zu werden.

Wenn du es probieren willst

Demo: enjyn.de/kyc — du kannst dich live durchprüfen lassen
API-Docs: enjyn.de/apis?kyc
API-Key anfordern: Kurze Nachricht über enjyn.de/kontakt mit deinem Use Case. Wir machen das aktuell noch manuell, um Missbrauch zu verhindern. Antwortzeit meist unter 6h.