Zum Inhalt springen
Freemium 🇪🇺 EU-Server Zuletzt geprüft: Juni 2026

GitGuardian

GitGuardian

4/5
Tool öffnen

GitGuardian erkennt versehentlich im Code eingecheckte Secrets, API-Keys, Passwörter, Zertifikate, bevor sie ausgenutzt werden können. Mit Hunderten spezifischer und generischer Detectors und Scanning über die gesamte Git-History ist es der Standard für Secrets-Security in DevSecOps-Teams.

Kosten: Kostenlos für Teams bis 25 Entwickler (internes Monitoring). Business-Plan mit Custom Pricing für bis zu 200 Entwickler. Enterprise ab 200+ Entwickler auf Anfrage.

Kategorien

Stärken

  • Erkennt Hunderte spezifischer Secret-Typen inkl. AWS, GitHub, Slack, OpenAI-Tokens, plus generische Detectors
  • Scannt nicht nur aktuelle Commits, sondern die vollständige Git-History
  • ggshield CLI für Pre-Commit-Hooks, verhindert Secrets bereits lokal vor dem Push
  • NHI Governance und Jira/Confluence-Scanning für breite Angriffsflächen-Abdeckung
  • Kostenloser Plan für Teams bis 25 Entwickler ohne Einschränkungen beim Real-Time-Scanning

Einschränkungen

  • Kein Deutsch-Support, Plattform ausschließlich auf Englisch
  • Voller Nutzen erst in größeren Teams mit vielen Repos und Integrationen sichtbar
  • GitHub Secret Scanning bietet kostenlosen Basis-Schutz als direkte Alternative für GitHub-only-Teams
  • Business- und Enterprise-Preise sind nicht öffentlich, erfordert Verhandlung mit dem Sales-Team

Passt gut zu

Entwicklungsteams, die Secrets-Leaks in Code-Repos verhindern wollen Security-Teams mit Compliance-Anforderungen (SOC 2, ISO 27001) Unternehmen mit vielen Entwicklern und hohem Risiko für versehentliche Credential-Leaks

Wann ja, wann nein

Wann ja

  • Dein Team committest regelmäßig Code und möchte versehentliche Secret-Leaks verhindern
  • Du brauchst einen Scan über die vollständige Git-History, nicht nur aktuelle Commits
  • Compliance-Anforderungen (SOC 2, ISO 27001) verlangen Nachweis über Secrets-Monitoring
  • Du willst Pre-Commit-Hooks für lokale Prüfung vor dem Push

Wann nein

  • Du suchst allgemeinen Schwachstellen-Scan für Dependencies (dafür ist Snyk besser)
  • Dein Team hat weniger als 5 Entwickler und kaum externe API-Integrationen
  • Du brauchst ein Tool auf Deutsch, GitGuardian ist ausschließlich englischsprachig
  • Du benötigst SAST für Code-Qualität (da ist SonarQube die richtige Wahl)

Kurzfazit

GitGuardian ist das spezialisierte Werkzeug, wenn du sicherstellen willst, dass keine API-Keys, Zugangsdaten oder Zertifikate versehentlich in deinen Code-Repositories landen. Kein anderes Tool deckt mit Hunderten spezifischer Secret-Detectors so breite Angriffsflächen ab und bietet gleichzeitig die Kombination aus Pre-Commit-Prüfung, CI/CD-Integration und vollständigem History-Scan. Der Free-Plan bis 25 Entwickler macht den Einstieg ohne Budget-Diskussion möglich. Für umfassendes DevSecOps-Tooling empfiehlt sich die Kombination mit Snyk für Dependency-Scans und SonarQube für Code-Qualität, GitGuardian ist ein Spezialist, kein Allrounder.

Für wen ist GitGuardian?

Entwicklungsteams in SaaS- und Tech-Unternehmen: Überall dort, wo Code täglich mehrfach committer wird und Dutzende von API-Integrationen im Einsatz sind, ist das Risiko versehentlicher Secret-Leaks hoch. GitGuardian macht dieses Risiko sichtbar und beherrschbar, besonders für Teams, die schnell wachsen und dabei manchmal Sicherheitsdisziplin gegen Geschwindigkeit tauschen.

Security- und DevSecOps-Teams mit Compliance-Druck: SOC 2, ISO 27001 und ähnliche Frameworks verlangen dokumentierte Maßnahmen gegen Credential-Leaks. GitGuardian liefert nicht nur Schutz, sondern auch Audit-Trails und Reporting, die Compliance-Prüfer überzeugen.

Open-Source-Maintainer: Das Public-Source-Monitoring ist kostenlos und dauerhaft. Wer OSS-Projekte auf GitHub verwaltet, bekommt sofort Benachrichtigungen, wenn ein Contributor versehentlich einen Token in einem PR hinterlässt.

Startups in Wachstumsphasen: Mit dem kostenlosen Plan für bis zu 25 Entwickler ist der Einstieg ohne Budget-Diskussion möglich. Genau der richtige Moment, gute Secrets-Hygiene zu etablieren, bevor das Team wächst und Technical Debt in der Security entsteht.

Weniger geeignet für: Teams, die ausschließlich auf GitHub setzen und mit dem eingebauten GitHub Secret Scanning zufrieden sind. Ebenfalls weniger passend für Einzelentwickler mit überschaubaren Projekten und kaum externen API-Integrationen, hier übersteigt der Aufwand den Nutzen.

Preise im Detail

PlanPreisEntwicklerWas du bekommst
Free (Starter)0 €bis 25Real-Time-Scanning unbegrenzt, bis 500 historische Scan-Befunde, internes Secrets Monitoring
BusinessCustombis 200Bis zu 20 Teams, Remediation Playbooks, Repos bis 12 GB, Custom Regex Detectors, alle Free-Features
EnterpriseAuf Anfrage200+Alle drei Produktlinien (Internal + Public Monitoring + NHI Governance), Self-Hosted-Option, Honeytokens, Push-to-Vault, dedizierter Support

Einordnung: Der Free-Plan ist für kleine Teams echt großzügig, Real-Time-Scanning ohne Limit für bis zu 25 Entwickler deckt die Mehrheit der Startups ab. Business lohnt sich, sobald du mehr als 25 Entwickler hast oder Remediation-Workflows und größere Repository-Scans brauchst. Die Preise für Business und Enterprise sind nicht öffentlich; rechne für mittelgroße Teams mit Preisen ab ca. 15–25 USD pro Entwickler und Monat. Enterprise-Kunden mit Self-Hosted-Anforderungen sollten frühzeitig mit dem Sales-Team sprechen.

Stärken im Detail

Hunderte spezifischer Secret-Detectors machen den Unterschied. GitGuardian erkennt nicht nur generische API-Keys, sondern kennt das spezifische Format von AWS-Credentials, GitHub-Tokens, OpenAI-API-Keys, Slack-Webhooks, Stripe-Secrets und vielen weiteren Diensten. Eine AI-gestützte kontextuelle Markierung priorisiert die Befunde, dadurch gibt es kaum False Positives bei spezifischen Diensten, und echte Leaks werden mit hoher Treffsicherheit hervorgehoben.

History-Scan ist einmalig wertvoll, und oft überraschend. Die meisten Unternehmen, die GitGuardian zum ersten Mal in ihre bestehenden Repos lassen, sind schockiert: Credentials, die vor Monaten oder Jahren eingecheckt wurden und längst vergessen sind, tauchen auf, und sind häufig noch aktiv. Der vollständige Git-History-Scan ist keine Einmalfunktion, sondern eine Grundvoraussetzung für eine ehrliche Einschätzung der eigenen Sicherheitslage.

ggshield als Pre-Commit-Hook schließt die Lücke an der Quelle. Die Erkennung im Repository ist wichtig, aber noch besser ist es, Secrets gar nicht erst einzuchecken. Der ggshield-CLI lässt sich als Git-Hook installieren und prüft jeden Commit lokal, bevor er das Repository auch nur erreicht. Das ist der effektivste Zeitpunkt für einen Eingriff, bevor ein Secret in der History landet.

NHI Governance adressiert den blinden Fleck Non-Human-Identities. Neben Entwickler-Credentials gibt es in modernen Umgebungen tausende automatisierter Service-Accounts, CI/CD-Tokens und Machine-to-Machine-Credentials. GitGuardian scannt nicht nur Code, sondern auch Jira, Confluence und andere Collaboration-Tools, genau dort, wo Credentials häufig in Kommentaren oder Dokumenten landen.

Schwächen ehrlich betrachtet

Business- und Enterprise-Pricing ist eine Black Box. Wer mehr als 25 Entwickler hat, muss mit dem Sales-Team sprechen. Konkrete Budgetplanung ist damit schwer, und Vergleiche mit Alternativen wie GitHub Advanced Security werden zum mühsamen Prozess. Für Unternehmen, die gerne transparent kalkulieren, ist das frustrierend.

Kein Deutsch-Support ist in der Praxis ein Hindernis. Die gesamte Plattform, Dashboard, Alerts, Dokumentation, Support, ist auf Englisch. Für Teams, in denen nicht alle Entwickler fließend Englisch lesen, erschwert das die Adoption. Ein Workaround sind interne Schulungen und deutsche Runbooks, aber das ist zusätzlicher Aufwand.

GitHub Secret Scanning ist für GitHub-only-Teams eine ernsthafte Alternative. GitHub Advanced Security enthält ein eigenes Secret Scanning, das direkt in den GitHub-Workflow integriert ist und für Public-Repos kostenlos ist. Wer ausschließlich auf GitHub setzt, sollte zunächst prüfen, ob GitHub Secret Scanning ausreicht, GitGuardian glänzt vor allem bei Multi-Platform-Umgebungen (GitHub + GitLab + Bitbucket) und tieferen Compliance-Anforderungen.

Voller Nutzen setzt eine gewisse Reife voraus. Pre-Commit-Hooks funktionieren nur, wenn alle Entwickler sie installieren und nicht deaktivieren. Das erfordert Disziplin und ggf. erzwungene CI/CD-Gates. Bei Teams ohne DevSecOps-Kultur ist GitGuardian nicht die erste Priorität, zuerst braucht es Awareness und Prozesse.

Alternativen im Vergleich

Wenn du……nimm stattdessen
Dependency-Vulnerabilities in npm, PyPI oder Maven scannen willstSnyk
Code-Qualität und Security-Bugs im eigenen Code analysieren willstSonarQube
Ausschließlich GitHub nutzt und Secrets Scanning im integrierten Workflow willstGitHub Advanced Security (kein eigenes Tool-Profil)
KI-generieren Code auf Secrets prüfen willst (Copilot + Guardian)GitHub Copilot kombiniert mit GitGuardian

GitGuardian ist kein Ersatz für Snyk oder SonarQube, sondern eine Ergänzung: Secrets-Schutz ist eine eigene Schicht im Sicherheits-Stack, die keines der anderen Tools vollständig abdeckt.

So steigst du ein

Schritt 1: Verbinde GitGuardian mit deiner GitHub- oder GitLab-Organisation, der kostenlose Plan für bis zu 25 Entwickler ist sofort aktiv ohne Kreditkarte. Für Public-Source-Monitoring aktivierst du das kostenlose Public-Dashboard. Für interne Repos prüfst du, ob der Free-Plan deine Team-Größe abdeckt oder ob du Business brauchst.

Schritt 2: Installiere ggshield als Pre-Commit-Hook auf den Entwicklungsrechnern deines Teams: pip install ggshield && ggshield install -m global. Ab jetzt wird jeder Commit lokal gescannt, bevor er das Repository erreicht. Alternativ integrierst du ggshield direkt in deine CI/CD-Pipeline als Gate, das Pushes mit Secrets blockiert.

Schritt 3: Lasse einen vollständigen History-Scan über deine wichtigsten Repositories laufen: ggshield secret scan repo ., erfahrungsgemäß finden Teams dabei alte, längst vergessene Credentials, die seit Jahren aktiv sind. Priorisiere die Befunde nach Dienst-Kritikalität und rotiere betroffene Keys sofort. Dokumentiere den Prozess für deinen Compliance-Nachweis.

Ein konkretes Beispiel

Ein Berliner Fintech-Startup mit 12 Entwicklern entdeckt beim ersten GitGuardian-Scan in der Git-History einen AWS-API-Key, der vor 18 Monaten versehentlich eingecheckt und seitdem nie rotiert wurde. GitGuardian zeigt den genauen Commit, die betroffene Datei und gibt Schritt-für-Schritt-Anweisungen zur Rotation. Der Key wird sofort invalidiert und erneuert, das ganze Vorgehen dauert weniger als eine Stunde. Ohne GitGuardian wäre dieser Leak wahrscheinlich jahrelang unbemerkt geblieben und hätte beim nächsten Sicherheitsaudit oder Pentest zu einer kritischen Befundkategorie geführt. Seit dem Scan laufen Pre-Commit-Hooks auf allen Entwickler-Maschinen, und das Team hat in sechs Monaten keinen einzigen neuen Secret-Leak produziert.

DSGVO & Datenschutz

  • Datenhosting: GitGuardian bietet eine EU-Hosting-Region (AWS Frankfurt) an, ein klarer Vorteil gegenüber vielen US-Konkurrenten. Wichtig: Die EU-Region ist Business- und Enterprise-Kunden vorbehalten und muss bei der Konto-Erstellung aktiv gewählt werden, der Free-Plan läuft in der US-Region. Wer EU-Datenhaltung braucht, sollte das vor dem Onboarding klären
  • Gescannte Daten: GitGuardian verarbeitet Metadaten zu Commits und erkannte Secret-Fragmente, nicht den vollständigen Source-Code dauerhaft, die Dokumentation beschreibt ein “least-data”-Prinzip
  • DSGVO-Konformität: GitGuardian ist GDPR-konform, bietet Datenverarbeitungsverträge (DPA/AVV) an
  • Self-Hosted-Option: Enterprise-Kunden können GitGuardian vollständig on-premises oder in der eigenen Cloud-Umgebung betreiben, maximale Datenkontrolle ohne Cloud-Abhängigkeit
  • Empfehlung für Unternehmen: Für Branchen mit besonders strengen Anforderungen (Fintech, Healthcare, Verteidigung) ist die Self-Hosted-Enterprise-Option die empfohlene Variante; Teams mit EU-Hosting-Bedarf wählen die EU-Region (AWS Frankfurt) ab dem Business-Plan, der kostenlose Free-Plan läuft in der US-Region

Gut kombiniert mit

  • GitHub Copilot, Copilot generiert Code schneller; GitGuardian prüft parallel, dass keine Secrets im generierten Code landen. Die Kombination ist besonders relevant, weil KI-generierter Code gelegentlich Platzhalter-Credentials aus Training-Daten enthält
  • Snyk, Snyk deckt Dependency-Vulnerabilities ab, GitGuardian Secrets-Leaks, beide Schichten zusammen ergeben einen vollständigen DevSecOps-Stack für die häufigsten Angriffsvektoren
  • SonarQube, SonarQube analysiert Code-Qualität und Security-Bugs im eigenen Code, GitGuardian fokussiert auf Credentials. Kombiniert decken beide Tools die Lücke zwischen “ist mein Code korrekt” und “sind meine Zugangsdaten sicher”

Unser Testurteil

GitGuardian verdient 4 von 5 Sternen als führendes Spezialtool für Secrets-Erkennung in Code-Repositories. Der Free-Plan bis 25 Entwickler, EU-Datenhosting ab dem Business-Plan und die Tiefe von Hunderten spezifischer Secret-Detectors heben es klar über kostenlose Alternativen wie GitHub Secret Scanning hinaus. Den fünften Stern verpasst es wegen der intransparenten Business-Preise, des fehlenden Deutsch-Supports und der Tatsache, dass sich der volle Wert erst in Teams mit gewachsener DevSecOps-Kultur entfaltet. Für jedes Unternehmen, das API-Integrationen produktiv einsetzt und eine Multi-Platform-Git-Umgebung betreibt, ist GitGuardian die klare Empfehlung für die Secrets-Security-Schicht.

Was wir bemerkt haben

  • Juni 2026, Die EU-Hosting-Region (AWS Frankfurt) ist weiterhin Business- und Enterprise-Kunden vorbehalten und muss bei der Konto-Erstellung aktiv gewählt werden, der Free-Plan läuft in der US-Region. Wer EU-Datenhaltung als Voraussetzung hat, sollte das vor dem Onboarding einplanen, ein nachträglicher Wechsel der Region ist nicht ohne Weiteres möglich.

Quellen

  1. GitGuardian – Pricing. https://www.gitguardian.com/pricing (abgerufen am 2026-06-13). Free-Plan bis 25 Entwickler (0 $, unbegrenztes Real-Time-Scanning, bis 500 historische Scan-Befunde), Business bis 200 Entwickler (Custom, 20 Teams, 12 GB Repos, Custom Regex Detectors), Enterprise 200+ mit Self-Hosted. Datenhosting US/Europa für Business und Enterprise, Free nur US..
  2. GitGuardian – Secrets Detection. https://www.gitguardian.com/secrets-detection (abgerufen am 2026-06-13). ggshield CLI zur lokalen Secrets-Erkennung, spezifische und generische Detectors als Basis der Secrets-Detection-Engine..
  3. GitGuardian – Plattform-Überblick. https://www.gitguardian.com (abgerufen am 2026-06-13). Drei Produktlinien (Internal Secrets Monitoring, Public Secrets Monitoring, NHI Governance), AI-enriched contextual tagging zur Priorisierung..

Diesen Inhalt teilen:

Empfohlen in 1 Use Cases

Empfohlen für diese Branchen

Arthur Atlas

KI-Analyst

So entsteht diese Bewertung

Diese Seite bewerten wir redaktionell, mit kräftiger Unterstützung von Arthur Atlas, unserem KI-Analysten. Er prüft Bewertungen nach und markiert veraltete Angaben, sobald sich der Markt dreht. Unsere Angaben stammen überwiegend aus öffentlich zugänglichen Quellen wie Anbieter-Website, Doku und Preislisten. Preise und Funktionen können sich ändern.

Hinweis: Diese Angaben können veraltet oder fehlerhaft sein. Prüfe im Zweifel immer direkt auf der Website des Anbieters.

Preise geändert, Feature veraltet oder etwas fehlt?

Wir freuen uns über Hinweise und Ergänzungen.

Feedback geben

Du arbeitest bei GitGuardian?

Gib uns einen Testzugang, dann schauen wir tiefer rein und ergänzen die Bewertung aus erster Hand.

Testzugang anbieten

Nicht sicher, ob GitGuardian zu euch passt?

Wir helfen bei der Tool-Auswahl und begleiten die Einführung in euren Arbeitsalltag, unverbindlich und kostenlos im Erstgespräch.

Erstgespräch anfragen

KI-Tools und Trends

KI-Wochenbriefing: jeden Freitag KI-News, Praxistipps und Tools

Kostenlos abonnieren, jederzeit abmeldbar, kein Spam.

Kostenloser Newsletter

Bleib auf dem neuesten
Stand der KI

Wähle deine Themen und erhalte relevante KI-News, Praxistipps und exklusive Inhalte direkt in dein Postfach – kein Spam, jederzeit abmeldbar.

Was interessiert dich? Wähle 1–4 Themen, du bekommst nur Inhalte dazu.

Mit der Anmeldung stimmst du unserer Datenschutzerklärung zu. Jederzeit abmeldbar.

Kostenlos
Kein Spam
Jederzeit abmeldbar