Security
IT-Sicherheit mit System und Tiefgang
Professionelle Penetrationstests, Security Assessments und Identity Management – von der strategischen Beratung über technische Härtung bis zur kontinuierlichen Überwachung.
Cyberangriffe werden immer raffinierter – und treffen längst nicht mehr nur Großkonzerne. Ransomware, Phishing und gezielte Angriffe bedrohen Unternehmen jeder Größe. Wir helfen Ihnen, Ihre Angriffsfläche zu verstehen, Schwachstellen zu schließen und eine nachhaltige Sicherheitskultur zu etablieren. Pragmatisch, effektiv und auf Ihre Risiken zugeschnitten.
Security Assessments & Pentesting
Professionelle Penetrationstests für Infrastruktur, Web-Anwendungen und Cloud-Umgebungen. Wir identifizieren Schwachstellen, bevor es Angreifer tun – mit strukturierten Security Assessments, Vulnerability Scans und gezielten Angriffsimulationen nach OWASP, PTES und OSSTMM-Standards. Von Black-Box bis White-Box, intern und extern.
Identity & Access Management
Zentrale Identitätsverwaltung mit Entra ID, JumpCloud oder Okta. Single Sign-On, Multi-Faktor-Authentifizierung, Conditional Access und rollenbasierte Zugriffskontrolle – für sichere, nachvollziehbare Zugriffe auf alle Systeme und Anwendungen. Wir implementieren Zero-Trust-Prinzipien: Vertraue niemandem, verifiziere alles.
Security Hardening & Compliance
Systematische Härtung von Systemen, Netzwerken und Cloud-Plattformen nach CIS Benchmarks und BSI-Grundschutz. Security-Monitoring mit SIEM, Endpoint Detection & Response (EDR) und kontinuierliche Compliance-Checks für DSGVO, ISO 27001, PCI-DSS und branchenspezifische Anforderungen.
Warum proaktive Security?
Die Frage ist nicht ob, sondern wann Sie angegriffen werden. Die durchschnittliche Zeit bis zur Entdeckung eines Einbruchs beträgt über 200 Tage – genug Zeit für Angreifer, Daten zu exfiltrieren, Hintertüren zu installieren oder Ransomware vorzubereiten.
Proaktive Security bedeutet: Schwachstellen finden, bevor Angreifer es tun. Angriffspfade verstehen und schließen. Mitarbeiter sensibilisieren. Und im Ernstfall schnell und strukturiert reagieren können. Das ist keine einmalige Aktion, sondern ein kontinuierlicher Prozess.
Unser Ansatz: Angreifer-Perspektive
Wir denken wie Angreifer – aber handeln in Ihrem Interesse. Unsere Pentester kombinieren Erfahrung aus offensiver Security mit dem Verständnis für defensive Maßnahmen. Das Ergebnis: realistische Einschätzungen, priorisierte Findings und umsetzbare Empfehlungen.
Wir liefern keine 200-seitigen Reports mit False Positives, sondern fokussierte Analysen mit klaren Handlungsempfehlungen. Jedes Finding wird validiert, jede Empfehlung ist praktisch umsetzbar. Und wir unterstützen Sie bei der Behebung, nicht nur bei der Identifikation.
Zero Trust Security – Vertraue niemandem, verifiziere alles
Das klassische Perimeter-Modell ("innen = sicher, außen = unsicher") funktioniert nicht mehr. Remote Work, Cloud-Dienste und mobile Geräte haben die Grenzen aufgelöst. Zero Trust ist die Antwort: Jeder Zugriff wird überprüft, unabhängig von Standort oder Netzwerk.
Wir implementieren Zero Trust schrittweise: von Identity-zentrierter Security über Netzwerk-Mikrosegmentierung bis zu Continuous Verification. Pragmatisch, ohne Ihr Tagesgeschäft zu behindern.
Zero Trust Prinzipien:
- Verifiziere explizit – immer authentifizieren
- Least Privilege – minimale Berechtigungen
- Assume Breach – Angriff als Normalzustand
- Mikrosegmentierung – Laterale Bewegung stoppen
- Conditional Access – Kontext-basierte Entscheidungen
- Continuous Monitoring – Anomalien erkennen
Technologien & Frameworks
Identity & Access
Pentesting & Scanning
EDR & SIEM
Compliance & Standards
Ablauf eines Penetrationstests
Strukturiert, transparent und mit klarem Fokus auf umsetzbare Ergebnisse
Scoping & Vorbereitung
1-3 TageDefinition des Testumfangs, der Ziele und Rahmenbedingungen. Klärung rechtlicher Aspekte, Festlegung von Rules of Engagement und Kommunikationswegen. Abstimmung von Zeitfenstern und kritischen Systemen.
Reconnaissance & Enumeration
2-5 TagePassive und aktive Informationsgewinnung über die Zielumgebung. Identifikation von Assets, Services, Technologien und potenziellen Angriffsvektoren. Erstellung einer Angriffsoberflächen-Analyse.
Vulnerability Assessment
3-5 TageSystematische Identifikation von Schwachstellen durch automatisierte Scans und manuelle Prüfungen. Bewertung von Konfigurationsfehlern, veralteter Software, schwachen Credentials und Fehlkonfigurationen.
Exploitation & Post-Exploitation
3-7 TageKontrollierte Ausnutzung identifizierter Schwachstellen zur Validierung. Untersuchung von Lateral Movement, Privilege Escalation und Datenzugriffsmöglichkeiten. Dokumentation aller erfolgreichen Angriffspfade.
Reporting & Remediation
3-5 TageDetaillierter Bericht mit Executive Summary, technischen Findings und priorisierten Handlungsempfehlungen. Präsentation der Ergebnisse und Unterstützung bei der Behebung kritischer Schwachstellen.
Erfolgreiche Security-Projekte
Herausforderung
Regulatorische Anforderungen (BaFin) verlangten einen externen Penetrationstest. Interne IT-Abteilung hatte keine Erfahrung mit Security-Assessments und befürchtete kritische Findings.
Lösung
Umfassender Penetrationstest der externen Infrastruktur und Webanwendungen. Grey-Box-Ansatz mit begrenzten Vorabinformationen. Enge Abstimmung mit der IT-Abteilung während des gesamten Tests.
Ergebnis
- 12 kritische Schwachstellen identifiziert
- Alle Findings innerhalb von 4 Wochen behoben
- Erfolgreicher Re-Test bestätigt Remediation
- BaFin-Audit ohne Beanstandungen bestanden
Herausforderung
Nach einem Sicherheitsvorfall bei einem Wettbewerber wollte die Geschäftsführung die eigene Sicherheitslage bewerten. Keine dokumentierten Security-Prozesse, Bedenken bei der Kundendaten-Sicherheit.
Lösung
Security Assessment mit Fokus auf Kundendaten und Zahlungsabwicklung. Einführung von Entra ID für zentrales Identity Management, Implementierung von MFA und Conditional Access Policies.
Ergebnis
- Klare Security-Roadmap für 12 Monate
- MFA-Rollout für alle Mitarbeiter
- Segmentierung der Kundendaten-Systeme
- PCI-DSS Compliance vorbereitet
Herausforderung
Kunden forderten zunehmend Nachweise über die Sicherheit der SaaS-Plattform. Kein strukturiertes Security-Programm, Entwickler hatten wenig Security-Awareness.
Lösung
Web Application Pentest der SaaS-Plattform nach OWASP-Methodik. Einführung von Security-Gates in der CI/CD-Pipeline. Schulung der Entwickler in Secure Coding Practices.
Ergebnis
- 23 Schwachstellen in der Webanwendung behoben
- Automatisierte Security-Scans in CI/CD
- Security Champions im Dev-Team etabliert
- SOC 2 Type II Zertifizierung erreicht
Security-Services & Preise
Transparente Preismodelle – vom Assessment bis zum Managed Security Service
Security Assessment
Analyse Ihrer Sicherheitslage
- Ist-Analyse der Security-Architektur
- Vulnerability Scan (extern & intern)
- Konfigurationsreview kritischer Systeme
- Bewertung nach Best Practices
- Priorisierte Handlungsempfehlungen
- Management-Präsentation
Penetrationstest
Kontrollierte Angriffssimulation
- Scoping & Rules of Engagement
- Black-Box, Grey-Box oder White-Box
- Manuelle Exploitation & Validierung
- Web-Anwendungen, Infrastruktur oder Cloud
- Detaillierter technischer Report
- Executive Summary für Management
- Remediation Support & Re-Test
Security Managed Service
Kontinuierliche Sicherheitsüberwachung
- Continuous Vulnerability Scanning
- SIEM-Monitoring & Log-Analyse
- Incident Response Support
- Monatliche Security Reports
- Patch-Management-Unterstützung
- Quartalsweise Security Reviews
- Dedizierter Security-Ansprechpartner
Häufig gestellte Fragen
Ein Vulnerability Scan ist ein automatisierter Prozess, der bekannte Schwachstellen in Systemen identifiziert – schnell und breit, aber mit vielen False Positives. Ein Penetrationstest geht weiter: Hier versuchen Security-Experten aktiv, Schwachstellen auszunutzen, Angriffsketten zu bilden und tatsächlichen Schaden zu simulieren. Der Pentest validiert, ob theoretische Schwachstellen in der Praxis ausnutzbar sind und welchen Impact ein erfolgreicher Angriff hätte.
Black-Box simuliert einen externen Angreifer ohne Vorwissen – realistisch, aber zeitaufwändig. White-Box gibt dem Tester vollen Zugang zu Dokumentation, Code und Credentials – effizient und gründlich, aber weniger realistisch. Grey-Box ist der Mittelweg: begrenzte Informationen wie ein authentifizierter Benutzer. Für die meisten Unternehmen empfehlen wir Grey-Box als guten Kompromiss zwischen Realismus und Effizienz.
Mindestens jährlich für kritische Systeme, bei größeren Änderungen (neue Anwendungen, Infrastruktur-Umbau) auch häufiger. Regulierte Branchen wie Finanzdienstleister oder Healthcare haben oft konkrete Vorgaben. Wir empfehlen zusätzlich kontinuierliches Vulnerability Scanning zwischen den Pentests, um neue Schwachstellen zeitnah zu erkennen.
Die Kosten hängen stark vom Umfang ab. Ein fokussierter Pentest einer einzelnen Webanwendung beginnt bei ca. 6.000€. Umfassende Tests der gesamten Infrastruktur, mehrerer Anwendungen oder mit Red-Team-Elementen können 20.000€ bis 50.000€+ kosten. Wir erstellen nach einem Scoping-Gespräch ein transparentes Angebot basierend auf dem tatsächlichen Aufwand.
Professionelle Pentester arbeiten kontrolliert und nach klaren Rules of Engagement. Kritische Systeme werden geschützt, Tests außerhalb der Geschäftszeiten durchgeführt, und destruktive Techniken nur nach expliziter Freigabe eingesetzt. In der Praxis sind Ausfälle durch Pentests extrem selten – das größere Risiko ist, Schwachstellen nicht zu kennen, die echte Angreifer ausnutzen könnten.
IAM regelt, wer auf welche Ressourcen zugreifen darf. Zentrale Identitätsverwaltung (z.B. mit Entra ID) ermöglicht Single Sign-On, Multi-Faktor-Authentifizierung und granulare Zugriffskontrollen. Das reduziert die Angriffsfläche erheblich: Kompromittierte Credentials sind der häufigste initiale Angriffsvektor. Mit Conditional Access können Sie Zugriffe basierend auf Gerät, Standort und Risiko-Level einschränken.
Das hängt von Ihren Anforderungen ab. ISO 27001 ist ein formales Managementsystem mit jährlichen Audits – sinnvoll, wenn Kunden oder Regulatoren es fordern. Ein Security Assessment gibt Ihnen praktische Einblicke und Handlungsempfehlungen ohne den Overhead eines Zertifizierungsprozesses. Oft starten wir mit einem Assessment und entwickeln daraus bei Bedarf ein ISMS für die Zertifizierung.
Kritische Findings kommunizieren wir sofort – nicht erst im Abschlussbericht. Sie erhalten eine kurze Beschreibung der Schwachstelle, des Risikos und empfohlener Sofortmaßnahmen. Bei besonders kritischen Findings (z.B. aktive Kompromittierung) brechen wir den Test ab und unterstützen bei der Incident Response. Nach dem Test helfen wir bei der Priorisierung und können bei der Remediation unterstützen.
Wie sicher ist Ihre IT wirklich?
Finden Sie es heraus, bevor es Angreifer tun. In einem kostenlosen Erstgespräch besprechen wir Ihre Sicherheitslage und zeigen Ihnen, wie ein Assessment oder Pentest für Ihr Unternehmen aussehen könnte.
