Security

IT-Sicherheit mit System und Tiefgang

Professionelle Penetrationstests, Security Assessments und Identity Management – von der strategischen Beratung über technische Härtung bis zur kontinuierlichen Überwachung.

Cyberangriffe werden immer raffinierter – und treffen längst nicht mehr nur Großkonzerne. Ransomware, Phishing und gezielte Angriffe bedrohen Unternehmen jeder Größe. Wir helfen Ihnen, Ihre Angriffsfläche zu verstehen, Schwachstellen zu schließen und eine nachhaltige Sicherheitskultur zu etablieren. Pragmatisch, effektiv und auf Ihre Risiken zugeschnitten.

Security Assessments & Pentesting

Professionelle Penetrationstests für Infrastruktur, Web-Anwendungen und Cloud-Umgebungen. Wir identifizieren Schwachstellen, bevor es Angreifer tun – mit strukturierten Security Assessments, Vulnerability Scans und gezielten Angriffsimulationen nach OWASP, PTES und OSSTMM-Standards. Von Black-Box bis White-Box, intern und extern.

Identity & Access Management

Zentrale Identitätsverwaltung mit Entra ID, JumpCloud oder Okta. Single Sign-On, Multi-Faktor-Authentifizierung, Conditional Access und rollenbasierte Zugriffskontrolle – für sichere, nachvollziehbare Zugriffe auf alle Systeme und Anwendungen. Wir implementieren Zero-Trust-Prinzipien: Vertraue niemandem, verifiziere alles.

Security Hardening & Compliance

Systematische Härtung von Systemen, Netzwerken und Cloud-Plattformen nach CIS Benchmarks und BSI-Grundschutz. Security-Monitoring mit SIEM, Endpoint Detection & Response (EDR) und kontinuierliche Compliance-Checks für DSGVO, ISO 27001, PCI-DSS und branchenspezifische Anforderungen.

Warum proaktive Security?

Die Frage ist nicht ob, sondern wann Sie angegriffen werden. Die durchschnittliche Zeit bis zur Entdeckung eines Einbruchs beträgt über 200 Tage – genug Zeit für Angreifer, Daten zu exfiltrieren, Hintertüren zu installieren oder Ransomware vorzubereiten.

Proaktive Security bedeutet: Schwachstellen finden, bevor Angreifer es tun. Angriffspfade verstehen und schließen. Mitarbeiter sensibilisieren. Und im Ernstfall schnell und strukturiert reagieren können. Das ist keine einmalige Aktion, sondern ein kontinuierlicher Prozess.

Unser Ansatz: Angreifer-Perspektive

Wir denken wie Angreifer – aber handeln in Ihrem Interesse. Unsere Pentester kombinieren Erfahrung aus offensiver Security mit dem Verständnis für defensive Maßnahmen. Das Ergebnis: realistische Einschätzungen, priorisierte Findings und umsetzbare Empfehlungen.

Wir liefern keine 200-seitigen Reports mit False Positives, sondern fokussierte Analysen mit klaren Handlungsempfehlungen. Jedes Finding wird validiert, jede Empfehlung ist praktisch umsetzbar. Und wir unterstützen Sie bei der Behebung, nicht nur bei der Identifikation.

Zero Trust Security – Vertraue niemandem, verifiziere alles

Das klassische Perimeter-Modell ("innen = sicher, außen = unsicher") funktioniert nicht mehr. Remote Work, Cloud-Dienste und mobile Geräte haben die Grenzen aufgelöst. Zero Trust ist die Antwort: Jeder Zugriff wird überprüft, unabhängig von Standort oder Netzwerk.

Wir implementieren Zero Trust schrittweise: von Identity-zentrierter Security über Netzwerk-Mikrosegmentierung bis zu Continuous Verification. Pragmatisch, ohne Ihr Tagesgeschäft zu behindern.

Zero Trust Prinzipien:

  • Verifiziere explizit – immer authentifizieren
  • Least Privilege – minimale Berechtigungen
  • Assume Breach – Angriff als Normalzustand
  • Mikrosegmentierung – Laterale Bewegung stoppen
  • Conditional Access – Kontext-basierte Entscheidungen
  • Continuous Monitoring – Anomalien erkennen

Technologien & Frameworks

Identity & Access

Entra IDJumpCloudOktaKeycloak

Pentesting & Scanning

Kali LinuxBurp SuiteNessusMetasploit

EDR & SIEM

CrowdStrikeSentinelOneWazuhSplunk

Compliance & Standards

ISO 27001BSI GrundschutzSOC 2DSGVO

Ablauf eines Penetrationstests

Strukturiert, transparent und mit klarem Fokus auf umsetzbare Ergebnisse

01

Scoping & Vorbereitung

1-3 Tage

Definition des Testumfangs, der Ziele und Rahmenbedingungen. Klärung rechtlicher Aspekte, Festlegung von Rules of Engagement und Kommunikationswegen. Abstimmung von Zeitfenstern und kritischen Systemen.

02

Reconnaissance & Enumeration

2-5 Tage

Passive und aktive Informationsgewinnung über die Zielumgebung. Identifikation von Assets, Services, Technologien und potenziellen Angriffsvektoren. Erstellung einer Angriffsoberflächen-Analyse.

03

Vulnerability Assessment

3-5 Tage

Systematische Identifikation von Schwachstellen durch automatisierte Scans und manuelle Prüfungen. Bewertung von Konfigurationsfehlern, veralteter Software, schwachen Credentials und Fehlkonfigurationen.

04

Exploitation & Post-Exploitation

3-7 Tage

Kontrollierte Ausnutzung identifizierter Schwachstellen zur Validierung. Untersuchung von Lateral Movement, Privilege Escalation und Datenzugriffsmöglichkeiten. Dokumentation aller erfolgreichen Angriffspfade.

05

Reporting & Remediation

3-5 Tage

Detaillierter Bericht mit Executive Summary, technischen Findings und priorisierten Handlungsempfehlungen. Präsentation der Ergebnisse und Unterstützung bei der Behebung kritischer Schwachstellen.

Erfolgreiche Security-Projekte

Finanzdienstleister

Herausforderung

Regulatorische Anforderungen (BaFin) verlangten einen externen Penetrationstest. Interne IT-Abteilung hatte keine Erfahrung mit Security-Assessments und befürchtete kritische Findings.

Lösung

Umfassender Penetrationstest der externen Infrastruktur und Webanwendungen. Grey-Box-Ansatz mit begrenzten Vorabinformationen. Enge Abstimmung mit der IT-Abteilung während des gesamten Tests.

Ergebnis

  • 12 kritische Schwachstellen identifiziert
  • Alle Findings innerhalb von 4 Wochen behoben
  • Erfolgreicher Re-Test bestätigt Remediation
  • BaFin-Audit ohne Beanstandungen bestanden
E-Commerce Unternehmen

Herausforderung

Nach einem Sicherheitsvorfall bei einem Wettbewerber wollte die Geschäftsführung die eigene Sicherheitslage bewerten. Keine dokumentierten Security-Prozesse, Bedenken bei der Kundendaten-Sicherheit.

Lösung

Security Assessment mit Fokus auf Kundendaten und Zahlungsabwicklung. Einführung von Entra ID für zentrales Identity Management, Implementierung von MFA und Conditional Access Policies.

Ergebnis

  • Klare Security-Roadmap für 12 Monate
  • MFA-Rollout für alle Mitarbeiter
  • Segmentierung der Kundendaten-Systeme
  • PCI-DSS Compliance vorbereitet
Softwareunternehmen

Herausforderung

Kunden forderten zunehmend Nachweise über die Sicherheit der SaaS-Plattform. Kein strukturiertes Security-Programm, Entwickler hatten wenig Security-Awareness.

Lösung

Web Application Pentest der SaaS-Plattform nach OWASP-Methodik. Einführung von Security-Gates in der CI/CD-Pipeline. Schulung der Entwickler in Secure Coding Practices.

Ergebnis

  • 23 Schwachstellen in der Webanwendung behoben
  • Automatisierte Security-Scans in CI/CD
  • Security Champions im Dev-Team etabliert
  • SOC 2 Type II Zertifizierung erreicht

Security-Services & Preise

Transparente Preismodelle – vom Assessment bis zum Managed Security Service

Security Assessment

Analyse Ihrer Sicherheitslage

ab 3.000€einmalig
  • Ist-Analyse der Security-Architektur
  • Vulnerability Scan (extern & intern)
  • Konfigurationsreview kritischer Systeme
  • Bewertung nach Best Practices
  • Priorisierte Handlungsempfehlungen
  • Management-Präsentation
Assessment anfragen
Empfohlen

Penetrationstest

Kontrollierte Angriffssimulation

ab 6.000€projektbasiert
  • Scoping & Rules of Engagement
  • Black-Box, Grey-Box oder White-Box
  • Manuelle Exploitation & Validierung
  • Web-Anwendungen, Infrastruktur oder Cloud
  • Detaillierter technischer Report
  • Executive Summary für Management
  • Remediation Support & Re-Test
Pentest anfragen

Security Managed Service

Kontinuierliche Sicherheitsüberwachung

ab 2.000€pro Monat
  • Continuous Vulnerability Scanning
  • SIEM-Monitoring & Log-Analyse
  • Incident Response Support
  • Monatliche Security Reports
  • Patch-Management-Unterstützung
  • Quartalsweise Security Reviews
  • Dedizierter Security-Ansprechpartner
Managed Security anfragen

Häufig gestellte Fragen

Ein Vulnerability Scan ist ein automatisierter Prozess, der bekannte Schwachstellen in Systemen identifiziert – schnell und breit, aber mit vielen False Positives. Ein Penetrationstest geht weiter: Hier versuchen Security-Experten aktiv, Schwachstellen auszunutzen, Angriffsketten zu bilden und tatsächlichen Schaden zu simulieren. Der Pentest validiert, ob theoretische Schwachstellen in der Praxis ausnutzbar sind und welchen Impact ein erfolgreicher Angriff hätte.

Black-Box simuliert einen externen Angreifer ohne Vorwissen – realistisch, aber zeitaufwändig. White-Box gibt dem Tester vollen Zugang zu Dokumentation, Code und Credentials – effizient und gründlich, aber weniger realistisch. Grey-Box ist der Mittelweg: begrenzte Informationen wie ein authentifizierter Benutzer. Für die meisten Unternehmen empfehlen wir Grey-Box als guten Kompromiss zwischen Realismus und Effizienz.

Mindestens jährlich für kritische Systeme, bei größeren Änderungen (neue Anwendungen, Infrastruktur-Umbau) auch häufiger. Regulierte Branchen wie Finanzdienstleister oder Healthcare haben oft konkrete Vorgaben. Wir empfehlen zusätzlich kontinuierliches Vulnerability Scanning zwischen den Pentests, um neue Schwachstellen zeitnah zu erkennen.

Die Kosten hängen stark vom Umfang ab. Ein fokussierter Pentest einer einzelnen Webanwendung beginnt bei ca. 6.000€. Umfassende Tests der gesamten Infrastruktur, mehrerer Anwendungen oder mit Red-Team-Elementen können 20.000€ bis 50.000€+ kosten. Wir erstellen nach einem Scoping-Gespräch ein transparentes Angebot basierend auf dem tatsächlichen Aufwand.

Professionelle Pentester arbeiten kontrolliert und nach klaren Rules of Engagement. Kritische Systeme werden geschützt, Tests außerhalb der Geschäftszeiten durchgeführt, und destruktive Techniken nur nach expliziter Freigabe eingesetzt. In der Praxis sind Ausfälle durch Pentests extrem selten – das größere Risiko ist, Schwachstellen nicht zu kennen, die echte Angreifer ausnutzen könnten.

IAM regelt, wer auf welche Ressourcen zugreifen darf. Zentrale Identitätsverwaltung (z.B. mit Entra ID) ermöglicht Single Sign-On, Multi-Faktor-Authentifizierung und granulare Zugriffskontrollen. Das reduziert die Angriffsfläche erheblich: Kompromittierte Credentials sind der häufigste initiale Angriffsvektor. Mit Conditional Access können Sie Zugriffe basierend auf Gerät, Standort und Risiko-Level einschränken.

Das hängt von Ihren Anforderungen ab. ISO 27001 ist ein formales Managementsystem mit jährlichen Audits – sinnvoll, wenn Kunden oder Regulatoren es fordern. Ein Security Assessment gibt Ihnen praktische Einblicke und Handlungsempfehlungen ohne den Overhead eines Zertifizierungsprozesses. Oft starten wir mit einem Assessment und entwickeln daraus bei Bedarf ein ISMS für die Zertifizierung.

Kritische Findings kommunizieren wir sofort – nicht erst im Abschlussbericht. Sie erhalten eine kurze Beschreibung der Schwachstelle, des Risikos und empfohlener Sofortmaßnahmen. Bei besonders kritischen Findings (z.B. aktive Kompromittierung) brechen wir den Test ab und unterstützen bei der Incident Response. Nach dem Test helfen wir bei der Priorisierung und können bei der Remediation unterstützen.

Wie sicher ist Ihre IT wirklich?

Finden Sie es heraus, bevor es Angreifer tun. In einem kostenlosen Erstgespräch besprechen wir Ihre Sicherheitslage und zeigen Ihnen, wie ein Assessment oder Pentest für Ihr Unternehmen aussehen könnte.