Sicherheit messen.
Nicht hoffen.

Die Ausgangslage

Der blinde Fleck im eigenen Netz.

Virenscanner laufen, Firewall steht, Windows-Updates kommen rein — und damit fühlt sich IT sicher an. Die Realität: In typischen KMU-Netzen liegen mehrere bekannte, dokumentierte Schwachstellen offen. Sie stehen in öffentlichen Datenbanken. Angreifer finden sie automatisiert — also muss die Verteidigung das auch tun.

• Bekannte Schwachstellen

  60 %

  der erfolgreichen Cyberangriffe nutzen Lücken, für die längst ein Patch verfügbar wäre

• CVE-Veröffentlichungen

  29.000+

  neue dokumentierte Schwachstellen pro Jahr — manuell nicht mehr zu überblicken

• Klassischer Pentest

  1× / Jahr

  Momentaufnahme — schon drei Wochen später überholt durch neue Updates und Funde

Innen + Außen

Zwei Perspektiven, eine Sicherheitslage.

• 01 — Innen-Scan

  Was im eigenen Netz steht

  Vom internen Netz aus betrachtet — Endpunkte, Server, Netzwerkgeräte. Genau die Systeme, die ein Angreifer nach erfolgreichem Erstzugriff erreicht.

  • Agentbasierter Scan von Windows, Linux, macOS
  • Netzwerkscan für NAS, Drucker, IP-Kameras, USV
  • Router, Switches, Firewalls, Access Points
  • Abgleich gegen aktuelle CVE-Datenbank

• 02 — Außen-Scan

  Was Angreifer von außen sehen

  Aus Angreiferperspektive geprüft — öffentlich erreichbare Dienste, offene Ports, Zertifikate, Mail- und Web-Konfiguration.

  • Externe Angriffsfläche aus dem Internet
  • TLS-Zertifikate und Mail-Sicherheit (SPF, DKIM, DMARC)
  • Offene Ports und exponierte Management-Oberflächen
  • Domain- und DNS-Konfigurationsprüfung

Kernfunktionen im Überblick

Was kontinuierlich konkret bedeutet.

• CVE-Datenbankabgleich

  Kontinuierlicher Abgleich gegen NIST-CVE — neue Funde tauchen automatisch im nächsten Bericht auf.

• Externe Angriffsfläche

  Scan aus Angreiferperspektive: öffentliche Dienste, offene Ports, TLS-Zertifikate, Mail-Header.

• Geräte-Inventar

  Vollständige Inventarisierung aller netzwerkfähigen Geräte — Server, Endpunkte, NAS, Drucker, IoT.

• Management-Report

  Ampelstatus, Trendverlauf und Handlungsempfehlungen ohne Fachjargon — für Geschäftsführung und Audits.

• Technische Detailliste

  CVE-Nummer, CVSS-Score, betroffenes System, empfohlene Maßnahme — direkt im Tagesgeschäft umsetzbar.

• Nachverfolgung

  Welche Funde wurden seit dem letzten Scan behoben? Belegbare Dokumentation für Versicherer und Wirtschaftsprüfer.

Regulatorischer Kontext

NIS2 und Cyberversicherer fragen nach.

Scan-Pakete

Welcher Scope passt zu Ihnen?

• Scope 01

  Endpoint

  Für kleine Umgebungen mit überschaubarer Geräteanzahl und Fokus auf Arbeitsplätze.

  • Agent-Scan Windows / Linux / macOS
  • Server-Scan
  • CVE-Abgleich + Bericht
  • Netzwerk-Scan (NAS, Drucker, IoT)
  • Externer Angriffsflächen-Scan
• Empfehlung

  Scope 02

  Erweitert

  Für KMU mit gemischter Infrastruktur — Workstations, Server, Netzwerkgeräte unter einem Dach.

  • Alles aus Endpoint
  • Netzwerk-Scan aller IP-Geräte
  • Router, Switches, Firewalls
  • Zentrales Management-Reporting
  • Externer Angriffsflächen-Scan

• Scope 03

  Komplett

  Für Unternehmen mit öffentlicher Angriffsfläche und höheren Compliance-Anforderungen.

  • Alles aus Erweitert
  • Externer Angriffsflächen-Scan
  • TLS- und Mail-Sicherheitsprüfung
  • DNS- und Domain-Hygiene
  • NIS2-Reporting-Paket

So sieht die Einführung aus

In vier Schritten zum belastbaren Bild.

1. 01

   Inventarisierung

   Welche Geräte, welche Systeme, welche Zugänge. Die Liste ist am Ende fast immer länger als gedacht.

2. 02

   Rollout

   Agenten auf den Endpunkten, Netzwerkscan von innen, optional externer Scan der öffentlichen Angriffsfläche.

3. 03

   Erstauswertung

   Geschäftsführungs-Bericht und technische Detailliste, gemeinsam durchgesprochen und priorisiert.

4. 04

   Laufender Betrieb

   Regelmäßige Scans, monatlicher Kurzbericht, jährlicher Strategie-Review mit der Geschäftsführung.

Typische Zeit bis zum ersten produktiven Scan-Bericht: 3 bis 5 Werktage nach Kickoff.