Wir bieten umfassende IT-Infrastruktur Audits und Penetrationstests für Unternehmen und Organisationen. Unsere Security-Scans decken Schwachstellen in Ihrer gesamten IT-Landschaft auf – von Betriebssystemen über Cloud-Umgebungen bis hin zu Netzwerkgeräten, WLAN-Netzwerken und Sicherheitskameras. Wir überprüfen nicht nur Ihre Systeme, sondern auch Ihre IT-Architekturen und Sicherheitskonzepte. Wir unterscheiden zwischen authentifizierten und nicht-authentifizierten Scans, um sowohl die interne Perspektive als auch die Angreifer-Sicht zu analysieren. In Kombination mit unserer Systemadministration können wir die identifizierten Sicherheitsprobleme direkt beheben und Ihre IT-Infrastruktur entsprechend den Audit-Ergebnissen absichern.
Unsere Leistungen
Professionelle Sicherheitsanalysen Ihrer gesamten IT-Infrastruktur. Wir identifizieren Schwachstellen, bewerten Risiken und erstellen detaillierte Berichte mit konkreten Handlungsempfehlungen.
Leistungen:
- Umfassende Sicherheitsanalysen Ihrer IT-Systeme
- Identifikation von Schwachstellen und Sicherheitslücken
- Risikobewertung und Priorisierung von Sicherheitsproblemen
- Detaillierte Audit-Berichte mit konkreten Handlungsempfehlungen
- Architektur- und Konzeptprüfungen: Überprüfung Ihrer IT-Architektur, Netzwerkdesigns, Sicherheitskonzepte und Systemkonfigurationen auf Schwachstellen und Verbesserungspotenziale
- WLAN-Sicherheitsprüfungen: Überprüfung Ihrer Wireless-Netzwerke, Access Points und WLAN-Konfigurationen
- Sicherheitskameras & Videoüberwachung: Überprüfung von Kamerasystemen, NVR/DVR-Systemen und Videoüberwachungsinfrastruktur
- Compliance-Prüfungen nach gängigen Standards (ISO 27001, BSI-Grundschutz, etc.)
- Follow-up-Audits zur Überprüfung umgesetzter Maßnahmen
- Remote- und Vor-Ort-Audits verfügbar
Simulation von realen Angriffsszenarien zur Überprüfung Ihrer IT-Sicherheit. Wir testen Ihre Systeme aus der Perspektive eines Angreifers und identifizieren kritische Schwachstellen.
Leistungen:
- Externe Penetrationstests (Internet-Sicht)
- Interne Penetrationstests (Netzwerk-Sicht)
- Social Engineering Tests (optional)
- Red Team Exercises (optional)
- Detaillierte Berichte mit Exploit-Nachweisen
- Konkrete Empfehlungen zur Behebung von Schwachstellen
- Unterstützung bei der Umsetzung von Sicherheitsmaßnahmen
Dauerhaftes oder einmaliges automatisches Security-Scanning Ihrer IT-Systeme mit professionellen Vulnerability-Scannern. Kontinuierliche Überwachung Ihrer Systeme auf neue Schwachstellen.
Leistungen:
Einmaliges Security-Scanning:
- Vollständiger Scan aller konfigurierten Systeme
- Detaillierter Bericht mit allen gefundenen Schwachstellen
- Risikobewertung und Priorisierung
- Empfehlungen zur Behebung
Dauerhaftes Automatisches Security-Scanning:
- Regelmäßige automatische Scans (konfigurierbar)
- Automatisches Reporting per E-Mail
- Dashboard für kontinuierliche Überwachung
- Frühwarnsystem bei neuen Schwachstellen
- Tracking von behobenen Schwachstellen
- Compliance-Reporting
Unterstützte Betriebssysteme:
- Windows 10 / 11
- Windows Server (2008 R2 bis aktuell)
- Linux-Distributionen (Debian, Ubuntu, RHEL, SUSE, etc.)
- macOS Clients & Server
Vorteile:
- Frühzeitige Erkennung von Sicherheitslücken
- Kontinuierliche Überwachung Ihrer IT-Sicherheit
- Automatische Dokumentation für Compliance
- Kosteneffiziente Sicherheitsüberwachung
Unterstützte Zielsysteme
Unser Security-Scanning unterstützt eine breite Palette von Betriebssystemen. Wir scannen sowohl Clients als auch Server-Systeme.
Windows
- Windows 10 / 11: Umfassende Sicherheitsanalysen für Windows-Clients
- Windows Server: Windows Server 2008 R2 bis zur aktuellen Version
- Active Directory Umgebungen: Detaillierte AD-Sicherheitsanalysen
- Domain Controller: Spezielle Audits für kritische AD-Komponenten
- Hyper-V Hosts: Virtualisierungs-Host-Sicherheit
Authentifizierte Scans (mit Credentials):
- Sehr tiefgehende Checks
- Patch-Status-Überprüfung
- Registry-Analysen
- Lokale Schwachstellen-Erkennung
- Sicherheitsrichtlinien-Validierung
Linux / Unix
- Debian / Ubuntu: Umfassende Sicherheitsanalysen
- RHEL / Alma / Rocky / Oracle Linux: Enterprise Linux-Distributionen
- SUSE: SUSE Linux Enterprise Server
- Amazon Linux: AWS-optimierte Distributionen
- CentOS / Stream: Community Enterprise Linux
- Arch Linux: Rolling-Release-Distribution
- Kali Linux: Security-Testing-Distributionen
- FreeBSD, OpenBSD: Unix-Systeme (eingeschränkt)
Authentifizierte Scans:
- SSH-basierte Auth-Scans sind hier State of the Art
- Tiefgehende Systemanalysen
- Package-Management-Überprüfungen
- Kernel- und System-Konfigurations-Checks
macOS
- macOS Clients & Server: Vollständige Sicherheitsanalysen
- Besonders relevant für Compliance-Checks in gemischten Umgebungen
- Enterprise- und Consumer-Versionen unterstützt
Wir scannen nicht nur On-Premise-Systeme, sondern auch Cloud-Workloads und Virtualisierungsumgebungen.
Cloud Workloads
- AWS EC2: Umfassende Sicherheitsanalysen für AWS-Instanzen
- Azure VMs: Microsoft Azure Virtual Machine Security
- Google Cloud Compute: GCP-Instanz-Sicherheit
Scan-Methoden:
- Netzwerk-basierte Scans
- Agent-basierte Scans (wenn verfügbar)
- Cloud-spezifische Sicherheitskonfigurationen
Virtualisierung
- VMware ESXi: Hypervisor-Sicherheitsanalysen
- vCenter: Centralized Management-Security
- KVM: Kernel-based Virtual Machine Security
- Proxmox: Indirekt über Host & VMs scannbar
Virtualisierungs-spezifische Checks:
- Hypervisor-Konfiguration
- VM-Escape-Vulnerabilities
- Network-Segmentation
- Storage-Security
Moderne Container-Umgebungen benötigen spezialisierte Security-Scans. Wir unterstützen Docker- und Kubernetes-Umgebungen.
Container-Plattformen
- Docker Hosts: Container-Host-Sicherheit
- Kubernetes Nodes: Cluster-Knoten-Sicherheit
- Kubernetes APIs: API-Sicherheitsanalysen (teilweise)
- Container Images: Image-Scannning (lizenzabhängig)
Wichtiger Hinweis:
- Kein klassischer Runtime-Scanner, aber solide Surface-Abdeckung
- Fokus auf Host- und Orchestrierungs-Ebene
- Image-Scanning für Container-Registry-Integration
Netzwerk-Infrastruktur ist ein kritischer Angriffsvektor. Wir scannen alle wichtigen Netzwerkkomponenten.
Unterstützte Geräte
- Firewalls: Firewall-Konfigurations-Checks
- Router: Router-Sicherheitsanalysen
- Switches: Switch-Konfiguration und -Sicherheit
- Load Balancer: Load-Balancer-Sicherheit
- VPN-Gateways: VPN-Konfigurations- und Sicherheits-Checks
- Storage-Systeme: Network-Attached Storage Security
- Drucker: Netzwerkdrucker-Sicherheit (ja, leider relevant)
Scan-Methoden:
- Hauptsächlich über Banner-Grabbing
- CVE-Erkennung für bekannte Schwachstellen
- Default-Credentials-Checks
- Fehlkonfigurations-Erkennung
- Firmware-Version-Analysen
Wireless-Netzwerke sind häufig übersehene Angriffsvektoren. Wir überprüfen auch diese kritischen Infrastrukturkomponenten im Rahmen unserer IT-Audits.
WLAN-Sicherheitsprüfungen:
- Access Point-Konfiguration: Überprüfung der WLAN-Access-Points auf Sicherheitslücken
- Verschlüsselung: Analyse der verwendeten Verschlüsselungsstandards (WPA2/WPA3)
- Authentifizierung: Überprüfung der Authentifizierungsmethoden und -stärke
- Kanal- und Frequenz-Analyse: Identifikation von Interferenzen und unsicheren Konfigurationen
- Rogue Access Points: Erkennung von nicht-autorisierten WLAN-Geräten
- WLAN-Penetrationstests: Simulation von Angriffen auf Ihre WLAN-Infrastruktur
- Passwort-Stärke: Überprüfung von WLAN-Passwörtern und Default-Credentials
- Isolation und Segmentierung: Analyse der Netzwerk-Segmentierung zwischen WLAN und kabelgebundenen Netzen
Typische WLAN-Sicherheitsprobleme:
- Ungesicherte oder schwach verschlüsselte WLAN-Netzwerke
- Default-Credentials bei WLAN-Geräten
- Schwache WPA2/WPA3-Passwörter
- Offene oder unsichere Guest-Netzwerke
- Veraltete Firmware mit bekannten Schwachstellen
- Fehlende Netzwerk-Segmentierung zwischen WLAN und LAN
- Unverschlüsselte Management-Interfaces
Audit-Umfang:
- Vor-Ort-WLAN-Analysen für realistische Ergebnisse
- WLAN-Signal-Analysen und Heatmaps
- Netzwerk-Traffic-Analysen zur Identifikation von Problemen
- WLAN-Penetrationstests mit verschiedenen Angriffstechniken
- Detaillierte Berichte mit konkreten Handlungsempfehlungen
Videoüberwachungssysteme sind häufig übersehene Angriffsvektoren in der IT-Infrastruktur. Wir überprüfen auch diese kritischen Komponenten im Rahmen unserer IT-Audits.
Sicherheitsprüfungen für Kamerasysteme:
- Kamera-Konfiguration: Überprüfung der Sicherheitskameras und NVR/DVR-Systeme
- Netzwerk-Sicherheit: Analyse der Netzwerk-Integration und Zugriffsrechte
- Verschlüsselung: Überprüfung der Videoübertragungs-Verschlüsselung
- Web-Interfaces: Sicherheitsprüfung der Web-Interfaces von Kameras und Aufnahmesystemen
- Default-Credentials: Überprüfung auf Standard-Passwörter und ungesicherte Zugänge
- Firmware-Updates: Analyse des Patch-Status und bekannter Schwachstellen
- Datenschutz-Compliance: Überprüfung der DSGVO-Konformität bei Videoüberwachung
- Speicher-Sicherheit: Analyse der Sicherheit der Videoaufzeichnungen
Typische Sicherheitsprobleme bei Kamerasystemen:
- Default-Credentials bei Kameras und NVR/DVR-Systemen
- Unverschlüsselte Videoübertragungen
- Offene Web-Interfaces ohne Authentifizierung
- Veraltete Firmware mit bekannten Schwachstellen
- Fehlende Netzwerk-Segmentierung für Kamerasysteme
- Unverschlüsselter Zugriff auf Videoaufzeichnungen
- Unsichere Remote-Zugriffe auf Kamerasysteme
Audit-Umfang:
- Überprüfung aller Kameras und Aufnahmesysteme im Netzwerk
- Netzwerk-Traffic-Analysen zur Identifikation von Problemen
- Penetrationstests für Kamerasysteme
- Compliance-Prüfungen für Videoüberwachung (DSGVO)
- Überprüfung der Speicher-Sicherheit und Zugriffsrechte
- Detaillierte Berichte mit konkreten Handlungsempfehlungen
Wir analysieren nicht nur Betriebssysteme, sondern auch die darauf laufenden Anwendungen und Dienste.
Web-Services
- Webserver: Apache, NGINX, IIS Sicherheitsanalysen
- Webanwendungen: OWASP Top 10 Vulnerability Scanning
- APIs: REST- und GraphQL-API-Sicherheit
Datenbanken
- MySQL: Datenbanksicherheits-Checks
- PostgreSQL: PostgreSQL-Sicherheitsanalysen
- MSSQL: Microsoft SQL Server Security
- Redis: In-Memory-Datenbank-Sicherheit
E-Mail-Services
- Mailserver: SMTP, IMAP, POP3 Sicherheitsanalysen
- Exchange-Server: Microsoft Exchange Security
Anwendungs-spezifische Checks:
- Version-Erkennung
- Bekannte CVE-Identifikation
- Konfigurations-Fehler
- Standard-Credentials
- OWASP Top 10 Compliance
Authentifizierte vs. nicht-authentifizierte Scans
Authentifizierte Scans bieten einen realistischen Einblick in Ihre IT-Sicherheit. Mit bereitgestellten Credentials können wir tiefgehende Analysen durchführen.
Vorteile:
- Realistische Bewertung: Interner Blick auf Ihre Systeme
- Tiefgehende Analysen: Patch-Status, Registry, lokale Schwachstellen
- Audit-fähig: Erfüllt Compliance-Anforderungen
- Vollständige Coverage: Auch nicht-öffentliche Informationen werden geprüft
- Präzise Ergebnisse: Weniger False Positives durch genaue Systeminformationen
Typische Checks bei authentifizierten Scans:
- Installierte Software und Versionen
- Patch-Level und fehlende Updates
- Systemkonfigurationen und Sicherheitseinstellungen
- Lokale Benutzerkonten und Berechtigungen
- Registry-/Config-Datei-Analysen (Windows/Linux)
- Sicherheitsrichtlinien-Compliance
- Verschlüsselungsstatus
Wichtig: Unternehmen, die nur nicht-authentifizierte Scans durchführen, betreiben Security-Theater. Authentifizierte Scans sind der einzige Weg, um eine realistische Einschätzung Ihrer IT-Sicherheit zu erhalten.
Nicht-authentifizierte Scans simulieren die Perspektive eines externen Angreifers. Sie zeigen, was von außen sichtbar und angreifbar ist.
Vorteile:
- Angreifer-Perspektive: Zeigt, was externe Angreifer sehen können
- Externe Bedrohungen: Fokus auf öffentlich zugängliche Schwachstellen
- Einfache Durchführung: Keine Credentials erforderlich
- Schnelle Übersicht: Guter erster Eindruck der externen Angriffsfläche
Typische Checks bei nicht-authentifizierten Scans:
- Offene Ports und Dienste
- Banner-Grabbing und Service-Version-Erkennung
- Öffentlich zugängliche Schwachstellen (CVEs)
- Webanwendungs-Sicherheit (OWASP Top 10)
- SSL/TLS-Konfigurationen
- Firewall-Regel-Validierung
Einschränkungen:
- Oberflächliche Analysen
- Keine internen Schwachstellen sichtbar
- Mehr False Positives möglich
- Unvollständiges Bild der IT-Sicherheit
Unsere Empfehlung: Für eine umfassende Sicherheitsbewertung sollten beide Scan-Arten durchgeführt werden. Nicht-authentifizierte Scans zeigen externe Bedrohungen, authentifizierte Scans decken interne Risiken auf.
Vorgehensweise
Wir führen IT-Audits nach einem strukturierten Prozess durch, der alle wichtigen Aspekte Ihrer IT-Sicherheit abdeckt.
Phase 1: Planung & Scoping
- Definition des Audit-Umfangs
- Identifikation zu scannender Systeme
- Festlegung von Scan-Arten (authentifiziert/nicht-authentifiziert)
- Zeitplanung und Ressourcen-Planung
Phase 2: Durchführung
- Durchführung der Security-Scans
- Manuelle Verifikation von Ergebnissen
- Kontextuelle Bewertung von Schwachstellen
- Dokumentation aller Befunde
Phase 3: Analyse & Bewertung
- Risikobewertung aller gefundenen Schwachstellen
- Priorisierung nach Dringlichkeit und Auswirkung
- Kontextuelle Analyse (Business-Impact)
- Compliance-Bewertung
Phase 4: Reporting
- Detaillierter Audit-Bericht
- Executive Summary für Management
- Technische Details für IT-Teams
- Konkrete Handlungsempfehlungen
- Remediation-Roadmap
Phase 5: Follow-up & Umsetzung (optional)
- Unterstützung bei der Umsetzung von Maßnahmen
- Verifikations-Scans nach Remediation
- Kontinuierliche Überwachung (bei dauerhaften Scans)
- Umsetzung der Sicherheitsempfehlungen: In Kombination mit unserer Systemadministration können wir die identifizierten Sicherheitsprobleme direkt beheben und Ihre IT-Infrastruktur entsprechend den Audit-Ergebnissen absichern
Unsere Audit-Berichte sind umfassend, verständlich und handlungsorientiert. Wir liefern sowohl für technische Teams als auch für das Management passende Informationen.
Berichts-Inhalte:
- Executive Summary: Überblick für Management und Entscheidungsträger
- Risiko-Matrix: Visualisierung der kritischsten Schwachstellen
- Detaillierte Findings: Technische Details für IT-Teams
- CVEs und Referenzen: Verweise auf bekannte Schwachstellen
- Beweisführung: Screenshots und Logs als Nachweis
- Remediation-Anleitung: Schritt-für-Schritt-Anleitungen zur Behebung
- Compliance-Mapping: Zuordnung zu Standards (ISO 27001, BSI-Grundschutz, etc.)
Automatisches Reporting (bei dauerhaften Scans):
- Regelmäßige E-Mail-Reports (konfigurierbar)
- Dashboard-Zugang für kontinuierliche Überwachung
- Trend-Analysen über Zeit
- Compliance-Reports für Audits
Für wen sind unsere IT-Audit-Dienstleistungen geeignet?
Professionelle IT-Sicherheitsanalysen für Unternehmen jeder Größe. Von kleinen Firmen bis hin zu großen Konzernen – wir passen unsere Audits an Ihre Anforderungen an.
Ideal für:
- Unternehmen mit Compliance-Anforderungen (ISO 27001, BSI-Grundschutz, etc.)
- Organisationen mit sensiblen Daten
- Firmen, die regelmäßige Sicherheitsprüfungen benötigen
- Unternehmen vor Zertifizierungen
- Organisationen mit gemischten IT-Umgebungen (Windows, Linux, macOS, Cloud)
Öffentliche Einrichtungen haben besondere Sicherheits- und Compliance-Anforderungen. Wir unterstützen Sie bei der Erfüllung dieser Standards.
Ideal für:
- Behörden mit IT-Grundschutz-Anforderungen
- Öffentliche Einrichtungen mit Compliance-Pflichten
- Organisationen mit hohen Sicherheitsstandards
- Einrichtungen mit sensiblen Bürgerdaten
Branchen mit besonders hohen Sicherheitsanforderungen benötigen regelmäßige und umfassende IT-Audits.
Ideal für:
- Krankenhäuser und Gesundheitseinrichtungen
- Finanzdienstleister und Banken
- Versicherungen
- Unternehmen mit DSGVO-Pflichten
- Organisationen mit PCI-DSS-Anforderungen
Best Practices
Wir folgen etablierten Best Practices und Standards für IT-Sicherheitsaudits:
- OWASP Top 10: Webanwendungs-Sicherheitsstandards
- CIS Benchmarks: Security-Configuration-Benchmarks
- ISO 27001: Informationssicherheits-Management
- BSI-Grundschutz: IT-Grundschutz-Kompendium
- NIST Framework: Cybersecurity Framework
- PTES: Penetration Testing Execution Standard
- Alle Audit-Daten werden streng vertraulich behandelt
- NDAs (Non-Disclosure Agreements) werden selbstverständlich eingehalten
- Sichere Datenübertragung und -speicherung
- Löschung von Daten nach Abschluss (wenn gewünscht)
- DSGVO-konforme Durchführung
- Verifikation aller gefundenen Schwachstellen
- Kontextuelle Bewertung statt reiner Scan-Ergebnisse
- False-Positive-Reduzierung durch manuelle Prüfung
- Realistische Risikobewertung
- Handlungsorientierte Empfehlungen
Umsetzung der Sicherheitsempfehlungen
Ein IT-Audit zeigt Schwachstellen auf, aber die Umsetzung der Sicherheitsempfehlungen ist entscheidend. Wir bieten Ihnen die komplette Lösung aus einer Hand.
Vorteile der Kombination:
- Nahtlose Umsetzung: Keine Wissenslücke zwischen Audit und Umsetzung – wir wissen genau, was zu tun ist
- Effizienz: Schnelle Umsetzung der Sicherheitsempfehlungen ohne zusätzliche Einarbeitungszeit
- Kontinuierliche Betreuung: Nach der Absicherung übernimmt unsere Systemadministration die laufende Betreuung Ihrer IT-Infrastruktur
- Ein Ansprechpartner: Alle IT-Dienstleistungen – von der Analyse bis zur Umsetzung und Wartung – aus einer Hand
Typische Umsetzungsmaßnahmen:
- Patch-Management und System-Updates
- Sicherheitshärtung von Betriebssystemen und Anwendungen
- Firewall-Konfiguration und Netzwerk-Segmentierung
- Konfiguration von Sicherheitsrichtlinien (Windows GPO, Linux-Policies)
- Einrichtung von Monitoring und Alerting
- Backup-Strategien und Disaster Recovery
- Dokumentation und Schulungen
Vorgehensweise:
- IT-Audit durchführen: Identifikation von Schwachstellen und Erstellung eines detaillierten Berichts
- Remediation-Planung: Priorisierung der Maßnahmen nach Risiko und Dringlichkeit
- Umsetzung: Unsere Systemadministratoren setzen die Sicherheitsempfehlungen um
- Verifikation: Erneuter Scan zur Bestätigung der erfolgreichen Umsetzung
- Kontinuierliche Betreuung: Laufende Überwachung und Wartung durch unsere Systemadministration
Von der Sicherheitsanalyse bis zur Umsetzung und laufenden Betreuung – wir bieten Ihnen die komplette IT-Sicherheitslösung aus einer Hand.
Preise
Aktuelle Preise für unsere IT-Audit- und Penetrationstest-Dienstleistungen finden Sie auf unserer Preisseite.
Kontakt
Benötigen Sie eine professionelle Sicherheitsanalyse Ihrer IT-Infrastruktur? Von einmaligen Audits bis hin zu kontinuierlichem Security-Scanning – kontaktieren Sie uns für eine unverbindliche Beratung und erfahren Sie, wie wir Ihre IT-Sicherheit verbessern können.