Empfang Telefon, Chat, Termine, Rückruf

Dokumentation Angebote, Protokolle, Rechnungen

Betrieb Mail, Touren, Projekte, Recruiting

Branchen-Fachwissen SHK, Elektro, Maler

Sichtbarkeit Blog, Google-Profil, Audit

Für Ihre Branche KI-Lösungen für 8 Branchen

Open Source & KI Eigene Plattformen statt SaaS-Inseln

Verkündigung digital Werkzeuge für Gemeinden

Beispiele aus dem Haus KI-Anwendungen, die wir selbst betreiben

Übersicht Alle 56 Produkte auf einer Seite

Alle KI-Lösungen →

Empfang

Julia White-Label (Telefon) FINN White-Label (Chat-Widget) Terminbot Rückrufzentrale WhatsApp-Business-Suite KI im Messenger (privat) Messenger-KI Business (Enterprise)

Dokumentation

Sprach-zu-Angebot Baustellen-Memo Foto-Bericht Rechnung-as-a-Service Mahnwesen-Bot KI-Diktat Angebots-Maschine (Handwerk)

Betrieb

Mail-Triage Tour-Optimierer Verbrauchs-Analyse Projekt-Planer Stellen-Assistent KI-Souffleuse Vertriebs-Pipeline (B2B) Recruiting-Assistent Onboarding-Autopilot Betriebsleiter-Dashboard

Branchen-Fachwissen

Fachassistent SHK Fachassistent Elektro Fachassistent Maler

Sichtbarkeit

Blog-Fabrik Google-Profil-Pfleger Digital-Check (49€)

Für Ihre Branche

KI für Handwerk KI für Arztpraxen Praxis-Copilot (Arztpraxen) KI für Kanzleien Abschluss-Automat (Steuer) KI für Autohäuser Werkstatt-Copilot (KFZ) KI für Hausverwaltungen Miet-Portal (Vermieter) KI für Einzelhandel KI für Gastronomie Hotel-Rezeption (Gastro) KI für Landwirtschaft Hof-Manager (Landwirtschaft) KI für Online-Shops KI für Vereine Verein-Vollversorgung Pflegedienst-Copilot (Pflege) Salon-Manager (Friseur) Makler-Suite (Immobilien) Tierarzt-Praxis Fahrschul-Assistent Energieberater-Toolkit Fitnessstudio-Verwaltung Allergen-Auskunft Buch- & Medienkatalog Zoll- & Importrechner

Open Source & KI

Firmen-KI statt ChatGPT-Chaos Browser-Agenten für Portale Service-Desk mit KI-Triage Nextcloud mit KI Meeting-Agent: Audio zu Ergebnis Vertrags- und PDF-Prüfung Zahlen-Copilot Agentenserver für KMU Telefon-KI ohne SaaS-Lock-in Intranet & Prozesshandbuch

Verkündigung digital

Alle 10 Werkzeuge (Übersicht) Predigt-Podcast Predigt-Archiv Bibelvers-Kacheln Andachts-Newsletter Trostruf (Telefon-Andacht) Bibelstudium-KI Hauskreis-Helfer Bibelvers-Shorts (Video) Missionars-Rundbrief Digitale Traktate (QR)

Beispiele aus dem Haus

Julia – unser Voice Agent

Übersicht

Alle 50 Produkte im Katalog KI-Infrastruktur (System) KI-Telefonassistent (Service-Seite) KI-Schulung (Team) Verkündigung digital (Gemeinden)

Windows & Systeme Updates, Probleme, Linux

Office & Kommunikation E-Mail, Teams, Podcast

Sicherheit & Daten Viren, Passwörter, Backup

KI & Tools ChatGPT, Claude, Automatisierung

Eigene Software-Projekte Selbst entwickelt und im Einsatz

Lernen & Online-Kurse Kurse produzieren, Plattform, KI-Begleitung

Alle Software-Leistungen →

Windows & Systeme

Windows-Probleme Windows-Upgrade Browser-Probleme Browser-Erweiterungen Linux-Umstieg Linux-Support

Office & Kommunikation

E-Mail & Office Microsoft 365 Videokonferenzen Branchensoftware Podcast einrichten Zwischenablage & Bausteine

Sicherheit & Daten

Sicherheit & Viren Passwort-Management Datensicherung & Cloud pCloud Cloud-Speicher Datenrettung Computer-Reparatur Sicherheits-Check Sicherheits-Audit (Pentest) Penetrationstest erklärt

KI & Tools

KI-Schulung KI-Tools im Überblick KI-Glossar (A–Z) ChatGPT Claude Google Gemini Microsoft Copilot Mistral AI Claude Cowork Claude for Chrome KI-Bilder erstellen KI-Videos erstellen KI-Automatisierung KI-Agenten KI-Telefonassistent Webseite mit KI bauen App mit KI bauen Lokale KI KI & DSGVO

Eigene Software-Projekte

Rechnungs-Pipeline Podcast-Pipeline SEO-Dashboard Alle Referenzen anzeigen

Lernen & Online-Kurse

Online-Kurse produzieren lassen KI-Schulung für Teams Podcast einrichten

Computer & Laptops PC, Mac, Kaufberatung

Mobilgeräte Smartphone, TV, Fotos

Peripherie & Netzwerk Drucker, WLAN, NAS

Smart Home & IoT Automation, PV, Homeoffice

Alle Hardware-Leistungen →

Computer & Laptops

PC & Laptop Neuen PC einrichten Apple, Mac & iPhone Kaufberatung

Mobilgeräte

Smartphone & Tablet Smart TV & Streaming Fotos & Dateien

Peripherie & Netzwerk

Drucker & Scanner WLAN & Internet NAS & Netzwerk

Smart Home & IoT

Smart Home PV-Anlage Homeoffice

Sofort-Hilfe Selbsttest, Notfall, Checklisten

Schulungen KI, PC, Senioren

Schutz & Vorsorge Passwörter, Jugendschutz, Nachlass

Elektro & Energie Beratung durch Elektromeister

Selbstversorger & Mikro-KI Mikro-Gärtnerei für Zuhause & Einrichtungen

Alle Privat-Leistungen →

Sofort-Hilfe

Fernwartung (TeamViewer & Co.) PC-Checkup (Selbsttest) IT-Notfall-Karte Windows-Frühjahrsputz

Schulungen

KI-Schulung & Einrichtung KI im Messenger (WhatsApp/Telegram/Signal) PC-Schulungen Senioren-Schulungen Robert – KI-Begleiter (Prototyp)

Schutz & Vorsorge

Passwörter & Konten Jugendschutz Digitaler Nachlass Barrierefreiheit IT-Sicherheits-Check

Elektro & Energie

Elektro-Gutachten (Übersicht) Energy Sharing 2026 PV-Konzept-Prüfung Wallbox & Ladesäulen Streit mit dem Elektriker Bauabnahme Elektro Stromverbrauchs-Analyse Förderantrag prüfen

Selbstversorger & Mikro-KI

Selbstversorger-IT Mikro-Gärtnerei-KI (Hub) Stadtwohnung Selbstversorger-Garten Senioren & Pflege Praxis-Wartebereich Restaurant-Küche Bürofläche Schule & Bildung Heilpflanzen Forschung & Zucht

IT-Infrastruktur VPN, Netzwerk, DSGVO

Business-Software Buchhaltung, Kasse, Zeiterfassung

Web & Marketing Webseite, SEO, WordPress, Newsletter

Entwicklung & Beratung KI-Tools, Automation, Wartung, Beratung

Krypto & Web3 Steuern, Wallets, Mining, DePIN

Monitoring & IoT Sensoren, Dashboards, Alarmierung

Branchen-IT Spezialisierte IT für kleine Betriebe

Service & Recht Termin, Verträge, Karriere

Alle Unternehmens-Leistungen →

IT-Infrastruktur

Fernwartung (TeamViewer & Co.) Open-Source-Fernwartung Server-Fernwartung VPN & Fernzugriff Ländliches Internet (LTE/Mesh) NAS & Netzwerk Domain & E-Mail DSGVO-Technik IT-Check IT-Betreuung (Wartungsvertrag) Landwirtschaft

Business-Software

Messenger-KI Business (Enterprise) KI-Belegerkennung lokal Buchhaltungssoftware Kassensystem & TSE Zeiterfassung Zeiterfassung mit QR-Code Fahrtenbuch-PWA Dokumentenmanagement Terminbuchung Branchensoftware Mitarbeiter-App Teams-Alternative (DSGVO)

Web & Marketing

Webseite & Server WordPress-Pflege SEO & KI-Optimierung Technisches SEO-Audit Google-Indexierung prüfen Newsletter-Tool nach Mass

Entwicklung & Beratung

Individualsoftware DSGVO-KI-Automation Audio-Werbeplattform Individuelle KI-Tools Eigenes CRM Eigenes Rechnungssystem E-Rechnungs-Brücke eBay-Auktionsjäger eBay-Auktionen KI-Agent Standort-Dossier Wetter-Ampel Reise-Briefing Speiseplan-Generator Presse-Spiegel Security-Dashboard Allergen-Check Buch-Katalog Zoll-Rechner Forschungs-Radar Ernährungscoach-App Streaming-Kompass Entwickler-Onboarding-Assistent Lieferketten-Radar Workflow-Automation Schnittstellen & Integration Software-Wartung Digitalisierungsberatung

Krypto & Web3

Krypto-Dashboard für Steuerberater Krypto-Insolvenz-Service Krypto-Steuer-Tool NFT-Steuerreport Krypto-Zahlungs-Plugin Stablecoin-Lohnzahlung Bitcoin-Geschenk-Service Bitcoin-Heizung PV-Überschuss zu Bitcoin-Mining linkx^© Krypto-Wallets DePIN-Setup On-Chain AI-Agenten Mining-Strom-Monitor

Monitoring & IoT

naturwerk^© (Bürger-Tech) spuerwerk^© (Sensor-Plattform) Mining-Strom-Monitor Drift-Wächter (Pestizid-Drift) Spritzalarm (Crowdsourcing-PWA) Pestizid-Scanner (KI) Gülle-Wächter (Ammoniak/H2S) Lärm-Wächter (Verkehr/Lüfter) Licht-Wächter (Lichtbelastung) Mikroplastik-Sonde (Wasser) Bienenfeind-Karte (Pestizid-Mapping) PV-Anlagen-Monitoring Energy Sharing digitalisieren Energy-Sharing-Checkliste Serverraum-Monitoring Kühlhaus-Monitoring Maschinen-Monitoring Gewächshaus-Monitoring

Branchen-IT

Gärtnerei-IT Hofladen digital Internet auf dem Land (LTE/Mesh) Imkerei-IT Pferdebetrieb-IT Bio-Betrieb-Dokumentation Mitarbeiter-IT (Onboarding)

Service & Recht

Termin online buchen AV-Vertrag (Art. 28 DSGVO) Barrierefreiheitserklärung Empfehlungen & Partner Mitarbeiten (Karriere)

Neu im Blog Die aktuellsten Artikel

Systeme & Netzwerk Windows, Linux, WLAN, Homeoffice

Software & Online KI, E-Mail, Web, Sicherheit

Geräte & Branchen Smartphone, Drucker, Agrar

Werkzeuge Öffentliche Prüfdienste mit Anleitung

Alle Artikel im Wissensbereich →

Neu im Blog

Text-to-CAD: Wie LLMs jetzt anfangen, 3D-Modelle zu ... Wieviele KIs gibt es eigentlich weltweit, die man pr... Berufs- und Produkthaftpflicht über Hiscox: Was das... Sprit-Radar: Eine PWA für Tankstellenpreise Browser-Shortcuts, die wirklich Zeit sparen — und ...

Systeme & Netzwerk

Windows & PC Linux Netzwerk & WLAN Homeoffice

Software & Online

KI & Datenschutz E-Mail & Office Webseite & Server WordPress Sicherheit

Geräte & Branchen

Smartphone Drucker Geräte & Mehr Agrar

Werkzeuge

Alle Werkzeuge E-Mail-Leak prüfen Website-Geschwindigkeit SSL-Zertifikat DNS & MX prüfen Sicherheits-Header Datei/Link auf Viren Website-Sicherheits-Check Browser-Kompatibilität

Sicherheits-Audit für KMU

Penetrationstest light für Solo-Betriebe und Mittelstand.

Ein externer Sicherheits-Check, ein Webseiten-Audit oder ein vollständiges IT-Audit – mit OWASP Top 10, SSL-Härtung, Mail-Sicherheit, Microsoft 365 oder Google Workspace und Phishing-Simulation. Komplett remote, schriftlicher Bericht, klare Reparatur-Empfehlungen.

Pakete und Preise Erstgespräch anfragen

Schreibtisch mit zwei Monitoren, links ein Terminal mit Scan-Ausgabe, rechts ein Browser mit Sicherheits-Bericht

Externer Angreifer-BlickOWASP Top 10, Port-Scans, SSL- und Header-Härtung – wir gehen den Weg, den auch ein Angreifer ginge.

Automatisiert + manuellBewährte Open-Source-Tools plus manuelle Prüfung der Login- und Session-Strecken durch Fachperson.

Schriftlicher BerichtJeder Fund priorisiert, mit Schweregrad, Hintergrund und konkreter Reparatur-Empfehlung – nicht nur eine Tool-Ausgabe.

Komplett remoteWir arbeiten bundesweit ausschließlich online. Bildschirm-Freigabe über die Fernwartung, schriftlicher Auftrag nach §202c StGB.

Für wen sich das Audit lohnt – und für wen nicht

Wir sind kein BSI-zertifizierter Penetrationstester nach IS-Penetrationstest-Standard. Wir machen pragmatische Sicherheits-Audits für Solo-Selbstständige, Handwerksbetriebe, Praxen, Kanzleien, Online-Shops und kleine Mittelständler.

Passt zu Ihnen, wenn

Sie eine Website mit Kontaktformular, Login-Bereich, Buchungs-Funktion oder Online-Shop betreiben
Sie personenbezogene Daten verarbeiten und DSGVO-Pflichten haben
Ihre IT outgesourct ist und Sie eine unabhängige Außensicht möchten
Sie ein WordPress, Joomla, TYPO3 oder Shopware betreiben und Klarheit zu Plugin-Versionen brauchen
Sie einen Cloud-Tenant in Microsoft 365 oder Google Workspace einsetzen
Sie eine Phishing-Welle bei Mitarbeitern vermuten und Awareness aufbauen wollen
Sie einen Vor-Audit vor einer formalen ISO-27001- oder TISAX-Prüfung brauchen

Passt nicht, wenn

Sie eine BSI-zertifizierte Penetrationstest-Bescheinigung für Compliance-Zwecke benötigen
Sie ein Red-Team mit Social Engineering, physischem Eindringen oder Dropbox-Angriffen suchen
Sie ein internes Netzwerk vor Ort untersuchen wollen – wir sind reiner Online-Anbieter
Sie eine Source-Code-Prüfung über 5.000 Codezeilen brauchen
Sie eine KRITIS-, NIS2- oder TISAX-Zertifizierung anstreben
Sie einen forensischen Incident-Response-Dienstleister nach laufendem Angriff suchen

Was wir prüfen

Acht Prüfbereiche, die im Sicherheits-Check und Audit immer abgedeckt sind – im Komplett-Audit erweitert um Mail-Infrastruktur, Cloud-Tenant und Backup.

Externe Sicht und Ports

Nmap-Scan auf erreichbare Dienste, Banner-Analyse, Erkennung veralteter Versionen, Identifikation offener Test- und Admin-Bereiche.

SSL- und TLS-Härtung

Prüfung mit testssl.sh und SSL Labs. Cipher-Suites, Protokoll-Versionen, Zertifikats-Ketten, HSTS, OCSP-Stapling, Forward Secrecy.

HTTP-Sicherheits-Header

Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy – Mozilla-Observatory-Stufe A oder besser als Ziel.

OWASP Top 10 für Web

Manuelle und tool-gestützte Prüfung auf SQL-Injection, Cross-Site-Scripting, Broken Access Control, Server-Side Request Forgery, fehlende Auth.

Login und Session

Brute-Force-Schutz, MFA-Coverage, Password-Reset-Flow, Session-Cookies (Secure, HttpOnly, SameSite), Logout-Verhalten, Account-Enumeration.

CMS- und Plugin-Audit

WordPress, Joomla, TYPO3, Shopware, Contao: Core-Version, Plugin-Versionen, veraltete Themes, gefährliche Standard-Konfigurationen, Admin-Härtung.

E-Mail-Sicherheit

SPF, DKIM, DMARC, MTA-STS, DANE, BIMI. Schutz vor Spoofing, Phishing, Spam-Listing. Im Komplett-Audit inkl. Mail-Flow-Härtung.

Informations-Leaks

Öffentlich erreichbare .git-Verzeichnisse, .env-Dateien, Backup-Dateien, alte phpinfo.php, Verzeichnis-Listings, sensible Inhalte in robots.txt.

So gehen wir vor

Vier Schritte vom Erstgespräch bis zum fertigen Bericht. Komplett remote, ein- bis zehn Werktage Bearbeitungszeit je nach Paket.

Erstgespräch und Scope

15 bis 30 Minuten Telefonat. Wir klären Ziele, Scope, Domains, IP-Bereiche, kritische Geschäftszeiten. Sie erhalten einen schriftlichen Auftrag mit klar abgegrenztem Test-Rahmen.

Auftrag und Einwilligung

Sie unterzeichnen die Pentest-Beauftragung nach §202c StGB. Auf Wunsch zusätzlich ein AVV nach Art. 28 DSGVO, falls personenbezogene Daten im Scope liegen.

Audit-Durchführung

Wir scannen, testen und prüfen außerhalb Ihrer Hauptgeschäftszeit. Bei kritischen Befunden sofortige Telefon-Meldung. Sie können den Test jederzeit pausieren.

Bericht und Nachsorge

Schriftlicher PDF-Bericht mit priorisiertem Mängel-Katalog. Optional Nachsorge-Telefonat per Bildschirm-Freigabe über die Fernwartung. Reparatur auf Wunsch zum Festpreis.

Pakete und Preise

Festpreise. Sie wissen vorher, was Sie zahlen. Eigentum wo es Sinn macht, Service wo er gebraucht wird.

Stichprobe

290 €

einmalig, externer Sicherheits-Check

Externer Port-Scan mit Nmap
SSL- und TLS-Härtung
HTTP-Sicherheits-Header
SPF, DKIM, DMARC Quick-Check
OWASP Top 10 Smoke-Test
5-Seiten-PDF mit Priorisierung
1 Werktag Bearbeitung

Stichprobe buchen

Häufigste Wahl

Webseiten-Audit

690 €

einmalig, Web-Anwendung im Fokus

Alles aus Stichprobe
Manuelle Login- und Session-Prüfung
Authentifizierungs-Tests, Password-Reset-Flow
CMS-Audit (WordPress, Joomla, TYPO3, Shopware)
DSGVO-Datenflüsse, Cookies, Tracker
12-Seiten-Bericht mit Empfehlungen
30 Minuten Nachsorge per Bildschirm-Freigabe

Audit anfragen

Komplett-Audit

1.490 €

einmalig, IT-Infrastruktur vollständig

Alles aus Webseiten-Audit
E-Mail-Sicherheit inkl. MTA-STS und DANE
Microsoft 365 oder Google Workspace Tenant-Audit
Fernwartung- und VPN-Konfiguration
Backup-Strategie und Restore-Test-Protokoll
Awareness-Brief für Mitarbeiter
90 Minuten Ergebnis-Workshop

Komplett-Audit anfragen

Phishing-Simulation

490 €

einmalig, plus 49 €/Monat optional

3 bis 5 maßgeschneiderte Szenarien
Kontrollierte Welle an bis zu 50 Empfänger
Schulungs-Seite für Klick-Opfer
Awareness-Modul bei Eingabe von Daten
Anonymisierte Auswertung
Optional monatlich neue Szenarien pro Quartal
Voraussetzung: schriftliche Mitarbeiter-Information

Simulation anfragen

Reparatur einzelner Mängel als Festpreis nach Audit-Ergebnis. Erfahrungswert: 590 bis 2.490 Euro einmalig für 8 bis 25 Anpassungen. Sicherheits-Pflege als Service: 39 Euro pro Monat mit quartalsweisem Re-Scan und Hotline für Rückfragen.

Werkzeuge und Standards

Eine Mischung aus etablierten Open-Source-Werkzeugen, lizenzierten Tools und manueller Prüfung durch Fachperson. Methodisch orientiert an OWASP, OSSTMM und BSI-Grundschutz.

Werkzeuge im Einsatz

Nmap – Port-Scan, Service-Erkennung, Banner-Analyse

testssl.sh und SSL Labs – TLS-Konfiguration und Zertifikats-Härtung

Mozilla Observatory – HTTP-Sicherheits-Header bewerten

OWASP ZAP – Web-Application-Scanner für die OWASP Top 10

Burp Suite – manuelle Prüfung der Web-Anwendung und Session-Strecken

Nikto und Gobuster – versteckte Pfade und Konfigurations-Fehler

MXToolbox und MailHardener – E-Mail-Sicherheit, SPF, DKIM, DMARC, MTA-STS

GoPhish – kontrollierte Phishing-Simulationen für Mitarbeiter-Awareness

Standards und Methodik

Unser Vorgehen orientiert sich an etablierten Standards der Sicherheits-Branche:

OWASP Top 10 (2021) – die häufigsten Risiken in Web-Anwendungen
OWASP ASVS Level 1 und 2 – Verifikations-Standard für Anwendungs-Sicherheit
OSSTMM 3 – Open Source Security Testing Methodology Manual als Methodik-Referenz
BSI IT-Grundschutz – Bausteine als Orientierungs-Raster für Mindest-Härtung

Wichtig zur Abgrenzung: Wir sind kein BSI-zertifizierter Penetrationstester nach IS-Penetrationstest-Standard 200-3 und stellen keine Compliance-Zertifikate aus. Unser Bericht ist eine fachliche Sicherheits-Einschätzung, kein formales Audit-Dokument.

Rechtlicher Rahmen

Sicherheits-Tests ohne Einwilligung sind in Deutschland strafbar. Wir arbeiten ausschließlich mit schriftlichem Auftrag, klar definiertem Scope und transparenter Eskalations-Klausel.

§202a–c StGB – der sogenannte Hackerparagraph

Das Ausspähen und Abfangen von Daten sowie das Vorbereiten solcher Taten ist nach §202a, §202b und §202c StGB strafbar. Beauftragte Sicherheits-Audits sind ausdrücklich erlaubt, solange die Einwilligung des Berechtigten vorliegt und der Scope klar dokumentiert ist. Unsere Pentest-Beauftragung erfüllt genau diese Anforderung und schützt beide Seiten.

Inhalte der Pentest-Beauftragung

Vollständige Auftraggeber-Daten und Vertretungs-Berechtigung
Liste der Domains, IP-Adressen und Systeme im Scope
Liste der Systeme außerhalb des Scopes
Test-Zeitraum mit Start- und End-Datum
Erlaubte Test-Tiefe (kein DoS, keine Datenmanipulation produktiver Datenbanken)
Notfall-Kontakt für kritische Befunde
Verwendung der Ergebnisse und Vertraulichkeits-Vereinbarung
Datenschutz-Vereinbarung nach Art. 28 DSGVO bei personenbezogenen Daten

Phishing-Simulationen und Mitarbeiter-Information

Bei Phishing-Simulationen prüfen wir zusätzlich die Mitbestimmungs-Rechte. In Unternehmen mit Betriebsrat ist eine vorherige Information und Zustimmung des Betriebsrats nach §87 BetrVG notwendig. Wir liefern eine passende Vorlage und unterstützen bei der Formulierung, übernehmen aber keine arbeitsrechtliche Beratung.

Sie wissen nicht, ob Ihre Systeme verwundbar sind?

Starten Sie mit der Stichprobe für 290 Euro. Ein externer Sicherheits-Check binnen eines Werktages, danach wissen Sie sicher, wo Ihre größten Risiken liegen und welche Reparaturen Vorrang haben.

Stichprobe für 290 Euro anfragen

Beschreiben Sie Ihr Problem

Wir melden uns bei Ihnen und finden eine Lösung.

Anfrage – noch kein Vertragsschluss. Der Vertrag kommt erst durch Terminvereinbarung zustande (§ 3 AGB). Ihre Angaben werden zur Bearbeitung Ihrer Anfrage verarbeitet; Details in der Datenschutzerklärung. Bitte erstellen Sie vor dem Termin ein Backup Ihrer wichtigen Daten (§ 5 Abs. 4 AGB).

Häufig gestellte Fragen

Was unterscheidet Ihr Sicherheits-Audit von einem klassischen Penetrationstest?

Ein klassischer Penetrationstest nach BSI-Standard 200-3 läuft 5 bis 20 Tage, kostet 8.000 bis 30.000 Euro und endet mit einem zertifizierten Bericht für Compliance-Zwecke wie ISO 27001 oder KRITIS. Unser Sicherheits-Audit ist ein Penetrationstest light für Solo-Betriebe und KMU: deutlich kürzer, deutlich günstiger, deutlich pragmatischer. Wir prüfen die häufigsten Angriffsvektoren mit den gleichen Werkzeugen, die ein externer Angreifer nutzen würde, geben Ihnen einen klaren Maßnahmen-Katalog und sagen ehrlich, wo unsere Grenze liegt. Wenn Sie eine Zertifizierung brauchen, nennen wir Ihnen passende größere Dienstleister.

Was prüfen Sie konkret im externen Sicherheits-Check?

Wir gehen den Weg eines Angreifers ohne Login-Daten. Geprüft werden: erreichbare Ports und Dienste per Nmap-Scan, SSL- und TLS-Konfiguration mit testssl.sh und SSL Labs, HTTP-Sicherheits-Header mit Mozilla Observatory, DNS-Konfiguration und E-Mail-Sicherheit per SPF, DKIM, DMARC und MTA-STS, Web-Anwendung mit OWASP ZAP gegen die OWASP Top 10, CMS-Versionen und veraltete Plugins, sichtbare Informations-Leaks wie git-Verzeichnisse, .env-Dateien, Backup-Dateien, alte Admin-Bereiche. Ergebnis ist ein priorisierter Mängel-Bericht mit Schweregrad und Reparatur-Empfehlung.

Brauche ich ein Sicherheits-Audit, wenn ich nur eine kleine Website habe?

Es kommt darauf an, was die Seite enthält. Eine reine Visitenkarten-Seite ohne Formular und ohne Login braucht selten ein Audit, ein einfacher Check der HTTP-Header und der SSL-Konfiguration reicht. Sobald Sie ein Kontaktformular, einen Login-Bereich, einen Online-Shop, eine Buchungs-Funktion, eine Dateiverwaltung oder personenbezogene Daten verarbeiten, lohnt sich der Sicherheits-Check. Faustregel: wenn ein Datenleck Ihrem Geschäft oder Ihren Kunden schaden könnte, ist die einmalige Investition von 290 oder 690 Euro deutlich günstiger als die Folgen.

Ist ein Sicherheits-Audit überhaupt legal? Stichwort Hackerparagraph.

Ja, mit Ihrer schriftlichen Einwilligung. Der sogenannte Hackerparagraph §202c StGB stellt das Vorbereiten von Computerstraftaten unter Strafe, schützt aber ausdrücklich beauftragte Sicherheitsprüfungen. Vor jedem Audit unterzeichnen Sie eine Pentest-Beauftragung mit klar definiertem Scope: welche Domains, welche IP-Adressen, welcher Zeitraum, welche Test-Tiefe. Ohne dieses Dokument startet kein Scan. Das Dokument schützt beide Seiten und ist deutsche Standard-Praxis bei Sicherheits-Audits.

Was ist der Unterschied zwischen Webseiten-Audit und Komplett-Audit?

Das Webseiten-Audit für 690 Euro konzentriert sich ausschließlich auf eine Web-Anwendung: Login-Strecken, Session-Handling, Password-Reset-Flow, CMS-Härtung, DSGVO-Datenflüsse, Cookies und Tracker. Das Komplett-Audit für 1.490 Euro erweitert um Ihre Mail-Infrastruktur, Ihren Cloud-Tenant in Microsoft 365 oder Google Workspace, die Fernwartung- und VPN-Konfiguration sowie die Backup-Strategie. Wenn nur die Website schützenswert ist, reicht das Webseiten-Audit. Wenn Sie ein vollständiges Bild Ihrer Angriffsfläche brauchen, ist das Komplett-Audit der richtige Schritt.

Wie funktioniert die Phishing-Simulation für Mitarbeiter?

Wir bereiten in Absprache mit Ihnen drei bis fünf Phishing-Szenarien vor, die zu Ihrer Branche und Ihrem Alltag passen. Beispiele: gefälschte Rechnung vom Steuerberater, vermeintliche DHL-Sendungsverfolgung, falsche Microsoft-Sicherheits-Warnung, manipulierte interne Anfrage vom Geschäftsführer. Die Mails gehen kontrolliert an bis zu 50 Adressen Ihrer Firma. Wer klickt, landet auf einer Schulungs-Seite mit Erklärung, was hätte auffallen müssen. Wer Anmelde-Daten eingibt, sieht zusätzlich ein Awareness-Modul. Sie erhalten eine anonymisierte Auswertung der Klick-Rate, der Anmelde-Rate und der Melde-Rate. Optional als monatlicher Service mit neuen Szenarien pro Quartal.

Wie lange dauert ein Audit, und wann bekomme ich den Bericht?

Externer Sicherheits-Check: ein bis zwei Werktage von Auftrag bis fertigem Bericht. Webseiten-Audit: drei bis fünf Werktage. Komplett-Audit IT-Infrastruktur: fünf bis zehn Werktage je nach Größe Ihres Cloud-Tenants und Mitarbeiter-Zahl. Phishing-Simulation: zwei Wochen für Vorbereitung, Versand-Welle und Auswertung. Sie bekommen den Bericht als PDF per Mail, plus ein optionales Nachsorge-Telefonat per Bildschirm-Freigabe über die Fernwartung. Bei akuten Sicherheits-Vorfällen können wir den externen Check binnen 24 Stunden starten, sprechen Sie uns direkt an.

Was machen Sie, wenn Sie eine kritische Lücke finden, die akut ausgenutzt wird?

Wir stoppen den Scan, melden uns sofort telefonisch und liefern in derselben Stunde eine Notfall-Empfehlung, mit der Sie die Lücke entweder schließen oder den verwundbaren Dienst zumindest abschalten können. Das ist Standard in der Sicherheits-Branche und in unserer Pentest-Beauftragung als Eskalations-Klausel festgehalten. Bei laufendem Angriff helfen wir bei der ersten Eindämmung, empfehlen aber für die forensische Aufarbeitung einen spezialisierten Incident-Response-Dienstleister.

Prüfen Sie auch Microsoft 365 oder Google Workspace?

Ja, im Komplett-Audit für 1.490 Euro. Wir prüfen die häufigsten Schwachstellen in Tenant-Konfigurationen: Conditional-Access-Policies, Multi-Faktor-Auth-Abdeckung, externe Freigaben in OneDrive oder Google Drive, Anmelde-Protokoll der letzten 30 Tage auf verdächtige Logins, Mailbox-Weiterleitungen, App-Berechtigungen für Drittanbieter, Audit-Log-Konfiguration, Backup-Status von Postfächern. Sie erteilen uns einen lesenden Audit-Zugang mit minimalen Rechten, der nach dem Audit sofort wieder entfernt wird.

Können Sie auch eine Compliance-Bestätigung für ISO 27001, KRITIS oder NIS2 ausstellen?

Nein. Wir sind kein BSI-zertifizierter Penetrationstester und kein akkreditiertes Audit-Unternehmen. Unser Bericht ist eine fachliche Sicherheits-Einschätzung, kein Zertifizierungs-Dokument. Wenn Sie ISO 27001, TISAX, KRITIS-Audit, NIS2-Konformitäts-Prüfung oder eine ähnliche formale Bestätigung brauchen, nennen wir Ihnen passende größere Dienstleister wie secunet, TÜV, DEKRA oder spezialisierte Cyber-Security-Häuser. Unser Audit kann als interner Vor-Audit dienen, um die offenkundigen Mängel vor dem teuren formalen Audit zu beheben.

Was bringt eine Schwachstellen-Prüfung, wenn unsere IT eh outgesourct ist?

Gerade dann ist sie wertvoll. Sie erhalten eine unabhängige Außensicht auf das, was Ihr Dienstleister geliefert hat. Häufige Befunde bei outgesourcten Umgebungen: veraltete Software auf produktiven Servern, fehlende Security-Header in der Web-Konfiguration, schwache SSL-Cipher-Suites, fehlende MFA für Admin-Zugänge, ungeprüfte Backup-Strategien, vergessene Test-Domains mit alten Daten. Der Bericht gibt Ihnen eine sachliche Grundlage für ein Gespräch mit Ihrem Dienstleister, ohne Vorwurfs-Ton. Viele Mängel werden danach binnen einer Woche behoben.

Was passiert nach dem Audit, wenn ich die Reparatur nicht selbst stemmen kann?

Drei Wege. Erstens, Sie geben den Bericht an Ihren bestehenden Dienstleister oder Ihren Webentwickler. Der Bericht ist so geschrieben, dass jede erfahrene Fachkraft die Empfehlungen umsetzen kann. Zweitens, wir beheben die Mängel selbst zum Festpreis nach Befund, üblicher Bereich 590 bis 2.490 Euro für 8 bis 25 Anpassungen. Drittens, Sie buchen unsere Sicherheits-Pflege für 39 Euro pro Monat: quartalsweiser Re-Scan, jährliche Stichprobe, Hotline für Rückfragen, neue Erkenntnisse aus aktuellen Sicherheits-Meldungen.