SICHERHEITSBEWERTUNG // CHIMERASCOPE
Wir bewerten das externe Angriffsprofil Ihres Unternehmens und liefern einen verschlüsselten, konformitätskartenbasierten Bericht – die einzige Bewertung auf dieser Ebene, die jede Erkenntnis auf spezifische CRA-, NIS2-, ISO 27001-, GDPR-, DORA- und MiCA-Regelungsvorschriften abbildet.
Wir bewerten die öffentlich sichtbare Infrastruktur Ihres Unternehmens – Domains, Subdomains, Zertifikate, E-Mail-Sicherheit, exponierte Dienste, Cloud-Konfigurationen und Drittanbieter-Abhängigkeiten – mithilfe einer proprietären Bewertungsmethode, die im Laufe von Jahren Sicherheitsforschung entwickelt wurde.
Jede Erkenntnis wird automatisch den geltenden gesetzlichen Vorgaben zugeordnet, die für Ihr Unternehmen relevant sind. Das Ergebnis ist ein strukturiertes, verschlüsseltes Intelligenzbericht, der sowohl für Ihr technisches Team als auch für Ihre Compliance-Beauftragten verständlich ist.
Dies ist kein Penetrationstest. Wir interagieren nicht mit Ihren Systemen, außer in dem Maße, wie es jeder externe Beobachter sehen könnte. Für den Standard-Bewertungsumfang ist keine Genehmigung erforderlich – wir empfehlen jedoch einen formellen Auftragsvertrag für alle kostenpflichtigen Bewertungen.
Umfassende Bewertung als AES-128-verschlüsseltes PDF mit vollständigem Inhaltsverzeichnis, Management-Bewertung (A–F) und forensischer Verifikationskette. In der Regel 30–50 Seiten je nach Infrastrukturkomplexität.
Jeder Befund wird auf konkrete Artikel abgebildet: CRA Art. 10, 11, 14 — NIS2 Art. 21 Maßnahmen — ISO 27001 Anhang A-Kontrollen — GDPR Art. 32 technische Anforderungen — DORA Art. 5–12, 17, 24, 28 für Finanzinstitute — MiCA Art. 62, 67, 68, 75, 79, 83 für Kryptowährungsdienstleister — mit dedizierter MiCA/DORA-Konformitätsprüfung (Artikelweise PASS/FAIL-Bewertung). Sektor-spezifische Anmerkungen bei Bedarf.
Vorstandsfertige Zusammenfassung mit allgemeiner Sicherheitsnote, CRA-Bereitschaftsprüfung mit Ampelfarbenindikatoren und Priorisierungsmatrix für Korrekturen nach Auswirkung und Aufwand.
SHA-256-hasierte forensische Evidenzkette mit Verifikations-QR-Code. Maschinenlesbares JSON-Exportformat, kompatibel mit SIEM-Plattformen, Jira und ServiceNow für direkte Integration in Ihren Korrekturworkflow.
Die Meldung von Schwachstellen wird am 11. September 2026 verpflichtend. Vollständige Einhaltung ist bis Dezember 2027 erforderlich. Wir ordnen die Ergebnisse den Artikeln 10 (Cybersicherheitsanforderungen), 11 (Schwachstellenmanagement) und 14 (Berichtspflichten) zu. Bußgelder: bis zu 15 Mio. € oder 2,5 % des globalen jährlichen Umsatzes.
Einschätzung der Sicherheitsmaßnahmen gemäß Artikel 21 in allen relevanten Bereichen. Bereichsspezifische Zuordnung für Gesundheitswesen, Energie, Verkehr, Wasser und digitale Infrastruktur. In Dänemark, Finnland und Schweden seit Januar 2026 aktiv.
Zuordnung der Kontrollen im Anhang A mit Lückenidentifizierung gemäß den Anforderungen an das Informationssicherheitsmanagement. Besonders relevant für Organisationen, die eine Zertifizierung anstreben oder aufrechterhalten – unsere Ergebnisse integrieren sich direkt in Ihre Erklärung der Anwendbarkeit.
Einschätzung der technischen und organisatorischen Maßnahmen gemäß Artikel 32. Bewertung der Datenexposition, Risikoanalyse von Verletzungen und Identifizierung von Verarbeitungsvorgängen, die von der externen Angriffsfläche aus sichtbar sind.
Verpflichtend für EU-Finanzunternehmen. Wir ordnen die Ergebnisse den Artikeln 5–6 (ICT-Risikomanagement), Art. 7 (Patch-Management), Art. 9 (Zugriffssteuerung, Verschlüsselung), Art. 10–11 (Erkennung und Reaktion), Art. 17 (Vorfallsberichterstattung), Art. 24 (Resilienztests) und Art. 28 (Drittrisiken) zu. Die DORA-Konformitätszuordnung ist in allen kostenpflichtigen Bewertungen enthalten.
EU-weiter Rechtsrahmen für Anbieter von Kryptowährungsdienstleistungen (CASPs), wirksam ab Juni 2024 mit voller Anwendung ab Dezember 2024. Wir ordnen die Ergebnisse den Artikeln 62 (ICT-Risikomanagement), 67 (Betriebssicherheit), 68 (Sicherheitsanforderungen), 75 (Aufbewahrung und Verwaltung), 79 (Börsendienste) und 83 (Beschwerdemanagement) zu. Kryptowährungsziele erhalten einen spezifischen MiCA/DORA-Konformitätsbericht mit pro-artikelweiser PASS/FAIL/WARN-Bewertung im gelieferten Bericht. Unverzichtbar für Börsen, Wallet-Anbieter und jede Einheit, die Kryptowährungsdienste innerhalb der EU anbietet.
Schutz von klinischen Studiendaten, Exposition von Fertigungssystemen, Verifikation der GxP-Konformität. Die Bewertung umfasst vernetzte Laborgeräte, Forschungsportale und API-Schnittstellen zu Partnerorganisationen.
Bewertung von Mehrfachkunden-Datenumgebungen, Evaluierung der FDA/EMA-Auditbereitschaft. Besonderer Fokus auf Lieferkettenexposition, Risiken durch geteilte Infrastruktur und Verifikation der Datentrennung zwischen Kunden.
Bewertung des vernetzten Geräte-Ökosystems, Evaluierung der CRA-Produktkonformität. Umfasst Analyse der Firmware-Exposition, Sicherheit von Update-Mechanismen, API-Authentifizierung und Sicherheitsstandards von Cloud-Management-Plattformen.
Risikobewertung der OT/IT-Konvergenz für CRA-relevante vernetzte Produkte. Exposition von Sensornetzwerken, Erkennung von SCADA-Schnittstellen, Bewertung von Cloud-Management-Plattformen und Sicherheitsanalyse von Edge-Computing-Systemen.
Exposition von elektronischen Gesundheitsakten-Systemen, Risikobewertung von Patientendaten. Zuordnung der NIS2-Anforderungen für den Gesundheitssektor, Sicherheit von Telemedizin-Plattformen und Bewertung von Integrationsendpunkten.
Bereitschaft zur DORA-Konformität, Bewertung der API-Sicherheitsstandards. Analyse der Zahlungsinfrastruktur, Exposition von Mobilbanking-Systemen und Risikokartierung von Drittanbieterdienstleistern.
Bereitschaft zur MiCA-Konformität für Anbieter von Kryptowährungsdiensten, Börsen und Safewallet-Operatoren. Blockchain-Adressintelligenz mit OFAC-Sanktionsprüfung, Analyse der Wallet-Exposition, Bewertung von Token-Risiken und Verifikation des Proof of Reserves. Abdeckung der Ökosysteme von BTC, ETH, XRP, SOL und ERC-20-Token.
Die Standardbewertung umfasst die oben beschriebene externe Angriffsfläche. Für Organisationen mit spezifischen regulatorischen, operativen oder sektorspezifischen Anforderungen kann der Geltungsbereich um zusätzliche Erkundungs- und Verifikationsaktivitäten erweitert werden – ausgewählt, um dem Risikoprofil und den Compliance-Pflichten der Organisation zu entsprechen.
Erkennung von selbst gehosteten Schlussfolgerungsplattformen, Agenten-Frameworks, Model Context Protocol-Servern und öffentlichen Schlussfolgerungsschnittstellen, die zunehmend Teil der externen Angriffsfläche moderner Organisationen bilden. Umfasst die Erkennung von Expositionen, Authentifizierungsstatus von Management-Schnittstellen und die Kreuzkorrelation mit bekannten Schwachstellenklassen für Schlussfolgerungsmotoren und Orchestrierungsplattformen.
Risikoanalyse von JavaScript-Abhängigkeiten mit CVE-Vervollständigung, Subressourcen-Integritätsprüfung bei Drittanbieterressourcen, Attribuierung abgelaufener CDN-Domänen (ein dokumentierter Übernahme-Pfad für langfristige Markeninhaber) und Sicherheitsstatusbewertung von Drittanbieter-SaaS-Plattformen für das Lieferantenökosystem, das von Ihrer externen Oberfläche sichtbar ist.
Zeitlinienanalyse der Infrastruktur durch DNS- und BGP-Änderungsmuster, archivierten Inhaltsentwicklung, zeitliche Drift von Service-Fingerprint und Korrelation zwischen aktuellen und historischen TLS-Zertifikaten. Zeigt Betriebsmuster und Infrastrukturentscheidungen auf, die durch aktuelle Scans nicht beobachtet werden können.
Identifizierung von nicht autorisierten SaaS-Mandanten, die unter dem Identitätsperimeter der Organisation operieren, selbst gehosteten Systemen außerhalb der Unternehmensgovernance und verwaisten Infrastrukturen, die über ihren operativen Lebenszyklus hinaus beibehalten werden – Asset-Klassen, die Vorfälle verursachen, da sie derzeit niemandem gehören.
Validierte Tests auf Injektionsschwachstellen (SQL, Server-seitiger Anforderungs-Forgery, Vorlagen, Befehl) an in den Geltungsbereich fallenden Endpunkten, durchgeführt ausschließlich unter formeller schriftlicher Genehmigung. Diese Aktivität verschiebt die Bewertung von passiver Rekonnaissance in den Bereich aktiver Bewertung und erfordert im Voraus einen unterschriebenen Geltungsbereich der Arbeit.
Multi-Ketten-Wallet-Erkennung (BTC, ETH, XRP, SOL, ERC-20), automatische OFAC SDN-Sanktionsprüfung gegen US-Treasury-Listen, tiefgehende Wallet-Zeitlinienanalyse, Börse-Zuordnung, Token-Risikobewertung und DeFi-Endpunkterkennung (exponierte RPC-Node, geleakte Provider-API-Schlüssel, Admin-Wallet-Erkennung). Für Organisationen im Kryptowertpapiersektor oder solche, die Gegenparteien-Blockchain-Exposition im Rahmen von Due-Diligence- oder Compliance-Pflichten überprüfen müssen.
Jede identifizierte Erkenntnis wird einer spezifischen MITRE ATT&CK-Technik und Unter-Technik zugeordnet, mit der Identifizierung von Abdeckungslücken und Empfehlungen zur Priorisierung der Detektionsengineering. Integriert direkt in den Detektionsengineering-Plan von Organisationen, die einen Security Operations Center oder vergleichbare Fähigkeiten betreiben.
Organisationen, die häufig erweiterten Geltungsbereich anfordern: Verteidigungs- und Doppelverwendungstechnologievertragsunternehmen, Contract Development & Manufacturing Organizations (CDMOs), kritische Betreiber nationaler Infrastruktur, Finanzmarkinfrastruktur, Operational Technology und Industrial IT-Konvergenzumgebungen, Forschungsinstitute mit regulierten Daten.
Übermitteln Sie die Domain Ihrer Organisation für eine kostenlose Externe Expositionsübersicht – innerhalb von 48 Stunden übermittelt.
Wählen Sie Ihren Bewertungstyp und geben Sie die Hauptdomain Ihrer Organisation an. Alle Einreichungen werden als vertraulich behandelt.