SICHERHEITSBEWERTUNG // CHIMERASCOPE
Wir bewerten die externe Angriffsfläche Ihrer Organisation und liefern einen verschlüsselten, compliance‑abgestimmten Bericht – die einzige Bewertung auf diesem Niveau, die jede Feststellung den jeweiligen CRA-, NIS2-, ISO 27001-, GDPR-, DORA- und MiCA‑Regulierungsartikeln zuordnet.
Wir bewerten die öffentlich sichtbare Infrastruktur Ihrer Organisation – Domains, Subdomains, Zertifikate, E‑Mail‑Sicherheit, exponierte Dienste, Cloud‑Konfigurationen und Drittanbieter‑Abhängigkeiten – mithilfe einer proprietären Bewertungs‑Methodik, die über Jahre der Sicherheitsforschung entwickelt wurde.
Jeder Befund wird automatisch den Artikeln des regulatorischen Rahmens zugeordnet, die für Ihre Organisation gelten. Das Ergebnis ist ein strukturiertes, verschlüsseltes Intelligence‑Report, das sowohl die Sprache Ihres technischen Teams als auch Ihrer Compliance‑Beauftragten spricht.
Dies ist kein Penetrationstest. Wir interagieren nicht mit Ihren Systemen über das hinaus, was ein externer Beobachter sehen kann. Für den Standard‑Bewertungsumfang ist keine Genehmigung erforderlich – wir empfehlen jedoch für alle kostenpflichtigen Bewertungen einen formellen Engagement‑Vertrag.
Umfassende Bewertung, geliefert als AES-128 verschlüsseltes PDF mit vollständigem Inhaltsverzeichnis, Executive Scoring (A–F) und forensischer Beweiskette. In der Regel 30–50 Seiten, abhängig von der Komplexität der Infrastruktur.
Jede Feststellung wird den jeweiligen Artikeln zugeordnet: CRA Art. 10, 11, 14 — NIS2 Art. 21 Maßnahmen — ISO 27001 Anhang A Kontrollen — GDPR Art. 32 technische Anforderungen — DORA Art. 5–12, 17, 24, 28 für Finanzinstitute — MiCA Art. 62, 67, 68, 75, 79, 83 für Krypto‑Asset‑Dienstleister — mit dedizierter MiCA/DORA Compliance‑Scorecard (Pro‑Artikel PASS/FAIL‑Bewertung). Sektorspezifische Anmerkungen, wo zutreffend.
Boardroom‑fähige Zusammenfassung mit Gesamtsicherheitsbewertung, CRA‑Readiness‑Scorecard mit Ampelindikatoren und Prioritätsmatrix für Remediation, organisiert nach Impact und Aufwand.
SHA-256 gehashte forensische Beweiskette mit Verifizierungs‑QR‑Code. Maschinenlesbarer JSON‑Export, kompatibel mit SIEM‑Plattformen, Jira und ServiceNow für die direkte Integration in Ihren Remediation‑Workflow.
Die Meldung von Schwachstellen wird ab dem 11. September 2026 verpflichtend. Die vollständige Einhaltung ist bis Dezember 2027 erforderlich. Wir ordnen die Ergebnisse den Artikeln 10 (Cybersecurity-Anforderungen), 11 (Umgang mit Schwachstellen) und 14 (Meldepflichten) zu. Sanktionen: bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.
Artikel 21 – Bewertung von Sicherheitsmaßnahmen in allen anwendbaren Bereichen. Sektorspezifische Zuordnungen sind für Gesundheitswesen, Energie, Verkehr, Wasser und digitale Infrastruktureinheiten verfügbar. Seit Januar 2026 in Dänemark, Finnland und Schweden aktiv.
Zuordnung der Annex‑A‑Kontrollen mit Lückenidentifikation gegenüber den Anforderungen des Informationssicherheits‑Managements. Besonders relevant für Organisationen, die eine Zertifizierung anstreben oder aufrechterhalten – unsere Ergebnisse werden direkt in Ihr Statement of Applicability integriert.
Artikel 32 – Bewertung technischer und organisatorischer Maßnahmen. Bewertung der Datenexposition, Risikobewertung von Verstößen und Identifizierung von Verarbeitungstätigkeiten, die von der externen Angriffsfläche aus sichtbar sind.
Verpflichtend für Finanzinstitute der EU. Wir ordnen die Ergebnisse den Artikeln 5–6 (ICT‑Risikomanagement), Artikel 7 (Patch‑Management), Artikel 9 (Zugriffskontrolle, Verschlüsselung), Artikel 10–11 (Erkennung und Reaktion), Artikel 17 (Meldepflicht bei Vorfällen), Artikel 24 (Resilienz‑Tests) und Artikel 28 (Risiken von Drittanbietern) zu. Die DORA‑Compliance‑Zuordnung ist in allen kostenpflichtigen Assessments enthalten.
EU‑weiter Regulierungsrahmen für Anbieter von Krypto‑Asset‑Dienstleistungen (CASPs), wirksam seit Juni 2024, mit voller Anwendung ab Dezember 2024. Wir ordnen die Ergebnisse den Artikeln 62 (ICT‑Risikomanagement), 67 (operative Resilienz), 68 (Sicherungsanforderungen), 75 (Verwahrung und Administration), 79 (Handelsdienste) und 83 (Beschwerdebehandlung) zu. Krypto‑Asset‑Ziele erhalten eine dedizierte MiCA/DORA‑Compliance‑Scorecard mit einer PASS/FAIL/WARN‑Bewertung pro Artikel im bereitgestellten Bericht. Essenziell für Börsen, Verwahrungs‑Wallet‑Anbieter und alle Unternehmen, die Krypto‑Asset‑Dienstleistungen innerhalb der EU anbieten.
Schutz von klinischen Studiendaten, Exposition von Fertigungssystemen, GxP‑Compliance‑Verifizierung. Die Bewertung umfasst vernetzte Laborausrüstung, Forschungsportale und API‑Schnittstellen zu Partnerorganisationen.
Bewertung von Multi‑Client‑Datenumgebungen, Bewertung der Audit‑Readiness nach FDA/EMA. Besonderer Fokus liegt auf Exposition der Lieferkette, Risiken gemeinsamer Infrastruktur und Verifizierung der Datenisolation zwischen Kunden.
Bewertung des vernetzten Geräte‑Ökosystems, CRA‑Produkt‑Compliance‑Bewertung. Umfasst Firmware‑Expositionsanalyse, Sicherheit von Update‑Mechanismen, API‑Authentifizierung und die Sicherheitslage von Cloud‑Management‑Plattformen.
Risiko‑Bewertung der OT/IT‑Konvergenz für CRA‑relevante vernetzte Produkte. Exposition von Sensornetzwerken, SCADA‑Schnittstellenerkennung, Cloud‑Management‑Plattformen und Bewertung der Sicherheit von Edge‑Computing.
Exposition von elektronischen Gesundheitsakte‑Systemen, Risiko‑Bewertung von Patientendaten. Abbildung der NIS2‑Anforderungen im Gesundheitssektor, Sicherheit von Telemedizin‑Plattformen und Bewertung von Integrations‑Endpunkten.
Bewertung der DORA‑Compliance‑Readiness, Bewertung der API‑Sicherheitslage. Analyse der Zahlungsinfrastruktur, Exposition von Mobile‑Banking und Risikokartierung von Drittanbieter‑Dienstleistern.
MiCA‑Compliance‑Readiness für Krypto‑Asset‑Dienstleister, Börsen und Verwahrungs‑Wallet‑Betreiber. Blockchain‑Adress‑Intelligenz mit OFAC‑Sanktions‑Screening, Wallet‑Expositionsanalyse, Token‑Risiko‑Bewertung und Verifizierung von Proof of Reserves. Abdeckung der BTC-, ETH-, XRP-, SOL- und ERC‑20‑Token‑Ökosysteme sowie verifizierte Smart‑Contract‑Schwachstellenanalyse für Organisationen mit On‑Chain‑Exposition.
Die Standardbewertung deckt die oben beschriebene Kern‑Externe-Angriffsfläche ab. Für Organisationen mit spezifischen regulatorischen, operativen oder branchenspezifischen Anforderungen kann der Leistungsumfang durch zusätzliche Aufklärungs‑ und Verifizierungsaktivitäten erweitert werden – ausgewählt, um die Risikoposition und Compliance‑Verpflichtungen der Organisation zu entsprechen.
Erkennung von selbstgehosteten Reasoning‑Plattformen, Agenten‑Frameworks, Model‑Context‑Protocol‑Servern und öffentlichen Inferenz‑Schnittstellen, die zunehmend Teil der externen Angriffsfläche moderner Organisationen bilden. Beinhaltet die Erkennung von Expositionen, die Authentifizierungs‑Postur von Management‑Schnittstellen sowie den Abgleich mit bekannten Schwachstellenklassen für Inferenz‑Engines und Orchestrierungsplattformen.
Analyse von JavaScript‑Abhängigkeitsrisiken mit CVE‑Anreicherung, Validierung von Subresource Integrity über Drittanbieter‑Ressourcen, Zuordnung abgelaufener CDN‑Domain (ein dokumentierter Übernahmepfad für langlebige Marken‑Assets) und Bewertung der Sicherheits‑Postur von Drittanbieter‑SaaS‑Plattformen für das aus Ihrer externen Oberfläche sichtbare Anbietere‑Ökosystem.
Analyse von Infrastruktur‑Zeitlinien anhand von DNS‑ und BGP‑Änderungsmustern, Entwicklung archivierter Inhalte, Drift von Service‑Fingerabdrücken im Zeitverlauf und Korrelation von aktuellen und historischen TLS‑Zertifikaten. Zeigt betriebliche Muster und Infrastrukturentscheidungen auf, die bei aktuellen Scans nicht erkennbar sind.
Identifizierung unautorisierter SaaS‑Mandanten, die innerhalb des Identitätsperimeters der Organisation agieren, selbstgehosteter Engines, die außerhalb der Unternehmens‑Governance betrieben werden, sowie verwaister Infrastruktur, die über ihre betriebliche Lebensdauer hinaus erhalten bleibt – Asset‑Klassen, die Vorfälle erzeugen, weil sie derzeit von niemandem verwaltet werden.
Validierte Tests auf Injektions‑Schwachstellen (SQL, Server‑Side‑Request‑Forgery, Template, Command) gegen im Umfang enthaltene Endpunkte, ausschließlich unter formeller schriftlicher Genehmigung durchgeführt. Diese Aktivität verschiebt das Engagement von passiver Aufklärung zu aktiven Bewertungsmaßnahmen und erfordert im Voraus ein unterschriebenes Scope of Work.
Multi‑Chain‑Wallet‑Entdeckung (BTC, ETH, XRP, SOL, ERC-20), automatisierte OFAC‑SDN‑Sanktionsprüfung gegen US‑Treasury‑Listen, tiefgehende Wallet‑Zeitlinienanalyse, Börsen‑Zuordnung, Token‑Risikobewertung und DeFi‑Endpunkt‑Entdeckung (offenliegende RPC‑Nodes, geleakte Provider‑API‑Keys, Admin‑Wallet‑Erkennung). Für Organisationen im Krypto‑Asset‑Sektor oder solche, die die Blockchain‑Exposition von Gegenparteien im Rahmen von Due‑Diligence‑ oder Compliance‑Verpflichtungen verifizieren müssen.
Statische und symbolische Schwachstellenanalyse verifizierter Solidity‑Smart‑Contracts, die auf Ethereum und EVM‑kompatiblen Chains bereitgestellt sind. Deckt Reentrancy‑Muster, Schwächen bei Zugriffskontrollen, ungeprüfte Rückgaben externer Aufrufe, Integer‑Overflow‑Bedingungen, Delegatecall‑Injektionsvektoren, Lücken bei Self‑Destruct‑Autorisierungen und Front‑Running‑Verwundbarkeit ab – über das gesamte Spektrum dokumentierter Smart‑Contract‑Schwachstellenklassifikationen. Die Analyse erfolgt ausschließlich anhand öffentlich verifizierter Vertrags‑Quellcodes – ein Zugriff auf private Repositories oder interne Codebasen ist weder erforderlich noch angefordert. Verfügbar im Rahmen des erweiterten Engagement‑Umfangs für Organisationen, die on‑chain Finanzinfrastruktur betreiben oder deren Exposition bewerten.
Umfassende Bewertung der Widerstandsfähigkeit kryptografischer Infrastrukturen gegenüber Quanten‑Computing‑Bedrohungen. Bewertet TLS‑Key‑Exchange‑Konfigurationen über standardisierte post‑quantum hybride und reine Algorithmen, die Bereitschaft zur Migration von Zertifikats‑Algorithmen, den Modernisierungsstatus von SSH‑Key‑Exchange, die Quanten‑Sicherheit der E‑Mail‑Transport‑Verschlüsselung und die Exposition gegenüber Protokoll‑Downgrade‑Schwachstellen. Enthält eine CDN‑bewusste Analyse, die zwischen edge‑bereitgestelltem und origin‑native post‑quantum Schutz unterscheidet – eine kritische Unterscheidung für Organisationen, die auf Content‑Delivery‑Infrastruktur setzen. Die Bewertung ordnet die Ergebnisse den CRA Art. 10 kryptografischen Anforderungen, NIS2 Art. 21 state‑of‑the‑art‑Verpflichtungen und den BSI TR-02102-1 empfohlenen Algorithmus‑Leitlinien zu. Bereitgestellt mit einem quantifizierten Bereitschafts‑Score, der den tatsächlichen Deploy‑Status aller extern beobachtbaren kryptografischen Endpunkte widerspiegelt.
Jeder identifizierte Befund wird einer spezifischen MITRE ATT&CK‑Technik und Sub‑Technik zugeordnet, inklusive Identifikation von Abdeckungs‑Lücken und Priorisierungsempfehlungen für Detection‑Engineering. Lässt sich direkt in die Detection‑Engineering‑Roadmap von Organisationen mit einem Security Operations Centre oder vergleichbarer Fähigkeit integrieren.
Branchenspezifische Identifizierung von Advanced Persistent Threat‑Gruppen mit dokumentierter Zielaktivität gegen die Branchen‑Vertikale der Organisation. Verknüpft staatlich zugeordnete Threat‑Actor‑Datenbanken mit den Tracking‑Listen nationaler Cyber‑Security‑Behörden, um die staatlich unterstützten Gruppen zu ermitteln, die für den Sektor, die Geografie und das operative Profil der Organisation am relevantesten sind. Jede identifizierte Gruppe wird mit Länderzuordnung, bekannten Aliasen, dokumentierten Zielbranchen, Klassifizierung des Vorfalltyps und direkten Verweisen auf die entsprechenden MITRE ATT&CK‑Gruppenprofile dargestellt. Bereitgestellt mit BSI‑geführten Status‑Badges für Gruppen, die aktiv von nationalen Cyber‑Security‑Behörden überwacht werden. Verfügbar für alle Branchen, die vom Bewertungs‑Umfang abgedeckt werden.
Organisationen, die häufig erweiterten Umfang anfordern: Verteidigungs‑ und Dual‑Use‑Technologie‑Auftragnehmer, Contract Development & Manufacturing Organizations (CDMOs), Betreiber kritischer nationaler Infrastrukturen, Finanzmarkt‑Infrastruktur, Operational‑Technology‑ und Industrial‑IT‑Konvergenz‑Umgebungen, Forschungseinrichtungen, die regulierte Daten verarbeiten.
Senden Sie die Domain Ihres Unternehmens für ein kostenloses External Exposure Summary — geliefert innerhalb von 48 Stunden.
Wählen Sie Ihren Bewertungstyp aus und geben Sie die primäre Domain Ihrer Organisation an. Alle Einsendungen werden vertraulich behandelt.