Cyber Exposure

Dark- & Deep-Web-Monitoring und Vulnerability Scans

Kontinuierliche Überwachung relevanter Leak- und Bedrohungsquellen sowie regelmäßig autorisierte DNS-, Netzwerk- und Anwendungsscans für Unternehmen.

Cyber Exposure Management

Externe Risiken kontinuierlich sichtbar machen

Angreifer nutzen kompromittierte Zugangsdaten, veröffentlichte Unternehmensinformationen und bekannte Schwachstellen häufig lange bevor ein Unternehmen den Vorgang selbst bemerkt.

Die Kombination aus Dark- und Deep-Web-Monitoring und regelmäßig autorisierten Schwachstellenscans betrachtet zwei Perspektiven: bereits veröffentlichte oder gehandelte Informationen und technisch erreichbare Angriffsflächen.

FrüherkennungPriorisierungNachvollziehbare BerichteUnterstützung bei Maßnahmen

Modul 1

Dark- & Deep-Web Realtime Monitoring

Unternehmensbezogene Identifikatoren werden in relevanten Quellen auf Treffer geprüft. „Realtime“ bedeutet eine kontinuierliche, quellenabhängige Überwachung mit zeitnaher Alarmierung – nicht die Garantie, jede Veröffentlichung ohne Verzögerung zu erfassen.

{ }

Technische Leaks

Hinweise auf proprietären Quellcode, API-Schlüssel, Active-Directory-Informationen, Datenbanken und weitere technische Artefakte.

PII

Datenlecks

Geistiges Eigentum, personenbezogene Daten von Beschäftigten oder Kunden, Zugangsdaten und Finanzinformationen.

Illicit Networks

Relevante Foren, Marktplätze und Kommunikationskanäle, einschließlich öffentlich oder technisch zugänglicher Telegram-Quellen.

APT

Threat Actors

Erwähnungen von Unternehmen, Marken oder Infrastruktur im Kontext bekannter Akteure und Angriffskampagnen.

Arten von Quellen

  • Leaks und Breaches, einschließlich Combolists
  • Stealer Logs
  • Illicit Foren und Marktplätze
  • Open Web und Paste Sites
  • Ransomware-Blogs

Überwachbare Identifikatoren

  • Domains, Subdomains und ähnliche Domains
  • Personenbezogene Daten und E-Mail-Adressen
  • Schlüsselwörter und Produktbezeichnungen
  • IP-Adressen und Adressbereiche
  • Kreditkarten-BINs
  • Reguläre Ausdrücke für individuelle Abfragen
  • Benutzernamen in relevanten Plattformen

Modul 2

Wiederkehrende Vulnerability Scans

Automatisierte Prüfungen können grundsätzlich alle sieben Tage oder in einem abgestimmten kürzeren Intervall erfolgen. Aktive Prüfungen werden nur auf Grundlage einer eindeutigen Autorisierung und eines festgelegten Scanprofils durchgeführt.

DNS-Scans im Detail

E-Mail-Spoofing-Erkennung

Analyse von SPF, DMARC und BIMI einschließlich Richtlinien, Weiterleitungen und Include-Ketten. Ziel ist, Konfigurationen zu erkennen, die den Versand täuschend echt wirkender Nachrichten begünstigen.

DNS-Schwachstellenprüfung

Prüfung auf potenzielle Subdomain-Übernahmen durch verwaiste CNAME-Einträge, unzulässige Zonenübertragungen, offene Resolver und weitere sicherheitsrelevante Fehlkonfigurationen.

Netzwerk-Scans im Detail

Passive CVE-Erkennung

Abgleich erkannter Dienste, Softwarebanner und Versionen mit bekannten Schwachstellen. Diese Prüfung sendet keine Exploit-Payloads an das Ziel.

Aktive Schwachstellenprüfung

Gezielte Protokollanfragen an freigegebene Dienste, um potenzielle Schwachstellen über reine Versionsvergleiche hinaus zu verifizieren. Prüftiefe, Zeitfenster und Abbruchkriterien werden vorher festgelegt.

Application-Scans im Detail

Browserbasierte Sicherheitsprüfung

Prüfung in einer realen Browserumgebung auf clientseitige Schwachstellen, DOM-basiertes XSS, unsichere postMessage-Nutzung und JavaScript-generierte Inhalte.

Web-Fuzzing und Injection-Tests

Dynamische Prüfung freigegebener Eingaben, Header und URL-Pfade auf SQL-Injection, XSS, Datei-Inklusion, Template-Injection und Betriebssystembefehle.

CVE-Prüfung

Gezielte Anfragen zur Erkennung bekannter Schwachstellen in Webanwendungen, Frameworks und Middleware.

Standardzugangsdaten

Optionaler, ausdrücklich freizugebender Test auf bekannte Werkseinstellungen und häufig verwendete Standardkombinationen.

Exponierte Administrationsoberflächen

Erkennung öffentlich erreichbarer Management-, Monitoring-, Datenbank- und CI/CD-Oberflächen.

Informationspreisgabe

Prüfung auf Konfigurationsdateien, Umgebungsvariablen, Sicherungen, Quellcodearchive, Verzeichnislisten, Stacktraces und Debug-Endpunkte.

HTTP-Fehlkonfigurationen

Erkennung fehlender Sicherheitsheader, zu weit gefasster CORS-Regeln, offener Weiterleitungen, Debug-Modi und weiterer Konfigurationsrisiken.

Secret- und Token-Erkennung

Analyse von JavaScript-Bundles, Source Maps, Kommentaren und API-Antworten auf API-Schlüssel, Tokens, private Schlüssel, Verbindungszeichenfolgen und hart codierte Kennwörter.

HTTP-Subdomain-Takeover

Analyse von Fehlerantworten und DNS-Verweisen auf nicht mehr beanspruchte Dienste bei Cloud- und Plattformanbietern.

SSL-/TLS-Analyse

Prüfung von Zertifikatskette, Ablauf, Protokollversionen, Cipher Suites, HSTS und bekannten TLS-Schwachstellen.

Technologieerkennung

Identifikation von Webservern, Frameworks, CMS, Bibliotheken, CDNs und Versionen anhand öffentlich erreichbarer Merkmale.

Ablauf und Ergebnisse

Vom Scope zur dokumentierten Behandlung

Scope und Freigabe

Domains, IP-Bereiche, Anwendungen, Identifikatoren, Prüftiefe und Ausschlüsse festlegen.

Monitoring und Scan

Kontinuierliche Quellensuche und wiederkehrende technische Prüfungen nach vereinbartem Profil.

Plausibilisierung

Treffer prüfen, Fehlalarme kennzeichnen und Risiken nach Auswirkung und Dringlichkeit priorisieren.

Maßnahmen

Bericht, Alarmierung, Handlungsempfehlungen, Verantwortlichkeiten und Nachverfolgung.

Managementübersicht

Verständliche Einordnung der wesentlichen Risiken, Trends und erforderlichen Entscheidungen.

Technische Feststellungen

Betroffene Assets, Evidenz, Risikoeinstufung und reproduzierbare Hinweise zur Behebung.

Maßnahmenverfolgung

Status, Verantwortliche, Fristen, Verifikation und dokumentierte Risikoakzeptanz.

Externe Angriffsflächen und Datenlecks frühzeitig erkennen

In einem Vorgespräch definieren wir Assets, Identifikatoren, Prüftiefe, Alarmierungswege und den datenschutzrechtlichen Rahmen.

Leistungsumfang klären