Wie oft sollte ein Vulnerability Assessment durchgeführt werden?

PCI-DSS verlangt mindestens quartalsweise Scans. DSGVO Art. 32 fordert regelmäßige Überprüfungen. Für die meisten KMU empfehlen wir halbjährliche Assessments plus einen anlassbezogenen Scan nach größeren Infrastrukturänderungen.

Was ist der Unterschied zwischen Vulnerability Assessment und Penetrationstest?

Ein Vulnerability Assessment identifiziert und bewertet Schwachstellen — systematisch, aber ohne aktive Ausnutzung. Ein Penetrationstest geht weiter und prüft, ob Schwachstellen tatsächlich ausnutzbar sind. Das Assessment ist ideal für regelmäßige Überwachung, der Pentest für den tiefen einmaligen Beweis.

Systematic Security

VULNERABILITY
ASSESSMENT

Wir scannen Ihre IT-Landschaft systematisch nach Schwachstellen — kontinuierlich oder als Punkt-Audit. OWASP Top 10, SSL/TLS, OSINT. Priorisierter Report, 30-Tage-Nachscan inklusive.

Kostenloses Erstgespräch → Was Sie bekommen ↓

ab 760 € 8h-Paket

1–2 Wo. Bis zum Report

30 Tage Nachscan inkl.

OWASP Top-10-Methodik

Für wen ist das?

E-Commerce & Online-Shops

Kundendaten. Bezahldaten. PCI-Pflichten.

Kreditkartendaten, Adressdaten, Passhashes — Ihre Kundendatenbank ist ein Ziel. Ein erfolgreicher Angriff bedeutet PCI-DSS-Verstoß und Bußgelder. Wir finden die OWASP-Top-10-Lücken, bevor Angreifer sie ausnutzen.

SaaS-Anbieter & Cloud-Apps

Kundendaten. Direkt Ihr Geschäftsrisiko.

Ihre Anwendung verwaltet Kundendaten. Sicherheitslücken sind Ihr direktes Geschäftsrisiko. Ein Assessment zeigt, wo OWASP-Top-10-Anfälligkeiten lauern — Injection, Authentifizierung, Sessions, unsichere APIs.

Agenturen & Content-Hoster

Kunden-Websites. CMS. Newsletter-Systeme.

Kunden-Websites, Newsletter-Systeme, CMS — alles braucht SSL/TLS, sichere Konfiguration und regelmäßige Updates. Ein Assessment prüft Ihre Infrastruktur auf bekannte CVEs, SSL-Fehler und Konfigurationsprobleme.

Was Sie bekommen

Detaillierte Netzwerk-Analyse

Alle Services, Ports und Versionen identifiziert. Veraltete Software, unnötige Dienste, Fehlkonfigurationen — systematisch dokumentiert.

Web-Application-Test (OWASP Top 10)

SQL-Injection, XSS, CSRF, fehlerhafte Authentifizierung, unsichere APIs — alle zehn kritischen Web-Angriffsvektoren geprüft.

SSL/TLS-Audit

Cipher-Stärke, Protokoll-Versionen (TLS 1.0/1.1 deprecated), Zertifikats-Validierung — durchgeführt mit testssl.sh nach aktuellem BSI-Standard.

OSINT-Recherche

Was ist über Ihr Unternehmen öffentlich sichtbar? Sub-Domains, exponierte E-Mails, GitHub-Leaks, Passwort-Datenbankeinträge — alles was ein Angreifer zuerst sammeln würde.

Priorisierter Report (15–30 Seiten)

CVE-Nummern, CVSS-Scores, Schweregrade (Kritisch / Mittel / Niedrig) und exakte Lösungsschritte für jedes Finding — für Ihr IT-Team direkt umsetzbar.

Wiederholungs-Scan nach 30 Tagen

Nachdem Ihr Team die Fixes deployed hat, scannen wir erneut — Bestätigung, dass die Lücken wirklich geschlossen sind. Inklusive im Paketpreis.

Wie es abläuft

Scope-Definition

Kostenlos, 30 Minuten. Web-App, API, Netzwerk? Produktionssysteme ausschließen? Wir klären alles vorab.

Assessment (8–16h)

Automatisiert (nmap, nikto, OWASP-ZAP) und manuell (Code-Review, Session-Tests, API-Fuzzing). Verteilt über 1–3 Werktage.

Report & Priorisierung

15–30 Seiten mit CVE-Nummern, CVSS-Scores und exakten Lösungsschritten. Jedes Finding mit Schweregrad.

Nachscan (Tag 30)

Bestätigung, dass die Lücken nach Ihren Fixes wirklich geschlossen sind. Inklusive im Paketpreis.

Investition

Standard

760 €

8 Stunden

Netzwerk-Scan + Service-Detection
Web-App-Basis-Test (OWASP Top 10)
SSL/TLS-Prüfung (testssl.sh)
OSINT-Recherche
Report + 30-Tage-Nachscan

Erweitert

1.140 €

12 Stunden

Alles aus Standard
Erweiterter API-Test
Session-Management-Analyse
Cloud-Konfigurationsprüfung
Ausführlicherer Report

Komplett

1.520 €

16 Stunden

Alles aus Erweitert
Tiefe Code-Review-Stichproben
Infrastruktur-Mapping vollständig
Executive Summary für Management
30-Tage-Nachscan + Review-Call

Bei besonderem Umfang (Multi-App, API-schwer, Cloud) rechnen wir 95 €/h ab. 50/50-Zahlungsmodell: Hälfte bei Auftragserteilung, Hälfte bei Report-Lieferung.

Rechtliche Relevanz

DSGVO Art. 32

Fordert "regelmäßige Tests, Bewertungen und Evaluierungen" der Sicherheitsmaßnahmen. Ein VA-Report ist die konkrete Nachweisführung für Ihre TOMs — für Aufsichtsbehörden und Versicherer.

PCI-DSS (E-Commerce)

Verlangt mindestens quartalsweise Vulnerability Scans von einem zugelassenen Prüfer (ASV) sowie einen jährlichen Penetrationstest. Unser Assessment erfüllt die Scan-Anforderung direkt.

ISO 27001

Vulnerability Management ist Kernbestandteil der Kontrolle A.12.6.1. Ein VA-Report zeigt Auditoren: "Wir kennen unsere Schwachstellen und managen sie aktiv."

BSI Grundschutz & NIS2

NIS2 verpflichtet seit Oktober 2024 auch viele KMU zu nachweisbaren Sicherheitsmaßnahmen. Regelmäßige Vulnerability Assessments sind explizit als geeignete Maßnahme anerkannt.

Welcher Service passt?

Vergleich der Cyber Aspis Services nach Bedarf
Mein Bedarf	Quick-Check 299 €	VA ab 760 €	Compliance-Audit 899 €
Schnelle Übersicht offener Ports & Services	✓	—	—
OWASP-Top-10-Schwachstellen in meiner App	⚠ Basis	✓	—
SSL/TLS-Fehler, Zertifikate, Ciphers im Detail	⚠ Basis	✓	—
PCI-DSS-Scan-Anforderung erfüllen	—	✓	—
DSGVO, BRAO, StBerG vollständig nachweisen	—	—	✓

Häufige Fragen

Was ist ein Vulnerability Assessment genau?

Ein Vulnerability Assessment ist eine systematische Analyse Ihrer IT-Infrastruktur auf bekannte Schwachstellen. Wir kombinieren automatisierte Scans (nmap, nikto, OWASP-ZAP) mit manueller Prüfung (Session-Tests, API-Fuzzing, Code-Review-Stichproben). Das Ergebnis ist ein priorisierter Report — kein roher Scanner-Output, sondern aufbereitete Findings mit konkreten Lösungsschritten.

Wie oft sollte ein Assessment durchgeführt werden?

PCI-DSS verlangt mindestens quartalsweise Scans. DSGVO Art. 32 fordert "regelmäßige Überprüfungen" ohne festen Rhythmus — halbjährlich ist für die meisten KMU der richtige Kompromiss. Hinzu kommt ein anlassbezogener Scan nach größeren Infrastrukturänderungen, neuen Anwendungen oder nach einem Incident.

Werden meine Produktivsysteme während des Scans beeinträchtigt?

Aggressive Scanning-Techniken können Last erzeugen. Wir stimmen den Zeitplan vorab ab — Scans können außerhalb der Geschäftszeiten oder gezielt an Staging-Systemen durchgeführt werden. Produktivsysteme können auf Wunsch aus dem Scope ausgeschlossen oder in separaten Zeitfenstern geprüft werden.

Was ist der Unterschied zum Penetrationstest?

Ein Vulnerability Assessment identifiziert und bewertet Schwachstellen — aber versucht nicht, sie aktiv auszunutzen. Ein Penetrationstest geht weiter und simuliert einen echten Angriff, um zu beweisen, ob Schwachstellen tatsächlich ausnutzbar sind. Für regelmäßige Überwachung ist das Assessment die richtige Wahl, für den tiefen einmaligen Beweis der Penetrationstest.

Welche Systeme können geprüft werden?

Netzwerke und Server, Web-Applikationen und APIs, E-Commerce-Systeme, Cloud-Infrastruktur (AWS, Azure, GCP) sowie externe Angriffsflächen (OSINT, Sub-Domains, Datenlecks). Den genauen Scope legen wir im kostenlosen Kickoff-Call fest — Sie bestimmen, was geprüft wird.

VULNERABILITYASSESSMENT