Offensive Security für den Mittelstand

Angreifer finden Ihre Schwachstellen. Wir finden sie zuerst.

Ihr Offensive-Security-Partner für den Mittelstand: Pentesting, Red Teaming und Security Awareness aus einer Hand - mit Berichten, die vor Vorstand und Auditoren bestehen.

Kostenlose Erstberatung vereinbaren Unsere Leistungen

ISO 27001 & ISO 9001 zertifiziert
Festpreisangebot in 24 Stunden (werktags)
30+ festangestellte Security-Experten

200+ Kunden seit Gründung

Qualität & Vertrauen

Zertifiziert. Unabhängig geprüft.

Unsere Qualität wird nicht behauptet - sie wird jährlich von akkreditierten Stellen auditiert und bestätigt.

ISO/IEC 27001:2022

ISMS-Zertifizierung

Jährliche unabhängige Audits bestätigen höchste Sicherheitsstandards für den Schutz Ihrer Unternehmensdaten.

RSMCERT.2025.19 · RSM Cert · gültig bis 07/2028

IT Security made in Germany

TeleTrusT Vertrauenszeichen

IT-Sicherheit aus Deutschland - entwickelt, betrieben und rechtlich verankert, ohne ausländische Abhängigkeiten.

Bundesverband IT-Sicherheit e.V.

ISO 9001:2015

Qualitätsmanagement

Geprüfte Prozesse sichern gleichbleibend hohe Beratungsqualität - nachvollziehbar, dokumentiert, reproduzierbar.

RSMCERT.2025.18 · RSM Cert · gültig bis 07/2028

AZAV Trägerzulassung

Staatlich anerkannter Bildungsträger

Unsere Schulungen sind förderungsfähig - durch die Bundesagentur für Arbeit oder den Europäischen Sozialfonds.

31T0925058 · DEKRA-geprüft · gültig bis 10/2030

Genehmigte Verhaltensregel · Selbstverpflichtung

Trusted Data Processor

Verhaltensregel nach Art. 40 DSGVO

Behördlich genehmigte, extern überwachte Selbstverpflichtung für die Auftragsverarbeitung - ein Nachweis der hinreichenden Garantien nach Art. 28 Abs. 5 DSGVO.

Selbstverpflichtung seit 05/2026 · genehmigt LfDI Baden-Württemberg · Kontrollstelle DSZ (Art. 41 DSGVO)

Mitwirkung an Industriestandards

OWASP

Top 10 for Large Language Models

Core Team Contributor · 2023

BSI

Management von Cyber-Risiken

Mitwirkender · Allianz für Cyber-Sicherheit

Wiley-VCH

Meine digitale Sicherheit für Dummies

Fachbuch · ISBN 978-3-527-72036-1 · 2024

CVE

Eigenständige Schwachstellenmeldungen

MITRE CVE · Verantwortungsvolle Offenlegung

Die Bedrohungslage

53 % der Sales-Teams klicken auf Phishing-Links.

AWARE7-Studie, ACM ASIA CCS 2025, n = 68.742. Cyberangriffe treffen nicht nur Konzerne: Jedes zweite deutsche Unternehmen wurde bereits angegriffen - und die Hälfte davon bemerkt es zu spät.

NIS2 betrifft 30.000 Unternehmen

Das NIS2-Umsetzungsgesetz verpflichtet Unternehmen zu verschärften Cybersecurity-Maßnahmen. Bei Verstößen drohen Bußgelder bis 10 Mio. EUR - die Geschäftsleitung haftet zusätzlich persönlich.

5,31 Mio. USD pro Datenleck

Die durchschnittlichen Kosten eines Datenlecks in Deutschland (IBM 2024). Weltweit liegt der Schnitt bei 4,88 Mio. USD.

83% der Unternehmen leaken Angriffsdaten

83% der analysierten Organisationen und 71% ihrer Mitarbeiter geben im Netz unbewusst Informationen preis - Software-Versionen, Organigramme, Mitarbeiterprofile - die Angreifer für hochgradig personalisiertes Spear-Phishing missbrauchen.

95% aller Websites sind verwundbar

95% der untersuchten Websites nutzen mindestens eine Software mit bekannter Schwachstelle (CVE). 96% setzen veraltete Software ein - im Durchschnitt 44 Monate ohne Update.

Quellen: IBM Cost of a Data Breach Report 2024, AWARE7 Forschung (ACM, Springer), BSI

Leistungen

Drei Wege zu messbar mehr Sicherheit

Offensive Tests, Beratung oder Awareness - jeder Einstieg mit verbindlichem Festpreisangebot in 24 Stunden (werktags).

Offensive Security

Schwachstellen systematisch aufdecken - von der Web-Applikation bis zum Unternehmensnetz.

Beratung & Compliance

ISMS-Aufbau, ISO 27001, NIS-2 - regulatorische Anforderungen mit klarem Fahrplan erfüllen.

Awareness & Weiterbildung

Mitarbeitende messbar sensibilisieren - mit Simulationen, Live Hacking und zertifizierten Schulungen.

Warum AWARE7

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter - mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI und BMBF. Unsere Studien analysieren Millionen von Websites und Zehntausende Phishing-E-Mails - publiziert auf ACM- und Springer-Konferenzen. Drei unserer Führungskräfte sind gleichzeitig Professoren an deutschen Hochschulen.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Alle Mitarbeiter sind festangestellt, sozialversicherungspflichtig und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot ohne Stundensatz-Risiko. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner und behalten dieselbe Kontaktperson über das gesamte Projekt. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen - ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen - und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA - wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Ablauf

Von der Anfrage zum Re-Test

01
Anfrage

Vertrauliches Erstgespräch, kostenfrei.
02
Festpreisangebot

Verbindlich innerhalb von 24 Stunden (werktags).
03
Kickoff & Scoping

Zeitplan, Testfenster und Ansprechpartner werden fixiert.
04
Durchführung

Nach BSI-Leitfaden und OWASP Testing Guidelines.
05
Bericht & Ergebnisgespräch

Priorisierte Findings mit konkreten Empfehlungen.
06
Re-Test

Wir prüfen die Behebung der Findings nach.

Live-Bedrohungslage

Aktuelle Sicherheitswarnungen

Zur vollständigen Bedrohungslage

Aktuelles

Wissen, das schützt

Alle Artikel

Offensive Security 23. Juni 2026

HTTP/2 Bomb (CVE-2026-49975): Wie ein Heimrechner Webserver lahmlegt

Die KI-entdeckte HTTP/2 Bomb legt Apache, nginx, Envoy und IIS in Sekunden lahm. Was hinter CVE-2026-49975 steckt und wie Betreiber jetzt reagieren.

Chris Wojzechowski

1 min

Offensive Security 03. Mai 2026

XFCE-Screensaver-Schwachstelle: Sperrbildschirm-Bypass per Monitorwechsel

Race Condition in xfce4-screensaver bis 4.20.2: Beim Monitorwechsel landen Tastatureingaben in Hintergrundprozessen statt im Sperrbildschirm. Fix per XSetInputFocus eingereicht.

Murat Altindis

1 min

Compliance & Standards 11. März 2026

ISO 27001 vs. BSI IT-Grundschutz vs. TISAX: Vergleich 2026

ISO 27001, BSI IT-Grundschutz und TISAX im Vergleich: welches Framework passt zu Ihrem Unternehmen? Mit Kostenübersicht und Entscheidungshilfe.

Häufige Fragen

Ihre Fragen - unsere Antworten

Was ist ein Penetrationstest und warum braucht mein Unternehmen einen?

Ein Penetrationstest (kurz: Pentest) ist ein autorisierter, simulierter Cyberangriff auf Ihre IT-Systeme, Netzwerke oder Webanwendungen. Unsere zertifizierten Sicherheitsexperten agieren dabei wie echte Angreifer - mit dem Ziel, Schwachstellen kontrolliert aufzudecken und nachvollziehbar zu dokumentieren. Das Ergebnis ist ein detaillierter Bericht mit allen gefundenen Sicherheitslücken, einer Risikobewertung und konkreten Handlungsempfehlungen. Für Mittelstandsunternehmen ist ein Pentest oft der erste realistische Blick auf die tatsächliche Angriffsfläche - und eine Pflichtanforderung für ISO 27001, NIS-2 und viele Cyberversicherungen.

Was kostet ein Penetrationstest?

Die Kosten hängen vom Umfang ab: Testobjekt (Webanwendung, internes Netzwerk, externe Infrastruktur), Tiefe (Black-Box, Grey-Box oder White-Box) und Unternehmensgröße. Ein externer Netzwerk-Penetrationstest beginnt bei 5.400 EUR, ein Webapplikations-Pentest bei 6.750 EUR, ein interner Netzwerk-Pentest bei 8.100 EUR - jeweils als Einstiegspreis, der tatsächliche Umfang wird im Scoping festgelegt. Wir erstellen Ihnen nach einem kurzen Erstgespräch ein transparentes, verbindliches Festpreisangebot - ohne versteckte Kosten.

Sind wir von der NIS-2-Richtlinie betroffen - und was müssen wir tun?

Die NIS-2-Richtlinie betrifft in Deutschland weit mehr Unternehmen als die Vorgängerregulierung: Bereits ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz in kritischen und wichtigen Sektoren greifen die neuen Pflichten. Dazu gehören Risikomanagement, Meldepflichten bei Vorfällen, Sicherheitsmaßnahmen für die Lieferkette und regelmäßige Sicherheitsüberprüfungen wie Penetrationstests. Wir prüfen in einem kostenlosen Erstgespräch, ob und in welchem Umfang NIS-2 für Ihr Unternehmen gilt, und zeigen Ihnen einen pragmatischen Umsetzungsfahrplan.

Was ist der Unterschied zwischen einem Pentest und einem Vulnerability Scan?

Ein automatisierter Vulnerability Scan durchsucht Ihre Systeme nach bekannten Schwachstellen - schnell, günstig, aber ohne menschliche Kreativität. Ein Penetrationstest geht deutlich weiter: Unsere Experten denken wie Angreifer, kombinieren Schwachstellen, testen Logikfehler und simulieren reale Angriffsketten, die kein Scanner erkennt. Vulnerability Scans sind sinnvoll als regelmäßiges Monitoring - ersetzen aber keinen Pentest. Für eine belastbare Sicherheitsaussage gegenüber Kunden, Versicherern oder Regulatoren ist ein manueller Penetrationstest unerlässlich.

Wie effektiv sind Phishing-Simulationen wirklich?

Phishing ist nach wie vor der häufigste Einstiegspunkt für Cyberangriffe - über 90 % aller erfolgreichen Angriffe beginnen mit einer Phishing-E-Mail. Phishing-Simulationen zeigen Ihnen ehrlich, wie anfällig Ihre Mitarbeitenden aktuell sind. Unsere Kunden beobachten nach einer ersten Simulation typischerweise, dass 15–40 % der Mitarbeitenden auf präparierte Links klicken. Nach drei bis vier simulierten Kampagnen mit begleitendem Training sinkt diese Rate auf unter 5 %. Der Nachweis dieser Verbesserung ist gleichzeitig ein belastbares Dokument für Ihr Sicherheitsmanagement und für Cyberversicherungen.

Welche Zertifizierungen und Qualifikationen haben Ihre Pentester?

Unsere Pentester sind nach international anerkannten Standards zertifiziert, darunter OSCP (Offensive Security Certified Professional) und weitere offensive Sicherheitszertifizierungen. Unsere Vorgehensweise orientiert sich am BSI-Leitfaden für Penetrationstests sowie den OWASP Testing Guidelines. Alle Leistungen werden ausschließlich durch festangestellte Mitarbeitende erbracht. Auf Anfrage stellen wir Ihnen gerne die relevanten Zertifikatsnachweise und anonymisierte Referenzprojekte aus Ihrer Branche zur Verfügung.

Festpreis für Ihr Projekt - in 24 Stunden.

Schildern Sie uns Ihr Vorhaben in einem vertraulichen Erstgespräch. Sie erhalten werktags innerhalb von 24 Stunden ein verbindliches Festpreisangebot.

Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich