Häufige Fragen

ESSEC ist ein spezialisiertes B2B-Cybersecurity-Unternehmen mit Fokus auf professionelle Penetrationstests. Unsere Kunden sind Unternehmen, die verstehen, dass echter Schutz offensive Expertise erfordert: von Startups, die sich für eine Finanzierungsrunde sicher aufstellen wollen, über Mittelständler auf dem Weg zu ISO 27001, bis hin zu Enterprise-Unternehmen mit kritischer Infrastruktur. Wir arbeiten ausschließlich B2B, keine Consumer-Produkte, keine Massendienstleistungen.

Drei Dinge: Erstens, wir liefern keine Scanner-Reports. Jeder Test ist manuell, und jede Schwachstelle wird tatsächlich ausgenutzt, damit wir dir zeigen können, was ein realer Angreifer damit machen würde. Zweitens, wir nutzen unsere eigene Plattform Viper als internes Werkzeug, keine gemieteten Tools, kein Vendor-Lock. Drittens, unsere Reports sind zweigeteilig: Ein verständlicher Executive Report für Management und Boards, und ein vollständiger technischer Report für dein Entwicklungsteam, im gleichen Dokument, ohne dass einer auf den anderen warten muss.

Primär remote, der Großteil moderner Pentest-Arbeit ist ortsunabhängig. Für interne Netzwerktests stellen wir eine sichere VPN-Verbindung oder einen On-Site Jumphost bereit. Bei Bedarf, zum Beispiel für Physical Security Assessments oder wenn besonders strenge Compliance-Anforderungen einen On-Site-Einsatz erfordern, sind wir auch persönlich verfügbar. Der Scope und die bevorzugte Arbeitsweise werden im Kickoff-Call gemeinsam festgelegt.

Deutsch und Englisch, beide gleichermaßen. Reports können in der bevorzugten Sprache geliefert werden, oder zweisprachig wenn gewünscht. Kommunikation und technische Absprachen laufen in der Sprache, die für euer Team am effizientesten ist.

Ein Vulnerability Scan ist automatisiert und identifiziert bekannte Schwachstellen anhand von Signaturen und Versionsnummern. Er hat eine hohe False-Positive-Rate und sieht keine Business-Logic-Flaws, keine Kombinationsangriffe und keine Schwachstellen, die erst durch manuelles Testen sichtbar werden. Ein Pentest ist manuell: Ein erfahrener Sicherheitsforscher versucht tatsächlich, in deine Systeme einzudringen, mit denselben Methoden, Denkweisen und Werkzeugen, die echte Angreifer nutzen. Ein Scan sagt dir, welche Türen offen sein könnten. Ein Pentest zeigt dir, welche tatsächlich aufgehen und wohin sie führen.

Ja, ein autorisierter Penetrationstest ist vollständig legal. Der entscheidende Unterschied zu illegalem Hacking ist die explizite schriftliche Autorisierung. Bevor wir irgendetwas tun, unterzeichnen wir ein Rules of Engagement (ROE) Dokument, das Scope, erlaubte Techniken, Zeitfenster und Kontaktpersonen definiert. Deine Systeme werden nur mit deiner ausdrücklichen Genehmigung getestet. Wenn deine Infrastruktur Cloud-Komponenten bei AWS, Azure oder GCP enthält, benötigst du ggf. zusätzliche Genehmigungen vom Provider. Wir helfen dir dabei.

Das hängt stark vom Scope ab. Ein Web Application Pentest für eine mittelgroße Applikation dauert typischerweise 3–5 Werktage. Ein Netzwerk-Pentest mit Active Directory Assessment eher 4–8 Tage. Ein vollständiges Red-Team-Engagement kann 2–4 Wochen dauern. Im Kickoff-Call definieren wir gemeinsam den Scope und können dann eine genaue Aufwandsschätzung liefern.

Kritische Findings werden sofort und direkt kommuniziert. Wir warten nicht bis zum finalen Report. Wenn wir eine Schwachstelle mit CVSS Score 9.0+ oder ein Finding mit unmittelbarem Business-Impact finden, kontaktieren wir die vorab definierten Ansprechpartner unverzüglich. So kann dein Team parallel zum Test bereits mit der Remediation beginnen. Für den finalen Report gilt: Bericht innerhalb von 24 Stunden nach Testabschluss.

Nur wenn es explizit im Scope definiert ist. Social Engineering und Phishing-Simulationen sind optionale Erweiterungen, die separat beauftragt werden können. Sie erfordern gesonderte Vereinbarungen und müssen mit HR und Management abgestimmt sein. Standardmäßig testen wir ausschließlich technische Systeme, keine Social-Engineering-Komponenten ohne ausdrückliche Genehmigung.

Unser Ziel ist es, Schwachstellen zu finden und zu demonstrieren, nicht Systeme zu zerstören. Wir nutzen keine Techniken, die zu dauerhaften Schäden führen könnten, und führen keine Exploitation durch, die Datenverlust riskiert. Bei produktiven Systemen empfehlen wir grundsätzlich einen definierten Test-Zeitraum außerhalb der Hauptgeschäftszeiten und besprechen jeden riskanten Schritt vorher ab. Wenn Unsicherheit besteht, wird eine Testumgebung bevorzugt.

Viper (Versatile Intelligence Platform for Extreme Response) ist die interne Security-Plattform von ESSEC, entwickelt für professionelle Penetrationstests und kontinuierliche Sicherheitsüberwachung. Es kombiniert 12 spezialisierte Module, von Detection über Threat Intelligence bis zu Adversary Simulation, in einer einzigen Plattform. Bei Pentests nutzen wir Viper als primäres Werkzeug für maximale Abdeckung. Daneben kann Viper auch direkt bei Kunden deployed werden, die autonome, KI-gestützte Sicherheitsüberwachung auf ihrer eigenen Infrastruktur benötigen.

Ja. Viper wird direkt an qualifizierte Organisationen lizenziert, die es auf ihrer eigenen Infrastruktur deployen möchten. Es gibt keine Demo-Calls und keine Einführungspreise. Der Quellcode ist vor jedem Commitment zur vollständigen Prüfung verfügbar. Viper ist nicht für jede Organisation geeignet. Es erfordert den Betrieb auf eigener Hardware und ein Team, das es verantwortungsvoll einsetzt. Kontaktiere uns für Details.

Nein, absolut nicht. Viper hat keinen Telemetrie-Endpoint, keinen Lizenz-Server, keine Analytics und keinen Crash-Reporter. Es gibt keinen Mechanismus, durch den der Betrieb von Viper Outbound-Traffic zu Infrastruktur außerhalb deiner direkten Kontrolle erzeugt. Das ist keine Datenschutzerklärung, das ist eine architektonische Aussage. Der Code ist vollständig auditierbar. Verifiziere jeden Claim selbst, bevor du irgendwelche Entscheidungen triffst.

Viper läuft auf Linux-Systemen. Die Mindestanforderungen hängen vom Deployment-Umfang ab: Für einzelne Modul-Nutzung reicht moderate Hardware. Für vollständige Korrelation über das gesamte Arsenal empfehlen wir dedizierte Hardware mit ausreichend RAM für die lokale KI-Inferenz. Chimera-Sensoren können auf beliebigen Linux-Hosts deployed werden und haben sehr geringe Ressourcenanforderungen. Konkrete Specs nach Anfrage.

Streng nach Bedarf. Alle Daten, die während eines Pentests entstehen: Screenshots, Log-Dateien, gefundene Credentials, Netzwerk-Captures, werden ausschließlich für die Erstellung des Reports genutzt. Der finale Report wird verschlüsselt übergeben. Nach Projektabschluss und schriftlicher Bestätigung durch den Kunden werden alle projektbezogenen Daten auf unserer Seite sicher gelöscht. Wir nutzen keine Kundendaten für Forschung, Benchmarking oder andere Zwecke.

Immer, das ist nicht verhandelbar und nicht optional. Ein NDA wird vor dem ersten inhaltlichen Gespräch unterzeichnet. Wenn du ein eigenes NDA-Template bevorzugst, können wir das prüfen. Standard ist unser eigenes, von Juristen geprüftes NDA, das alle projektrelevanten Informationen und Findings abdeckt.

Reports werden ausschließlich PGP-verschlüsselt oder über einen passwortgeschützten, einmaligen Download-Link übermittelt. Niemals unverschlüsselt per E-Mail. Der Report enthält sensible Informationen über deine Sicherheitslücken. Wir behandeln ihn entsprechend. Die Übertragungsmethode wird im Kickoff-Call besprochen und deinen Präferenzen angepasst.

Grundsätzlich nicht. Alle Pentests werden von ESSEC-eigenem Personal durchgeführt. In Ausnahmefällen, bei ungewöhnlich großem Scope oder spezialisierten Anforderungen, können wir vertrauensvolle Partner hinzuziehen, was dann explizit kommuniziert und vertraglich geregelt wird. Du weißt immer, wer an deinen Systemen arbeitet.

1. Erstanfrage per Kontaktformular oder E-Mail. 2. Unverbindliches Erstgespräch (30–45 Min.) zur Scope-Definition. 3. NDA-Unterzeichnung. 4. Angebot mit Zeitplan innerhalb von 24 Stunden. 5. Nach Auftragserteilung: Kickoff-Call und Terminfindung. 6. Test-Durchführung. 7. Report innerhalb von 24h nach Abschluss. 8. Abschluss-Call zur Erläuterung der Findings. 9. Retesting nach Remediation.

Preise sind scope-abhängig. Ein Web App Pentest einer kleinen Applikation ist nicht dasselbe wie ein 2-wöchiges Red-Team-Engagement auf Enterprise-Infrastruktur. Wir arbeiten nach Tagessatz oder Festpreis, je nach Projekt. Pauschale Aussagen über Preise ohne Scope-Definition wären nicht seriös. Kontaktiere uns, schildere deinen Bedarf, und wir erstellen dir ein konkretes Angebot, kostenlos, ohne Verpflichtung, innerhalb von 24 Stunden.

Idealerweise 2–3 Wochen im Voraus für kleinere Projekte. Für größere Engagements oder Projekte mit festen Deadlines (z.B. vor einem Audit oder Launch) empfehlen wir 4–6 Wochen Vorlauf. Dringende Anfragen können wir in Einzelfällen auch kurzfristiger berücksichtigen. Sprich uns direkt an.

Ja. Ein initiales Retesting nach Remediation der gefundenen Schwachstellen ist standardmäßig inklusive. Das bedeutet: Nach deiner Behebungsphase prüfen wir, ob alle Findings korrekt adressiert wurden, und bestätigen dies im finalen Retesting-Report. Mehrfache Retesting-Runden oder Retesting nach mehr als 90 Tagen können separat vereinbart werden.

Ja. Viele Unternehmen, insbesondere solche mit Compliance-Anforderungen oder kontinuierlicher Entwicklung, profitieren von regelmäßigen Tests: quartalsweise Prüfungen nach Major Releases, jährliche vollständige Assessments, oder kontinuierliches Testing als Teil des Development-Lifecycles. Retainer-Verträge mit priorisierten Terminen und reduzierten Tagessätzen sind möglich. Kontaktiere uns für Details.