FAQ

Nein – und wer dies verspricht, weckt falsche Erwartungen. Kein noch so gründliches Assessment kann garantieren, wirklich alle Schwachstellen zu finden.

Denn: In der IT-Sicherheit ist es fast unmöglich zu beweisen, dass keine Schwachstellen mehr vorhanden sind.

Unsere Aufgabe liegt daher darin, so viele echte, ausnutzbare Schwachstellen wie möglich aufzudecken – und darin sind wir sehr gut. Damit geben wir Ihnen ein klares Bild über vorhandene Schwachstellen und helfen so Risiken reduzieren und Ihre Verteidigung Schritt für Schritt nachhaltig zu stärken.

Diese Begriffe beschreiben, wie viele Informationen wir vor dem Start eines Assessments von Ihnen erhalten.

Black-Box: Wir beginnen ohne Vorwissen – genau wie ein echter Angreifer.

White-Box: Wir bekommen vollständigen Zugriff und alle relevanten Informationen – so können wir besonders tief und gezielt testen.

Grey-Box: Eine Mischung aus beidem. Sie stellen uns gezielt Informationen zur Verfügung, damit wir den Test möglichst effizient und realistisch durchführen können.

Wir beraten Sie gerne, welches Vorgehen am besten zu Ihren Zielen passt – egal ob Sie einen externen Angriff simulieren oder eine besonders tiefe Sicherheitsanalyse wie ein Code Review wünschen.

Das hängt ganz von der jeweiligen Dienstleistung ab. Dabei kann sich er Ablauf stark unterscheiden.

Auf den einzelnen Dienstleistungsseiten finden Sie eine detaillierte Beschreibung des jeweiligen Prozesses. Oder scrollen Sie einfach weiter nach unten – dort zeigen wir Ihnen Schritt für Schritt, wie unsere Zusammenarbeit im Allgemeinen abläuft.

Das kommt ganz darauf an – jedes System ist anders, und der Testaufwand variiert entsprechend.

Eine statische Webanwendung lässt sich deutlich schneller testen als ein komplexes Shopsystem mit vielen Funktionen. Deshalb gibt es bei uns keine Pauschalpakete von der Stange.

Schreiben Sie uns am besten für ein kostenloses Erstgespräch. Gemeinsam sprechen wir über Ihre Anforderungen, stecken den Scope ab und erstellen ein maßgeschneidertes Angebot – kostenlos und unverbindlich.

Wir freuen uns auf Ihre Nachricht: hello@lutrasecurity.com

Idealerweise führen wir Assessments in einer separaten Testumgebung durch. So vermeiden Sie Risiken für Ihre Live-Daten und die Verfügbarkeit Ihrer Systeme – und wir können ohne Einschränkungen testen.

Wichtig ist: Die Testumgebung sollte der Produktionsumgebung möglichst genau entsprechen – also ohne Debug-Modus, Entwickler-Backdoors oder vereinfachte Konfigurationen. Nur so sind die Ergebnisse realistisch und aussagekräftig.

Falls keine geeignete Testumgebung zur Verfügung steht, ist auch ein Test auf dem Produktivsystem möglich – nach sorgfältiger Risikoabwägung und mit entsprechendem Schutz. In solchen Fällen empfehlen wir, vorab Backups oder Snapshots anzulegen, damit im Ernstfall alles schnell wiederhergestellt werden kann.

Nach unserem Assessment beginnt Ihre Security-Reise erst richtig! Sie erhalten von uns klare, umsetzbare Empfehlungen – ohne Rätselraten, ohne leere Floskeln. Sie wissen, was wichtig ist, warum es wichtig ist und wie Sie es absichern können.

Ein Assessment ist kein Garant für absolute Sicherheit – aber es schafft die Grundlage, um Risiken gezielt zu erkennen, Prioritäten zu setzen und Ihre Anwendung Stück für Stück abzusichern.

Mit dem richtigen Fokus und einem soliden Sicherheitsniveau machen Sie es Angreifern deutlich schwerer, erfolgreich zu sein.

Lutra lutra ist der wissenschaftliche Name des Fischotters.

Dieses clevere und wendige Tier inspiriert uns auf zwei Arten: Als potenziell gefährdete Art symbolisiert es unseren Anspruch an Nachhaltigkeit und Verantwortung. Als geschickter Jäger und schneller Schwimmer steht der Otter für unsere Arbeit als Penetrationstester sowie unsere Suche nach Schwachstellen – präzise, ausdauernd und flexibel.

Prozess

Wie sieht eine typische Dienstleistung bei Lutra Security aus?

  • Erstgespräch Während eines Erstgesprächs wird Ihr konkretes oder auch weniger konkretes Problem besprochen. Wir klären erst einmal, wie wir Ihnen helfen können und ob Sie uns überhaupt brauchen.
  • Aufwandsschätzung

    Nach dem Erstgespräch stellen Sie in einem Scopingtermin das System vor. Dabei werden die dahinterliegende Technologie und die fachliche Grundlage erläutert, um eine fundierte Aufwandsschätzung zu ermöglichen.

    Im Anschluss daran bekommen Sie von uns ein Angebot mit unserer Aufwandsschätzung.

  • Kickoff

    Im Kickoff werden die letzten Fragen des Testers über das System ausgeräumt.

    Außerdem wird besprochen, was der Tester benötigt, um das Assessment so effizient wie möglich durchführen zu können. Im Falle eines Webanwendungs-Assessments könnten das beispielsweise verschiedene Benutzerkonten sowie eine Firewallfreischaltung sein.

  • Assessment Während der Durchführung des eigentlichen Assessments müssen Sie in der Regel nicht mitwirken. Für konkrete Fragen des Testers sollte jedoch ein Ansprechpartner zur Verfügung gestellt werden.
  • Reporting Jede unserer Dienstleistungen beinhaltet einen ausführlichen Bericht, der die gefundenen Schwachstellen und Fehlkonfigurationen detailliert beschreibt und konkrete Handlungsempfehlungen liefert.
  • Nachbesprechung & Behebung

    Nach unserer Dienstleistung lassen wir Sie natürlich nicht im Stich. Grundsätzlich bieten wir für unsere Dienstleistungen eine kostenfreie Nachbesprechung an, in der wir über die Ergebnisse diskutieren und etwaige Fragen klären können.

    Und natürlich sind wir auch danach weiterhin für Sie da und beantworten Ihre Fragen gerne.

Wir finden Schwachstellen, so finden Sie uns!

Wir haben Ihr Interesse geweckt? Sie haben noch Fragen? Rufen Sie uns an, schreiben Sie uns eine Mail, oder vereinbaren Sie direkt und unkompliziert ein unverbindliches Erstgespräch mit einem unserer Berater:

Newsletter

Sie wollen auf dem Laufenden bleiben? Abonnieren Sie unseren Newsletter: