Strategic Technical Layered Unified Resolver Logo
STLUR
Kontinuierliche Sicherheit als Service

STLUR übernimmt Ihr Sicherheitsteam, automatisch, jeden Monat.

Kontinuierliche externe Assessments, priorisierte Erkenntnisse und entscheidungsreife Berichte. Eine Sicherheitsfunktion — ohne Einstellung, ohne Overhead.

Ausgerichtet an SOC 2, ISO 27001 und OWASP, liefert STLUR monatliche Belege für Ingenieure, Führungskräfte und Auditoren.

Check your site for free

https://
Übergeben Sie es STLURKonto erstellen
Die Kosten der Untätigkeit

Wenn es in die Nachrichten kommt, ist es bereits ein finanzielles Ereignis.

Was Unternehmen passierte, die Sicherheit vernachlässigten. Jeder Fall ist ein dokumentiertes Ereignis, keine Hypothese.

Reale Sicherheitsvorfälle

Code Spaces2014

Betriebskontinuität

Stopp in 12h

12 Stunden vom Einbruch zur Insolvenz

Das Root-AWS-Konto hatte kein MFA: gestohlene Zugangsdaten reichten für vollen Zugriff. Nach Ablehnung der Lösegeldforderung löschte der Angreifer alle Instanzen, Buckets und Snapshots. Ohne Wiederherstellungsmöglichkeit stellte das Unternehmen noch am selben Tag den Betrieb ein. Das Übergehen von MFA vernichtete das gesamte Unternehmen.

Betriebskontinuität

Stopp in 12h

Ursache

Kein MFA auf der Cloud-Verwaltungskonsole

Yahoo! (US)2013–2014

Betroffene Konten

3Mrd.+

Schwaches Hashing löschte ~350M$ Unternehmenswert

Zwei Einbrüche 2013 und 2014 wurden bis 2016 nicht offengelegt. MD5-Hashes waren leicht zu knacken und ermöglichten jahrelange Ausnutzung. Schließlich waren alle 3 Milliarden Konten betroffen. Der Verizon-Kaufpreis wurde wegen des verschwiegenen Vorfalls um 350M$ gesenkt.

Betroffene Konten

3Mrd.+

Ursache

Veraltetes MD5-Hashing und verspätete Offenlegung

British Airways2018

Betroffene Kunden

~500K

22 Codezeilen erschütterten eine Weltmarke

Magecart schleuste 22 Zeilen Skimmer-Code in ein Drittanbieter-JavaScript der Kassenseite ein. Kartendaten wurden fast zwei Wochen lang in Echtzeit an Angreifer übertragen. ~500.000 Kunden betroffen; der ursprüngliche DSGVO-Bußgeldvorschlag erreichte £183M.

Betroffene Kunden

~500K

Ursache

Schadhafte JavaScript-Injektion (Magecart)

Equifax2017

Gestohlene Datensätze

148M

Ein ungepatchtes Update legte 148M Datensätze offen

Ein kritischer Apache-Struts-Patch blieb zwei Monate unangewendet. Angreifer nutzten die Lücke aus, blieben 76 Tage unentdeckt und exfiltrierten 148M Datensätze inkl. Sozialversicherungsnummern. Gesamtkosten für Vergleiche und Bußgelder überstiegen 575M$. Der CEO trat zurück.

Gestohlene Datensätze

148M

Ursache

CVE-2017-5638 zwei Monate lang nicht gepatcht

Target2013

Gestohlene Karten

40M

HLK-Lieferantendaten kompromittierten 40M Zahlungskarten

Gestohlene Zugangsdaten eines HLK-Dienstleisters öffneten den Weg ins Unternehmensnetz. Fehlende Segmentierung ermöglichte die Verbreitung von Malware auf 4.000+ POS-Terminals im Weihnachtsgeschäft. 40M Zahlungskarten und 70M Personendaten wurden gestohlen.

Gestohlene Karten

40M

Ursache

Lieferantennetz nicht von POS-Systemen isoliert

SolarWinds2020

Betroffene Organisationen

18.000+

Ein legitimes Update wurde zur Staatswaffe

Angreifer platzierten die SUNBURST-Backdoor in einem legitimen Software-Update. Über 18.000 Organisationen installierten es — darunter US-Finanzministerium und State Department. Der Einbruch blieb ~9 Monate unentdeckt und definierte Supply-Chain-Angriffe neu.

Betroffene Organisationen

18.000+

Ursache

Build-System kompromittiert, Schadcode injiziert

Change Healthcare2024

Gesamtverlust

~3Mrd.$+

Ein fehlendes MFA legte das US-Gesundheitssystem wochenlang lahm

Ein Konto ohne MFA auf einem kritischen System war die einzige Schwachstelle. Ein gestohlenes Passwort reichte, um ins Kernsystem einzudringen. US-Apotheken und -Krankenhäuser konnten wochenlang keine Rezepte oder Zahlungen abwickeln. UnitedHealths Verluste überstiegen 3Mrd.$.

Gesamtverlust

~3Mrd.$+

Ursache

Fehlendes MFA auf kritischem Zugangskonto

CrowdStrike2024

Ausgefallene Geräte

8,5M

Ein Sicherheitsanbieter-Update verursachte den größten IT-Ausfall

Ein fehlerhaftes Content-Update — kein Malware — ließ 8,5M Windows-Rechner weltweit abstürzen. Flughäfen, Banken, Krankenhäuser und Sender fielen gleichzeitig aus. Allein Fortune-500-Unternehmen erlitten Verluste von über 5,4Mrd.$.

Ausgefallene Geräte

8,5M

Ursache

Ungeprüftes Update direkt in Produktion eingespielt

Bybit2025

Gestohlener Betrag

~1,4Mrd.$

Phishing übernahm die Schlüssel einer Multi-Sig-Wallet

Phishing und Zugriffsausnutzung ermöglichten die Übernahme der Signierumgebung einer Multi-Sig-Wallet. Das Multi-Sig-Protokoll funktionierte, aber die menschliche Schicht zur Schlüsselverwaltung wurde kompromittiert. ~1,4Mrd.$ Ethereum wurden im größten Einzelkrypto-Diebstahl gestohlen.

Gestohlener Betrag

~1,4Mrd.$

Ursache

Phishing gegen Multi-Sig-Schlüsselverwalter

Abdeckungsarchitektur

Wir beobachten nicht nur Schlagzeilen. Wir kartieren Ihre echte Angriffsfläche.

Verfügbarkeitsprüfungen sind kein Sicherheitstest. STLUR bewertet kontinuierlich vier verschiedene Schichten — von der öffentlichen Oberfläche bis zu authentifizierten Bereichen.

STLUR

Öffentliche Angriffsfläche

Alles, was ein Angreifer zuerst sieht

Domains, SSL/TLS, exponierte Ports, geleakte Metadaten. Die Oberfläche, die Ihre anfängliche Risikoposition definiert.

Konfiguration

Fehlkonfigurationen sind die am meisten ignorierte Schwachstelle

Sicherheits-Header, TLS-Einstellungen, öffentlicher Speicher, Dependency-Drift — kontinuierlich geprüft, nicht jährlich.

API & Endpunkte

Versteckte Türen leben in Ihrem Datenverkehr

Undokumentierte Endpunkte, undichte Antworten, schwache Eingabevalidierung. Die Risiken, die einzigartig für Ihre Anwendungsgrenze sind.

Authentifiziert

Die echte Auswirkung liegt hinter dem Login

Im Enterprise-Plan führt STLUR mit verifiziertem Eigentum und Zustimmung dynamische Tests (DAST) in authentifizierten Bereichen durch.

Cloud Infrastructure

Cloud-Fehlkonfigurationen vor Angreifern finden

Automatisierte Prufung von IAM-Richtlinien, Speicher-Exposition, Firewall-Regeln und Verschlusselungseinstellungen fur AWS, GCP, Azure und Cloudflare. Der Enterprise-Plan erkennt Cloud-Konfigurationsschwachstellen monatlich.

Sicherheitsbetrieb als Service

Übergeben Sie einen vollen Monat Sicherheitsbetrieb an STLUR.

Kontinuierliche externe Assessments, priorisierte Erkenntnisse und rollenspezifische Berichte. Die Arbeit, die normalerweise ein Sicherheitsteam erfordert — als Service geliefert, jeden Monat.

STL 01

Wir beobachten von außen, kontinuierlich

Kein einmaliger Scan. Eine kontinuierliche externe Sicherheitsposition — Monat für Monat, aus demselben Blickwinkel wie ein Angreifer.

STL 02

Nur die relevanten Erkenntnisse

Wir trennen Signal von Rauschen, damit das, was Sie erreicht, die Arbeit ist, die diesen Monat wirklich wert ist.

STL 03

Auf den richtigen Leser zugeschnitten

Ingenieure bekommen die Lösung. Führung bekommt das Risiko. Audit bekommt die Belege. Gleiche Quelle — drei optimierte Lieferungen.

STL 04

Termingerecht geliefert, jeden Monat

Berichte kommen jeden Monat am selben Tag an, sodass 'Wie steht es mit unserer Sicherheit?' immer eine aktuelle Antwort hat.

Berichte für Entscheidungsfindung

Ein Assessment. Drei Zielgruppen. Drei optimierte Ausgaben.

Schwachstellenberichte ändern ihre Bedeutung je nachdem, wer sie liest. STLUR generiert die richtige Form für Ingenieure, Führung und Audit — aus denselben Belegen.

For Ingenieur

Reproduzierbar. Behebbar. Überprüfbar.

ASSESSMENT OVERVIEW

Auswirkung, Reproduktionsschritte, CVSS, empfohlene Behebung und Validierungsschritte. In ein Ticket eingefügt — einsatzbereit.

VULNERABILITY ANALYSIS

CVE-2024-1337

Cross-Site Scripting (XSS)

CVSS: 8.1 (High) | Vector: AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

# Proof of Concept
$ curl -X POST \/api/search \
-H "Content-Type: application/json" \
-d '{"q":"<script>alert(document.cookie)</script>"}'
# Response: 200 OK (Script executed)

Impact Assessment

• Session hijacking via cookie theft

• Administrative privilege escalation

• Data exfiltration through DOM manipulation

• Cross-origin request forgery (CSRF)

Affected Components

/api/search (POST)

/dashboard/results.php

SearchController::process()

REMEDIATION STRATEGY

Immediate Fix (Priority 1)

// PHP Implementation
$input = filter_input(INPUT_POST, 'q',
FILTER_SANITIZE_SPECIAL_CHARS);
echo htmlspecialchars($input, ENT_QUOTES, 'UTF-8');

Long-term Security Measures

1. Content Security Policy (CSP) implementation

2. Input validation whitelist approach

3. Output encoding for all user data

4. Regular security code review process

TESTING & VERIFICATION PROTOCOL

Pre-Deployment

• Static code analysis

• Unit test coverage

• Security scan validation

Post-Deployment

• Penetration test execution

• Regression testing

• Performance impact check

Ongoing Monitoring

• WAF rule deployment

• Log monitoring setup

• Quarterly re-assessment

Threat Update Engine

Monat für Monat folgt STLUR den neuesten Angriffstechniken.

Sicherheitsbedrohungen entwickeln sich jeden Monat weiter. STLURs Sicherheitsteam integriert kontinuierlich neue Schwachstellen, Angriffstechniken und CVEs in die Scan-Engine — damit Ihre Diagnosestandards nie veralten.

Jedes monatliche Assessment läuft auf der neuesten Engine.

Engine-Updates

Kontinuierlich aktualisiert

    Engine continuously synced

    Globale Scan-Ausführungsinfrastruktur

    Jeden Monat übernimmt STLUR alle Diagnosen, Berichterstellungen und Zustellungen in Ihrem Namen — ganz ohne dedizierten Ingenieur. Scans werden aus Rechenzentren weltweit ausgeführt.

    Global
    24 Städte
    24/7
    Zero-Touch-Governance

    Ref · STLUR-SOC2

    Monthly Security Evidence

    SOC 2
    • Aufzeichnung externer Bewertungen
    • Priorisierung kritischer Erkenntnisse
    • Nachverfolgung des Behebungsstatus
    MonatlichKontinuierlich geprüft

    Ref · STLUR-ISO

    Gap Analysis Report

    ISO 27001
    • Überprüfung der Sicherheitskontroll-Konformität
    • Aufzeichnung der Risikobewertungsergebnisse
    • Nachverfolgung von Korrekturmaßnahmen
    VierteljährlichPrüffertig

    Ref · STLUR-OWASP

    Scan Evidence

    OWASP
    • OWASP Top 10 konformer Scan
    • Tiefendiagnose API & authentifizierte Bereiche
    • CVSS-Score & Behebungspriorität
    MonatlichEngine aktualisiert
    Governance & Nachweise

    Monatlich aktualisierte Drittanbieter-Prüfaufzeichnungen— die einzige Grundlage für Vertrauen.

    Wenn ein Vorfall eintritt, ist die Frage, was Sie davor getan haben. STLURs monatliche Berichte werden zu verteidigbaren Nachweisen — über Audit, Lieferantenrisiko und Unternehmens-Due-Diligence.

    • Unterstützende Nachweise für SOC 2 / ISO 27001

      Externe Bewertungsaufzeichnungen, Umfang und Behebungsstatus — für Auditor-Referenz verpackt.

    • Lieferantenbewertungen und Sicherheitsfragebögen

      Konkrete monatliche Artefakte zur Untermauerung Ihrer Sicherheitsposition, keine Adjektive.

    • Cyber-Due-Diligence bei M&A und IPO

      Entfernt 'unkontrollierte Web-Sicherheit' als Wertabschlaghebel während der Due Diligence.

    Wählen Sie Ihren Plan

    Bleiben Sie Website-Ausfällen, Reputationsschäden und versteckten Schwachstellen einen Schritt voraus — und wissen Sie genau, was zuerst behoben werden muss. Wählen Sie den Plan, der Ihrer Unternehmensgröße und dem erforderlichen Sicherheitsniveau entspricht.

    20% sparen

    Starter

    Jeden Monat führt STLUR einen Basis-Sicherheitsscan durch — erkennt Fehlkonfigurationen und exponierte Endpunkte — zusammen mit einem vollständigen DNS-Sicherheitsaudit (SPF/DKIM/DMARC/DNSSEC), TLS-Zertifikatstransparenzprüfung, Uptime-Überwachung und Core Web Vitals. Als monatlicher Auditbericht geliefert. Kein Ingenieur erforderlich.

    $399/Monat

    3,990 jährlich abgerechnet

    • Kontinuierliche Uptime- & Antwortüberwachung
    • Basis-Schwachstellen- & Fehlkonfigurationsscan
    • Erkennung exponierter Endpunkte
    • DNS-Sicherheitsaudit (SPF / DKIM / DMARC / DNSSEC)
    • TLS-Zertifikatstransparenzprüfung
    • Core Web Vitals, SEO & Barrierefreiheitsaudit
    • Monatlicher Basis-Sicherheitsauditbericht

    Erster Monat kostenlos

    Professional

    Geprüft aus geschäftlicher Sicht von einem Senior Web Consultant. Für Unternehmen, die Geschwindigkeit, SEO und Zuverlässigkeit in Einklang bringen.

    $1,200/Monat

    12,000 jährlich abgerechnet

    • Echtzeit-Scan alle 10 Min.
    • Standardschicht (+ Links, Ablaufdaten, Mobile)
    • Standard‑Alarmierung
    • Verbesserungsvorschläge von einem Senior Web Consultant
    • Kontinuierlicher Scan nach den neuesten Schwachstellen-Trends
    • Mehrsprachiger Premium‑Report

    Erster Monat kostenlos

    Enterprise / Governance

    Vollständige dynamische Anwendungssicherheitstests (DAST) — einschließlich authentifizierter Bereiche, Admin-Panels und APIs. Automatisiertes Cloud-Infrastruktur-Audit über AWS, GCP, Azure und Cloudflare. Monatliche Erstellung von Audit-Nachweisen für die Unternehmens-Governance.

    $3,500/Monat

    35,000 jährlich abgerechnet

    Der Preis wird individuell entsprechend Umfang, Authentifizierungseinrichtung und Supportanforderungen kalkuliert.

    • Alles aus Professional enthalten
    • Dynamische Anwendungssicherheitstests (DAST)
    • Vollständiges Audit authentifizierter Bereiche und Admin-Panels
    • API-Sicherheitstests
    • Cloud-Infrastruktur-Sicherheitsaudit (AWS / GCP / Azure / Cloudflare)
    • Erweiterte Diagnose nach neuesten Schwachstellen und neuen Angriffsmethoden
    • Governance-Auditbericht (Executive Briefing + Audit-Trail)

    Bereit, Ihre digitale Zukunft zu sichern?

    Holen Sie sich Governance auf Weltklasse-Niveau – ohne komplexe Einrichtung.

    Kostenlos Starten

    ✓ 24/7 Überwachung