SPHIOR Logo
SPHIOR
Kontinuierliche Sicherheit als Service

Von der Sicherheitsdiagnose bis zum Audit-Nachweis, SPHIOR übernimmt das jeden Monat.

Ausgerichtet an SOC 2, ISO 27001 und OWASP, liefert SPHIOR monatliche Belege für Ingenieure, Führungskräfte und Auditoren. Vanta- und Drata-Integration unterstützt.

Check your site for free

https://
Übergeben Sie es SPHIORKonto erstellen
Die Kosten der Untätigkeit

Wenn es in die Nachrichten kommt, ist es bereits ein finanzielles Ereignis.

Was Unternehmen passierte, die Sicherheit vernachlässigten. Jeder Fall ist ein dokumentiertes Ereignis, keine Hypothese.

Reale Sicherheitsvorfälle

Code Spaces2014

Betriebskontinuität

Stopp in 12h

12 Stunden vom Einbruch zur Insolvenz

Das Root-AWS-Konto hatte kein MFA: gestohlene Zugangsdaten reichten für vollen Zugriff. Nach Ablehnung der Lösegeldforderung löschte der Angreifer alle Instanzen, Buckets und Snapshots. Ohne Wiederherstellungsmöglichkeit stellte das Unternehmen noch am selben Tag den Betrieb ein. Das Übergehen von MFA vernichtete das gesamte Unternehmen.

Ursache

Kein MFA auf der Cloud-Verwaltungskonsole

Yahoo! (US)2013–2014

Betroffene Konten

3Mrd.+

Schwaches Hashing löschte ~350M$ Unternehmenswert

Zwei Einbrüche 2013 und 2014 wurden bis 2016 nicht offengelegt. MD5-Hashes waren leicht zu knacken und ermöglichten jahrelange Ausnutzung. Schließlich waren alle 3 Milliarden Konten betroffen. Der Verizon-Kaufpreis wurde wegen des verschwiegenen Vorfalls um 350M$ gesenkt.

Ursache

Veraltetes MD5-Hashing und verspätete Offenlegung

British Airways2018

Betroffene Kunden

~500K

22 Codezeilen erschütterten eine Weltmarke

Magecart schleuste 22 Zeilen Skimmer-Code in ein Drittanbieter-JavaScript der Kassenseite ein. Kartendaten wurden fast zwei Wochen lang in Echtzeit an Angreifer übertragen. ~500.000 Kunden betroffen; der ursprüngliche DSGVO-Bußgeldvorschlag erreichte £183M.

Ursache

Schadhafte JavaScript-Injektion (Magecart)

Equifax2017

Gestohlene Datensätze

148M

Ein ungepatchtes Update legte 148M Datensätze offen

Ein kritischer Apache-Struts-Patch blieb zwei Monate unangewendet. Angreifer nutzten die Lücke aus, blieben 76 Tage unentdeckt und exfiltrierten 148M Datensätze inkl. Sozialversicherungsnummern. Gesamtkosten für Vergleiche und Bußgelder überstiegen 575M$. Der CEO trat zurück.

Ursache

CVE-2017-5638 zwei Monate lang nicht gepatcht

Target2013

Gestohlene Karten

40M

HLK-Lieferantendaten kompromittierten 40M Zahlungskarten

Gestohlene Zugangsdaten eines HLK-Dienstleisters öffneten den Weg ins Unternehmensnetz. Fehlende Segmentierung ermöglichte die Verbreitung von Malware auf 4.000+ POS-Terminals im Weihnachtsgeschäft. 40M Zahlungskarten und 70M Personendaten wurden gestohlen.

Ursache

Lieferantennetz nicht von POS-Systemen isoliert

SolarWinds2020

Betroffene Organisationen

18.000+

Ein legitimes Update wurde zur Staatswaffe

Angreifer platzierten die SUNBURST-Backdoor in einem legitimen Software-Update. Über 18.000 Organisationen installierten es — darunter US-Finanzministerium und State Department. Der Einbruch blieb ~9 Monate unentdeckt und definierte Supply-Chain-Angriffe neu.

Ursache

Build-System kompromittiert, Schadcode injiziert

Change Healthcare2024

Gesamtverlust

~3Mrd.$+

Ein fehlendes MFA legte das US-Gesundheitssystem wochenlang lahm

Ein Konto ohne MFA auf einem kritischen System war die einzige Schwachstelle. Ein gestohlenes Passwort reichte, um ins Kernsystem einzudringen. US-Apotheken und -Krankenhäuser konnten wochenlang keine Rezepte oder Zahlungen abwickeln. UnitedHealths Verluste überstiegen 3Mrd.$.

Ursache

Fehlendes MFA auf kritischem Zugangskonto

CrowdStrike2024

Ausgefallene Geräte

8,5M

Ein Sicherheitsanbieter-Update verursachte den größten IT-Ausfall

Ein fehlerhaftes Content-Update — kein Malware — ließ 8,5M Windows-Rechner weltweit abstürzen. Flughäfen, Banken, Krankenhäuser und Sender fielen gleichzeitig aus. Allein Fortune-500-Unternehmen erlitten Verluste von über 5,4Mrd.$.

Ursache

Ungeprüftes Update direkt in Produktion eingespielt

Bybit2025

Gestohlener Betrag

~1,4Mrd.$

Phishing übernahm die Schlüssel einer Multi-Sig-Wallet

Phishing und Zugriffsausnutzung ermöglichten die Übernahme der Signierumgebung einer Multi-Sig-Wallet. Das Multi-Sig-Protokoll funktionierte, aber die menschliche Schicht zur Schlüsselverwaltung wurde kompromittiert. ~1,4Mrd.$ Ethereum wurden im größten Einzelkrypto-Diebstahl gestohlen.

Ursache

Phishing gegen Multi-Sig-Schlüsselverwalter

Abdeckungsarchitektur

Wir beobachten nicht nur Schlagzeilen. Wir kartieren Ihre echte Angriffsfläche.

Verfügbarkeitsprüfungen sind kein Sicherheitstest. SPHIOR bewertet kontinuierlich vier verschiedene Schichten — von der öffentlichen Oberfläche bis zu authentifizierten Bereichen.

SPHIOR

Öffentliche Angriffsfläche

Alles, was ein Angreifer zuerst sieht

Domains, SSL/TLS, exponierte Ports, geleakte Metadaten. Die Oberfläche, die Ihre anfängliche Risikoposition definiert.

Konfiguration

Fehlkonfigurationen sind die am meisten ignorierte Schwachstelle

Sicherheits-Header, TLS-Einstellungen, öffentlicher Speicher, Dependency-Drift — kontinuierlich geprüft, nicht jährlich.

API & Endpunkte

Versteckte Türen leben in Ihrem Datenverkehr

Undokumentierte Endpunkte, undichte Antworten, schwache Eingabevalidierung. Die Risiken, die einzigartig für Ihre Anwendungsgrenze sind.

Authentifiziert

Die echte Auswirkung liegt hinter dem Login

Im Enterprise-Plan führt SPHIOR mit verifiziertem Eigentum und Zustimmung dynamische Tests (DAST) in authentifizierten Bereichen durch.

Cloud Infrastructure

Cloud-Fehlkonfigurationen vor Angreifern finden

Automatisierte Prufung von IAM-Richtlinien, Speicher-Exposition, Firewall-Regeln und Verschlusselungseinstellungen fur AWS, GCP, Azure und Cloudflare. Der Enterprise-Plan erkennt Cloud-Konfigurationsschwachstellen monatlich.

Sicherheitsbetrieb als Service

Übergeben Sie einen vollen Monat Sicherheitsbetrieb an SPHIOR.

Kontinuierliche externe Assessments, priorisierte Erkenntnisse und rollenspezifische Berichte. Die Arbeit, die normalerweise ein Sicherheitsteam erfordert — als Service geliefert, jeden Monat.

STL 01

Wir beobachten von außen, kontinuierlich

Kein einmaliger Scan. Eine kontinuierliche externe Sicherheitsposition — Monat für Monat, aus demselben Blickwinkel wie ein Angreifer.

STL 02

Nur die relevanten Erkenntnisse

Wir trennen Signal von Rauschen, damit das, was Sie erreicht, die Arbeit ist, die diesen Monat wirklich wert ist.

STL 03

Auf den richtigen Leser zugeschnitten

Ingenieure bekommen die Lösung. Führung bekommt das Risiko. Audit bekommt die Belege. Gleiche Quelle — drei optimierte Lieferungen.

STL 04

Termingerecht geliefert, jeden Monat

Berichte kommen jeden Monat am selben Tag an, sodass 'Wie steht es mit unserer Sicherheit?' immer eine aktuelle Antwort hat.

Berichte für Entscheidungsfindung

Ein Assessment. Drei Zielgruppen. Drei optimierte Ausgaben.

Schwachstellenberichte ändern ihre Bedeutung je nachdem, wer sie liest. SPHIOR generiert die richtige Form für Ingenieure, Führung und Audit — aus denselben Belegen.

E.2 · Featured Finding #1
Featured Findings Deep-Dive

SQL Injection in /api/search

NEW
criticalCVSS 9.1· Externe SchwachstelleQuervalidiert
api.example.com/api/searchSphior Web App Scanner / ZAP active rule (40018)

1. Risk Summary

In der Sphior-automatisierten Bewertung dieses Monats haben wir eine SQL-Injection-Schwachstelle an Ihrem extern verfügbaren API-Endpoint /api/search beobachtet. Dies ist ein typisches Beispiel für CWE-89 (Improper Neutralization of SQL Element), mit Risiken der DB-Inhaltsabfrage, Anmeldedaten-Leckage und Schema-Aufzählung über authentifizierte Benutzer. Wir haben ein Muster beobachtet, bei dem benutzerseitig bereitgestellte Eingaben vom `q`-Parameter direkt in die SQL-Abfrage verkettet werden, und Blind-SQL-Injection ist ebenfalls möglich. Dies beeinträchtigt direkt die Qualität der Audit-Support-Nachweise von SOC 2 CC6.1 / ISO 27001 A.8.2 + GDPR Art. 32, mit einem beobachteten Auswirkungsumfang von ca. 42.000 authentifizierten Benutzern (observed scope). Reaktion innerhalb dieses Monats wird empfohlen.

2. Risk Snapshot

Geschäftsauswirkung
Kritisch

Möglichkeit der Informationsleckage im Umfang von 42.000 authentifizierten Benutzern (observed scope). GDPR-Benachrichtigungspflichten können ausgelöst werden, mit kritischen Auswirkungen auf die Audit-Support-Nachweisqualität von SOC 2 CC6.1.

Ausnutzungsschwierigkeit
Hoch

Der Angriff wird über authentifizierte Benutzer etabliert; die Payload-Konstruktion nach Reconnaissance ist technisch einfach. Wird durch ZAP Active Scan leicht erkannt und erfordert nur begrenzte Scripting-Kenntnisse.

Beobachtete Dringlichkeit
Höchste

Diesen Monat neu erkannt. Critical-Klasse, Reaktion innerhalb dieses Quartals empfohlen. WAF-Notfallregeln ermöglichen vorübergehende Eindämmung; präventive Maßnahmen gegen Angreifer-Reconnaissance sind erforderlich.

3. Observed Evidence (Auszug)

Vollständige Evidence + Scanner-Rohausgabe in App-A · #1
HTTP TRACE
GET /api/search?q=test' UNION SELECT NULL,version(),NULL-- HTTP/1.1 Host: api.example.com Authorization: Bearer <REDACTED> Content-Type: application/json Response: 200 OK { "results": [{"id": null, "name": "PostgreSQL 14.5 ← DB-Version-Leckage"}] }

4. Recommended Actions

STEP 01EmergencyMigration zu parametrisierten Queries

SQL-Query von /api/search mit Prepared Statements neu schreiben und Benutzereingaben vom SQL-Syntax trennen. Reaktion innerhalb dieses Quartals empfohlen; parallel über WAF-Regeln während der Behebung mildern.

Implementation hintExpress + pg: `client.query('SELECT … WHERE q = $1', [userInput])` / Python + psycopg2: `cur.execute('SELECT … WHERE q = %s', (userInput,))`

STEP 02ContainmentBereitstellung einer WAF-Notfallregel

WAF-Regeln auf alle Endpoints anwenden, um Payloads mit SQL-Patterns (UNION / SELECT / -- / ; usw.) zu blockieren. Vorübergehende Eindämmung bis zum Abschluss der Behebung, in Kombination mit SOC-Integration betrieben.

Implementation hintCloudflare WAF managed ruleset OWASP CRS (sql-injection) temporary enable / AWS WAF: AWSManagedRulesSQLiRuleSet high-priority adoption

STEP 03VerificationFix-Verifizierung über Sphior Re-Scan

Nach der Behebung den Fix über Sphior Re-Scan verifizieren und 400-Antworten auf dieselben Payload-Patterns bestätigen. Bestätigungsergebnisse werden als tamper-evident Snapshots (SHA-256 anchored) in den SOC 2 Audit-Support-Nachweisen gespeichert und im nächsten monatlichen Bericht widergespiegelt.

Implementation hintRe-scan now-Button im Sphior-Dashboard (Scan in 5 Minuten abgeschlossen + Ergebnisse widergespiegelt)

5. Compliance Standards & References

CWE-89OWASP A03 InjectionNIST SP 800-53 SI-10SOC 2 CC6.1ISO 27001:2022 A.8.2
Related findings#6 (Verbose error auf /login) / #11 (CVE-2024-XXXX lodash) — Ergänzende Beobachtungen zur Authentifizierungsgrenze
Affected scopeMögliches gleiches Muster bei 8 Endpoints einschließlich /api/search; Umfangsbestätigung über Sphior Re-Scan empfohlen
Full Per-Finding CardFull Per-Finding Card (Critical 2 page Extended) siehe App-A · #1 — vollständige Request/Response + Exploitation Chain + vollständige Remediation-Code-Edition
Audit-support reference  |  Confidential
E.2 · Featured Finding #1  |  Page 19 of 30
E.2 · Featured Finding #2
Featured Findings Deep-Dive

Missing CSRF Token on /api/transfer

NEW
criticalCVSS 8.8· Authenticated (state-changing)Quervalidiert
api.example.com/api/transferSphior Web App Scanner / ZAP passive scan (10202)

1. Risk Summary

Dieser Fund ist eine fehlende CSRF (Cross-Site Request Forgery)-Token-Validierung am /api/transfer-Endpoint. Sphior Web App Scanner beobachtete, dass die CSRF-Token-Middleware auf state-changing Endpoints nicht angewendet wird, was Cross-Site-Anfragen mit authentifizierten Benutzersessions erlaubt. Origin / Referer-Validierung wurde auch für POST / PUT / DELETE-Endpoints nicht bestätigt, und das SameSite-Cookie-Attribut ist auf `None` gesetzt. Dies beeinträchtigt die Audit-Support-Nachweisqualität von SOC 2 CC6.6 / ISO 27001 A.8.8 + A.5.30, und als beobachtetes Ereignis an einem finanziell kritischen Transaktions-Endpoint wird Reaktion innerhalb dieses Monats empfohlen.

2. Risk Snapshot

Geschäftsauswirkung
Kritisch

Möglichkeit der Auslösung nicht autorisierter Transaktionen durch authentifizierte Benutzer auf finanziell kritischen Endpoints. Kritische Auswirkungen auf die Audit-Support-Nachweisqualität von SOC 2 CC6.6 + Processing Integrity (PI1.1).

Ausnutzungsschwierigkeit
Mittel-Hoch

Beschränkt auf state-changing Endpoints, aber der Angriff wird durch phishing-induzierte Umleitung zur Angreifer-Site während des Browsens authentifizierter Benutzer etabliert; technisch unkompliziert.

Beobachtete Dringlichkeit
Hoch

Erfordert authentifizierte Benutzeropfer, aber leicht über Phishing zu erhalten. Reaktion innerhalb dieses Quartals empfohlen; sofortige Eindämmung über Middleware-Anwendung möglich.

3. Observed Evidence (Auszug)

Vollständige Evidence + Scanner-Rohausgabe in App-A · #2
HTTP TRACE
POST /api/transfer HTTP/1.1 Host: api.example.com Cookie: session_id=abc123 (HttpOnly nicht gesetzt, SameSite=None) Content-Type: application/json Origin: https://attacker.example {"to":"attacker_account","amount":50000} Response: 200 OK ← Verarbeitet ohne CSRF-Token-Validierung (403 erwartet)

4. Recommended Actions

STEP 01EmergencyAnwendung von Double-Submit-CSRF-Token-Middleware

CSRF-Token-Middleware auf 12 state-changing Endpoints (POST / PUT / DELETE) installieren und anwenden. Bei Token-Abwesenheit / Mismatch mit 403-Antwort ablehnen. Reaktion innerhalb dieses Quartals empfohlen.

Implementation hintExpress: csurf package / Django: built-in {% csrf_token %} / Rails: protect_from_forgery

STEP 02ContainmentSameSite-Cookie-Attribut auf Strict setzen

SameSite=Strict auf Session-Cookies setzen, um Cookie-Übertragung über Cross-Site-Anfragen sofort einzuschränken. HttpOnly + Secure gemeinsam als vorübergehende Maßnahmen während des Middleware-Behebungszeitraums anwenden.

Implementation hintSet-Cookie: session=…; Secure; HttpOnly; SameSite=Strict (über alle Endpoints einheitlich)

STEP 03VerificationFix-Verifizierung über Regressionstests + Sphior Re-Scan

Automatisierte CSRF-Tests für state-changing Endpoints in CI integrieren und 403-Antworten bei Token-Abwesenheit / Mismatch verifizieren. Adoption über alle Endpoints über Sphior Re-Scan bestätigen.

Implementation hintKontinuierliche Erkennung fehlender CSRF-Tests über die CI-Integration des Sphior Code Scanners

5. Compliance Standards & References

CWE-352OWASP A01 Broken Access ControlNIST SP 800-53 IA-2SOC 2 CC6.6 · PI1.1ISO 27001:2022 A.8.8 · A.5.30
Related findings#8 (Cookie no HttpOnly) — Von 12 state-changing Endpoints sind alle außer diesem Fund mit angewendetem CSRF-Token bestätigt
Affected scopeBeobachtet bei 1 von 12 state-changing Endpoints einschließlich /api/transfer; die übrigen 11 haben es bereits angewendet
Full Per-Finding CardFull Per-Finding Card (Critical 2 page Extended) siehe App-A · #2 — Middleware-Anwendungs-Code-Samples + vollständige Framework-spezifische Implementierungsleitfaden-Edition
Audit-support reference  |  Confidential
E.2 · Featured Finding #2  |  Page 20 of 30
E.2 · Featured Finding #3
Featured Findings Deep-Dive

Reflected XSS in Search Param

NEW
highCVSS 7.5· Externe SchwachstelleQuervalidiert
app.example.com/search?q=Sphior Web App Scanner / ZAP active rule (40012)

1. Risk Summary

Dieser Fund ist ein Reflected Cross-Site Scripting im Query-Parameter (q=) des app.example.com/search-Endpoints. Sphior Web App Scanner bestätigte, dass die Payload `<script>alert(1)</script>` direkt im Response-HTML reflektiert wird. Wir beobachteten ein Muster, bei dem HTML-Escape im Search-Query-Anzeigebereich nicht angewendet wird und die Auto-Escape-Funktion der Template-Engine ebenfalls deaktiviert ist. In Kombination mit der gleichzeitigen Beobachtung von Cookies ohne HttpOnly birgt dies die Möglichkeit einer Session-Diebstahl → Admin-Session-Hijacking-Kette. Dies beeinträchtigt die Audit-Support-Nachweisqualität von SOC 2 CC6.6 / ISO 27001 A.8.8, und Reaktion innerhalb dieses Quartals wird empfohlen.

2. Risk Snapshot

Geschäftsauswirkung
Mittel-Hoch

Session-Cookie-Diebstahl (in Kombination mit HttpOnly-Abwesenheit), Phishing-Kette, Möglichkeit des Admin-Panel-Session-Hijackings.

Ausnutzungsschwierigkeit
Hoch

Trivial über URL; der Angriff wird etabliert, indem ein Opfer auf eine erstellte URL klickt. Reconnaissance unnötig aufgrund öffentlicher Suchfunktionalität; Angriffsoberfläche ist weit.

Beobachtete Dringlichkeit
Hoch

Weite Angriffsoberfläche auf öffentlichen Endpoints; schnelle Reaktion nach Früherkennung empfohlen. Behebung an der Wurzel über Output-Encoding + CSP möglich.

3. Observed Evidence (Auszug)

Vollständige Evidence + Scanner-Rohausgabe in App-A · #3
HTTP TRACE
GET /search?q=<script>alert(document.cookie)</script> HTTP/1.1 Host: app.example.com Response: 200 OK Content-Type: text/html <html><body>Suchergebnisse: <script>alert(document.cookie)</script>… ← Payload direkt im Response-HTML reflektiert, vom Benutzerbrowser ausgeführt (Encoding nicht angewendet)

4. Recommended Actions

STEP 01EmergencyOutput-Encoding-Standardisierung

Search-Query-Anzeigebereich mit HTML-Escape (&lt; / &gt; / &amp; / &quot;-Format) ausgeben und Auto-Escape der Template-Engine auf allen Views wieder aktivieren. Reaktion innerhalb dieses Quartals empfohlen.

Implementation hintReact: JSX auto-escape default / Vue: {{ }} auto-escape / Django: {% autoescape on %}

STEP 02ContainmentVerstärkung des Content-Security-Policy-Headers

CSP-Richtlinie zum Verbot von Inline-Skripten (script-src 'self', usw.) zu allen Antworten hinzufügen, unsafe-inline vollständig eliminieren. X-XSS-Protection-Header verwerfen + zu CSP migrieren.

Implementation hintAuf alle Endpoints über Cloudflare Workers / Nginx-Konfiguration / Express-Helmet-Middleware anwenden

STEP 03VerificationVerpflichtende HttpOnly + SameSite auf Session-Cookies

HttpOnly + SameSite=Strict auf Session-Cookies verpflichtend machen, um Cookie-Erwerb aus JS zu verhindern und die Auswirkungen des Cookie-Diebstahls über XSS zu minimieren. Vollständige Adoption über Sphior Re-Scan bestätigen.

Implementation hintSet-Cookie: session=…; HttpOnly; Secure; SameSite=Strict (über alle Endpoints einheitlich)

5. Compliance Standards & References

CWE-79OWASP A03 InjectionNIST SP 800-53 SI-10SOC 2 CC6.6ISO 27001:2022 A.8.8
Related findings#8 (Cookie no HttpOnly) / #6 (Verbose error auf /login) — Auswirkungen nehmen zu, wenn XSS mit fehlenden HttpOnly-Cookies kombiniert wird
Affected scopeMögliches gleiches Muster bei 3 öffentlichen Suchfunktionalitäts-Endpoints einschließlich app.example.com/search; Umfangsbestätigung über Sphior Re-Scan empfohlen
Full Per-Finding CardFull Per-Finding Card (Standard 1 page) siehe App-A · #3 — Output-Encoding-Code-Samples + vollständige CSP-Richtlinien-Design-Leitfaden-Edition
Audit-support reference  |  Confidential
E.2 · Featured Finding #3  |  Page 21 of 30
Threat Update Engine

Monat für Monat folgt SPHIOR den neuesten Angriffstechniken.

Sicherheitsbedrohungen entwickeln sich jeden Monat weiter. SPHIORs Sicherheitsteam integriert kontinuierlich neue Schwachstellen, Angriffstechniken und CVEs in die Scan-Engine — damit Ihre Diagnosestandards nie veralten.

Jedes monatliche Assessment läuft auf der neuesten Engine.

Engine-Updates

Kontinuierlich aktualisiert

    Engine continuously synced

    Globale Scan-Ausführungsinfrastruktur

    Jeden Monat übernimmt SPHIOR alle Diagnosen, Berichterstellungen und Zustellungen in Ihrem Namen — ganz ohne dedizierten Ingenieur. Scans werden aus Rechenzentren weltweit ausgeführt.

    Global
    24 Städte
    24/7
    Zero-Touch-Governance

    Ref · SPHIOR-SOC2

    Monthly Security Evidence

    SOC 2
    • Aufzeichnung externer Bewertungen
    • Priorisierung kritischer Erkenntnisse
    • Nachverfolgung des Behebungsstatus
    MonatlichKontinuierlich geprüft

    Ref · SPHIOR-ISO

    Gap Analysis Report

    ISO 27001
    • Überprüfung der Sicherheitskontroll-Konformität
    • Aufzeichnung der Risikobewertungsergebnisse
    • Nachverfolgung von Korrekturmaßnahmen
    VierteljährlichPrüffertig

    Ref · SPHIOR-OWASP

    Scan Evidence

    OWASP
    • OWASP Top 10 konformer Scan
    • Tiefendiagnose API & authentifizierte Bereiche
    • CVSS-Score & Behebungspriorität
    MonatlichEngine aktualisiert
    Governance & Nachweise

    Monatlich aktualisierte Drittanbieter-Prüfaufzeichnungen— die einzige Grundlage für Vertrauen.

    Wenn ein Vorfall eintritt, ist die Frage, was Sie davor getan haben. SPHIORs monatliche Berichte werden zu verteidigbaren Nachweisen — über Audit, Lieferantenrisiko und Unternehmens-Due-Diligence.

    • Unterstützende Nachweise für SOC 2 / ISO 27001

      Externe Bewertungsaufzeichnungen, Umfang und Behebungsstatus — für Auditor-Referenz verpackt.

    • Lieferantenbewertungen und Sicherheitsfragebögen

      Konkrete monatliche Artefakte zur Untermauerung Ihrer Sicherheitsposition, keine Adjektive.

    • Cyber-Due-Diligence bei M&A und IPO

      Entfernt 'unkontrollierte Web-Sicherheit' als Wertabschlaghebel während der Due Diligence.

    Wählen Sie Ihren Plan

    Bleiben Sie Website-Ausfällen, Reputationsschäden und versteckten Schwachstellen einen Schritt voraus — und wissen Sie genau, was zuerst behoben werden muss. Wählen Sie den Plan, der Ihrer Unternehmensgröße und dem erforderlichen Sicherheitsniveau entspricht.

    20% sparen

    Core

    Für Startups & kleine Teams

    Automatische monatliche Prüfung von Verfügbarkeit, DNS, TLS und grundlegenden Fehlkonfigurationen. Gewährleistet grundlegende Sicherheit ohne dedizierten Ingenieur.

    $199/Monat

    1,990 jährlich abgerechnet

    • Kontinuierliche Uptime- & Antwortüberwachung
    • Basis-Schwachstellen- & Fehlkonfigurationsscan
    • Erkennung exponierter Endpunkte
    • DNS-Sicherheitsaudit (SPF / DKIM / DMARC / DNSSEC)
    • TLS-Zertifikatstransparenzprüfung
    • Core Web Vitals, SEO & Barrierefreiheitsaudit
    • Monatlicher Basis-Sicherheitsauditbericht

    Erster Monat kostenlos

    Scale

    Für wachsende Unternehmen & SaaS-Teams

    Alles aus Core, plus dedizierte Engines für CVEs und bekannte Schwachstellen. Verbinden Sie AWS / GCP / Azure / Cloudflare mit Lesezugriff, um das Cloud-Infrastruktur-Audit zu Ihrem Monatsbericht hinzuzufügen. Monatliches Delta-Tracking zeigt genau, was zuerst behoben werden muss.

    $599/Monat

    5,990 jährlich abgerechnet

    • Alles aus Core
    • Vollständiger CVE- & Schwachstellen-Scan
    • Sicherheitsheader-, HTML- & Datenschutz-Tiefenaudit
    • Monatliches Delta-Tracking (neue Risiken erkennen)
    • Code-Sicherheitsscan (GitHub-Integration)
    • Cloud-Infrastruktur-Audit (AWS / GCP / Azure / Cloudflare — optionale Integration)
    • Automatischer GRC-Push (Drata / Vanta / Secureframe)
    • Monatlicher Schwachstellenbericht mit Behebungsprioritäten

    Erster Monat kostenlos

    Enterprise

    Für regulierte Branchen & auditbereite Organisationen

    Alles aus Scale, plus DAST für authentifizierte Bereiche, Admin-Panels und APIs. Das Cloud-Infrastruktur-Audit ist als Standard verpflichtend und wird mit der KI-Governance-Analyse kombiniert, um monatlich auditfähige Nachweise zu erstellen.

    $2,499/Monat

    24,990 jährlich abgerechnet

    Der Preis wird individuell entsprechend Umfang, Authentifizierungseinrichtung und Supportanforderungen kalkuliert.

    • Alles aus Scale
    • Dynamische Anwendungssicherheitstests (DAST)
    • Vollständiges Audit authentifizierter Bereiche und Admin-Panels
    • API-Sicherheitstests
    • Cloud-Infrastruktur-Sicherheitsaudit (Standard erforderlich, vollständige Integration)
    • KI-Governance-Analyse + KI-Chat inklusive
    • Governance-Auditbericht (Executive Briefing + Audit-Trail)

    Bereit, Ihre digitale Zukunft zu sichern?

    Kostenlos Starten

    ✓ 24/7 Überwachung