Blauer Hintergrund

Offensive Security

Schwachstellen finden. Risiken schließen. Sicherheit nachweisen.

Setze auf Sicherheit, die sich beweisen lässt. carmasec testet deine Systeme mit denselben Methoden, die reale Angreifende einsetzen. Strukturiert. Dokumentiert. Mit Prioritäten, die dein Team direkt umsetzen kann.

Unsere Leistungen Bereit für einen Pentest?

tested. done. right.

Angriffe nehmen zu und Schäden wachsen rasant

Erfolgreiche Angriffe sind selten Zufälle. Sie folgen Mustern, nutzen bekannte Lücken und scheitern an Verteidigungen, die tatsächlich getestet wurden. KI beschleunigt die Angreiferseite: Schwachstellensuche, Exploit-Entwicklung und Social Engineering werden schneller, gezielter und schwerer zu erkennen. Offensive Security liefert diesen Beweis. Die Ergebnisse zeigen, wo Defense-Maßnahmen greifen und wo nicht – und schaffen die Nachweisgrundlage, die u.a. NIS-2, DORA und ISO 27001 fordern.

Vernetztes-Schutzschild-mit-Haken-Icon

Penetration Testing

Kein Raten mehr. Dein Unternehmen weiß, wo es angreifbar ist. Jedes Finding ist nach Risiko priorisiert, mit Angriffsweg dokumentiert und mit konkreter Gegenmaßnahme versehen. Dein Team weiß, was zuerst zu tun ist.

  • Webapplication
  • API
  • Netzwerk
  • Active Directory
  • Endpoint
  • Mobile
  • Cloud Platform
  • AI Pentesting

Mehr erfahren

Code-Analyse-Icon

Red Teaming & TLPT

Funktioniert deine Detection, wenn es darauf ankommt? Wir simulieren über Wochen den vollständigen Angriffspfad bis zu geschäftskritischen Prozessen — orientiert an Threat Intelligence und realen Angreiferprofilen. Das Ergebnis ist eine belastbare Bewertung deiner operativen Resilienz. TLPT-konform nach DORA und TIBER-EU.

  • Threat-Intelligence gestützte Angriffssimulation
  • Adversary Emulation
  • TLPT
  • Detection & Response Test
  • Resilienz-Bewertung

 

Hacker-am-Laptop-Icon

Angriffssimulationen

Blinde Flecken sind das, was dich im Ernstfall trifft. Wir simulieren Ransomware-Verhalten, Command-and-Control-Kommunikation und Datenexfiltration unter kontrollierten Bedingungen. Du siehst schwarz auf weiß, was dein SOC erkennt und wo es versagt. Darauf bauen wir auf und schärfen deine Defense-Strukturen gezielt nach.

  • Ransomware-Simulation
  • Botnet Traffic (C2)
  • Data Exfiltration

 

Nutzer-mit-Schutzschild-Icon

Social Engineering & Awareness

Menschen sind kein Sicherheitsproblem. Sie sind ein Sicherheitsfaktor — wenn sie wissen, wie Angriffe aussehen. Phishingkampagnen und Live-Hacking-Sessions machen Bedrohungen greifbar und zeigen, wo Awareness-Maßnahmen tatsächlich wirken.

  • Phishingkampagnen
  • Spear Phishing
  • Awareness-Schulungen
  • Live Hacking
Sprechblasen-Icon

Noch nicht sicher, welche Leistung passt?

In einem ersten Gespräch klären wir gemeinsam, welcher Ansatz für deine Situation sinnvoll ist.

Jetzt kontaktieren

Warum jetzt handeln?

Zunehmende Bedrohungslage

Cloud, KI-Systeme, IoT und hybride Arbeitsformen erweitern die Angriffsfläche kontinuierlich. Angreifende nutzen automatisierte Werkzeuge und orchestrierte Kampagnen.

KI als Angreiferwerkzeug

KI beschleunigt die Angreiferseite. Phishing wird präziser, Exploits werden schneller entwickelt, Angriffsketten schwerer erkennbar.

Regulatorischer Druck

NIS-2, DORA, CRA und EU AI Act machen technische Sicherheitsprüfungen zur Nachweispflicht.

Resilienz statt reiner Abwehr

Ransomware-Angriffe, IT-Ausfälle und Störungen in Lieferketten können Geschäftsprozesse innerhalb von Minuten lahmlegen. Entscheidend ist, ob das Unternehmen dann handlungsfähig bleibt

Lächelndes Porträtfoto von Pascal Waffenschmidt, Senior Security Consultant bei der carmasec.
27 Sekunden ist der Rekord. 65 % schneller als noch ein Jahr zuvor. Angriffe skalieren mit KI – Sichtbarkeit auf die eigene Angriffsfläche nicht. Genau da entsteht das Risiko. Was passiert in dieser Zeit bei euch?

Pascal Waffenschmidt, Senior Security Consultant

Blauer Hintergrund
Vorschau des carmasec-Playbooks

Weniger Risiko, mehr Resilienz.

Wie Compliance und echte Abwehr zusammenwirken.

Dieses Playbook zeigt CISOs und IT-Sicherheitsteams, wie Schutzmaßnahmen dort greifen, wo Angreifende wirklich ansetzen.

Download Whitepaper

Egal, ob Start-up, Mittelstand oder Konzern: Wir finden die passende Lösung

Vertrauen entsteht durch Ergebnisse

100%

der zugesagten Projektziele erreicht

»Professionell, flexibel, nahbar und vor allem: erfolgreich. carmasec hat geliefert, was versprochen wurde.«
Logo von Bruker

Bruker Optics

40%

mehr Transparenz über den Sicherheitsstatus durch definierte KPIs

»Mit Unterstützung von carmasec haben wir KPIs definiert und einen höheren Grad an Transparenz und Akzeptanz geschaffen.«

DKV Mobility Services

100%

der Projektergebnisse dokumentiert und nachweisbar übergeben

 

»Mit carmasec fanden wir einen vertrauenswürdigen Partner, der uns bei der Umsetzung unterstützte und einen umfangreichen Ergebnisbericht lieferte. Wir empfehlen carmasec uneingeschränkt weiter.«

ELIGO

100%

der identifizierten Schwachstellen mit konkreten Handlungsempfehlungen dokumentiert

 

»carmasec leistete einen nennenswerten Beitrag zur Sicherheit unserer Dienste. Professionelle Beratung, saubere Durchführung. Für Infrastruktur-Pentests empfehlen wir carmasec uneingeschränkt.«

tyntec GmbH

Warum carmasec?

Viele Anbieter testen. Der Unterschied liegt darin, was danach passiert.

Threat Informed Defense als Methodik

Unsere Angriffssimulationen basieren auf dokumentierten Techniken realer Angreifer:innen nach MITRE ATT&CK. Kein generischer Scope.

Vendor-unabhängig

Wir empfehlen keine Tools, weil wir deren Partner sind. Wir empfehlen, was fachlich passt. Das gilt für Methoden, für Scope und für den Bericht.

Persönlich

Kein Ticket-System, kein offshore Delivery. Direkte Kommunikation mit den Expert:innen, die testen.

Häufige Fragen zu Offensive Security

Wie unterscheidet sich ein manueller Pentest von einem Schwachstellenscan?

Ein Schwachstellenscan arbeitet automatisiert mit bekannten Mustern. Ein manueller Pentest kombiniert diese Basis mit kreativem Vorgehen, individuellen Angriffsketten und Kontext über deine spezifische Umgebung. So entstehen realitätsnahe Szenarien, die automatisierte Tools allein nicht abbilden.

Wie oft sollten wir Penetrationstests durchführen?

Mindestens jährlich. Zusätzlich bei wesentlichen Änderungen wie neuen Anwendungen, größeren Releases, Cloud-Migration oder neuen KI-Lösungen. Für besonders kritische Systeme kann ein kürzerer Zyklus sinnvoll sein.

 

Bekommen wir nur einen Bericht oder begleitet ihr auch die Umsetzung?

Beides ist möglich. Standardmäßig erhältst du ein verständliches, risikobasiertes Reporting. Auf Wunsch unterstützen wir bei der Umsetzung, der Maßnahmen-Roadmap und der technischen Härtung. Inklusive Retest.

Was ist der Unterschied zwischen einem Penetrationstest und Red Teaming und wann brauche ich was?

Ein Penetrationstest prüft definierte Systeme in einem begrenzten Zeitfenster. Das Ziel ist eine vollständige Schwachstellenanalyse mit dokumentierten Findings. Red Teaming simuliert einen realen Angriff über Wochen ohne definierten Scope, orientiert an tatsächlichen Angreiferprofilen. Das Ziel ist nicht die vollständige Abdeckung, sondern der Nachweis, ob ein Angreifer ein geschäftskritisches Ziel erreicht. Wer wissen will, wo Schwachstellen liegen, braucht einen Pentest. Wer wissen will, ob seine Detection und Response im Ernstfall funktionieren, braucht Red Teaming.

Wir sind kein Finanzinstitut. Ist TLPT trotzdem relevant für uns?

TLPT ist regulatorisch verpflichtend für bestimmte Finanzinstitute unter DORA. Für alle anderen ist das Prinzip dennoch relevant: Threat-Led Penetration Testing richtet Angriffssimulationen an realen Bedrohungsprofilen aus, nicht an generischen Checklisten. Unternehmen, die kritische Infrastruktur betreiben oder in regulierten Branchen tätig sind, profitieren vom gleichen Ansatz ohne formale TLPT-Pflicht.

Unsere Entwicklungsteams arbeiten agil. Wie lässt sich Offensive Security in laufende Releasezyklen integrieren?

Offensive Security muss nicht als einmaliges Projekt gedacht werden. Penetrationstests lassen sich auf einzelne Releases oder neue Features begrenzen. Angriffssimulationen können parallel zum Betrieb laufen. Wir definieren im Scoping gemeinsam, welcher Ansatz zu euren Entwicklungszyklen passt, ohne den Betrieb zu unterbrechen.

Was genau testet eine Angriffssimulation, das ein klassischer Pentest nicht abdeckt?

Ein Penetrationstest findet Schwachstellen. Eine Angriffssimulation prüft, ob deine Detection- und Response-Mechanismen diese Schwachstellen erkennen und korrekt darauf reagieren. Ransomware-Verhalten, Command-and-Control-Traffic und Datenexfiltration werden unter kontrollierten Bedingungen nachgestellt. Die entscheidende Frage ist nicht nur: Gibt es eine Lücke? Sondern: Würde dein SOC einen Angriff darüber bemerken?

Müssen unsere Mitarbeitenden wissen, dass eine Phishing-Kampagne läuft?

Das hängt vom Ziel ab. Unangekündigte Kampagnen liefern realistischere Ergebnisse über den tatsächlichen Reifegrad der Organisation. Angekündigte Kampagnen haben einen stärkeren Awareness-Effekt. Beides ist möglich und rechtlich zulässig, wenn die Rahmenbedingungen sauber definiert sind. Wir klären das im Scoping gemeinsam mit eurer HR- und Rechtsabteilung.

Wie schützt ihr vertrauliche Systeme und Daten während eines Engagements?

Jedes Engagement beginnt mit einem definierten Scoping-Dokument: Zielsysteme, Ausschlüsse, Zeitfenster, Ansprechpartner:innen und Notfallprozesse. Wir arbeiten ausschließlich im abgestimmten Rahmen. Findings werden verschlüsselt übertragen und nicht über unsichere Kanäle kommuniziert. Vertraulichkeit ist vertraglich geregelt.

Erfüllen Penetrationstests und Red Teaming die Anforderungen aus NIS-2 und DORA?

Ja. DORA schreibt für bestimmte Finanzinstitute regelmäßige Resilienztests vor, einschließlich TLPT nach TIBER-EU. NIS-2 erwartet technische Sicherheitsprüfungen als Teil des Risikomanagements. ISO 27001 verlangt den Nachweis, dass implementierte Controls auf Wirksamkeit getestet wurden. Unsere Berichte sind revisionssicher dokumentiert und auf die Nachweisanforderungen der jeweiligen Regulatorik ausgerichtet.

Was passiert nach dem Test und wer setzt die Maßnahmen um?

Der Bericht priorisiert Findings nach Risiko und liefert konkrete Gegenmaßnahmen. Auf Wunsch begleiten wir die Umsetzung, prüfen Maßnahmen im Retest und leiten daraus eine Security-Roadmap ab. Technische Maßnahmen werden durch unser Defense-Team umgesetzt. Findings, die Governance- oder Compliance-Relevanz haben, fließen direkt in dein ISMS und deine Nachweisdokumentation für ISO 27001, NIS-2 und DORA. Offensive, Defense und Governance arbeiten bei carmasec im Zyklus.

Kontakt

Bereit für den Realitätscheck?

Du willst wissen, wie weit ein Angreifender in die eigene Infrastruktur vordringen würde? In einem ersten Gespräch klären wir gemeinsam, welcher Ansatz zur konkreten Situation passt, welche Systeme im Fokus stehen sollten und was ein realistisches Bedrohungsbild für euer Unternehmen bedeutet.

Porträtfoto von Timm Börgers, Geschäftsführer bei der carmasec.
Timm Börgers
Geschäftsführer
+49 (0)201 426 385 905
vertrieb@carmasec.com