Ich biete 10 kostenlose IT-Sicherheitschecks für kleine Unternehmen an – und will vor allem ehrliches Feedback (auch, wenn ihr die Idee schlecht findet)
Kurz vorweg, damit keine falschen Erwartungen entstehen: Ich bin kein zertifizierter Pentester. Kein OSCP, kein CISSP. Ich komme aus der Logistik (15+ Jahre, u. a. SAP-Umfeld) und habe mir IT-Sicherheit, Linux und Entwicklung über Jahre selbst beigebracht. Genau deshalb ist das Angebot kostenlos: Ich will erst beweisen, dass meine Ergebnisse etwas taugen, bevor ich dafür Geld nehme.
Worum geht's:
Ich baue gerade Specter auf – eine rein defensive Sicherheitsprüfung für kleine Unternehmen, Selbstständige und Vereine. Die meisten realen Vorfälle bei KMU haben nichts mit Hollywood-Hacking zu tun, sondern mit Basics, die niemand prüft:
E-Mail-Spoofing: Sind SPF, DKIM und DMARC korrekt gesetzt? (Bei den meisten: nein)
TLS-/Webserver-Konfiguration und veraltete, öffentlich erreichbare Dienste (RDP, SSH, Admin-Panels)
Microsoft-365-Grundeinstellungen: MFA, externe Freigaben, Legacy-Auth
Backup-Konzept: Existiert eins? Wurde die Wiederherstellung je getestet?
So läuft es ab (und was ich NICHT mache):
Nur mit schriftlicher Beauftragung und klar definiertem Scope, ohne Auftrag fasse ich nichts an
Keine Exploits, keine Brute-Force-Versuche, keine Lasttests. Es wird nichts angegriffen und nichts verändert
Geprüft wird nur, was von außen ohnehin sichtbar ist, plus das, wofür ihr mir ausdrücklich Zugang gebt
Ihr bekommt einen Bericht in verständlichem Deutsch: Was ist kritisch, was kann warten, was konkret tun
Nachbesprechung inklusive, alle Daten werden nach Abschluss gelöscht
Was ich mir im Gegenzug wünsche:
Ehrliches Feedback. Was war brauchbar, was war unklar, was hat gefehlt. Wenn ihr zufrieden seid, freue ich mich über ein kurzes Testimonial oder die Erlaubnis, anonymisierte Erkenntnisse als Beispiel zu nutzen – beides ist optional, keine Bedingung. Eine schlechte ehrliche Rückmeldung hilft mir mehr als ein höfliches Lob.
Für wen das gedacht ist:
Kleine Unternehmen, Handwerksbetriebe, lokale Dienstleister, Agenturen, Selbstständige, Vereine – alle, die keine eigene IT-Sicherheitsabteilung haben.
Und an die Security-Leute hier: Wenn ihr an dem Konzept selbst etwas auszusetzen habt, schreibt es gerne direkt in die Kommentare. Lieber jetzt zerlegt werden als nach dem offiziellen Start.
Bei Interesse: DM an mich. Danke euch.