Alle VidraSec Dienstleistungen Druckansicht

Services:

Active Directory Sicherheitsaudit

Active Directory Audit, AD testen und auditieren, Ransomware-Schutz, zweite Verteidigungslinie

Ein Active Directory Audit ist eine White-Box-Sicherheitsanalyse deines lokalen Active Directory, die Fehlkonfigurationen, gefährliche Berechtigungen und Angriffspfade bis zur Domänenübernahme aufdeckt, bevor ein Angreifer oder Ransomware sie ausnutzen kann.

Ransomware-Angriffe nehmen zu, und diejenigen mit der höchsten Auswirkung übernehmen das gesamte Active Directory. Wir müssen dieses Systeme sichern, um das Risiko, dass unsere Daten verschlüsselt und im Internet zum Verkauf angeboten werden, zu minimieren!

Active Directory bietet umfangreiche Funktionalitäten; jedoch kann seine Komplexität oft zu Sicherheitslücken führen. Angesichts der kritischen Rolle, die es im Benutzermanagement spielt, können Sicherheitsmängel schwerwiegende Auswirkungen haben, von Privilege Escalation bis zur vollständigen Domänenübernahme.

Dieses Audit fokussiert sich auf das lokale (on-premise) Active Directory. Entra ID (Microsofts Cloud-Identitätsplattform) ist ein eigenes System und wird in einem separaten Entra ID Audit behandelt.

VidraSec bietet Dienstleistungen an, die darauf ausgelegt sind, diesen Herausforderungen direkt zu begegnen. Gemeinsam werden wir Strategien entwickeln, um deine Umgebung gegen Bedrohungen zu stärken.

Umfang

Diese Art von Test wird in der Regel als White-Box durchgeführt, was bedeutet, dass die Tester vollen Zugang zum getesteten System und dessen Dokumentation erhalten. Dies ermöglicht eine umfassende Analyse von Schwachstellen und Fehlkonfigurationen in einem kurzen Zeitrahmen. Folgende Punkte sind der Hauptfokus des Tests:

  • Audit des Implementierungsstatus des Tier-Modells und möglicher Schwachstellen
  • Überprüfung aller Konten und ihres Passwortalters
  • Überprüfung der Berechtigungen von Benutzern, Computern und Gruppen
  • Überprüfung der Gruppenmitgliedschaften von hochprivilegierten Gruppen
  • Interview mit Admins darüber, wie sie das System typischerweise verwalten
  • Wenn vorhanden: Domänen- und Forest-Trusts
  • Test auf typische Schwachstellen wie “Kerberoasting” oder (un)eingeschränkte Delegation

Warum

  • Vergessene, unsichere Berechtigungen können ein riesiges Sicherheitsproblem darstellen und Angriffe extrem erleichtern.
  • Es handelt sich um lebende Systeme, und Fehler treten auf. Nur eine regelmäßige Überprüfung kann dabei helfen, sie zu finden.
  • Sichere administrative Prozesse erschweren das Leben der Angreifer sehr.

Für eine umfassende Bewertung des lokalen Active Directory empfiehlt VidraSec, diese Analyse in Verbindung mit einem Penetrationstest der internen Infrastruktur durchzuführen. Dieser Ansatz bietet einen kompletten Überblick über die Sicherheitslage deiner internen Systeme.

Warum VidraSec 🦦

Ich habe mehrere Jahre Erfahrung in Angriffen und der Sicherung von Active Directory. Wenn ich es schaffe, nach ein paar Tagen Arbeit Domain-Admin-Berechtigungen zu erhalten, bin ich sicher, dass ein echter Angreifer dies ebenfalls kann. Lass mich also zeigen, was falsch ist und wie es behoben werden kann, um sich gegen Angriffe zu schützen.

Typische Dauer

3-5 Tage (abhängig vom Scope). Die Berichtserstellung dauert typischerweise zusätzlich 30-50 % der Testzeit.

Typischer Preis

ab 8.400 €

Der endgültige Preis richtet sich nach dem Umfang des Projekts und dem Reifegrad der IT-Sicherheit. Er wird auf Basis des erforderlichen Zeitaufwands individuell kalkuliert.

Leistungsumfang

Jedes Engagement umfasst:

  • Schriftlichen Ergebnisbericht mit allen Schwachstellen und Fehlkonfigurationen, nach Schweregrad priorisiert, mit Behebungsempfehlungen
  • Management Summary, abgestimmt auf deine Zielgruppe (technisch oder für die Geschäftsführung)
  • Live-Debriefing zur Besprechung der Ergebnisse und Beantwortung von Fragen
  • Nachtest nach Behebung der Schwachstellen auf Anfrage möglich

Sieh dir Beispielberichte an, um einen Eindruck von einem VidraSec-Bericht zu bekommen.

Compliance

Direkt relevant für NIS2, ISO 27001 und TISAX (Automobilindustrie). Active-Directory-Sicherheit ist ein Standardpunkt in Informationssicherheits-Management-Audits.

Häufige Fragen

Was ist der Unterschied zwischen einem Active Directory Audit und einem internen Penetrationstest?

Ein Active Directory Audit ist eine White-Box-Konfigurationsprüfung mit vollem Lesezugriff. Ein interner Penetrationstest greift Active Directory aus Sicht eines normalen Benutzers an, um zu prüfen, ob Domain Admin erreichbar ist. Beide ergänzen sich und werden oft kombiniert.

Wie lange dauert ein Active Directory Audit?

Typischerweise 3 bis 5 Tage Analyse je nach Größe der Umgebung, plus rund 30 bis 50 Prozent dieser Zeit für die Berichtserstellung.

Stört das Audit unser produktives Active Directory?

Nein. Das Audit ist rein lesend und White-Box. VidraSec prüft Konfiguration und Berechtigungen, ohne Änderungen vorzunehmen oder störende Angriffe gegen deine Domänencontroller auszuführen.

Was kostet ein Active Directory Audit?

Ab 8.400 Euro. Der endgültige Preis richtet sich nach Umfang und Reifegrad deiner Umgebung und wird individuell auf Basis des Aufwands kalkuliert.

Verwandte Dienstleistungen

Interner IT-Infrastruktur Penetrationstest

Interner Penetrationstest, interne IT-Infrastruktur testen, Ransomware-Vorbeugung

Ein interner IT-Infrastruktur Penetrationstest simuliert einen Angreifer, der bereits einen Fuß im Netzwerk hat (etwa nach einem Phishing-Klick), und testet, ob er sich lateral bewegen und Domain Admin erreichen kann.

Was, wenn eine deiner Mitarbeiterinnen oder Mitarbeiter auf den falschen E-Mail-Anhang klickt? Wirst du in der Lage sein, den Angriff zu stoppen, oder werden die Angreifer von dort aus weiter im Netzwerk bewegen und alle deine Systeme übernehmen können? Deshalb solltest du einen Penetrationstest der internen Infrastruktur durchführen. Das interne System ist nur einen falschen Klick davon entfernt, „öffentlich“ zu sein.

Die Erfahrung hat gezeigt, dass die externe Infrastruktur heutzutage oft recht gut gesichert ist. Schaut man jedoch auf das interne Netzwerk, ist die Geschichte oft leider anders. Keine Verschlüsselung verwendet, Sicherheitsmechanismen ausgeschaltet (ältere Software unterstützt sie nicht) oder völlig veraltete Software. Im schlimmsten Fall könnten diese Schwachstellen zu einer vollständigen Kompromittierung aller Unternehmensdaten führen.

Umfang

Dieser Penetrationstest kann angepasst werden, um sich auf spezifische Systeme zu konzentrieren, wie z. B. einen bestimmten Server oder die Konfiguration von Windows-Clients. Das bereden wir im ersten Abstimmungsmeeting. Im Zuge dieses Tests kann auch die Fähigkeit zur Angriffserkennung überprüft werden. Allerdings ist das nicht der primäre Fokus eines Penetrationstests. Folgende Punkte sind der Hauptfokus des Tests:

  • Penetrationstest von Active Directory, einschließlich Credential-Angriffen wie dem Auslesen lokaler Hashes (siehe Hashes auslesen in Windows 11 24H2) und der Abbildung von Angriffspfaden zu Domain Admin mit BloodHound
  • Überprüfung, ob alle empfohlenen Gegenmaßnahmen vorhanden sind
  • Identifizierung von Schwachstellen im Netzwerk
  • Identifizierung veralteter Software im Netzwerk
  • Fehlkonfigurationen, z. B. Active Directory Certificate Services oder Lücken im AD-Tiering
  • Test auf offene Dateifreigaben mit vertraulichen Daten
  • Und insgesamt: Kann ein Angreifer Domain-Admin-Rechte im Netzwerk erlangen?

Warum

  • Finden und Beheben von Schwachstellen in deiner internen Infrastruktur
  • Sichern deiner Maschinen, sodass die Auswirkungen von Angriffen geringer sind
  • Deine Infrastruktur ist ein lebendes System; nur regelmäßige Überprüfungen können helfen, Fehlkonfigurationen zu finden.

Warum VidraSec 🦦

Ich habe oft Domain-Admin-Rechte erlangt, ausgehend von einem normalen Benutzer. Und zwar in vielen verschiedenen Arten von Unternehmen. Egal, ob klein oder groß, es gibt immer Schwachstellen. Wenn ich es schaffen kann, kann es ein Angreifer auch. Und ich hoffe, dass es angenehmer ist, wenn ich die Schwachstellen und wie man sie behebt in einem Bericht erkläre, als wenn ein Angreifer erklärt, wohin die Bitcoins geschickt werden sollen.

Hinweis: Dieser Test enthält Active-Directory-Testing aus Angreifersicht (kann ich Domain Admin erreichen?). Ein Active Directory Audit ist eine separate, tiefere White-Box-Analyse der AD-Konfiguration. Beide ergänzen sich und werden häufig kombiniert.

Typische Dauer

3 bis 5 Tage Testing (bei großen Umgebungen bis zu 2 Wochen). Die Berichtserstellung dauert typischerweise zusätzlich 30 bis 50 % der Testzeit.

Typischer Preis

ab 8.000 €

Der endgültige Preis richtet sich nach dem Umfang des Projekts und dem Reifegrad der IT-Sicherheit. Er wird auf Basis des erforderlichen Zeitaufwands individuell kalkuliert.

Leistungsumfang

Jedes Engagement umfasst:

  • Schriftlichen Ergebnisbericht mit allen Schwachstellen, nach Schweregrad priorisiert, mit Behebungsempfehlungen
  • Management Summary, abgestimmt auf deine Zielgruppe (technisch oder für die Geschäftsführung)
  • Live-Debriefing zur Besprechung der Ergebnisse und Beantwortung von Fragen
  • Nachtest nach Behebung der Schwachstellen auf Anfrage möglich

Sieh dir Beispielberichte an, um einen Eindruck von einem VidraSec-Bericht zu bekommen.

Compliance

Direkt relevant für NIS2 (Artikel 21, Sicherheit von Netz- und Informationssystemen), ISO 27001 und TISAX (Automobilindustrie).

Häufige Fragen

Warum brauche ich einen internen Penetrationstest, wenn mein Perimeter sicher ist?

Perimeter sind zunehmend gut gesichert, interne Netzwerke oft nicht. Ein einziger falscher Klick kann einen Angreifer hineinbringen, wo schwache Segmentierung, Altsoftware und Active-Directory-Fehlkonfigurationen häufig die vollständige Kompromittierung erlauben. Der interne Test misst genau dieses reale Risiko.

Muss der interne Penetrationstest vor Ort durchgeführt werden?

Interne Pentests werden in der Regel vor Ort durchgeführt, können aber per VPN oder über einen dedizierten Jump-Host remote erfolgen, wenn dein Netzwerk-Setup das zulässt. Das wird im Scoping abgestimmt.

Wie lange dauert ein interner Penetrationstest?

Typischerweise 3 bis 5 Tage Testing, bei großen Umgebungen bis zu 2 Wochen, plus rund 30 bis 50 Prozent dieser Zeit für die Berichtserstellung.

Was kostet ein interner Penetrationstest?

Ab 8.000 Euro. Der endgültige Preis richtet sich nach der Größe der Umgebung und wird individuell auf Basis des Aufwands kalkuliert.

Für welche Unternehmensgrößen ist ein interner Penetrationstest sinnvoll?

Für praktisch jede Organisation mit eigenem Netzwerk und Active Directory, vom kleinen und mittelständischen Unternehmen bis zum Konzern. Der Aufwand skaliert mit der Größe der Umgebung, kleinere Netzwerke brauchen also weniger Testtage und kosten entsprechend weniger.

Verwandte Dienstleistungen

Cloud Infrastruktur Audit

Cloud Infrastruktur Audit, Azure, AWS Konfiguration prüfen, IAM, Cloud Security

Ein Cloud Infrastruktur Audit ist eine rein lesende White-Box-Prüfung deiner Azure-, AWS- oder GCP-Umgebung, die Fehlkonfigurationen, überprivilegierte IAM-Rollen und exponierte Dienste findet, bevor Angreifer es tun.

Cloud-Services bieten enorme Flexibilität, aber diese Flexibilität bringt auch Risiken mit sich. Falsch konfigurierte Storage Buckets, zu weitreichende IAM-Rollen und exponierte Management-Schnittstellen zählen zu den häufigsten Ursachen für Cloud-Sicherheitsvorfälle. Ein Cloud Infrastruktur Audit prüft deine Cloud-Umgebung mit einem Nur-Lese-Account, um genau diese Schwachstellen zu finden, bevor Angreifer es tun.

Unterstützte Plattformen: Azure, AWS und GCP. In Azure-Umgebungen hängen Fehlkonfigurationen im Cloud-IAM häufig eng mit Entra ID Rollenzuweisungen und Conditional Access zusammen. Beide werden oft gemeinsam geprüft.

Umfang

Dieses Audit wird als White-Box-Engagement mit einem Nur-Lese-Account und Standard-Tools (ScoutSuite, manuelle Überprüfung) durchgeführt. Folgende Bereiche werden abgedeckt:

  • Identity and Access Management: Rollenzuweisungen, überprivilegierte Konten, Service Principals, Least-Privilege-Überprüfung
  • Storage und Datenexposition: öffentliche Buckets/Blobs, Zugriffsrichtlinien, exponierte sensible Daten
  • Virtual Network Konfiguration: Security Groups, Netzwerk-ACLs, Firewall-Regeln, exponierte Management-Ports
  • Logging und Monitoring: Audit-Log-Konfiguration, Alerting, Erkennungsabdeckung
  • Sicherheitseinstellungen: Defender/Security Hub/Security Command Center, Verschlüsselung at rest und in transit
  • Service-spezifisches Hardening: Konfiguration der aktiv genutzten Cloud-Dienste

Warum

  • Cloud-Umgebungen sind eine häufige Quelle für Sicherheitsvorfälle, oft weil Standardkonfigurationen nicht gehärtet sind
  • IAM-Fehler (z. B. zu weitreichende Rollen, ungenutzte Service-Accounts mit hohen Berechtigungen) sind die häufigste Cloud-Sicherheitslücke
  • Eine Nur-Lese-Konfigurationsüberprüfung kann kritische Expositionen in Stunden aufdecken, die sonst monatelang unbemerkt bleiben könnten

Typische Findings sind ein CI/CD-Service-Principal mit Contributor- oder Owner-Rechten, weit über das hinaus, was seine Pipeline braucht, Storage Accounts oder Buckets, die nach einem einmaligen Datenexport öffentlich lesbar bleiben, sowie veraltete Gastkonten, die lange nach Projektende noch Zugriff behalten. Keiner dieser Fälle erfordert das Ausnutzen einer Schwachstelle. Es handelt sich um Konfigurationsfehler, die für jeden sichtbar sind, der weiß, wo er hinschauen muss, weshalb eine Nur-Lese-Prüfung sie so schnell findet.

Warum VidraSec 🦦

Ich habe Cloud Infrastruktur Audits in Azure-, AWS- und GCP-Umgebungen durchgeführt. Mein Hintergrund im Identitäts- und Zugriffsmanagement, insbesondere im Microsoft-Stack, erstreckt sich natürlich auch auf Cloud-IAM, wo viele der gleichen Fehlkonfigurationen auftreten.

Typische Dauer

3 bis 5 Tage (abhängig vom Scope, je nach Anzahl und Komplexität der genutzten Cloud-Dienste). Die Berichtserstellung dauert typischerweise zusätzlich 30 bis 50 % der Testzeit.

Typischer Preis

ab 7.000 €

Der endgültige Preis richtet sich nach dem Umfang des Projekts und dem Reifegrad der IT-Sicherheit. Er wird auf Basis des erforderlichen Zeitaufwands individuell kalkuliert.

Leistungsumfang

Jedes Engagement umfasst:

  • Schriftlichen Ergebnisbericht mit allen Fehlkonfigurationen, nach Schweregrad priorisiert, mit Behebungsempfehlungen
  • Management Summary, abgestimmt auf deine Zielgruppe (technisch oder für die Geschäftsführung)
  • Live-Debriefing zur Besprechung der Ergebnisse und Beantwortung von Fragen
  • Nachtest nach Behebung der Schwachstellen auf Anfrage möglich

Sieh dir Beispielberichte an, um einen Eindruck von einem VidraSec-Bericht zu bekommen.

Compliance

Direkt relevant für NIS2 und ISO 27001. Cloud-Konfiguration wird zunehmend in Informationssicherheits-Management-Reviews geprüft.

Häufige Fragen

Welche Cloud-Plattformen prüft VidraSec?

Azure, AWS und GCP. Das Audit nutzt einen Nur-Lese-Account sowie eine Kombination aus automatisierten Tools wie ScoutSuite und manueller Experten-Analyse.

Ist ein Cloud Infrastruktur Audit dasselbe wie ein Cloud-Penetrationstest?

Nicht ganz. Ein Konfigurations-Audit prüft die Umgebung über einen Nur-Lese-Account und findet Fehlkonfigurationen sehr effizient. Ein Cloud-Penetrationstest versucht aktiv, Schwachstellen auszunutzen. Für die meisten Organisationen deckt das Konfigurations-Audit die kritischsten Probleme am schnellsten auf.

Wie lange dauert ein Cloud Infrastruktur Audit?

Typischerweise 3 bis 5 Tage je nach Anzahl und Komplexität der genutzten Cloud-Dienste, plus rund 30 bis 50 Prozent dieser Zeit für die Berichtserstellung.

Was kostet ein Cloud Infrastruktur Audit?

Ab 7.000 Euro. Der endgültige Preis richtet sich nach Umfang und Reifegrad deiner Umgebung und wird individuell kalkuliert.

Verwandte Dienstleistungen

Entra ID Sicherheitsaudit

EntraID Audit, Azure AD / Microsoft Entra ID konfiguration prüfen, Identitätsmanagement

Ein EntraID Audit (früher Azure AD) ist eine White-Box-Prüfung deines Microsoft-Entra-ID-Tenants, die Fehlkonfigurationen bei Identität und Zugriff, schwache bedingte Zugriffsrichtlinien und Angriffspfade zur Rechteausweitung aufdeckt.

EntraID (Microsoft Entra ID) ist die zentrale Lösung von Microsoft für Identitäten und Zugriff, vor allem in Microsoft-365-Umgebungen. Sie ermöglicht Single Sign-On (SSO) und die Zugriffsverwaltung. Fehlkonfigurationen können zu unberechtigten Zugriffen oder erleichterten Social-Engineering-Angriffen führen. Deshalb ist ein gründliches Testen dieser Komponente wichtig.

Umfang

Das Audit wird in der Regel als White-Box durchgeführt: Die Tester haben vollen Zugang zum System und zur Dokumentation. So können Schwachstellen und Fehlkonfigurationen in kurzer Zeit analysiert werden. Schwerpunkte sind:

  • Implementierungsstatus des Tier-Modells und mögliche Schwachstellen
  • Alle Konten und ihr Passwortalter
  • Berechtigungen von Benutzern, Computern und Gruppen
  • Gruppenmitgliedschaften hochprivilegierter Gruppen
  • Gespräch mit Admins zur typischen Verwaltung des Systems
  • Bedingte Zugriffsrichtlinien
  • Prüfung anhand bewährter Vorgehensweisen
  • Die Anbindung an das lokale Active Directory

Typische Dauer

3-5 Tage (abhängig vom Scope). Die Berichtserstellung dauert typischerweise zusätzlich 30-50 % der Testzeit.

Typischer Preis

ab 7.000 €

Der endgültige Preis richtet sich nach dem Umfang des Projekts und dem Reifegrad der IT-Sicherheit. Er wird auf Basis des erforderlichen Zeitaufwands individuell kalkuliert.

Leistungsumfang

Jedes Engagement umfasst:

  • Schriftlichen Ergebnisbericht mit allen Fehlkonfigurationen, nach Schweregrad priorisiert, mit Behebungsempfehlungen
  • Management Summary, abgestimmt auf deine Zielgruppe (technisch oder für die Geschäftsführung)
  • Live-Debriefing zur Besprechung der Ergebnisse und Beantwortung von Fragen
  • Nachtest nach Behebung der Schwachstellen auf Anfrage möglich

Sieh dir Beispielberichte an, um einen Eindruck von einem VidraSec-Bericht zu bekommen.

Compliance

Direkt relevant für NIS2, ISO 27001 und TISAX. Identitäts- und Zugriffsmanagement ist ein Kernkontrollbereich in allen großen Sicherheitsframeworks.

Häufige Fragen

Was ist Entra ID?

Entra ID (früher Azure AD) ist Microsofts cloudbasiertes Identitäts- und Zugriffsmanagement-System. Es bildet die Grundlage für Single Sign-On und Zugriffskontrolle in Microsoft 365 und ist von Microsofts lokalem Active Directory getrennt. Ein Entra ID Sicherheitsaudit prüft genau diese Cloud-Identitätsumgebung auf Fehlkonfigurationen und Angriffspfade.

Was ist der Unterschied zwischen Entra ID und Active Directory?

Active Directory ist Microsofts lokales Identitätssystem; Entra ID (früher Azure AD) ist die Cloud-Identitätsplattform hinter Microsoft 365 und Single Sign-On. Es sind getrennte Systeme mit getrennten Audits, wobei VidraSec auch die Verbindung beider prüft.

Deckt das EntraID Audit Conditional Access und MFA ab?

Ja. Bedingte Zugriffsrichtlinien, MFA-Durchsetzung sowie typische MFA-Bypass- und Social-Engineering-Risiken sind ein Kernfokus, ebenso privilegierte Rollenzuweisungen und Berechtigungen von App-Registrierungen.

Wie lange dauert ein EntraID Audit?

Typischerweise 3 bis 5 Tage je nach Komplexität des Tenants, plus rund 30 bis 50 Prozent dieser Zeit für die Berichtserstellung.

Was kostet ein EntraID Audit?

Ab 7.000 Euro. Der endgültige Preis richtet sich nach Umfang und Reifegrad deiner Umgebung und wird individuell kalkuliert.

Verwandte Dienstleistungen

Externer IT-Infrastruktur Penetrationstest

Externer Penetrationstest, externe IT-Infrastruktur und Angriffsfläche testen

Ein externer IT-Infrastruktur Penetrationstest prüft deine aus dem Internet erreichbaren Systeme (Server, VPNs, Mail, Fernzugänge) auf ausnutzbare Schwachstellen und Exposition, die ein Angreifer für einen ersten Zugang nutzen könnte.

Wenn dein System aus dem Internet erreichbar ist, könnte es potenziell von jedem gehackt werden. Okay, ich übertreibe ein bisschen, aber ich denke, du verstehst, was ich meine. Schwachstellen in deiner externen Infrastruktur können zu sehr schlechter Presse führen und die persönlichen Informationen deiner Kunden gefährden. Deshalb ist es besser, auf Nummer sicher zu gehen.

Umfang

Dieser Test, oft auch externer Netzwerk-Penetrationstest genannt, kann sich auf eine Range von extern zugänglichen IPs konzentrieren. Ein anderer Ansatz ist die Ermittlung deiner externen Angriffsfläche: Welche Informationen kann ein Angreifer über dein Unternehmen herausfinden, und welche Dienste sind aus dem Internet zugänglich, von denen du vielleicht nicht einmal weißt? Folgende Punkte sind der Hauptfokus des Tests:

  • Erkennung von Schwachstellen in deiner externen Infrastruktur. VPN-Gateways, Mailserver, RDP-/Citrix-Gateways und andere Fernzugänge sind häufige Einstiegspunkte
  • Identifizierung veralteter Software und verwendeter Libraries, einschließlich bekannter CVEs in aus dem Internet erreichbaren Appliances
  • Überprüfung auf fehlende Absicherungsmaßnahmen, die dich im Falle einer Schwachstelle schützen können
  • Öffentlich zugängliche sensible Informationen, z. B. in Cloud-Speichern, Code-Repositories oder falsch konfigurierten Dateifreigaben
  • Unsichere Konfiguration von Diensten

Aus dem Internet erreichbare Appliances sind branchenweit eine wiederkehrende Quelle kritischer Schwachstellen. Ein konkretes Beispiel für diese Schwachstellenklasse zeigt CheckPoint-Schwachstelle mit einem einfachen Kommando ausnutzen.

Optional lässt sich dieser Test um OSINT (Open Source Intelligence) erweitern: die Recherche, welche Informationen ein Angreifer über dein Unternehmen, deine Infrastruktur und deine Mitarbeiterinnen und Mitarbeiter aus öffentlichen Quellen (geleakte Zugangsdaten, exponierte Subdomains, Metadaten, Code-Repositories) gewinnen könnte, noch bevor er ein einziges Paket sendet. Das gehört nicht zum Standardumfang und wird beim Scoping separat vereinbart.

Warum

  • Weißt du überhaupt von allen Diensten, die aus dem Internet erreichbar sind?
  • Bist du sicher, dass du nicht unbeabsichtigt sensible Daten preisgibst?
  • Hast du alle zusätzlichen Sicherheitsmaßnahmen angewendet, die Angriffe verhindern können?
  • Sind alle deine Dienste nach den Best Practices konfiguriert?

Warum VidraSec 🦦

Ich bin seit 2017 in Penetrationstests und Red Teaming tätig. In dieser Zeit habe ich viele verschiedene Systeme gesehen und eine Menge Schwachstellen gefunden. Fun Fact: In all dieser Zeit gab es schlechtere und bessere Systeme, aber es gab nie ein System ohne Schwachstellen. Lassen wir uns gemeinsam deine Sicherheit verbessern!

Typische Dauer

2+ Tage Testing (stark abhängig vom Scope, je nach Anzahl der IPs und Dienste). Die Berichtserstellung dauert typischerweise zusätzlich 30 bis 50 % der Testzeit.

Typischer Preis

ab 4.200 €

Der endgültige Preis richtet sich nach dem Umfang des Projekts und dem Reifegrad der IT-Sicherheit. Er wird auf Basis des erforderlichen Zeitaufwands individuell kalkuliert.

Leistungsumfang

Jedes Engagement umfasst:

  • Schriftlichen Ergebnisbericht mit allen Schwachstellen, nach Schweregrad priorisiert, mit Behebungsempfehlungen
  • Management Summary, abgestimmt auf deine Zielgruppe (technisch oder für die Geschäftsführung)
  • Live-Debriefing zur Besprechung der Ergebnisse und Beantwortung von Fragen
  • Nachtest nach Behebung der Schwachstellen auf Anfrage möglich

Sieh dir Beispielberichte an, um einen Eindruck von einem VidraSec-Bericht zu bekommen.

Compliance

Direkt relevant für NIS2 (Artikel 21), ISO 27001 und DSGVO: exponierte Internet-Dienste können direkt personenbezogene Kundendaten gefährden.

Häufige Fragen

Was ist der Unterschied zwischen einem externen und einem internen Penetrationstest?

Ein externer Penetrationstest greift deinen Perimeter aus dem Internet an, so wie es ein Angreifer von außen tun würde. Ein interner Penetrationstest simuliert einen Angreifer, der bereits einen Fuß im Netzwerk hat. Viele Organisationen kombinieren beide, um die gesamte Angriffskette abzudecken.

Beeinträchtigt der Test unsere produktiven Systeme?

Der Test wird sorgfältig durchgeführt, um Störungen zu vermeiden. Potenziell eingriffsintensive Prüfungen werden vorab mit dir abgestimmt, und während des Tests bleibt ein Ansprechpartner erreichbar, damit Unerwartetes sofort pausiert werden kann.

Wie lange dauert ein externer Penetrationstest?

Ab rund 2 Tagen, stark abhängig von der Anzahl der IPs und Dienste im Scope, plus rund 30 bis 50 Prozent dieser Zeit für die Berichtserstellung.

Was kostet ein externer Penetrationstest?

Ab 4.200 Euro. Der endgültige Preis richtet sich nach der Anzahl der Systeme im Scope und wird individuell auf Basis des Aufwands kalkuliert.

Verwandte Dienstleistungen

Microsoft 365 Audit

Microsoft 365 Audit, M365 Sicherheitsüberprüfung, Exchange Online, Teams, SharePoint, Defender

Ein Microsoft 365 Audit ist eine rein lesende White-Box-Prüfung deines M365-Tenants (Exchange Online, Teams, SharePoint, Defender und Admin-Rollen), die Fehlkonfigurationen findet, die Phishing, Datendiebstahl oder Kontoübernahmen ermöglichen.

Microsoft 365 ist das produktive Rückgrat der meisten modernen Unternehmen, Exchange Online verwaltet E-Mails, Teams ermöglicht Zusammenarbeit, SharePoint speichert Dokumente und Entra ID verwaltet Identitäten. Eine Fehlkonfiguration in einem dieser Bereiche kann sensible Daten exponieren, Phishing-Angriffe ermöglichen oder unbefugten Zugriff auf Unternehmensressourcen erlauben.

Dieses Audit überprüft die Sicherheitskonfiguration deines Microsoft 365-Tenants mit einem Nur-Lese-Account. Es wird typischerweise als White-Box-Engagement durchgeführt und im Kick-off-Call scopiert. Es ergänzt sich ideal mit einem Entra ID Audit, das sich gezielt auf Identitäts- und Zugriffsverwaltung konzentriert.

Scope

Im Rahmen eines Microsoft 365 Audits werden folgende Bereiche überprüft:

  • Exchange Online: Anti-Phishing-Richtlinien, SPF/DKIM/DMARC-Konfiguration, Mail-Transport-Regeln, Connector-Sicherheit, Warnungen bei externen E-Mails
  • Teams und SharePoint: externe Freigabeeinstellungen, Gastzugriffsrichtlinien, Berechtigungsüberprüfung von Dokumenten
  • Microsoft Defender for Office 365: Richtlinienkonfiguration, Safe Links, Safe Attachments, Bedrohungsschutzeinstellungen
  • Admin-Rollen und MFA: Überprüfung globaler Admins und privilegierter Rollen, MFA-Durchsetzung für Admin-Konten
  • Microsoft Secure Score: Überprüfung des aktuellen Scores und der wirkungsvollsten Verbesserungsmaßnahmen
  • Conditional Access: Überprüfung von Richtlinien zum Schutz von M365-Applikationen

Warum

  • Microsoft 365-Umgebungen sind ein bevorzugtes Angriffsziel, Phishing, Business Email Compromise (BEC) und Datendiebstahl nutzen typischerweise Fehlkonfigurationen aus, keine Software-Schwachstellen
  • Die Standard-Einstellungen von Microsoft 365 sind nicht gehärtet, viele Unternehmen betreiben erhebliche Sicherheitslücken, ohne es zu wissen
  • Ein kompromittierter M365-Tenant kann alle Unternehmens-E-Mails, Dateien und Anmeldedaten exponieren

Warum VidraSec 🦦

Mein Fokus auf Windows, Active Directory und den Microsoft-Identitätsstack erstreckt sich natürlich auch auf Microsoft 365. Die Entra ID- und M365-Schichten sind eng integriert, das eine zu verstehen erfordert das andere. Dieses Audit wird häufig mit einem Entra ID Audit kombiniert, um ein vollständiges Bild der Microsoft-Identitäts- und Produktivitätsumgebung zu erhalten.

Typische Dauer

3-5 Tage (inkl. Berichtserstellung; abhängig vom Scope)

Typischer Preis

ab 7.000 €

Der endgültige Preis richtet sich nach dem Umfang des Projekts und dem Reifegrad der IT-Sicherheit. Er wird auf Basis des erforderlichen Zeitaufwands individuell kalkuliert.

Leistungsumfang

Jedes Engagement umfasst:

  • Schriftlichen Ergebnisbericht mit allen identifizierten Fehlkonfigurationen, nach Risiko priorisiert
  • Management Summary, abgestimmt auf deine Zielgruppe (technisch oder für die Geschäftsführung)
  • Live-Debriefing zur Besprechung der Ergebnisse und Beantwortung von Fragen
  • Nachtest nach Behebung der Schwachstellen auf Anfrage möglich

Sieh dir Beispielberichte an, um einen Eindruck von einem VidraSec-Bericht zu bekommen.

Compliance

Relevant für Unternehmen, die NIS2, ISO 27001 oder TISAX-Compliance anstreben. Die Sicherheitskonfiguration von Microsoft 365 wird zunehmend als Teil von Informationssicherheits-Management-Reviews geprüft.

Häufige Fragen

Was ist der Unterschied zwischen einem Microsoft 365 Audit und einem Entra ID Audit?

Ein Microsoft 365 Audit prüft die Produktivitätsdienste wie Exchange Online, Teams, SharePoint und Defender. Ein Entra ID Audit konzentriert sich gezielt auf Identitäts- und Zugriffsverwaltung. Beide Schichten sind eng verzahnt und werden oft gemeinsam geprüft.

Benötigt das Audit Zugriff auf unseren Tenant?

Ja, ein Nur-Lese-Account genügt. Das Audit wird White-Box durchgeführt, wodurch VidraSec Konfiguration und Sicherheitseinstellungen effizient prüfen kann, ohne Änderungen an deinem Tenant vorzunehmen.

Wie lange dauert ein Microsoft 365 Audit?

Typischerweise 3 bis 5 Tage inklusive Berichtserstellung, je nach Größe des Tenants und den genutzten Diensten.

Was kostet ein Microsoft 365 Audit?

Ab 7.000 Euro. Der endgültige Preis richtet sich nach Umfang und Reifegrad deiner Umgebung und wird individuell kalkuliert.

Verwandte Dienstleistungen

Penetrationstest für Webanwendungen

Web Application Penetration Test, Webanwendungen auf Schwachstellen testen, OWASP

Ein Web Application Penetration Test ist eine manuelle Sicherheitsanalyse einer Webanwendung und ihrer APIs mit Fokus auf die OWASP Top 10: Broken Access Control, Injection, Authentifizierungsfehler und Business-Logik-Schwachstellen.

Schwachstellen in Webanwendungen können sehr problematisch werden. Im schlimmsten Fall wird der komplette Webserver übernommen oder vertrauliche Kundendaten gestohlen. Daher ist es besonders wichtig, diese Anwendungen ausführlich zu testen.

Umfang

Webanwendungen werden auf die wichtigsten Schwachstellenklassen getestet, mit Fokus auf die OWASP Top 10. Dazu zählen:

  • Test der Zugriffskontrolle: Broken Access Control, Privilege Escalation, IDOR (Zugriff auf fremde Daten durch Ändern einer ID im Request)
  • Authentifizierungs- und Session-Schwachstellen: schwache Passwort-Reset-Abläufe, Session Fixation, JWT-Fehlkonfiguration
  • Injection-Angriffe: SQL Injection, Command Injection, SSTI
  • Server-Side Request Forgery (SSRF) und unsichere Deserialisierung
  • Business-Logik-Schwachstellen: Fehler im Ablauf der Anwendung, die automatisierte Scanner nicht erkennen, etwa das Überspringen eines Bezahl- oder Freigabeschritts
  • Fehlkonfigurationen: Security Headers, TLS-Einstellungen, Fehlermeldungen
  • Überprüfung von Drittkomponenten: veraltete Libraries, bekannte CVEs
  • Implementierung von Defense-in-Depth-Maßnahmen

Android-App-Testing ist auf Anfrage ebenfalls möglich.

Der genaue Testablauf und die getesteten Komponenten werden in einem Scoping-Termin besprochen.

Warum

  • Automatisierte Scanner finden die offensichtlichen Probleme. Zugriffskontroll- und Business-Logik-Schwachstellen, also genau die, die tatsächlich zu Datenlecks führen, brauchen einen menschlichen Tester
  • Ein einziger IDOR- oder Broken-Access-Control-Bug kann die gesamte Kundendatenbank offenlegen
  • Webanwendungen ändern sich laufend. Ein Test ist eine Momentaufnahme der Sicherheit, und regelmäßiges Testen deckt Regressionen durch neue Features auf

Warum VidraSec 🦦

Ich bin seit 2017 in Penetrationstests und Red Teaming tätig, und Webanwendungen gehören zu den häufigsten Einstiegspunkten, die ich teste. Manuelles Testen bedeutet, dass ich die Logik der Anwendung tatsächlich verstehe, statt mich auf Scanner-Signaturen zu verlassen. Genau dort liegen die Schwachstellen, die wirklich zählen.

Typische Dauer

3 bis 5 Tage Testing (abhängig von Größe und Komplexität der Anwendung). Die Berichtserstellung dauert typischerweise zusätzlich 30 bis 50 % der Testzeit.

Typischer Preis

ab 7.000 €

Der endgültige Preis richtet sich nach dem Umfang des Projekts und dem Reifegrad der IT-Sicherheit. Er wird auf Basis des erforderlichen Zeitaufwands individuell kalkuliert.

Leistungsumfang

Jedes Engagement umfasst:

  • Schriftlichen Ergebnisbericht mit allen Schwachstellen, nach Schweregrad priorisiert, mit Behebungsempfehlungen
  • Management Summary, abgestimmt auf deine Zielgruppe (technisch oder für die Geschäftsführung)
  • Live-Debriefing zur Besprechung der Ergebnisse und Beantwortung von Fragen
  • Nachtest nach Behebung der Schwachstellen auf Anfrage möglich

Sieh dir Beispielberichte an, um einen Eindruck von einem VidraSec-Bericht zu bekommen.

Compliance

Relevant für DSGVO (Schutz personenbezogener Kundendaten, die von der Anwendung verarbeitet werden) und ISO 27001.

Häufige Fragen

Ist der Test manuell oder automatisiert?

Er ist überwiegend manuell. Automatisierte Scans unterstützen die Arbeit, aber die Tiefe, insbesondere bei Zugriffskontrolle und Business-Logik-Schwachstellen, entsteht durch manuelles Testen eines erfahrenen Testers. Berichte enthalten kein Scanner-Rauschen.

Werden auch APIs und mobile Apps getestet?

Ja. REST- und GraphQL-APIs sind im Scope, und Android-App-Testing ist auf Anfrage möglich. Die genauen Komponenten werden im Scoping-Termin festgelegt.

Werden Zugangsdaten oder Quellcode benötigt?

Die meisten Engagements sind Greybox und nutzen gültige Benutzerkonten, um die Bereiche der Anwendung zu erreichen, in denen die interessanten Schwachstellen liegen. Quellcode ist nicht erforderlich, kann für eine tiefere Prüfung aber einbezogen werden.

Was kostet ein Web Application Penetration Test?

Ab 7.000 Euro. Der endgültige Preis richtet sich nach Größe und Komplexität der Anwendung und wird individuell auf Basis des Aufwands kalkuliert.

Verwandte Dienstleistungen

Security Awareness Training

Security Awareness Training, Mitarbeiterschulung Phishing, Social Engineering, Passwörter

Ein Security Awareness Training schult deine Mitarbeitenden darin, die Angriffe zu erkennen und abzuwehren, die die meisten Sicherheitsvorfälle verursachen: Phishing, Social Engineering und schwache Passwörter, gehalten von einem Pentester, der diese Angriffe selbst durchführt.

Auch als Security-Awareness-Schulung oder Social-Engineering-Schulung bezeichnet.

Ein Großteil der Cyberangriffe beginnt mit einem menschlichen Fehler. Irgendjemand hat ein schwaches Passwort gesetzt oder den falschen E-Mail Anhang geöffnet. Daher ist es unerlässlich, dass alle Mitarbeitenden geschult werden, wie sie sich richtig verhalten.

Der genaue Umfang und die Länge dieses Trainings können individuell festgelegt werden. Typische Trainingsinhalte sind:

  1. Einführung in die Bedrohungslage
  2. Phishing und Social Engineering
  3. Betrug im Internet
  4. Passwortsicherheit
  5. Veraltete Empfehlungen
  6. Social Media Sicherheit

Das Training kann remote oder vor Ort durchgeführt werden.

Warum VidraSec 🦦

Die meisten Security Awareness Trainings werden von jemandem gehalten, der die Angriffe nur kennt, nicht von jemandem, der sie tatsächlich durchgeführt hat. Ich habe Phishing-Kampagnen gegen Unternehmen durchgeführt, MFA umgangen, Zugangsdaten gestohlen und mich unentdeckt durch interne Netzwerke bewegt. Diese direkte Angriffserfahrung prägt die Art, wie das Training vermittelt wird: Die Beispiele sind real, die gezeigten Techniken sind aktuell, und die Erklärungen wirken anders, wenn sie von jemandem kommen, der das tatsächlich macht.

Für nicht-technische Zielgruppen ist eine Live-Demonstration eines Cyberangriffs als Teil des Trainings oder als eigenständiges Format verfügbar. Zu sehen, wie ein echter Angriff abläuft, ist überzeugender als jede Präsentation: wie eine Phishing-E-Mail Filter umgeht, wie Zugangsdaten gestohlen werden, wie ein kompromittiertes Konto zu vollem Netzwerkzugriff führt. Ich habe auf internationalen Sicherheitskonferenzen wie Troopers, IT-SECX und Hacktivity präsentiert, und diese Erfahrung als Speaker fließt direkt in die Trainings ein.

Details zum Live-Demo-Format findest du unter Schulungen & Vorträge.

Format

Einzelne Sessions sollten 1 Stunde nicht überschreiten. Kürzere, fokussierte Einheiten funktionieren besser als lange Vorträge. Bei Gruppen über 15-20 Personen empfiehlt es sich, in kleinere Gruppen aufzuteilen, um das Engagement hoch zu halten.

Typischer Preis

200 € pro Stunde Training

Der schlussendliche Preis richtet sich nach den gewünschten Inhalten, da das Training auf dein Unternehmen und deine Branche angepasst werden muss.

Leistungsumfang

Jedes Engagement beinhaltet eine maßgeschneiderte Trainingseinheit und eine Q&A-Session danach. Kein schriftlicher Pentest-Bericht. Das Ergebnis ist das Wissen, das an dein Team weitergegeben wird.

Compliance

Direkt relevant für NIS2 (Artikel 21: Organisationen müssen sicherstellen, dass Mitarbeitende regelmäßige Sicherheitsschulungen erhalten) und ISO 27001 (Anhang A, Kontrolle A.6.3: Bewusstsein, Schulung und Training zur Informationssicherheit).

Häufige Fragen

Welche Themen deckt das Training ab?

Typische Inhalte sind die aktuelle Bedrohungslage, Phishing und Social Engineering, Internetbetrug, Passwortsicherheit, veraltete Empfehlungen zum Verlernen und Social-Media-Sicherheit. Der genaue Umfang wird auf deine Branche und Zielgruppe abgestimmt.

Kann das Training remote durchgeführt werden?

Ja. Das Training kann remote oder vor Ort durchgeführt werden. Für nicht-technische Zielgruppen ist zusätzlich eine Live-Demonstration eines Cyberangriffs verfügbar, bei der ein echter Angriff Schritt für Schritt gezeigt wird.

Was kostet ein Security Awareness Training?

200 Euro pro Stunde Training. Der endgültige Preis richtet sich nach den gewünschten Inhalten, da das Material auf dein Unternehmen und deine Branche angepasst werden kann.

Verwandte Dienstleistungen

Simulation von Cyberangriffen

Simulation von Cyberangriffen, Red Team, Angriffserkennung, Reaktion testen

Eine Simulation von Cyberangriffen stellt realistische, durchgängige Angriffsszenarien nach, um zu testen, ob deine Mitarbeitenden, Prozesse und Sicherheitstools einen Angreifer erkennen und darauf reagieren, der bereits im Netzwerk ist.

Auch als Angreifersimulation oder Angriffssimulation bezeichnet.

Dabei werden realistische Angriffsszenarien und typische Angriffswege nachgestellt, um zu validieren, wie gut dein Unternehmen echte Angriffe erkennen und darauf reagieren kann. Ein Penetrationstest findet Schwachstellen in Systemen. Eine Simulation von Cyberangriffen testet, ob deine Mitarbeitenden, Prozesse und Tools einen Angreifer erkennen, der bereits im Netzwerk ist.

Red Team vs. Purple Team

Zwei Ansätze stehen zur Verfügung:

  • Red Team (Blue Team nicht informiert): Das Sicherheits- oder IT-Team weiß nicht, dass eine Simulation läuft. Das gibt das realistischste Bild deiner Erkennungs- und Reaktionsfähigkeiten.
  • Purple Team (kooperativ): Das Sicherheitsteam arbeitet mit dem Angreifer zusammen. Das ist lehrreicher – ideal für Schulungen, den Aufbau von Erkennungsregeln und die schnelle Verbesserung der Verteidigung.

Welcher Ansatz zu deiner Situation passt, besprechen wir im Kick-off-Meeting.

Typische Szenarien

Die konkreten Szenarien werden im Kick-off gemeinsam festgelegt. Häufige Beispiele:

  • Phishing-Simulation – gezielte oder Massen-Phishing-Kampagne zum Test von Mitarbeitererkennung und Meldeprozessen
  • Social Engineering – telefonbasiertes oder persönliches Pretexting
  • Malwarebefall – simulierte Malware auf einem Endgerät, Test der EDR-Reaktion und Alert-Verarbeitung
  • Ransomware-Angriffssimulation – Nachstellung der frühen Phasen eines Ransomware-Angriffs (Erstzugang, Ausbreitung, Zugriff auf Backups), selbstverständlich ohne echte Verschlüsselung von Daten
  • Business Email Compromise (BEC) – Impersonation von Führungskräften oder Lieferanten
  • Credential-Diebstahl und -Wiederverwendung – Test, ob gestohlene Zugangsdaten Alarme auslösen
  • Living-off-the-land-Techniken – Nutzung von eingebauten System-Tools zur Umgehung von Erkennungsmaßnahmen
  • Lateral Movement – Test, ob ein Angreifer von einem kompromittierten System auf andere wechseln kann

Leistungsumfang

Anders als bei einem Standard-Pentest liegt der Fokus einer Simulation von Cyberangriffen auf Prozesserkenntnissen neben technischen Findings:

  • Was hat den Angriff ermöglicht (oder was hat ihn gestoppt)?
  • Werden Alerts überwacht? Wie schnell hat das Team reagiert?
  • Hat jemand die Phishing-Mail gemeldet – oder hat jemand die Malware zu VirusTotal hochgeladen und damit den Angreifer gewarnt?
  • Welche Erkennungslücken müssen geschlossen werden?

Jedes Engagement beinhaltet einen schriftlichen Bericht, Management Summary und Live-Debriefing.

Sieh dir Beispielberichte an, um einen Eindruck von einem VidraSec-Bericht zu bekommen.

Typische Dauer

3 Tage (reine Phishing-Simulation) bis 3+ Wochen (vollständige Multi-Vektor-Simulation). Abhängig vom Scope.

Typischer Preis

ab 5.600 € (für eine Phishing-Simulation)

Diese Projektart muss sehr genau auf deine Bedürfnisse zugeschnitten sein – der endgültige Preis hängt vom Umfang und dem erforderlichen Aufwand ab und wird individuell kalkuliert.

Compliance

Relevant für NIS2 Artikel 21 – Organisationen müssen über Fähigkeiten zur Erkennung und Reaktion auf Vorfälle verfügen. Eine Simulation von Cyberangriffen testet direkt, ob diese Fähigkeiten funktionieren.

Häufige Fragen

Was ist eine Angreifersimulation?

Eine Angreifersimulation (auch Angriffssimulation oder Simulation von Cyberangriffen) bildet das Vorgehen eines echten Angreifers nach, etwa Phishing, Social Engineering oder Credential-Diebstahl, um zu testen, ob dein Team, deine Prozesse und deine Sicherheitstools einen Angriff erkennen und stoppen.

Was ist der Unterschied zwischen einem Penetrationstest und einer Simulation von Cyberangriffen?

Ein Penetrationstest findet Schwachstellen in Systemen. Eine Simulation von Cyberangriffen testet, ob dein Team und deine Tools einen bereits eingedrungenen Angreifer erkennen, inklusive Alerting, Monitoring und Incident Response. Beide beantworten unterschiedliche Fragen und ergänzen sich.

Was ist der Unterschied zwischen Red Team und Purple Team?

Beim Red Team weiß die Verteidigung nicht, dass eine Simulation läuft, das ergibt das realistischste Bild von Erkennung und Reaktion. Beim Purple Team arbeitet das Sicherheitsteam mit dem Angreifer zusammen, das ist lehrreicher und ideal, um Erkennungsregeln schnell aufzubauen.

Wie lange dauert eine Simulation von Cyberangriffen?

Von rund 3 Tagen für eine reine Phishing-Übung bis zu 3 Wochen oder mehr für eine vollständige Multi-Vektor-Simulation, je nach vereinbartem Umfang.

Was kostet eine Simulation von Cyberangriffen?

Ab 5.600 Euro für eine Phishing-Simulation. Größere Multi-Vektor-Engagements werden individuell kalkuliert, da sie sehr genau auf deine Umgebung zugeschnitten werden müssen.

Verwandte Dienstleistungen