Was ist der Unterschied zwischen Scan und Penetrationstest?
Ein Schwachstellenscan prüft Systeme automatisiert gegen bekannte technische Schwachstellen – schnell, kostengünstig und gut geeignet als regelmäßige Routineprüfung. Er zeigt, wo Patches fehlen, Konfigurationen unsicher sind oder bekannte CVEs bestehen. Ein Penetrationstest geht deutlich tiefer: Sicherheitsexperten versuchen aktiv, Lücken auszunutzen und Angriffspfade nachzustellen – wie es ein echter Angreifer tun würde. Das Ergebnis ist aussagekräftiger, aber auch aufwendiger und sollte gezielt eingesetzt werden, etwa vor Zertifizierungen, nach größeren Änderungen oder bei erhöhtem Risiko. Compaas empfiehlt oft einen abgestuften Ansatz: regelmäßige Scans als Basis, Penetrationstests dort, wo das Risiko es rechtfertigt.
Wie oft sollte eine Phishing-Simulation stattfinden?
Empfohlen werden in der Regel zwei bis vier Kampagnen pro Jahr – abhängig von Branche, Risikoprofil und Reifegrad Ihrer Mitarbeitenden. Einmalige Simulationen zeigen nur eine Momentaufnahme; wiederholte Kampagnen machen Entwicklungen sichtbar und halten das Sicherheitsbewusstsein präsent. Compaas wertet Klickraten, Meldeverhalten und Betrugsmerkmale aus und passt Schwierigkeit, Szenarien und Nachschulungen entsprechend an. Nach einer auffälligen Kampagne folgen gezielte Schulungen für betroffene Gruppen – nicht pauschale Belehrung für alle. So wird Awareness messbar verbessert, statt nur ein Audit-Nachweis zu produzieren.
Ist die Schulungsplattform DSGVO-konform?
Ja. Compaas konfiguriert Schulungsplattformen datenschutzkonform: Auftragsverarbeitungsverträge mit dem Anbieter, minimale Datenerhebung, definierte Speicherfristen und Zugriffsbeschränkungen. Lernnachweise – wer wann welche Schulung absolviert hat – werden so dokumentiert, dass sie bei internen Audits und Zertifizierungen als Nachweis dienen. Compaas achtet darauf, dass Schulungsinhalte zu Ihren Compliance-Anforderungen passen und regelmäßig aktualisiert werden. Bei Bedarf werden maßgeschneiderte Inhalte ergänzt, etwa zu branchenspezifischen Risiken oder internen Richtlinien Ihres Unternehmens.
Für wen eignen sich Phishing-Simulationen?
Phishing-Simulationen eignen sich für jedes Unternehmen, in dem Mitarbeitende E-Mails empfangen und auf Links oder Anhänge klicken – also praktisch überall. Besonders sinnvoll sind sie, wenn ISO 27001, Kundenvorgaben oder interne Richtlinien nachweisbare Awareness-Maßnahmen verlangen. Compaas passt Szenarien an Ihre Branche an: vom allgemeinen IT-Support-Betrug über CEO-Fraud bis zu branchenspezifischen Ködern. Simulationen sind kein Instrument, um Mitarbeitende zu überfahren, sondern um realistische Risiken erfahrbar zu machen und gezielt zu schulen. Auswertungen werden aggregiert und vertraulich behandelt – Ziel ist Verbesserung, nicht Sanktionierung einzelner Personen.
Wann ist ein Penetrationstest sinnvoll und wann reicht ein Scan?
Ein Scan reicht, wenn Sie regelmäßig den technischen Grundschutz überprüfen wollen – fehlende Updates, offene Ports, Standardkonfigurationen. Ein Penetrationstest ist sinnvoll, wenn Sie wissen wollen, ob ein Angreifer tatsächlich in Ihre Systeme eindringen oder Daten abfließen könnte – etwa vor einer ISO-27001-Zertifizierung, nach einem Systemwechsel, bei exponierten Webanwendungen oder wenn ein Scan wiederholt kritische Befunde liefert. Compaas berät, welcher Umfang angemessen ist: von einem fokussierten Test einzelner Anwendungen bis zu umfassenderen Prüfungen. So investieren Sie in Tiefe dort, wo das Risiko es rechtfertigt, ohne unnötige Kosten für Standardüberwachung.
Welche Systeme und Infrastrukturen können geprüft werden?
Compaas prüft typischerweise Netzwerke, Server, Webanwendungen, Cloud-Dienste, VPN-Zugänge und ausgewählte Endgeräte-Konfigurationen – abgestimmt auf Ihre IT-Landschaft. Vor jedem Test legt Compaas Scope, Ziele und Ausschlüsse gemeinsam mit Ihnen fest, damit Produktivsysteme nicht ungewollt beeinträchtigt werden. Auch hybride Umgebungen mit On-Premise und Cloud lassen sich einbeziehen. Ergebnisse werden priorisiert aufbereitet: kritische Befunde mit Handlungsempfehlung, mittlere Risiken mit Umsetzungsvorschlag und akzeptierte Restrisiken mit Begründung. Auf Wunsch begleitet Compaas die Nachbesserung und verifiziert geschlossene Findings.
Wie werden Schulungsergebnisse für Audits dokumentiert?
Compaas dokumentiert Teilnahmequoten, Abschlussraten und Zeitstempel pro Mitarbeitendem und Schulungsmodul – exportierbar für interne Audits und Zertifizierungsnachweise. Berichte zeigen, welche Pflichtschulungen vollständig sind, wo Nachholbedarf besteht und wie sich die Quoten über Zeit entwickeln. Für ISO 27001 und vergleichbare Standards ist nachweisbare Awareness ein wiederkehrendes Audit-Thema; Compaas stellt sicher, dass Ihre Unterlagen nicht erst kurz vor dem Audit hastig zusammengestellt werden müssen. Regelmäßige Reports an IT-Leitung oder ISB machen den Fortschritt sichtbar und ermöglichen gezielte Nachsteuerung.
Wie integrieren sich technische Maßnahmen in bestehende ISMS-Prozesse?
Technische Dienstleistungen sind kein isoliertes IT-Projekt, sondern Teil Ihres Informationssicherheits-Managementsystems. Compaas verknüpft Scan-Ergebnisse, Penetrationstest-Berichte und Schulungsnachweise mit Ihrer Risikobewertung, Ihren Maßnahmenplänen und Ihrer kontinuierlichen Verbesserung. Befunde werden als Risiken oder Nichtkonformitäten eingeordnet, Maßnahmen priorisiert und Fortschritte nachverfolgt. So entsteht ein geschlossener Kreislauf: Erkennen, Bewerten, Behandeln, Überprüfen – wie es ISO 27001 vorsieht. Ob Compaas parallel Ihr ISMS betreut oder mit Ihrem internen ISB zusammenarbeitet: die technischen Ergebnisse fließen strukturiert in Ihre Compliance-Dokumentation ein.
