Angriffssimulation, die du beweisen kannst.
Continuous Purple-Team auf Basis unseres Open-Source-Tools ARES: kontinuierliche, governte Angriffssimulation gegen eure eigene Infrastruktur, kombiniert mit Detection-Simulation. Kein Einmal-Snapshot, sondern ein laufendes Bild eurer realen Widerstandsfähigkeit.
Der Unterschied: Jeder Lauf erzeugt einen kryptografisch unabhängig prüfbaren Proof-of-Conduct. Damit könnt ihr und eure Auditoren belegen, dass ausschließlich autorisierte Systeme im vereinbarten Zeitfenster getestet wurden. Verify, don't trust.
Proof-of-Conduct: Verify, don't trust.
Bei klassischen Pentests müsst ihr dem Dienstleister glauben, dass er sich an den Scope gehalten hat. ARES dreht das um. Jeder Lauf hinterlässt einen Nachweis, den ihr und Dritte unabhängig prüfen können, ohne uns vertrauen zu müssen.
Signierter Scope
Autorisierte Systeme und Zeitfenster werden vorab digital signiert. Was nicht im Scope ist, wird nicht angefasst, und das ist nachweisbar.
Unabhängig prüfbar
Das Proof-of-Conduct-Bündel lässt sich kryptografisch verifizieren, ohne dass ihr uns oder unseren Logs vertrauen müsst. Ideal für Audit und Aufsichtsbehörden.
Bei jedem Lauf
Kein Sonderfall, sondern Standard. Jeder einzelne Simulationszyklus erzeugt seinen eigenen Nachweis. Lückenlose Governance über die gesamte Laufzeit.
Drei Schritte, ein prüfbarer Nachweis.
01 Scope und signierte Rules of Engagement
Wir legen gemeinsam fest, welche Systeme getestet werden dürfen und in welchem Zeitfenster. Diese Rules of Engagement werden digital signiert: die autorisierten Assets und der Zeitraum sind damit fälschungssicher festgehalten, bevor irgendetwas läuft.
02 Kontinuierliche, governte Simulation
ARES führt im vereinbarten Takt Angriffssimulationen gegen eure eigene Estate durch und prüft parallel, was eure Abwehr tatsächlich erkennt (Detection-Simulation). Alles innerhalb des signierten Scopes, mit Approval-Gates für aktive Schritte.
03 Delta-Report und Proof-of-Conduct
Ihr bekommt einen Delta-Report (was hat sich seit dem letzten Lauf verändert, was fängt eure Abwehr) plus ein kryptografisch unabhängig prüfbares Proof-of-Conduct-Bündel als Nachweis über den korrekten, autorisierten Ablauf.
Ein Pentest pro Jahr beschreibt einen einzigen Tag.
Eure Estate verändert sich täglich
Neue Subdomains, neue Dienste, geänderte Konfigurationen, neue CVEs. Der Snapshot von vor zehn Monaten sagt nichts über euren heutigen Zustand. Continuous Purple-Team misst laufend statt einmal.
Detection statt nur Findings
Es reicht nicht zu wissen, dass eine Lücke existiert. Entscheidend ist, ob eure SIEM-, EDR- und Logging-Kette den Angriff überhaupt bemerkt. Wir simulieren den Angriff und messen die Erkennung. Das ist der Purple-Team-Teil.
Effizienz durch Automatisierung
ARES automatisiert die wiederkehrenden Recon- und Simulationsschritte. Dadurch ist kontinuierliches Testen bezahlbar, statt jedes Mal ein vollständiges, manuelles Projekt aufzusetzen. Die Bewertung und Priorisierung bleibt menschlich.
Was ARES ist und was es nicht ist.
Wir verkaufen keine vollautonome KI, die alles von allein hackt. Das wäre unseriös, und ein CISO erkennt das sofort. ARES ist ein Orchestrierungs- und Governance-Layer über etablierte Security-Werkzeuge: er automatisiert die wiederkehrenden Schritte, hält den Scope sauber und erzeugt den Nachweis.
Der eigentliche Wert liegt in der Kombination aus Governance, Nachweisbarkeit, Kontinuität und Effizienz. Bewertung, Priorisierung und alle aktiven Schritte unterliegen menschlicher Freigabe (Approval-Gates). Aktive oder ausnutzende Tests laufen ausschließlich gegen gültige, schriftliche Autorisierung.
Continuous Purple-Team als monatlicher Retainer.
Launch-Preise, Festpreis nach Scoping. Kein öffentlicher Self-Checkout: Wir klären im Erstgespräch Scope und Tarif, dann starten wir mit signierten Rules of Engagement.
| Tarif | Zyklus | Umfang | Leistung | Preis |
|---|---|---|---|---|
| Pulse | monatlich | bis ~10 Assets | Delta-Report + Proof-of-Conduct | ab 390 EUR / Monat |
| Pro | 14-tägig | bis ~50 Assets | Detection-Gap-Analyse + priorisierte Findings + Proof | ab 790 EUR / Monat |
| Enterprise | wöchentlich / custom | individuell | eigene Playbooks, SLA, dediziertes Reporting | auf Anfrage |
| Verifizierter Pentest | einmalig | nach Scope | Pentest + Proof-of-Conduct-Deliverable | ab 2.500 EUR |
Was CISOs typischerweise vorher wissen wollen.
Was genau ist der Proof-of-Conduct und warum ist er besonders?
Es ist ein kryptografisch abgesichertes Nachweisbündel, das jeder ARES-Lauf erzeugt. Es belegt unabhängig prüfbar, dass ausschließlich die vorab signierten, autorisierten Systeme im vereinbarten Zeitfenster getestet wurden. Ihr und eure Auditoren könnt das verifizieren, ohne uns oder unseren Logs vertrauen zu müssen. Verify, don't trust. Genau dieses Deliverable bekommt ihr bei klassischen Pentests nicht.
Ist das nicht einfach ein automatisierter Scanner?
Nein. Ein Scanner sucht bekannte Schwachstellen. ARES ist ein governter Orchestrierungs-Layer für Angriffssimulation plus Detection-Messung: Wir simulieren realistische Angriffsketten und messen, ob eure Abwehr sie erkennt (der Purple-Team-Teil). Bewertung und Priorisierung bleiben menschlich, aktive Schritte unterliegen Approval-Gates.
Hackt die KI vollautonom alles?
Nein, und das wäre unseriös zu behaupten. ARES automatisiert die wiederkehrenden Recon- und Simulationsschritte und macht kontinuierliches Testen dadurch bezahlbar. Die fachliche Bewertung, die Priorisierung und jede aktive oder ausnutzende Aktion erfolgen unter menschlicher Freigabe. Der Wert liegt in Governance, Nachweisbarkeit, Kontinuität und Effizienz.
Gegen welche Systeme wird getestet?
Ausschließlich gegen autorisierte Systeme, die ihr vorab freigebt. Der Scope wird über digital signierte Rules of Engagement festgelegt (welche Assets, welches Zeitfenster). Aktive oder ausnutzende Tests laufen nur gegen gültige, schriftliche Autorisierung. Ohne Freigabe passiert nichts.
Wie unterscheidet sich Pulse von Pro?
Pulse läuft monatlich für bis zu rund 10 Assets und liefert Delta-Report plus Proof-of-Conduct, ideal für den Einstieg. Pro läuft 14-tägig für bis zu rund 50 Assets und ergänzt eine Detection-Gap-Analyse sowie priorisierte Findings. Enterprise ist wöchentlich oder custom mit eigenen Playbooks und SLA, Preis nach Scoping.
Ist das DSGVO-konform?
Ja. Wir arbeiten datenschutzkonform und ausschließlich auf Basis eurer Freigabe für eure eigenen Systeme. Scope, Zeitfenster und Autorisierung werden vertraglich und über signierte Rules of Engagement festgehalten. Bei Bedarf schließen wir die nötigen Vereinbarungen vor Projektstart.
Ist ARES wirklich Open Source?
Ja, der Code ist quelloffen unter github.com/cengo441337-a11y/ares. Das ist Teil des Verify-don't-trust-Prinzips: Ihr könnt nachvollziehen, wie der Proof-of-Conduct erzeugt wird. Wir verkaufen den Service, nicht eine Blackbox.
Lasst uns euren Scope festlegen.
30 Minuten, unverbindlich. Wir klären, welche Systeme sinnvoll im Scope sind, welcher Tarif passt und wie der Proof-of-Conduct in eure Audit- und Compliance-Prozesse passt.
DC INFOSEC · Deniz Ceylan · Kleinunternehmer nach §19 UStG · Tests nur gegen autorisierte Systeme