Identity Risk Management für den deutschen Mittelstand
Ab 1 € pro Mitarbeiter und Monat
Angreifer sucht Schwachstellen in Server-Software, findet offene Ports, nutzt Exploits.
Klassische Verteidigung greift: Firewall, Virenscanner und IDS erkennen den Angriff und blockieren ihn.
Angreifer kauft kompromittierte Zugangsdaten im Darknet und probiert sie automatisiert gegen VPN, M365 und Exchange.
Klassische Verteidigung sieht nichts: Der Angreifer loggt sich legitim ein. Firewall sieht: nichts. Virenscanner sieht: nichts.
Der häufigste Angriffsvektor ist heute der gestohlene Login. Genau das, was wir überwachen.
Jeder Mitarbeiter hat im Schnitt zwischen 50 und 200 digitale Konten – auf privaten Plattformen, bei Drittanbietern, in B2B-Tools. Viele dieser Konten sind mit der Firmen-E-Mail-Adresse registriert. Manche dieser Plattformen wurden in den letzten Jahren gehackt – und manche Mitarbeiter verwenden dort dieselben Passwörter wie für Ihre Systeme.
Das ist keine Mitarbeiter-Schuld. Das ist menschliches Verhalten. Und es ist ein Risiko, das nur durch externes Monitoring sichtbar wird.
- Welche Mitarbeiter-Identitäten tauchen in öffentlichen Datenlecks auf?
- Welche Passwörter sind nachweislich kompromittiert?
- Welche Konten werden nicht mehr benötigt?
- Welche Server, Clients und Netzwerk-Geräte haben ausnutzbare Schwachstellen?
- Welche Software ist End-of-Life ohne aktive Patches?
- Würde Ihr Unternehmen einem realen Angriff standhalten?
- Was findet ein professioneller Tester, was Standard-Tools nicht finden?
Drei Produkte, drei Fragen, ein Thema: Identity Risk Management.
In öffentlich verfügbaren Leak-Sammlungen weltweit (Stand 2025, kumuliert)
Ein einziges Datenbank-Passwort, das wir im realen Scan eines Mittelständlers fanden – in jeder Standard-Wortliste eines Angreifers
Privat wie beruflich – laut eigenen Studien zur Passwort-Hygiene
Datenquellen: Have-I-Been-Pwned-kompatible Breach-Datenbanken, NIST National Vulnerability Database sowie kommerzielle und öffentliche Threat-Intelligence-Quellen.
Ein mittelständischer Dienstleister mit rund 80 Mitarbeitern. Bestandskunde unseres Systemhauses, bisher ohne dedizierte Security-Betreuung. Im einmaligen Baseline-Scan haben wir gefunden:
15 Benutzerkonten mit Zugangsdaten in öffentlichen Datenlecks – darunter der Domänen-Administrator.
Ein Datenbank-Servicekonto mit einem Passwort, das über 60.000 Mal in Leak-Datenbanken steht – in jeder Standard-Wortliste unter den ersten 100 Einträgen.
7 verschiedene Datenbank-Versionen auf einem einzigen Server – davon 3 seit Jahren ohne Sicherheits-Updates.
Mehrere Schwachstellen mit kritischer Bewertung – mögliche Remote-Code-Execution auf produktiven Systemen.
Bekannt war dem Kunden davon: nichts. Der Geschäftsführer sagte: „Wir dachten wirklich, bei uns gäbe es nichts zu finden."
Mit der NIS-2-Umsetzung, schärferen DSGVO-Auslegungen und gestiegenen Cyber-Versicherungs-Anforderungen hat sich das Spielfeld verändert. Bei einem Sicherheitsvorfall wird nicht mehr gefragt, ob ein Vorfall passiert ist – sondern ob er bei sorgfältigem Handeln erkennbar gewesen wäre.
Bei nachweislicher Verletzung können Geschäftsführer persönlich haften. IT-Sicherheit gilt zunehmend als Teil dieser Sorgfalt.
Deutlich mehr Unternehmen sind betroffen als oft angenommen – auch über Lieferketten-Anforderungen. Die persönliche Verantwortung der Geschäftsleitung ist explizit benannt.
Verlangen regelmäßig den Nachweis von Schwachstellen-Management, MFA und Incident-Bereitschaft. Ohne Nachweis: kein Versicherungsschutz oder deutliche Selbstbehalte.
- Konten, Passwörter und Geräte gegen öffentliche Datenlecks und CVE-Datenbanken prüfen
- Monatliche Berichte liefern, die Sie an Versicherer, Auditor und Aufsicht weitergeben können
- Probleme zeigen, bevor jemand anderes sie ausnutzt
- Jede Zahl in jedem Bericht erklären
- Keine Überwachung von Mitarbeitern
- Keine Software-Installation auf privaten Geräten
- Kein Versprechen auf 100 %-Schutz – den gibt es nicht
- Keine versteckten Folge-Verträge in unseren Angeboten
Identity Watch beantwortet die Frage nach Ihren Konten. Endpoint Watch beantwortet die Frage nach Ihren Geräten. Pentesting beantwortet die Frage, ob das alles in der Realität auch hält.
1 € / Monat pro Benutzer
Kontinuierliche Überwachung Ihrer digitalen Identitäten und Zugangsdaten.
1 € / Monat pro Gerät
Kontinuierliche Schwachstellen-Überwachung Ihrer Server, Clients und Netzwerk-Geräte.
Individuell
Kontrollierter Angriff auf vereinbartem Scope. Die Realitäts-Prüfung Ihrer Sicherheit.
Aufwand zum Beheben der gefundenen Probleme wird separat über Ihren bisherigen Stundenkontigentvertrag mit F&M abgerechnet. Ansonsten zum Stundensatz von 120 € pro Stunde. Von Ihrem ersten Gespräch bis zum vollständigen Ergebnisbericht dauert es in der Regel ein bis zwei Wochen – ohne Automatismus, ohne verstecktes Abo.
Sie bekommen einen vollständigen Sicherheitsbericht. Sie entscheiden danach, ob Sie weitermachen wollen.
- 30 Minuten Erstgespräch
- Scope-Vereinbarung mit AVV
- Technischer Zugang für den Scan
- Vollständiger Sicherheitsbericht
- Persönliches Ergebnis-Gespräch
- Klare Handlungsempfehlungen
- Kein automatisches Abo
- Keine versteckten Folgekosten
- Kein Druck zur Entscheidung
F&M Computer Systemhaus GmbH
Identity Risk Management
Ansprechpartner: Oliver Pötschke
Head of IT & Service
E-Mail: vertrieb@fmc.berlin
Bereits Bestandskunde? Wenden Sie sich direkt an Ihren F&M Account Manager – er hat alle Informationen.
Jedes Unternehmen hat heute mehr digitale Identitäten als Mitarbeiter – aktive Konten, alte Konten, Service-Konten, Cloud-Zugänge, Geräte-Identitäten. Wir prüfen kontinuierlich, welche davon kompromittiert sind. Und zeigen Ihnen, was zu tun ist.