FAQ
RCE Security ist ein europäisches Offensive-Security-Unternehmen. Hier beantworten wir die häufigsten Fragen, damit Security-Teams vor dem Start eines Engagements Eignung, Ablauf und Ergebnisse einschätzen können.
Welche Leistungen bietet RCE Security an?
RCE Security bietet Penetrationstests, sowohl on-demand als auch kontinuierlich, semi-manuelle Quellcode Reviews, Unterstützung bei Bug-Bounty- und Vulnerability-Disclosure-Programmen sowie feste Leistungspakete für kleine Unternehmen.
Was ist ein Penetrationstest?
Ein Penetrationstest, kurz Pentest, ist eine kontrollierte Simulation von Cyberangriffen auf Ihre IT-Systeme und Anwendungen. Als professioneller Pentest-Anbieter setzt RCE Security moderne Tools und manuelle Prüfungen ein, um Schwachstellen in Ihrer Infrastruktur und Ihren Produkten zu identifizieren.
Wie oft sollte ein Penetrationstest durchgeführt werden?
Mindestens einmal pro Jahr. Bei größeren Änderungen an Ihrer Infrastruktur, bei neuen Systemen oder nach einem Sicherheitsvorfall kann ein häufigerer Test sinnvoll sein. Idealerweise werden Penetrationstests kontinuierlich durchgeführt.
Welche Arten von Penetrationstests bietet RCE Security an?
RCE Security bietet Black-Box-, Grey-Box- und White-Box-Penetrationstests an. Je nach gewähltem Ansatz unterscheiden sich Informationsstand und Testtiefe.
Was können Sie im Rahmen eines Penetrationstests prüfen?
Typische Scopes umfassen Webanwendungen, APIs, Mobile Apps für iOS und Android, Desktop-Anwendungen unter Windows, macOS oder Linux sowie externe Netzwerk-Infrastrukturen.
Wo speichern Sie Projektdaten?
RCE Security hat seinen Sitz in Europa und nutzt ausschließlich europäische Rechenzentren zur Verarbeitung von kundenbezogenen Daten und zur Einhaltung der DSGVO.
Was ist der Unterschied zwischen on-demand und kontinuierlichen Penetrationstests?
On-demand-Tests sind zeitlich begrenzte Engagements für einen definierten Scope. Kontinuierliche Tests bieten fortlaufende Abdeckung, wiederholte Validierung und Retests, während sich Ihre Angriffsfläche verändert.
Wie schnell kann ein Projekt starten?
Sobald Scoping und Formalitäten abgeschlossen sind, können Projekte meist kurzfristig eingeplant werden. Auf neue Anfragen reagieren wir in der Regel innerhalb eines Werktages, und häufig kann ein Projekt innerhalb einer Woche starten.
Was erhalten wir am Ende eines Engagements?
Sie erhalten risikoorientierte Findings mit Proof-of-Concepts, Kontext zum geschäftlichen Impact und praxisnahen Handlungsempfehlungen. Optional bestätigen Retests die Wirksamkeit von Fixes.
Gibt es Live-Transparenz während des Testens?
Ja. Findings werden während des Engagements fortlaufend geteilt. Auf Wunsch integrieren wir diese direkt in Ihren Issue Tracker, damit die Behebung bereits vor dem finalen Bericht starten kann.
Unterstützen Sie Compliance-Ziele wie ISO 27001, SOC 2 oder PCI DSS?
Ja. Testumfang und Reporting lassen sich auf gängige compliance-getriebene Anforderungen sowie Audit-Zeitpläne abstimmen.
Unterzeichnen Sie NDAs und gehen Sie sicher mit sensiblen Daten um?
Ja. NDAs sind auf Anfrage möglich, und unser Umgang mit Projektdaten ist auf Umgebungen mit hoher Sensibilität ausgelegt.
Wie stellen Sie Nachvollziehbarkeit während des Testens sicher?
Wir führen alle Tests von vordefinierten statischen IP-Adressen aus. So kann Ihr Team autorisierten Testverkehr leichter von echten Angriffen unterscheiden.
Können Sie uns beim Start oder der Optimierung eines Bug-Bounty- oder VDP-Programms unterstützen?
Ja. RCE Security unterstützt bei Programm-Design, Scope- und Policy-Definition, Triage-Workflows und Kommunikationsprozessen für eingehende Researcher-Reports.
Sind Ihre Leistungen auch für kleine Unternehmen mit begrenztem Budget geeignet?
Ja. Unsere Pakete für kleine Unternehmen richten sich an Teams mit bis zu fünf Mitarbeitenden und sollen sich wie interne Security-Unterstützung anfühlen.
Wie starten wir?
Nutzen Sie die Kontaktseite und teilen Sie uns Ziele, Zeitplan, Compliance-Anforderungen und bevorzugte Zeitzone mit. RCE Security schlägt daraufhin das passende Engagement-Modell vor.