Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

PRODUKT

Ihre Angriffsfläche ändert sich täglich, Ihr Sicherheitsbild sollte nicht ein Jahr alt sein

Pulse ist die kontinuierliche Erkennung und Validierung von Schwachstellen in Ihrem externen und internen Netz, im monatlichen oder vierteljährlichen Zyklus. Wir bestätigen die Ergebnisse offensiv, bereinigen sie von False-Positives und dokumentieren sie in der Plattform E-Zero, mit vollständiger Nachverfolgung der Behebung über die Zeit.

Monatlicher oder vierteljährlicher Zyklus, an Ihr Änderungstempo angepasstOffensive Validierung: ein Pentester bereinigt die False-PositivesExternes und internes Netz in einem BerichtTrend der Exposition und Fortschritt der Behebung in E-Zero

DAS PROBLEM

Zwischen einem Test und dem nächsten schaut niemand hin

Ein Penetrationstest ist eine Momentaufnahme aus einem einzigen Tag. Am nächsten Morgen erscheint eine neue CVE, jemand stellt einen neuen Dienst bereit, eine Firewall-Regel ändert sich, ein weiterer Server kommt in die Domäne. Es öffnet sich ein Fenster, in dem Ihre Angriffsfläche wächst und niemand sie beobachtet.

Angreifer beobachten sie die ganze Zeit. Massenscanner finden einen frisch bereitgestellten Dienst in Stunden, nicht in Wochen. Ein jährlicher Test schließt dieses Fenster nicht. Ein Prozess, der im selben Rhythmus hinschaut, in dem sich Ihre Infrastruktur ändert, schließt es. Genau dafür ist Pulse da.

DER CTEM-ZYKLUS

Pulse im kontinuierlichen Management der Bedrohungsexposition

CTEM, das von Gartner definierte Programm für kontinuierliches Management der Bedrohungsexposition, läuft in fünf Phasen. Pulse operationalisiert seinen Kern: eine wiederholbare Schleife aus Erkennung, Priorisierung und Validierung, im regelmäßigen Zyklus statt einmal im Jahr.

CTEM-PhaseWas passiertWas Pulse leistet
1. Umfang festlegenFestlegen, was Sie wirklich schützen: die Internetkante, das interne Netz, die zentralen Systeme.Pulse speist diese Phase: den externen und internen Umfang legen wir gemeinsam mit Ihrem Team fest.
2. ErkennungSchwachstellen, Fehlkonfigurationen und Exposition auf der gesamten Fläche auffinden.Der Kern von Pulse: ein zyklischer Scan, der viele Quellen zusammenführt.
3. PriorisierungFestlegen, was zuerst zu beheben ist, nach realem Risiko und Exposition.Der Kern von Pulse: Priorität nach Ausnutzbarkeit und Kontext, nicht nach CVSS allein.
4. ValidierungBestätigen, dass ein Befund real und für einen Angreifer erreichbar ist.Der Kern von Pulse: offensive Validierung, die False-Positives entfernt.
5. Maßnahmen anstoßenBehebung und Schließen des Risikos durch die IT-Teams.Pulse speist diese Phase: konkrete Empfehlungen und Nachverfolgung der Behebung in E-Zero.

Das ist eine ehrliche Grenze. Pulse liefert den Motor für kontinuierliche Erkennung, Priorisierung und Validierung. Die Entscheidungen zum Umfang und die Behebung selbst bleiben bei Ihrem Team, und Pulse gibt ihm Konkretes in die Hand statt einer Liste von Alarmen zum Durcharbeiten.

WAS JEDER ZYKLUS ABDECKT

Ein Bericht, den ein einzelner Test nie liefern kann

01
Externes Netz
Was ein Angreifer aus dem Internet sieht: öffentliche IP-Adressen, bereitgestellte Dienste, Webanwendungen.
02
Internes Netz
Was ein Angreifer sieht, sobald der Perimeter fällt. Eine Read-only-Sonde deckt es ab.
03
Fortschritt der Behebung
Ob Schwachstellen tatsächlich verschwinden oder sich nur neue anhäufen. Jeder Zyklus zeigt die Veränderung seit dem letzten.
04
Neue Befunde
Alles, was seit dem vorigen Zyklus entdeckt wurde, damit nichts Neues unbemerkt bleibt.
05
Trend der Exposition
Ihr Risiko über die Zeit, kein Punkt im Kalender. Der E-Zero-Bericht macht aus einem statischen PDF eine interaktive, priorisierte Aufgabenliste.

Die Einführung ist leicht. Die interne Sonde läuft im Read-only-Modus, ohne Eingriff in die Produktion und ohne zusätzliche Hardware auf Ihrer Seite. Den Umfang stimmen wir zu Beginn gemeinsam ab.

PULSE UND PENTEST

Wo Pulse endet und ein Penetrationstest beginnt

Hier verläuft die Grenze zum Penetrationstest. Pulse erkennt, priorisiert und validiert Schwachstellen fortlaufend, aber es bricht nicht in Systeme ein, bewegt sich nicht seitlich und eskaliert keine Rechte. Wenn Sie den vollen Nachweis einer Kompromittierung mit Exploitation und Post-Exploitation brauchen, ist das die Aufgabe eines Penetrationstests.

Pulse und ein Pentest arbeiten als Paar. Der Pentest geht ab und zu in die Tiefe, Pulse beobachtet das ganze Jahr die Fläche. Das eine zeigt, wie weit ein Angreifer käme, das andere sorgt dafür, dass zwischen den Einsätzen nichts Neues offen bleibt.

WIE WIR ES TUN

Ein Motor für Erkennung, nicht noch ein Scanner

01
Viele Quellen zusammenführen
Fünf Werkzeuge der Enterprise-Klasse plus unsere eigenen, in jedem Zyklus mit drei Schwachstellen-Datenbanken korreliert.
02
Offensive Validierung
Pentester bestätigen, was wirklich ausnutzbar ist, und verwerfen die False-Positives, damit Sie Entscheidungen prüfen, kein Rauschen.
03
Priorität nach Ausnutzbarkeit
Befunde werden nach realer Ausnutzbarkeit und Kontext eingestuft, nicht allein nach dem CVSS-Wert.
04
Empfehlungen zur Behebung
Zu jeder bestätigten Schwachstelle gehört ein dokumentierter Weg zur Behebung, in E-Zero aufgebaut und in der richtigen Reihenfolge.
05
Nachverfolgung der Behebung
Jeder Zyklus zeigt, ob das Risiko sinkt, sodass der Prozess über die Zeit und in der Prüfung standhält.

COMPLIANCE

Der Regulator erwartet einen Prozess, keine einmalige Momentaufnahme

DORA, NIS2 und ISO 27001 verschieben die Anforderung vom einzelnen Test hin zum kontinuierlichen Schwachstellenmanagement. Ein wiederkehrender Pulse-Bericht mit Behebungshistorie ist der Nachweis, dass der Prozess läuft, nicht dass er einmal stattfand.

DORA
Verlangt laufendes ICT-Risikomanagement und die regelmäßige Erkennung von Schwächen. Ein zyklischer Bericht mit Behebungshistorie zeigt, dass der Prozess läuft.
NIS2
Schreibt Schwachstellenmanagement und ein aktuelles Risikobild vor. Ein monatlicher oder vierteljährlicher Zyklus trifft das direkt.
ISO 27001 (A.8.8)
Die Kontrolle für technisches Schwachstellenmanagement erwartet einen kontinuierlichen Prozess. Pulse liefert den Nachweis dieses Prozesses, bereit für die Prüfung.

Steht ein DORA- oder NIS2-Termin an? Pulse gibt der Prüferin einen dokumentierten, wiederholbaren Prozess statt eines einzelnen Berichts von vor einem Jahr.

FAQ

Häufige Fragen zu Pulse

Worin unterscheidet sich Pulse von einem gewöhnlichen Schwachstellen-Scanner?

Ein Scanner liefert ein rohes Ergebnis voller Rauschen. Pulse ergänzt die offensive Validierung, bei der ein Pentester die False-Positives verwirft, die Priorität nach realer Ausnutzbarkeit und die Behebungshistorie über die Zeit. Sie erhalten Entscheidungen, keine tausend Alarme.

Ersetzt Pulse einen Penetrationstest?

Nein. Ein Pentest geht ab und zu in die Tiefe, mit Exploitation und Post-Exploitation. Pulse beobachtet das ganze Jahr, was zwischen den Tests an der Fläche auftaucht. Am besten wirken beide zusammen.

Wie läuft die Einführung ab?

Leicht. Für den internen Teil stellen wir eine Sonde im Read-only-Modus auf, ohne zusätzliche Hardware auf Ihrer Seite und ohne Eingriff in die Produktion. Den Umfang stimmen wir zu Beginn gemeinsam ab.

Monatlich oder vierteljährlich?

Das hängt vom Änderungstempo Ihrer Infrastruktur und von den Compliance-Anforderungen ab. Schnell wechselnde Umgebungen und harte DORA- und NIS2-Termine verlangen meist einen monatlichen Zyklus. Wir legen das in der Beratung fest.

Hilft Pulse bei DORA, NIS2 und ISO 27001?

Ja. Diese Regelwerke erwarten ein kontinuierliches Schwachstellenmanagement, keinen einmaligen Test. Ein wiederkehrender Pulse-Bericht mit Behebungshistorie ist der Nachweis des Prozesses, bereit für die Prüfung.

PULSE ANSEHEN

Sehen Sie, was Ihre Angriffsfläche heute zeigt

Vereinbaren Sie eine kostenlose Beratung. 30 Minuten, ein Gespräch mit einem Pentester, unverbindlich. Wir zeigen Ihnen, wie ein erster Pulse-Zyklus für Ihr Netz aussähe und welches Risikobild Sie in E-Zero erhielten.

Mit dem Team sprechen
Unverbindlich · Antwort innerhalb von 24 h · Ihre Daten bleiben vertraulich
Zyklus
Monatlich / vierteljährlich
Umfang
Extern + intern
Bericht
Plattform E-Zero
Was Sie erhalten
Ihre aktuelle Angriffsfläche, keine Momentaufnahme von vor einem Jahr
False-Positives verworfen, bevor der Bericht Sie erreicht
Nachweis eines kontinuierlichen Prozesses für DORA und NIS2
Pentest-Tiefe und Pulse-Abdeckung im Zusammenspiel
Asia, ElementricaKacper, ElementricaGrzesiek, Elementrica
Die Vorstellung übernimmt jemand aus unserem Team, und wir melden uns innerhalb von 24 Stunden. Keine Bots, kein Callcenter.