Finden Sie die Schwachstellen vor den Angreifern
Ihre Webanwendungen sind Teil Ihrer Angriffsfläche. Das Web-Scanning von Securapilot testet sie automatisch, priorisiert die wichtigsten Befunde und verfolgt sie weiter, bis die Schwachstelle behoben ist.
Den Überblick über die Angriffsfläche behalten
Schwachstellen entstehen laufend – in Code, Konfiguration und DNS. Das Web-Scanning von Securapilot testet Ihre Webanwendungen, APIs und Domains regelmäßig, sortiert die Befunde nach Schweregrad und verknüpft sie mit Risiken und Compliance.
Das Ergebnis: eine fortlaufende, priorisierte Übersicht Ihrer Web-Schwachstellen — mit nachvollziehbarer Behebungsbearbeitung.
Die gesamte Scan-Arbeit in einem Modul
Das Web-Scanning-Modul deckt den Weg vom registrierten Ziel bis zum behobenen Befund in sechs zusammenhängenden Bereichen ab.
Scan-Ziele
Ein Register der Webanwendungen, APIs und Webdienste, die geprüft werden sollen, mit Einstellungen pro Ziel.
Scans
Automatische Sicherheitsprüfungen mit den Industriestandard-Werkzeugen OWASP ZAP und Nuclei – geplant oder auf Abruf gestartet.
Befunde
Erkannte Schwachstellen, sortiert nach Schweregrad (CVSS-Wert) und Fehlerart (CWE), mit strukturierter Nachverfolgung.
Risikovorschläge
Schwerwiegende Befunde erzeugen Risikovorschläge, die geprüft und in das Risiko-Modul übernommen werden können.
E-Mail-Sicherheit im DNS
Prüfung der DNS-Einträge der Domain für E-Mail (SPF, DKIM, DMARC) – findet auch veraltete und unsichere Einträge.
Webhooks
Sendet automatische Benachrichtigungen an externe Systeme, wenn ein Scan abgeschlossen wird, fehlschlägt oder etwas Kritisches findet.
Wie das Modul Ihre Schwachstellenarbeit unterstützt
Acht Funktionen – von automatischem Scannen und Eigentümernachweis über die Sortierung und Duplikatfilterung bis zu KI-Empfehlungen zur Behebung.
Zwei Scan-Werkzeuge
Zwei Industriestandard-Werkzeuge kommen zum Einsatz: OWASP ZAP kartiert die Anwendung, Nuclei führt Schwachstellenprüfungen auf Basis bekannter Muster durch.
Eigentümernachweis
Vor dem Start eines aktiven Scans müssen Sie nachweisen, dass die Domain Ihnen gehört – über einen DNS-Eintrag oder eine Datei auf der Website. Schützt vor unbefugtem Scannen.
Sortierung und Nachverfolgung der Funde
Jeder Befund wird nach einem klaren Ablauf bearbeitet – falsch positiv, akzeptiertes Risiko oder Behebung. Entscheidungen erfordern eine Begründung und werden protokolliert, sodass sie nachträglich nicht verändert werden können.
Keine Duplikate, Wiederholungen werden verfolgt
Dieselbe Schwachstelle aus mehreren Scans wird automatisch zusammengeführt. Schwachstellen, die behoben wurden und erneut auftreten, werden besonders gekennzeichnet.
Priorisierung nach tatsächlicher Auswirkung
Der Schweregrad (CVSS-Wert) wird gegen die Sensibilität des betroffenen Werts abgewogen, damit die wichtigsten Befunde oben stehen.
Risikovorschläge
Schwerwiegende Befunde erzeugen vorausgefüllte Risikovorschläge, die mit einem Klick freigegeben und in das Risiko-Modul übernommen werden können.
E-Mail-Sicherheit im DNS
Prüft die DNS-Einträge der Domain für E-Mail (SPF, DKIM, DMARC) und findet Konfigurationen, die für Spoofing oder Phishing missbraucht werden können.
KI-Vorschläge zur Behebung und Trends
Die KI schlägt konkrete Schritte zur Behebung je Befund vor. Die Trendansicht zeigt die Entwicklung im Zeitverlauf und die durchschnittliche Dauer bis zur Behebung.
Vom Scan zum behobenen Befund
Das Web-Scanning folgt einem klaren Workflow — von einem registrierten Ziel bis zu einer verifizierten Behebung.
Ziel hinzufügen
Registrieren Sie die Webanwendung, die API oder die Domain, die geprüft werden soll – mit Einstellungen dazu, was gescannt werden darf.
Eigentum bestätigen
Weisen Sie nach, dass Sie Eigentümer dessen sind, was Sie scannen wollen – entweder über einen DNS-Eintrag oder eine Datei auf der Website. Vor dem Start eines aktiven Scans erforderlich.
Scannen
Die Sicherheitsprüfungen laufen automatisch, geplant oder auf Abruf – Sie können den Verlauf in Echtzeit verfolgen.
Befunde sortieren
Bewerten Sie jeden Befund: Handelt es sich um einen Fehlalarm, ein Risiko, das Sie akzeptieren, oder um etwas, das behoben werden soll? Die Entscheidung wird begründet und protokolliert.
Beheben und überprüfen
Führen Sie die Behebung durch, erstellen Sie bei Bedarf ein Risiko oder einen NIS2-Vorfall und überprüfen Sie beim nächsten Scan, dass der Befund verschwunden ist.
Häufig gestellte Fragen zum Web-Scanning
Welche Scan-Engines werden verwendet?
Das Modul verwendet zwei Engines: OWASP ZAP für Crawling (Spider) und passives/aktives Scannen sowie Nuclei für vorlagenbasierte Schwachstellenerkennung mit Community- und benutzerdefinierten Vorlagen. Die Engines laufen in eigenen Containern.
Warum müssen wir das Eigentum vor dem Scannen verifizieren?
Aktives Scannen sendet Traffic an das Ziel und erfordert daher nachgewiesenes Eigentum. Sie verifizieren, indem Sie ein Token als DNS-TXT-Eintrag oder als well-known-Datei auf der Website veröffentlichen. Die Verifizierung hat eine Gültigkeitsdauer und muss erneuert werden.
Wie wird aus einem Befund ein Risiko?
Befunde mit einem ausreichend hohen CVSS-Wert erzeugen automatisch einen Risikokandidaten mit einer vorgeschlagenen Bedrohung, Wahrscheinlichkeit und Konsequenz. Der Kandidat wird in einer Warteschlange geprüft und kann genehmigt — und so zu einem formalen Risiko im Risiko-Modul überführt — oder mit einer Begründung abgelehnt werden.
Kann das Web-Scanning einen NIS2-Vorfall auslösen?
Ja. Für Ziele mit aktivierter Vorfallauslösung wird automatisch ein NIS2-Vorfall erstellt, wenn ein kritischer Befund erkannt wird. Scan-Ergebnisse können außerdem als Nachweis für Compliance-Kontrollen im GAP-Modul projiziert werden.
Verschaffen Sie sich Kontrolle über Ihre Web-Schwachstellen
Buchen Sie eine Demo, und wir zeigen Ihnen, wie das Web-Scanning Ihnen eine fortlaufende, priorisierte Übersicht Ihrer Angriffsfläche bietet.
Verwandte Module
Bauen Sie ein vollständiges Managementsystem auf, indem Sie zusammenhängende Module kombinieren.