480 targets · 12% credential submit · security-awareness gap
Was ist Social Engineering?
Social-Engineering- und Phishing-Tests sind ein kontrolliertes, einwilligungsbasiertes Assessment, bei dem ethische Operatoren vertrauenswürdige Parteien imitieren, um zu messen, wie Ihre Menschen, Prozesse und E-Mail-Abwehr auf Täuschung reagieren - über Phishing-E-Mails, Sprachanrufe (Vishing), SMS (Smishing) und persönliche oder Pretext-Szenarien hinweg. CyberXplore konzipiert von Senior-Experten geleitete, manuell erstellte Kampagnen, die aktuelles Angreifer-Tradecraft widerspiegeln - Lures zum Abgreifen von Anmeldedaten, schädliche Anhänge und harmlose Payload-Zustellung -, um Klickraten, die Eingabe von Anmeldedaten und das Meldeverhalten sicher zu quantifizieren. Jedes Engagement verwandelt gemessenes menschliches Risiko in priorisierte Empfehlungen zu Awareness, Prozessen und technischen Kontrollen statt in Schuldzuweisungen.
MITRE ATT&CKOWASPNIST SP 800-115PTES
Warum CyberXplore
Ausschließlich Senior-Tester (OSCP, CRTP, CREST)
Zertifiziert nach ISO 27001 & ISO 9001
Kostenloser Retest + Attestierungsschreiben
Maßgeschneiderter Scope und Angebot innerhalb von 24 Stunden
Warum es wichtig ist
Der menschliche Faktor spielt bei der überwiegenden Mehrheit der Sicherheitsvorfälle eine Rolle - eine einzige überzeugende Phishing-E-Mail kann Angreifern gültige Anmeldedaten liefern und Millioneninvestitionen in Perimeter-Kontrollen umgehen.
Generische Standard-Phishing-Simulationen spiegeln gezieltes Angreifer-Tradecraft selten wider; die Anfälligkeit gegen realistische, manuell erstellte Lures zu messen, ist der einzige Weg, Ihre wahre Exposition zu kennen.
Awareness-Schulungen ohne Messung sind Rätselraten - Baseline- und Wiederholungskampagnen belegen, ob sich Verhalten, Meldequoten und Time-to-Report tatsächlich verbessern.
E-Mail-Gateways, MFA und EDR können alle durch einen gut aufgebauten Pretext überwunden werden; das Testen der menschlichen Ebene bestätigt, dass Ihre technischen Kontrollen und die Incident Response unter realem Druck zusammenwirken.
Wir vereinbaren Ziele, Zielgruppen, Kanäle (E-Mail, Sprache, SMS, physisch), Tabuzonen sowie ein klares Rules-of-Engagement- und Autorisierungsdokument - zum Schutz sowohl Ihrer Mitarbeitenden als auch unserer Operatoren.
02
OSINT & Pretext-Entwicklung
Anhand von Open-Source-Intelligence zu Ihrer Marke, Ihren Lieferanten und Menschen entwickeln wir glaubwürdige Pretexte und thematische Szenarien - von IT-Passwort-Resets bis zu Rechnungs- und HR-Lures - abgestimmt auf Ihre Branche.
03
Kampagnenaufbau & Infrastruktur
Wir registrieren Look-alike-Domains, konfigurieren getrackte Landingpages und Simulationen zum Abgreifen von Anmeldedaten und bereiten harmlose, instrumentierte Payloads oder Anhänge vor, die Interaktion aufzeichnen, ohne Schaden zu verursachen.
04
Kontrollierte Zustellung
Wir starten Phishing-, Vishing- oder Smishing-Kampagnen in abgestuften Wellen und überwachen Zustellung, Klicks, Eingabe von Anmeldedaten und jegliche erfassten Daten - unter Wahrung von Stopp-Bedingungen und Regeln zur sicheren Handhabung.
05
Messung & Analyse
Wir analysieren den Funnel - zugestellt, geöffnet, geklickt, eingegeben, gemeldet -, segmentieren die Ergebnisse nach Abteilung und Rolle und identifizieren die Lücken in Awareness, Prozessen und E-Mail-Abwehr hinter jedem Ergebnis.
06
Reporting & Awareness-Verbesserung
Sie erhalten schuldfreie Kennzahlen, Trends gegenüber jeder Baseline und konkrete Empfehlungen für Schulungen, Melde-Workflows und technische Kontrollen sowie ein optionales Debrief für Sicherheits- und Führungsteams.
Was wir testen
E-Mail-Phishing-Kampagnen (Massen-, gezielte und Spear-Phishing-Pretexte)
Simulation des Abgreifens von Anmeldedaten über getrackte Look-alike-Landingpages
Vishing (sprach-/telefonbasiertes Pretexting und Helpdesk-Imitation)
Smishing (SMS-basierte Lures und Szenarien zum Abfangen von Einmalcodes)
Pretexting und Business-Email-Compromise-(BEC)-Szenarien
Zustellung harmloser Payloads und Anhänge (Makro-/Link-/QR-Code-Instrumentierung)
MFA-Fatigue- und Echtzeit-Relay-Phishing-Szenarien (sofern autorisiert)
Prüfung der Wirksamkeit von E-Mail-Gateway, Filterung und Melde-Button
Physische oder Vor-Ort-Pretext- und Tailgating-Szenarien (optional)
Segmentierung der Anfälligkeit nach Abteilung und Rolle
Was Sie erhalten
Executive Summary mit einer Gesamtbewertung des menschlichen Risikos und Kernkennzahlen
Kampagnen-Funnel-Kennzahlen: Zustell-, Öffnungs-, Klick-, Anmeldedaten-Eingabe- und Melderaten
Aufschlüsselung auf Abteilungs- und Rollenebene mit Trends gegenüber jeder Baseline
Analyse, welche Pretexte erfolgreich waren, und der technischen und prozessualen Lücken dahinter
Priorisierte Empfehlungen für Awareness-Schulungen, Melde-Workflows und E-Mail-Kontrollen
Anonymisierte, schuldfreie Befunde, geeignet für Mitarbeiterkommunikation und Vorstands-Reporting
Optionale Debrief-Session und Attestierungsschreiben für Auditoren und Kunden
Beispiel-Deliverable
Was Sie in Ihrem Bericht sehen
Jedes Engagement endet mit einem klaren, priorisierten Bericht: nach Schweregrad bewertete Findings mit CVSS-Scores, betroffenen Assets und Remediation-Status - plus kostenlosem Retest. Die folgenden Zahlen sind illustrativ.
Findings nach Schweregrad
12 total
Critical
2
High
6
Medium
3
Low
1
Critical · CVSS 9.6CX-1220
Full domain compromise (Domain Admin obtained)
MITRE T1003CORP domainOpen
Critical · CVSS 9.0CX-1214
EDR bypass - payload executed, no alert raised
MITRE T1562ws-022.corp.localOpen
Illustratives Muster: red team assessment - anonymisiert auf example.com.
High · CVSS 8.0CX-1202
Spear-phishing → initial access (38% click rate)
MITRE T156624 of 63 employeesOpen
Möchten Sie den vollständigen anonymisierten Beispielbericht? Wir legen ihn Ihrem Angebot bei.
“As an early-stage team we needed real depth, not a checkbox scan. They hardened our LLM product and walked us through every fix.”
Hardened in 30 days
FC
Founder & CTO
Early-stage AI startup · Seed · LLM product
AI / ML
Zertifizierungen unserer Tester
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Häufig gestellte Fragen
Ja. Jede Kampagne ist vollständig autorisiert, gescopt und an Rules of Engagement gebunden. Wir verwenden harmlose, instrumentierte Payloads, legen niemals echte Daten offen und berichten die Ergebnisse anonymisiert und schuldfrei, mit Fokus auf die Verbesserung der Verteidigung statt auf die Bestrafung Einzelner.