Cyber-Risiko-Check · kostenfrei · auf Basis öffentlicher Daten
In zwei Minuten ausgefüllt: Wir prüfen passiv den öffentlichen Fußabdruck Ihrer Domain, recherchieren aktuelle Vorfälle in Ihrer Branche und berechnen daraus Ihre individuelle Schadensverteilung in Euro — mit derselben Monte-Carlo-Engine, die auch in unseren vollständigen Sicherheits-Assessments rechnet.
Die Recherche dauert in der Regel ein bis drei Minuten — wir prüfen echte Quellen, keine Platzhalter.
Der erwartete Jahresschaden ist der Durchschnitt über alle 400.000 simulierten Jahre: sehr viele ruhige Jahre und wenige sehr teure, auf ein Jahr umgelegt. Als einzelner Jahreswert tritt er deshalb kaum je auf — so wie kaum eine Familie genau 1,4 Kinder hat. Für die Planung ist er trotzdem die richtige Größe: Er beziffert, was das Cyber-Risiko Ihr Unternehmen rechnerisch pro Jahr kostet, und ist damit der Maßstab für Budget und Vorsorge. Wer stattdessen nur auf das typische Jahr schaut — das meist schadenfrei bleibt —, unterschätzt das Risiko systematisch: Es sitzt fast vollständig in den seltenen, schweren Jahren.
Über zwei Kennzahlen, die zwei verschiedene Fragen beantworten. Der erwartete Jahresschaden ist eine Kostengröße: Behandeln Sie ihn wie eine jährliche Risikoposition — vergleichbar mit Forderungsausfällen oder ungeplanten Instandhaltungskosten — und stellen Sie ihn Ihrem Budget für IT-Sicherheit gegenüber. Liegt das Sicherheitsbudget weit unter den rechnerischen Risikokosten, trägt das Unternehmen die Differenz unbemerkt selbst.
Das schlechte Jahr (P90) ist dagegen eine Stresstest-Größe: Vergleichen Sie diesen Betrag mit Ihrer Liquiditätsreserve und Ihrem Jahresergebnis — könnte Ihr Unternehmen einen solchen Schlag verkraften, ohne in Existenznot zu geraten? Sicherheitsmaßnahmen lassen sich damit als Investition rechnen statt als Kostenblock: Die Auswertung zeigt, um wie viel Euro pro Jahr die richtigen Sofortmaßnahmen den erwarteten Schaden senken — und vor allem, wie stark sie das schlechte Jahr kappen. Das ist die Grundlage einer Return-on-Security-Rechnung, wie sie das vollständige Assessment liefert.
Nein — Prämie und erwarteter Jahresschaden messen zwei verschiedene Dinge. Eine Police deckt nur den versicherbaren Teil des Risikos: Selbstbehalt und Deckungsgrenze kappen die Zahlung an beiden Enden, und typische Ausschlüsse treffen oft gerade die teuersten Positionen — etwa den Verlust von Know-how und Wettbewerbsvorsprung, je nach Vertrag auch Bußgelder.
Hinzu kommt: Versicherer bepreisen das mitigierte Profil. Eine Police setzt heute Mindeststandards wie Multi-Faktor-Anmeldung und getestete Datensicherung voraus — die Prämie gilt also für ein Unternehmen, das diese Maßnahmen bereits umgesetzt hat. Die Differenz zwischen Prämie und tatsächlichem Risiko verschwindet nicht: Sie bleibt als unversicherter Teil im Unternehmen. Eine niedrige Prämie ist deshalb kein Beleg für ein niedriges Risiko.
Wir prüfen ausschließlich passiv, was ohnehin öffentlich sichtbar ist: die E-Mail-Schutz-Einträge Ihrer Domain (SPF/DKIM/DMARC) per DNS-Abfrage, öffentliche Zertifikats-Verzeichnisse und die Sicherheits-Konfiguration Ihrer Webseite mit einer einzigen regulären Anfrage — dazu eine Web-Recherche zu öffentlich berichteten Vorfällen in Ihrem Unternehmen und Ihrer Branche. Es findet kein Scan statt: keine Portscans, keine Schwachstellen-Tests, keine Anmeldeversuche, kein Eingriff in Ihre Systeme. Ist eine Quelle gerade nicht erreichbar, rechnen wir an dieser Stelle mit dem Branchendurchschnitt und weisen das in der Auswertung offen aus.
Aus einer deterministischen Monte-Carlo-Simulation nach der FAIR-Methodik (The Open Group), dem etablierten Standard für die Quantifizierung von Cyber-Risiken. Eintrittshäufigkeit und Schadenshöhe je Szenario sind branchen- und größenklassen-typische Annahmen aus öffentlich publizierten Quellen, zugeschnitten auf Ihre Angaben — simuliert über 400.000 Jahre mit festem Zufalls-Seed, vollständig reproduzierbar. Die KI rechnet dabei nie: Sie klassifiziert nur die Recherche-Ergebnisse in einen festen Katalog mit dokumentierten, gedeckelten Effekten. Die vollständige Quellenliste mit dem Stand der Datenbasis steht unter jeder Auswertung im Abschnitt „Methodik & Annahmen".
Ihre Eckdaten und das Ergebnis speichern wir bis zu 24 Monate zur Qualitätssicherung und Kalibrierung der Methodik — in einer Datenbank in der EU (Frankfurt); die Anwendung selbst läuft in Deutschland. Für die Web-Recherche werden Firmenname, Domain, Branche und Ort an Anthropic (USA) übermittelt, abgesichert über EU-Standardvertragsklauseln und ohne Verwendung zum Training von KI-Modellen. Eine Weitergabe an Dritte zu deren eigenen Zwecken findet nicht statt. Auf Wunsch löschen wir den zu Ihrem Unternehmen gespeicherten Datensatz umgehend — alle Einzelheiten in der Datenschutzerklärung.
Weil mehr von außen seriös nicht messbar ist. Die Faktoren, die entscheiden, wo genau Ihr Unternehmen auf der Kurve liegt — der Zustand Ihrer Datensicherung, Ihre Zugriffsverwaltung, ob Ihr Notfallplan geübt ist —, sieht man von außen nicht. Eine schmale Spanne aus reiner Außensicht wäre Scheingenauigkeit. Wichtig ist: Selbst am konservativen Rand der Spanne ist das Risiko real.
Das vollständige Sicherheits-Assessment erhebt genau diese Faktoren in einer 90-minütigen strukturierten Erhebung und verengt die Spanne auf Ihre Verteilung — mit priorisiertem Maßnahmenplan, Kosten-Korridoren und Return-on-Security-Rechnung. Gespräch vereinbaren →
