Kritische Sicherheitslücken in deutschen Organisationen
Kritische Sicherheitslücken in deutschen Organisationen: Eine erschreckende Bilanz der digitalen Resilienz Die digitale Transformation hat Organisationen in Deutschland vor neue
Gemeinnütziger Verein für digitale Sicherheit
Wir machen Schwachstellen-Analyse zugänglich – für alle.
Die Sicherheit digitaler Infrastrukturen ist keine Frage des Budgets oder der Branche. Ob kommunale Website, Vereinsportal, Online-Shop oder kritisches System – überall laufen heute Dienste, die geschützt werden müssen.
Bestehende Sicherheitslösungen sind entweder oberflächlich oder erfordern invasive Tests mit Ausfallrisiko. Dazwischen fehlt eine Lösung, die gründlich analysiert, ohne zu stören. Und bezahlbar bleibt.
Deshalb gründen wir einen gemeinnützigen Verein.
Warum gemeinnützig?
Sicherheit darf kein Geschäftsmodell sein, bei dem nur zahlungskräftige Organisationen Zugang zu professionellen Analysen erhalten. Die Realität zeigt: Kompromittierte Systeme finden sich überall – nicht nur bei Großkonzernen, sondern auch bei kleinen Vereinen, Kommunen und mittelständischen Unternehmen.
Ein gemeinnütziger Verein bedeutet:
- Transparente Mittelverwendung – alle Erträge fließen in Entwicklung und Forschung
- Keine Gewinnmaximierung – Fokus liegt auf bestmöglichem Schutz
- Sonderkonditionen für Non-Profits, Bildungseinrichtungen und öffentliche Stellen
- Unabhängigkeit von kommerziellen Interessen
Der Verein entwickelt und betreibt KRITIS 3.0 – ein Framework zur automatisierten Sicherheitsanalyse von Webanwendungen und digitalen Diensten. Die Entwicklung basiert auf über zehn Jahren Praxiserfahrung in Sicherheitsaudits und Incident Response.
Was macht KRITIS 3.0?
Das Framework analysiert öffentlich zugängliche IT-Systeme auf Sicherheitslücken – ohne diese zu berühren oder zu beeinträchtigen. Diese passive Methode ermöglicht gründliche Prüfungen ohne Betriebsrisiko.
Analysierte Bereiche:
- Transportverschlüsselung (HTTPS/TLS) und Zertifikatskonfiguration
- DNS-Sicherheit
- Content-Management-Systeme (WordPress)
- JavaScript-Bibliotheken und Frontend-Komponenten
- Security-Header und Browser-Schutzmaßnahmen
- Bekannte Schwachstellen (CVE-Datenbank)
Alle Befunde werden nach etablierten Standards bewertet: BSI IT-Grundschutz, ISO 27001, OWASP Top 10 und DSGVO Art. 32. Die Analyse dauert typischerweise unter einer Minute.
Ergebnis: Strukturierte Berichte in drei Formaten (PDF, JSON, Markdown) mit priorisierten Handlungsempfehlungen und Compliance-Zuordnung.
Wir informieren aktuell in Einzelfällen Unternehmen und Organisationen,
wenn wir auf Sicherheitsprobleme oder verdächtige Aktivitäten auf deren Websites stoßen – manuell, selektiv und ausschließlich auf Grundlage passiver Analysen. Diese Vorgehensweise ist bewusst gewählt, um ethische und rechtliche Grenzen einzuhalten.
Diese Erst-Analyse ist Teil einer laufenden wissenschaftlichen Arbeit zur Entwicklung eines gemeinschaftlichen Frühwarnsystems für digitale Sicherheit. Ziel ist es, ethisch vertretbare und datenschutzkonforme Methoden zur passiven Früherkennung von Web-Risiken zu erforschen und in eine institutionalisierte Struktur zu überführen.
Im Mittelpunkt stehen:
- die automatisierte Erkennung von Anomalien und Schwachstellen in öffentlich erreichbaren Systemen,
- die transparente Benachrichtigung verantwortlicher Organisationen,
- sowie die Förderung von Standards und Kooperationen zwischen Forschung und Praxis.
Die Arbeit verfolgt kein wirtschaftliches Interesse, gleichzeitig zeigt sich, dass diese Form der Einzelarbeit nicht skalierbar ist:
Die Zahl ungesicherter oder kompromittierter Systeme wächst schneller, als einzelne Fachleute eingreifen können.
Für wen ist das relevant?
Öffentliche Verwaltung & Behörden
Kommunale Websites, Bürgerportale, Verwaltungsdigitalisierung – öffentliche Einrichtungen verarbeiten sensible Bürgerdaten und unterliegen strengen Datenschutzvorgaben. Der Verein bietet Sonderkonditionen für öffentliche Stellen.
Webagenturen & Dienstleister
Wer mehrere Kundenprojekte betreut, kennt den Aufwand regelmäßiger Sicherheitskontrollen. Das Framework ermöglicht automatisierte Batch-Scans und liefert White-Label-Reports für die Weitergabe an Kunden.
Vereine & Non-Profit-Organisationen
Gemeinnützige Organisationen verfügen selten über IT-Sicherheitsbudgets. Der Verein bietet ermäßigte Zugänge für andere gemeinnützige Einrichtungen – Solidarität unter Non-Profits.
Kleine und mittlere Unternehmen
KMU betreiben Online-Shops, Buchungssysteme, Kundenportale – oft ohne dedizierte IT-Sicherheitsabteilung. Das Framework bietet professionelle Analyse zu vertretbaren Kosten.
Kritische Infrastrukturen (KRITIS)
Betreiber in den Sektoren Energie, Wasser, Gesundheit, Finanzen oder Transport erfüllen mit dem Framework BSI-Anforderungen nach §8a BSIG. Dokumentation und Compliance-Nachweise sind revisionssicher.
IT-Sicherheitsdienstleister
Professionelle Dienstleister nutzen das Framework zur Automatisierung der Reconnaissance-Phase. Die strukturierten Ergebnisse bilden die Basis für vertiefte Audits.
Methodische Besonderheiten
Passive Analyse
Im Gegensatz zu aktiven Penetrationstests interagiert das Framework nicht mit den Zielsystemen. Es analysiert ausschließlich öffentlich verfügbare Informationen – HTTP-Header, DNS-Einträge, exponierte Metadaten, Zertifikatsinformationen.
Vorteil: Keine Genehmigungsverfahren, kein Ausfallrisiko, rechtlich unbedenklich.
JavaScript-Bibliotheken
Moderne Webanwendungen lagern bis zu 80% der Funktionalität in Browser-seitige JavaScript-Bibliotheken aus. Diese werden von klassischen Scannern oft ignoriert. KRITIS 3.0 erkennt verbreitete Bibliotheken und gleicht sie mit bekannten Schwachstellen ab.
Externe Intelligence
Das Framework nutzt mehrere Threat-Intelligence-Quellen parallel: CVE-Datenbanken, WordPress-Vulnerability-APIs, JavaScript-Security-Advisories, Malware-Listen und GeoIP-Daten. Ergebnisse werden kontextbezogen ausgewertet.
Compliance-Mapping
Jeder Befund wird automatisch relevanten Normen zugeordnet: BSI IT-Grundschutz (17 Anforderungen nach §8a BSIG), ISO 27001:2022 Controls, OWASP Top 10, DSGVO Art. 32. Dies erleichtert Nachweise gegenüber Aufsichtsbehörden und Auditoren.
Ausgabeformate & Integration
PDF-Berichte
Für Geschäftsführung, Vorstand, externe Prüfer. Visuell aufbereitet mit Risikobewertung, Executive Summary und priorisierten Maßnahmen. Zweisprachig verfügbar (DE/EN).
JSON-Daten
Für technische Integration in SIEM-Systeme, Monitoring-Dashboards, Ticketing-Tools. Strukturiert nach einheitlichem Schema mit vollständigen Metadaten.
Markdown-Dokumentation
Für Wikis, Git-Repositories, interne Dokumentationssysteme. Plaintext-Format, versionierbar, editierbar.
KI-Assistenz
JSON-Berichte sind so strukturiert, dass sie direkt an KI-Assistenten (ChatGPT, Claude) übergeben werden können. Typische Anwendung: Automatische Generierung von Aktionsplänen, Ticket-Erstellung, Zusammenfassungen für nicht-technische Stakeholder.
Ausblick und Weiterentwicklung
Die Bedrohungslandschaft im Bereich IT-Sicherheit entwickelt sich kontinuierlich. Neue Angriffsvektoren entstehen, bestehende werden verfeinert, und die Komplexität digitaler Infrastrukturen nimmt zu. KRITIS 3.0 wird daher kontinuierlich weiterentwickelt, um neue Prüfverfahren zu integrieren und auf aktuelle Bedrohungen zu reagieren.
Vereinsgründung & Mitgliedschaft
Der gemeinnützige Verein befindet sich aktuell in der Gründungsphase. Die Eintragung ins Vereinsregister wird für Q1/2026 angestrebt. Interessenten für Gründungs- oder Fördermitgliedschaften können sich bereits jetzt melden.
Mitgliedervorteile
Ordentliche Mitglieder:
- Stimmrecht in der Mitgliederversammlung
- Vergünstigter Zugang zu KRITIS 3.0 (bis zu 50% Ermäßigung)
- Teilnahme an Workshops und Schulungen
- Zugang zur Member-Community
- Monatliche Sicherheits-Newsletter
Fördermitglieder:
- Unterstützung der Mission ohne aktive Mitarbeit
- Vergünstigter Zugang zu KRITIS 3.0 (bis zu 30% Ermäßigung)
- Steuerlich absetzbare Beiträge (Gemeinnützigkeit)
- Jährlicher Transparenzbericht über Mittelverwendung
Firmenmitglieder:
- Für Agenturen, Dienstleister, Beratungsunternehmen
- Batch-Lizenzen für Kundenprojekte
- White-Label-Optionen
- Priorisierter Support
Beitragsstaffelung (geplant)
Die genaue Beitragsstruktur wird in der Gründungsversammlung festgelegt. Orientierung:
- Privatpersonen: 50-100 € / Jahr
- Vereine & Non-Profits: 100-300 € / Jahr
- KMU: 300-600 € / Jahr
- Firmenmitglieder: nach Nutzungsumfang
Alle Erträge werden reinvestiert: Entwicklung neuer Analyseverfahren, Forschungskooperation mit Hochschulen, Erstellung von Schulungsmaterialien, Betrieb der Infrastruktur.
Kontakt & nächste Schritte
Interesse an Mitgliedschaft?
- Betreff: „Interesse Vereinsmitgliedschaft“
Ronny Woick
E-Mail: r.woick@cg-soft.de
Information Security Officer & IT-Berater
Sie erhalten Informationen zum Gründungsprozess, geplanter Beitragsstruktur und Mitgliederrechten. Eine Beitrittserklärung ist ab Vereinseintragung möglich.
Interesse an KRITIS 3.0?
- Nach Unterzeichnung einer Vertraulichkeitsvereinbarung führen wir einen kostenlosen Proof-of-Concept-Scan durch
- Sie entscheiden anschließend über eine Lizenzierung
Partnerschaften & Kooperationen:
- Forschungseinrichtungen für wissenschaftliche Begleitung
- Behörden für Standards-Entwicklung
- Branchenverbände für Best-Practice-Austausch
Über mich
Sicherheit aus der Praxis
Seit über einem Jahrzehnt beschäftige ich mich mit der Absicherung von IT-Infrastrukturen auf Systemebene – von Webservern und Datenbanken bis zu komplexen Hosting-Umgebungen. In dieser Zeit habe ich Systeme nicht nur analysiert, sondern auch selbst administriert, gehärtet und über Jahre hinweg stabil betrieben. Diese unmittelbare Praxiserfahrung hat mir gezeigt, dass Sicherheit kein Zustand, sondern ein Prozess ist: Nur durch das Zusammenspiel aus präventiver Härtung, permanenter Kontrolle und gezielter Anpassung lassen sich Systeme dauerhaft widerstandsfähig halten.
Information Security Officer (certified) & IT-Berater
Praxiserfahrung aus der realen Welt
Stellen Sie sich vor, Sie entwickeln ein Werkzeug, das automatisch alle Türen in einem Gebäude auf Schwachstellen prüft. Geben Sie es Security-Experten, sichern sie Gebäude ab. Stellen Sie es ins Internet, nutzt es jeder – auch Einbrecher.
Das Framework kombiniert Analysemethoden, die in den falschen Händen zur Angriffsvorbereitung genutzt werden könnten. Eine Veröffentlichung des Quelltextes würde die Kontrolle über Nutzung und Verbreitung aufgeben. Die Erkenntnisse aus Sicherheitsaudits und Penetrationstests flossen direkt in die Entwicklung unserer Software KRITIS 3.0 ein.
Verantwortungsvolle Strategie:
- Zugang nur für verifizierte Organisationen
- Vertraulichkeitsvereinbarungen für alle Lizenznehmer
- Protokollierung aller Analysevorgänge
- Forensische Nachvollziehbarkeit
Volle Transparenz:
- Vollständige Methodikdokumentation
- Offenlegung aller Bewertungskriterien
- Code-Reviews auf Anfrage mit Sicherheitsverantwortlichen
- API-Dokumentation für Integrationen
Die Entscheidung für eingeschränkten Zugangsberechtigungen zum Quelltext erfolgt nicht aus kommerziellen, sondern aus ethischen Gründen: Der Schutz kritischer und weniger kritischer Infrastrukturen hat Vorrang vor maximaler Verbreitung.
Ich verstehe IT-Sicherheit nicht als starre Disziplin, sondern als lebendigen Prozess. Systeme verändern sich, Software entwickelt sich weiter, und mit jeder neuen Funktion entstehen neue Angriffspunkte. Mein Ansatz ist es, Risiken sichtbar zu machen, bevor sie ausgenutzt werden – mit klaren Handlungsempfehlungen, wartbaren Strukturen und nachvollziehbarer Dokumentation.
Sicherheit bedeutet für mich Verantwortung. Deshalb entwickle ich Lösungen, die nicht nur prüfen, sondern wirklich schützen – praxisnah, nachvollziehbar und auf langfristige Stabilität ausgelegt.
Viele Webdesigner oder Agenturen konzentrieren sich verständlicherweise auf Design, Performance und SEO – die Sicherheitsarchitektur bleibt dabei oft oberflächlich behandelt. Kritische Punkte wie Serverhärtung, Berechtigungsmanagement, Header-Policy, Plugin-Isolation oder Patch-Automatisierung werden meist nur am Rand berücksichtigt.
Ich bringe über zehn Jahre operative Erfahrung aus Sicherheitsaudits, Penetrationstests mit. Ich weiß, wo reale Angriffe ansetzen, und habe in zahlreichen Fällen kompromittierte Systeme wiederhergestellt, Ursachen dokumentiert und dauerhaft abgesichert.
Agenturen können mich buchen, um ihre Projekte sicherheitsseitig abzusichern, bevor sie live gehen – oder um bestehende Installationen zu überprüfen, bevor Schwachstellen ausgenutzt werden können.
Malware-Analyse :: Fallbeispiel
So funktioniert diese Schadsoftware Diese Analyse dokumentiert die Funktionsweise einer realen PHP-basierten Malware (Fund 10.2025)
Scan & PenTest Servereinrichtung
Servereinrichtung für Scan- & Penetrationstests Übersicht Übersicht: Für die Durchführung von Sicherheitsanalysen, Netzwerkscans und Penetrationstests wird ein kompakter, leistungsfähiger Mini-PC (z.
WordPress CSS & JS für maximalen Pagespeed optimieren -> defer & preload
Auswirkung vom CSS-Preload auf dem WordPress Pagespeed Der Preload von CSS-Dateien kann einen erheblichen Einfluss auf den Seitenaufbau und die
Pagespeed Disable Gutenberg-Editor
Gutenberg-Editor in WordPress deaktivieren – warum es sinnvoll sein kann Mit der Einführung des Gutenberg-Editors hat WordPress einen großen Schritt