FAQ – Antworten auf Ihre Fragen

LocateRisk ist ein deutsches Cybersecurity-Unternehmen, das automatisierte IT-Risikobewertungen, External Attack Surface Management (EASM) und Vendor Risk Management (VRM) in einer Plattform vereint. Unsere Lösung bewertet und überwacht externe IT-Infrastrukturen, identifiziert Sicherheitslücken, liefert Handlungsempfehlungen und ermöglicht die Compliance-Prüfung von Geschäftspartnern – vollständig automatisiert, nicht-invasiv und DSGVO-konform.

LocateRisk wird von über 1.000 privaten und öffentlichen Organisationen im DACH-Raum eingesetzt – darunter KMU, Konzerne, Kommunen, Verbände, Energieversorger, Gesundheitsorganisationen, Versicherungen, Finanzunternehmen und IT-Dienstleister. Auch regulierte Sektoren wie KRITIS, KRITIS-nahe Unternehmen und Betreiber wesentlicher Dienste nutzen LocateRisk, um Transparenz über Risiken zu gewinnen und Sicherheitsstandards wie NIS2 oder ISO 27001 effizient zu unterstützen.

Typische Nutzergruppen sind:

• IT-Leiter & CISOs
• Geschäftsführung & Management
• Einkauf & Datenschutz
• IT-Dienstleister, MSPs & Beratungen

LocateRisk bündelt mehrere sicherheitsrelevante Funktionen in einer Plattform.

1. External Attack Surface Management (EASM):
Kontinuierliche Überwachung und Bewertung der eigenen, von außen sichtbaren IT-Infrastruktur, um unentdeckte Assets und Schwachstellen zu identifizieren.
Mehr Informationen zum External Attack Surface Management

2. Vendor Risk Management (VRM):
Automatisierte Sicherheitsbewertung von Lieferanten mittels Scan & digitaler Fragebögen. Sie erhalten einen standardisierten, objektiven Sicherheits-Score, der die Risiken in Ihrer Lieferkette transparent macht. Dies spart bis zu 75 % Zeit gegenüber manuellen Verfahren.
Mehr Informationen zum Vendor Risk Management

3. SecurePlus – Compliance Mapping:
SecurePlus ermöglicht den automatisierten Abgleich identifizierter Schwachstellen mit regulatorischen Anforderungen wie NIS2, ISO 27001, TISAX, GDPR, PCI DSS oder NIST. Ergänzt wird das Paket durch einen KI-Helfer zur schnelleren Risikobewertung sowie einer Domain-Squatting-Erkennung zum Schutz vor Phishing. Dies erleichtert die Auditvorbereitung erheblich und unterstützt Unternehmen dabei, Compliance-Risiken frühzeitig zu erkennen und zu steuern.
Mehr Informationen zu SecurePlus

LocateRisk unterstützt Unternehmen bei der Umsetzung von NIS2, indem es regelmäßig Risiken und Schwachstellen sichtbar macht, diese den relevanten NIS2-Pflichten zuordnet und entsprechende Nachweise bereitstellt. Mit EASM, VRM und dem automatisierten Compliance-Mapping adressiert die Plattform zentrale Anforderungen wie Risikoanalyse, Schwachstellenmanagement und Lieferkettenprüfung – schnell, objektiv und dokumentierbar.

LocateRisk kombiniert externe Risikoanalysen, Lieferantenbewertungen und Compliance-Mapping in einer einzigen EU-gehosteten Plattform. Die Analyse ist nicht-invasiv, leicht verständlich und speziell auf europäische Sicherheitsstandards wie NIS2 oder ISO 27001 ausgerichtet. Dadurch erhalten Unternehmen schneller verwertbare Ergebnisse und Nachweise für Audits – ohne komplexe Implementierung und bei voller DSGVO-Konformität.

Nein, der Scan ist nicht invasiv strukturiert und setzt extra auf Eigenentwicklungen statt potentiell invasiver Security Scanner.

Als deutsches Unternehmen legen wir größten Wert auf Datensouveränität und die Einhaltung der DSGVO. Das Hosting der LocateRisk-Plattform und die primäre Datenverarbeitung erfolgen ausschließlich innerhalb der EU – in ISO-27001-zertifizierten Rechenzentren (z. B. Hetzner, Scaleway). Damit entsprechen wir strengen europäischen Sicherheits- und Datenschutzstandards.

Nein, LocateRisk zielt nicht auf die Verarbeitung personenbezogener Daten ab. Die Plattform führt eine rein externe, nicht-invasive Sicherheitsanalyse durch und bewertet ausschließlich öffentlich zugängliche technische Informationen der Unternehmensinfrastruktur (z. B. Konfigurationen, Zertifikate, offene Ports). Es erfolgt kein Zugriff auf interne Systeme, Kundendatenbanken oder vertrauliche Mitarbeiterdaten.

Die Kosten für eine LocateRisk-Analyse sind vom Scanintervall und der Mitarbeiterzahl der zu prüfenden Organisation abhängig. Die IT-Inventarisierung und die Managementübersicht sind kostenfrei.

Der kostenlose Erstscan liefert:

• Eine kostenlose Demo des Bewertungsergebnisses.
• Einen Einblick in die Top 5-Schwachstellen.
• Die Managementübersicht zur Weitergabe an Geschäftsführung oder IT-Dienstleister.

Damit erhalten Organisationen einen fundierten Erstüberblick über ihre Cybersicherheitslage – schnell, objektiv und ohne Installation.

Benötigt wird die Hauptdomain der zu prüfenden Organisation sowie optional weitere Domains (z. B. Produktlandingpages). Für die IT-Sicherheitsbewertung in Form einer Managementübersicht genügt eine mündliche Abstimmung. Für detaillierte Analysen, Benchmarks oder dauerhaftes Monitoring ist eine dokumentierte Einwilligung erforderlich.

Das External Attack Surface Management (EASM) von LocateRisk ist eine automatisierte, nicht-invasive Sicherheitsanalyse der gesamten von außen sichtbaren IT-Infrastruktur eines Unternehmens.Die Plattform erkennt automatisch digitale Assets, identifiziert Schwachstellen in neun Kategorien, überwacht kontinuierlich Veränderungen und liefert fundierte Handlungsempfehlungen zur Risiko- und Angriffsflächenreduktion – ohne jegliche Installation.

Die Erreichbarkeit von MySQL und Remote Desktop, fehlende SPF-Einträge, Sicherheitslücken durch fehlende Patches, SSLv3, TLS1.0, Tracking Cookies ohne Nutzereinwilligung etc.

In der Regel beheben die IT-Teams der geprüften Unternehmen die Schwachstellen selbst. Bei den kostenpflichtigen Produkten ist ein einstündiger Besprechungstermin enthalten. Wenn weitere Unterstützung gefordert ist, empfehlen wir gerne einen geeigneten Dienstleister aus unserem Partner-Netzwerk.

EASM-Scans können flexibel und automatisiert durchgeführt werden – je nach Sicherheitsbedarf: täglich, wöchentlich, monatlich oder quartalsweise. In den ersten 4 Wochen nach Start stehen Ihnen außerdem beliebig viele Re-Scans zur Verfügung.

LocateRisk bewertet Schwachstellen anhand des CVSS-Scores und ergänzt dies durch den EPSS-Wert, der die Wahrscheinlichkeit eines realen Angriffs einschätzt. Dadurch erhalten IT-Teams eine priorisierte Übersicht, die nicht nur auf technischer Kritikalität basiert, sondern auch auf tatsächlicher Ausnutzungswahrscheinlichkeit.

Das integrierte Taskmanagement sorgt dafür, dass erkannte Schwachstellen schnell an die richtigen Verantwortlichen delegiert werden können. Systeme können gruppiert, gefiltert und zielgerichtet freigegeben werden, ohne dass unnötige Informationen geteilt werden. So bleibt der Absicherungsprozess strukturiert und leicht nachvollziehbar.

LocateRisk vergleicht jeden neuen Scan automatisch mit den vorherigen Ergebnissen. Dabei erkennt die Plattform sofort, wenn neue Systeme auftauchen, alte verschwinden oder sich Konfigurationen und Risiken verändern. Je nach Einstellung können Verantwortliche bei kritischen Abweichungen automatisch benachrichtigt werden.

Ja. LocateRisk kann externe EASM-Daten mit internen Schwachstellenscans zusammenführen. Kompatibel mit Datenexporten aus:

• Nessus / Greenbone / OpenVAS
• Qualys
• PingCastle (Active Directory)
• Pentest-Reports via CSV-Import

Externe und interne Analysen erscheinen übersichtlich in einer gemeinsamen Oberfläche – inklusive separatem Score für interne Ergebnisse.

LocateRisk bietet verschiedene Reporting-Optionen:

• Management-Report (verständliche Zusammenfassung)
• Detailbericht für IT-Teams (inkl. Schwachstellendetails)
• Aktionsplan / Aufgabenliste (Excel)
• CSV-Exports aller Daten
• PDF-Reports pro Filter/Kategorie
• API-Anbindung für SIEM, SOAR, SOC oder Ticketing-Systeme (z. B. ServiceNow, Splunk, Sentinel)

SecurePlus ist ein zubuchbares Erweiterungspaket für LocateRisk, das die IT-Sicherheitsanalysen durch automatisiertes Compliance Mapping, einen KI-gestützten Assistenten sowie eine Domain-Squatting-Erkennung ergänzt. Es erleichtert den Nachweis von Sicherheitsstandards, steigert die Reaktionsgeschwindigkeit bei Schwachstellen und reduziert Audit-Aufwände erheblich.

SecurePlus gleicht identifizierte Schwachstellen fortlaufend mit relevanten regulatorischen Vorgaben ab. Zu den unterstützten Standards gehören unter anderem NIS2, ISO 27001, TISAX, DSGVO, PCI DSS, NIST, CIS Controls, MITRE ATT&CK, OWASP sowie der BSI IT-Grundschutz und die DIN SPEC 27076.

Der AI Helper liefert direkt in der Analyse hilfreiche Erläuterungen zu Schwachstellen und Systemen. Er erklärt technische Hintergründe, hilft bei der Risikoeinschätzung und gibt konkrete, praxisnahe Empfehlungen zur Behebung. Das beschleunigt die Entscheidungsfindung und unterstützt Teams dabei, priorisiert und effizient zu handeln. Die zugrunde liegenden Daten werden ausschließlich anonymisiert im Microsoft Azure OpenAI Service in Schweden verarbeitet.

SecurePlus überwacht neu registrierte oder ähnlich klingende Domains, die auf potenziellen Missbrauch hindeuten könnten – etwa Tippfehler-Domains oder Varianten, die Ihrer Marken- oder Unternehmensdomain ähneln. Sobald solche Domains auftauchen oder sogar Zertifikate erhalten, werden sie automatisch gemeldet. Dadurch lassen sich Phishing-Risiken frühzeitig erkennen.

SecurePlus erleichtert Auditprozesse erheblich, da Compliance-Abweichungen automatisch dokumentiert und mit nachvollziehbaren Begründungen versehen werden. Unternehmen erhalten klare Nachweise für externe Prüfungen und Zertifizierungen und sind durch die kontinuierliche Überwachung bestmöglich auf Audits vorbereitet. Das reduziert den manuellen Aufwand für IT, Compliance und interne Revision deutlich.

Das Vendor Risk Management (VRM) von LocateRisk ermöglicht Unternehmen, die IT-Sicherheitslage ihrer Lieferanten, Dienstleister und Partner effizient, objektiv und skalierbar zu bewerten. Die Plattform kombiniert technische Schwachstellenscans mit digitalen Compliance-Fragebögen und stellt alle Ergebnisse übersichtlich in einem zentralen Dashboard bereit.

Jeder Lieferant kann sowohl technisch als auch organisatorisch bewertet werden. Die technische Prüfung erfolgt über einen automatisierten Schwachstellenscan der externen IT-Umgebung, während digitale Fragebögen die Einhaltung von Compliance-Anforderungen (z. B. NIS2, ISO 27001, DSGVO) abfragen. Beide Ergebnisse fließen in Risiko- und Compliance-Scores ein. Dadurch entsteht ein vollständiges Bild über die Sicherheit jedes Geschäftspartners – transparent, vergleichbar und jederzeit aktualisierbar.

Lieferanten werden über die LocateRisk-Plattform eingeladen und erhalten eine E-Mail mit einem Registrierungslink. Nach der Anmeldung legen sie ihre Unternehmensdaten an und entscheiden, welche Scan-Ergebnisse sie teilen möchten. Falls ein Fragebogen zugewiesen ist, erscheint dieser automatisch im Lieferantenkonto und kann direkt ausgefüllt werden. Erst nach Abschluss des Setups werden die Ergebnisse für den Hersteller sichtbar.

Durch automatisierte Workflows, integrierte Fragebögen, standardisierte Kennzahlen und die zentrale Verwaltung aller Lieferantendaten reduziert VRM den Prüfaufwand erheblich. Laut Kundenfeedback lässt sich der Zeitaufwand gegenüber manuellen Verfahren um bis zu 75 % reduzieren.

Aktuell befindet sich LocateRisk in Vorbereitung auf die ISO 27001 Zertifizierung. Unser bestehendes Informationssicherheits-Managementsystem (ISMS) ist bereits an den Anforderungen der ISO 27001 orientiert.

Ja. LocateRisk ist ein deutsches Unternehmen und richtet seine Prozesse konsequent an den Vorgaben der DSGVO aus. Alle Systeme werden innerhalb der EU gehostet und die Verarbeitung erfolgt auf Basis nicht-invasiver, öffentlich zugänglicher Informationen oder expliziter Zustimmungen.

Die Schwachstellenanalysen greifen ausschließlich auf öffentlich erreichbare technische Informationen zu, z. B. Zertifikate, HTTP-Header, DNS-Einträge oder Konfigurationsmerkmale. Es werden keine personenbezogenen Daten gescannt.

LocateRisk führt ausschließlich nicht-invasive Analysen durch, die auf öffentlich sichtbaren Informationen basieren. Es werden keine Schutzmechanismen umgangen, keine Systeme kompromittiert und keine tiefen Zugriffe durchgeführt. Für Lieferanten- oder Drittscans ist eine dokumentierte Einwilligung erforderlich, die im VRM-Prozess transparent eingeholt und protokolliert wird. Dieses Vorgehen erfolgt im Einklang mit der aktuellen Rechtslage zu § 202c StGB.