Betrieb & Härtung

Betrieb, Sicherheit und Red-Teaming für Systeme, die nicht ausfallen dürfen.

Wenn die Plattform in Produktion ist, zählen zwei Dinge

Sie bleibt oben. Sie leckt nicht. Wir liefern beides mit einem Team, weil es in der Praxis derselbe Job ist - Operations liefert die Runbooks, Security das Bedrohungsmodell. Wer sie isoliert betreibt, lebt mit den Lücken zwischen den Disziplinen - und dort entstehen die Vorfälle.

Für funktionale, Performance- und Lokalisierungstests siehe unseren dedizierten Service QA & Testautomatisierung.

Wann das passt

  • Sie verarbeiten sensible Daten - Patientendaten, Finanzdaten, personenbezogene Daten - und “wir haben eine Firewall” reicht nicht mehr.
  • Sie ziehen in einen regulierten Markt (eHealth, FinTech) und brauchen audit-taugliche Pentest-Berichte und Remediation-Belege.
  • Ein gewachsenes System braucht Hosting, Monitoring und eine On-Call-Rotation, die nicht an einer einzelnen Person hängt.
  • Eine grosse Modernisierung, eine Migration oder eine M&A-Integration steht an und Sie können sich weder einen Sicherheitsvorfall noch einen ungeplanten Ausfall leisten.
  • Das Bedrohungsmodell hat sich verschoben - neue Produktoberfläche, neue Drittanbieter, neue Geografie - und der Pentest vom letzten Jahr deckt nicht mehr ab, was heute ausgeliefert wird.
  • Eine neue CVE ist gerade in den Schlagzeilen und das Team kann nicht innert eines Tages beantworten “ist sie in unserem Stack, und ist sie tatsächlich ausnutzbar”.

Was wir liefern

Betrieb und Hosting

Hosting läuft in der Schweiz, der EU oder Nordamerika - abgestimmt auf Ihre regulatorische Geografie (nDSG, DSGVO, Gesetz 25 Quebec, CCPA). Infrastruktur- und KPI-Monitoring tragen Alerting, auf das ein On-Call-Team reagieren kann - nicht nur draufstarren. SLOs, Runbooks und Incident-Playbooks sorgen dafür, dass der zweite Vorfall schneller läuft als der erste. Backups und Disaster-Recovery sind real, nicht theoretisch: Point-in-Time-Recovery, Cross-Region-Redundanz, getestete Restores. Cloud-Konfigurationen werden gegen CIS-Benchmarks gehärtet, mit geprüfter Tenant-Isolation und Identity-Management.

Artefakt- und Infrastruktur-Introspektion

Zu wissen, was tatsächlich läuft - bis zur transitiven Abhängigkeit - macht aus einer CVE-Schlagzeile eine 20-Minuten-Antwort statt einer wochenlangen Feuerwehrübung.

Jedes ausgelieferte Artefakt trägt eine SBOM (Software Bill of Materials), damit wir zeigen können, was heute in Produktion ist - bis zur transitiven Abhängigkeit. Der CVE-Feed wird kontinuierlich gegen diese SBOMs und Ihr Infrastruktur-Inventar abgeglichen - sobald eine neue CVE veröffentlicht wird, wissen wir innert Minuten, ob sie etwas trifft, was Sie betreiben. Die Folgefrage - Erreichbarkeit, Netzwerk-Exposition, Rechtekontext - ist es, die “vorhanden” von “tatsächlich ausnutzbar” trennt, und wir beantworten sie, bevor sie zur Feuerwehrübung wird. Container-Images werden in der Registry und beim Deploy gescannt, per Policy gegated. Das Infrastruktur-Inventar selbst (Cloud-Konten, Hosts, Services, IAM) wird aktuell gehalten, damit eine CVE-Antwort keine Suche ist. Das Remediation-Playbook priorisiert nach Ausnutzbarkeit, nicht nach CVSS-Score allein.

Sicherheit, Pentests und Red Teaming

  • Penetrationstests auf Web-Anwendungen, APIs, Cloud-Workloads, Mobile-Apps und industriellen Systemen.
  • Red-Team-Engagements: szenariogetriebene Übungen, die einen echten Angreifer gegen Menschen, Prozess und Plattform emulieren - nicht nur gegen den Code.
  • Architektur- und Code-Reviews mit Fokus auf Authentifizierung, Autorisierung, Geheimnisverwaltung, sichere Default-Werte.
  • Compliance-Beratung zu nDSG/FADP, EU-DSGVO, ISO 27001, OWASP ASVS.
  • Incident-Readiness: Playbooks, Logging-Strategie, Incident-Response-Übungen.
  • Re-Test-Angebot, sobald Ihre Patches sitzen - damit Sie schwarz auf weiss haben, dass die Befunde geschlossen sind.

Wie wir arbeiten

Wir orientieren uns an OWASP ASVS und OSSTMM für Application Security, an MITRE ATT&CK für Bedrohungsmodelle und Red-Team-Szenarien und an CIS-Benchmarks für Cloud-Härtung. Jedes Mandat startet mit einem klaren Scoping, hat verbindliche Zwischenstände und endet mit einem schriftlichen Bericht: Management-Zusammenfassung, technische Befunde, priorisierte Massnahmen.

Warum Luzid

  • 20+ Jahre Erfahrung im Bau und Betrieb produktionskritischer Software in regulierten Umfeldern.
  • Ein Team für Hosting, Monitoring, On-Call und Security - damit die Lücken zwischen den Disziplinen nicht zu den Vorfällen werden.
  • Wir liefern Befunde mit Lösungsweg - nicht nur eine Liste von CVEs.
  • Berichte sprechen die Sprache der Stakeholder, nicht nur der Engineers.
  • Dreisprachig in Deutsch, Französisch und Englisch.
Wie oft sollten wir Pentests durchführen?

Mindestens jährlich, dazu nach jeder grösseren Architektur- oder Infrastrukturänderung. In regulierten Umfeldern (eHealth, Finance) erwarten Auditoren typischerweise jährliche, dokumentierte Tests.

Wie unterscheidet sich Ihre Methodik von einem reinen Tool-Scan?

Tool-Scans finden bekannte CVEs. Wir suchen darüber hinaus nach Geschäftslogik-Lücken, Berechtigungsfehlern und Architektur-Schwächen - genau die Dinge, die ein Angreifer ausnutzt und Tools nicht sehen.

Wenn eine neue CVE veröffentlicht wird, wie schnell wissen wir, ob wir betroffen sind?

Innert Minuten nach Veröffentlichung des Advisories. Jedes ausgelieferte Artefakt hat eine SBOM, das Infrastruktur-Inventar wird aktuell gehalten, der CVE-Feed wird kontinuierlich abgeglichen. Die Folgefrage - "ist sie in unserer Umgebung tatsächlich ausnutzbar" - wird in Stunden beantwortet, nicht in Tagen, mittels Erreichbarkeits- und Expositions-Analyse. Genau in dieser Lücke verlieren die meisten Teams die Kontrolle bei einem CVE-Vorfall.

Bekommen wir nach dem Test einen Re-Test?

Ja. Wir bieten einen Re-Test an, sobald Ihre Patches sitzen, damit Sie schwarz auf weiss haben, dass die Befunde geschlossen sind.

Welche Art von Betriebs-Support kann ich erwarten?

Rund-um-die-Uhr-Monitoring, mit Telefon, E-Mail und Chat für den Routinebetrieb. Für geschäftskritische Systeme bieten wir 24/7-On-Call-Pakete, an Ihre SLOs gebunden.

Wie gehen Sie mit Backups und Recovery um?

Automatisierte regelmässige Backups mit Point-in-Time-Recovery, Cross-Region-Redundanz wo erforderlich und getestete Disaster-Recovery-Verfahren. Wir dokumentieren RPO und RTO und proben den Restore.

Sind Ihre Dienstleistungen konform mit lokalen Vorschriften?

Ja - im Mandatsumfang, den Sie wählen. Hosting und Betrieb sind auf Ihre regulatorische Geografie abgestimmt (nDSG, DSGVO, HIPAA, CCPA, Gesetz 25 Quebec), mit den passenden Datenresidenz-Optionen und Audit-Trails.

Sprechen Sie mit unseren Betriebs- und Sicherheitsexpertinnen.

Sprechen Sie mit einem Luzid-Experten. Antwort innerhalb eines Werktags.

Termin buchen