XNinja: Automatisierte Penetrationstest- und Compliance-Plattform fuer Unternehmen und KMU

Ein Penetrationstest kostet zwischen EUR 10.000 und 50.000 und braucht Wochen zur Terminierung. Fuer einen mittelstaendischen deutschen Hersteller, der NIS2-Compliance-Fristen einhalten muss, ist das nicht nur teuer — es ist operativ lahmend. Das Unternehmen braucht vierteljaehrliche Sicherheitsbewertungen zur Aufrechterhaltung der Compliance, aber jeder Auftrag erfordert verfuegbare Pentester zu finden, den Umfang auszuhandeln, auf den Bericht zu warten und dann rohe technische Befunde in die spezifische Kontrollsprache von NIS2, BSI IT-Grundschutz und ISO 27001 zu uebersetzen. Bis der Bericht eintrifft, hat sich die Infrastruktur bereits geaendert. Der Compliance-Schnappschuss ist bereits veraltet.

Die Herausforderung

Die europaeische Regulierungslandschaft hat sich dramatisch verschaerft. NIS2, das im Oktober 2024 in Kraft trat, erweiterte die Cybersicherheitspflichten auf ueber 160.000 Organisationen in der EU — viele davon waren noch nie verpflichtenden Sicherheitsbewertungen unterworfen. BSI IT-Grundschutz, Deutschlands nationales Framework, erfordert dokumentierte Nachweise regelmaessiger Penetrationstests. Die TISAX-Zertifizierung, obligatorisch fuer Teilnehmer der automobilen Lieferkette, verlangt nachweisbare Sicherheitskontrollen. Und die DSGVO verlangt von Organisationen nachzuweisen, dass sie angemessene technische Massnahmen zum Schutz personenbezogener Daten ergreifen.

Fuer Grossunternehmen mit dedizierten Sicherheitsteams ist dies handhabbar. Fuer die ueberwiegende Mehrheit der europaeischen Unternehmen — die Mittelstaendler, Logistikunternehmen, Gesundheitsdienstleister und Finanzdienstleister mit 50 bis 500 Mitarbeitern — schafft es eine unmoeglliche Wahl: EUR 40.000 oder mehr pro Jahr fuer manuelle Pentests ausgeben, die sie sich kaum leisten koennen, oder Bussgelder bei Nichteinhaltung riskieren, die unter NIS2 bis zu 2% des Jahresumsatzes betragen koennen.

Bestehende automatisierte Tools loesen nur einen Teil des Problems. Nmap scannt Netzwerke. Nuclei testet Webanwendungen. TestSSL prueft Zertifikatskonfigurationen. Aber keines davon erzeugt eine Ausgabe, die ein Compliance-Beauftragter verwenden kann. Eine Liste offener Ports ist kein Compliance-Befund. Ein CVE-Identifier ist keine Kontrolllueckenanalyse. Die Uebersetzung von technischer Schwachstelle in Compliance-Sprache erfordert menschliche Expertise — und genau das macht manuelle Pentests so teuer.

Wie ein Scan funktioniert

Wenn ein Benutzer einen Scan in XNinja startet, wird die folgende Orchestrierungssequenz ausgefuehrt:

• Der Benutzer gibt eine Zieldomain oder einen IP-Bereich ein und waehlt die anwendbaren Compliance-Frameworks (z.B. NIS2 + ISO 27001 + BSI IT-Grundschutz)
• Der LangGraph-Orchestrator analysiert das Ziel und setzt die entsprechenden Agenten ein: Netzwerk-Scanning (Nmap), Webanwendungstests (Nuclei), SSL/TLS-Analyse (TestSSL) und Endpoint-Discovery — alle laufen parallel in isolierten Containern
• Waehrend Befunde von jedem Agenten eintreffen, bewertet die KI-gestuetzte Risikobewertungs-Engine den geschaeftlichen Impact — eine kritische Schwachstelle auf einem internetexponierten Zahlungssystem wird anders bewertet als dieselbe Schwachstelle auf einem internen Entwicklungsserver
• Die Compliance-Mapping-Engine nimmt jeden Befund und ordnet ihn den spezifischen Kontrollen zu, die er in allen ausgewaehlten Frameworks betrifft. Ein abgelaufenes SSL-Zertifikat wird beispielsweise ISO 27001 A.10.1.1, NIS2 Artikel 21(2)(e) und BSI IT-Grundschutz CON.1 zugeordnet
• Der Berichtsgenerator erzeugt drei Ausgaben gleichzeitig: eine Management-Summary fuer die Geschaeftsfuehrung, einen technischen Bericht mit Schritt-fuer-Schritt-Behebungsanleitungen und eine Compliance-Gap-Analyse, die genau zeigt, welche Kontrollen erfuellt sind und welche Massnahmen erfordern
• Gesamtzeit vom Scan-Start bis zum vollstaendigen Bericht: typischerweise unter 15 Minuten fuer eine Standard-Webanwendung und Netzwerkperimeter

Die Compliance-Engine

XNinjas Compliance-Engine ist keine einfache Nachschlagetabelle. Jedes der 5 unterstuetzten Frameworks (ISO 27001, NIS2, BSI IT-Grundschutz, DSGVO, TISAX) enthaelt zwischen 80 und 200 individuelle Kontrollen, und die Beziehungen zwischen technischen Befunden und Kontrollen sind oft many-to-many. Eine einzige falsch konfigurierte Firewall-Regel kann Kontrollen in mehreren Frameworks betreffen, und eine einzelne Kontrolle kann von mehreren technischen Befunden beeinflusst werden.

Die Engine verwendet die semantische Aehnlichkeitssuche von pgvector, um nicht offensichtliche Kontrollzuordnungen zu identifizieren, die Keyword-Matching uebersehen wuerde. Wenn ein neuer Schwachstellentyp auftaucht — zum Beispiel eine neuartige HTTP-Header-Fehlkonfiguration — kann die Engine identifizieren, welche Compliance-Kontrollen betroffen sind, auch wenn keine explizite Zuordnung kodiert wurde, indem sie die semantische Aehnlichkeit zwischen der Schwachstellenbeschreibung und den Kontrollanforderungen analysiert.

Wie ein Bericht aussieht

XNinja generiert drei Berichtsebenen, die fuer verschiedene Zielgruppen innerhalb einer Organisation konzipiert sind:

• Management-Summary (1-2 Seiten): Gesamtrisikobewertung, Anzahl der Befunde nach Schweregrad, Compliance-Status fuer jedes ausgewaehlte Framework und eine priorisierte Liste der Top 5 Massnahmen, die den groessten Impact auf die Sicherheitslage der Organisation haetten. In verstaendlicher Sprache geschrieben, geeignet fuer Vorstandspraesentationen.
• Technischer Bericht (detailliert): Jeder Befund mit CVE-Referenzen, Exploitability-Nachweis, Schritt-fuer-Schritt-Behebungsanleitungen mit Code-Beispielen wo anwendbar und geschaetztem Aufwand zur Behebung. Das ist es, was das IT-Team braucht, um die Probleme tatsaechlich zu loesen.
• Compliance-Gap-Analyse (pro Framework): Fuer jedes ausgewaehlte Compliance-Framework eine Kontrolle-fuer-Kontrolle-Bewertung, die zeigt, welche Kontrollen durch die aktuelle Sicherheitslage erfuellt sind, welche Luecken aufweisen und welche spezifischen Massnahmen zur Erreichung der Compliance erforderlich sind. Formatiert fuer die direkte Einreichung bei Auditoren.

Alle Berichte werden auf Deutsch und Englisch erstellt, mit lokalisierter Behebungsanleitung fuer jede Sprache. Weitere Sprachen stehen auf der Roadmap basierend auf der Kundennachfrage.

Produktstatus

XNinja befindet sich derzeit in der geschlossenen Beta mit ausgewaehlten Pilotkunden in Deutschland und Oesterreich, vorwiegend in den Sektoren Fertigung, Logistik und Finanzdienstleistungen. Diese Pilot-Engagements validieren die Genauigkeit des Compliance-Mappings, die Berichtsqualitaet und die Benutzerfreundlichkeit fuer Nicht-Sicherheitsexperten. Der oeffentliche Start ist fuer Q2 2026 geplant, mit anfaenglicher Verfuegbarkeit in der DACH-Region (Deutschland, Oesterreich, Schweiz) vor der Expansion in breitere EU-Maerkte.

Wir sind transparent ueber diesen Zeitplan, weil wir glauben, dass Ehrlichkeit ueber die Produktreife mehr Vertrauen aufbaut als verfruhte Marketingaussagen. Die Pilotkunden liefern echtes Feedback, das das Produkt formt — von Prioritaeten bei der Compliance-Framework-Abdeckung ueber Berichtsformat-Praeferenzen bis hin zu Integrationsanforderungen mit ihren bestehenden IT-Management-Tools.

Preismodell

XNinja ist so bepreist, dass regelmaessige Sicherheitsbewertungen fuer Organisationen wirtschaftlich tragbar werden, die sich manuelles Pentesting derzeit nicht leisten koennen. Ein umfassender automatisierter Scan kostet einen Bruchteil eines manuellen Pentests — was es moeglich macht, vierteljaehrliche oder sogar monatliche Bewertungen statt jaehrlicher Punkttests durchzufuehren. Das Abonnementmodell umfasst unbegrenzte Scans, Compliance-Mapping-Updates bei Weiterentwicklung der Frameworks und kontinuierliches Monitoring fuer Organisationen, die es benoetigen.

Ergebnisse und Auswirkungen

• 5 Compliance-Frameworks abgebildet: ISO 27001, NIS2, BSI IT-Grundschutz, DSGVO und TISAX
• 8 integrierte Sicherheitstools, orchestriert durch KI-Agenten fuer umfassende Abdeckung
• Unter 15 Minuten vom Scan-Start bis zum vollstaendigen Compliance-Bericht fuer typische Ziele
• Drei Berichtsebenen (Management, technisch, Compliance) gleichzeitig in DE/EN generiert
• Semantisches Compliance-Mapping ueber pgvector, das nicht offensichtliche Kontrollbeziehungen identifiziert
• Multi-Tenant-SaaS-Architektur mit vollstaendiger Datenisolierung und ausschliesslich EU-Infrastruktur
• Kontinuierliches Compliance-Monitoring ersetzt teure Punktbewertungen

Technologie-Stack

• Angular-Frontend mit Echtzeit-WebSocket-Dashboard fuer Live-Scan-Fortschritt
• Django-REST-Backend mit Multi-Tenant-Isolation und rollenbasierter Zugriffskontrolle
• PostgreSQL mit pgvector fuer semantische Aehnlichkeitssuche in Schwachstellendatenbanken
• LangGraph-Multi-Agenten-Orchestrierung zur Koordination paralleler Scan-Workflows
• Nmap, Nuclei, TestSSL und benutzerdefinierte Discovery-Tools fuer umfassende Angriffsflaechen-Abdeckung
• Redis fuer Task-Queuing, Caching und Echtzeit-Event-Streaming