IT-Security

Sichere Software beginnt mit durchdachter Architektur.

Mehr erfahren Schreiben Sie uns

Kennen Sie Ihre Schwachstellen?

Sicherheitsvorfälle gefährden nicht nur Daten, sondern auch Kundenvertrauen und Handlungsfähigkeit. Wir unterstützen Sie dabei, Risiken zu minimieren – am wirksamsten durch Softwarearchitektur, die Sicherheit von Anfang an mitdenkt. Bei bestehenden Systemen analysieren wir Schwachstellen und entwickeln pragmatische Lösungen. Diese Themen stehen dabei im Fokus:

Wer darf was?

Gewachsene IAM-Landschaften, komplexe Berechtigungsstrukturen, fragile Autorisierung für APIs und Microservices – wir helfen, Identitäts- und Zugriffsmanagement so zu gestalten, dass es mit Ihren Anforderungen mitwächst.

Supply-Chain-Risiken beherrschen

Die Software-Supply-Chain ist komplexer und angreifbarer denn je. Kompromittierte Dependencies, manipulierte Build-Pipelines, Angriffe auf Open-Source-Maintainer: Vorfälle wie XZ Utils oder SolarWinds zeigen, wie weitreichend die Folgen sein können. Wir helfen, diese Risiken systematisch zu verstehen und zu adressieren.

KI sicher in Produktion bringen

Agentische Systeme und LLM-gestützte Anwendungen bringen neben enormen Möglichkeiten neue Angriffsvektoren mit sich, die klassische Security-Konzepte nur teilweise abdecken – von Prompt Injection über Tool Misuse bis zu Datenexfiltration. Wir helfen, diese Risiken von Anfang an zu vermeiden.

Unsere Leistungen

IT Security heißt Risiken verstehen und beherrschen: Wer darf auf was zugreifen? Wie sichern wir unsere Systeme richtig ab? Wie schützen wir APIs, KI-Systeme und Ihre Software-Supply-Chain? Wir unterstützen Sie, von Threat Modeling über die Auswahl und sichere Implementierung bis zu Security Reviews. Sie finden Ihr Thema nicht? Sprechen Sie uns einfach an!

Application Security and DevSecOps

Wie schaffen wir es, neue Features schnell auszuliefern und trotzdem sicher zu bleiben? Wie vermeiden wir teure Nacharbeiten durch spät entdeckte Schwachstellen? Wir helfen, Security in den Entwicklungsprozess zu integrieren – mit Tools wie SAST, DAST und SCA in der CI/CD-Pipeline, Security-Champion-Programmen und der Etablierung einer Kultur, in der Teams Sicherheit als Teil ihrer täglichen Arbeit verstehen.

Schwerpunkte: Security in CI/CD-Pipelines, Secure Coding Guidelines, Security Champions, Supply Chain Security (SBOMs, Dependency Management), Threat Modeling in agilen Teams.

Identity and Access Management

Wer darf was? Diese Frage klingt einfach, ist in komplexen Systemen aber alles andere als trivial. Wir unterstützen bei der Auswahl und Integration von IAM-Lösungen, bei der Konzeption von Autorisierungsarchitekturen und beim Aufbau von Authorization-as-a-Service-Plattformen.

Schwerpunkte: OAuth2/OIDC-Architekturen, IAM-Integration und Customizing, Role-based Access Control, Policy-based Access Control (ABAC), Relationship-based Access Control (ReBAC), feingranulare Autorisierung, IAM-Migration.

KI-Security

KI verspricht Effizienzgewinne – aber wie schützen wir dabei sensible Kundendaten und Geschäftsprozesse? Wir helfen, KI-Anwendungen so abzusichern, dass sie produktiv eingesetzt werden können – mit Threat Modeling, Guardrails und sicheren Architekturen.

Schwerpunkte: OWASP Top 10 für Agentic Applications/LLMs, Threat Modeling für LLM-Anwendungen, Guardrails & Sandboxing, sichere MCP-Architekturen, AI Gateways, IAM für agentische Systeme, RAG Security & Secret Management, Plattform-Integration (Observability, Monitoring).

Web Security und verteilte Systeme

Wie verhindern wir, dass unsere webbasierten Systeme zum Einfallstor werden? Wie behalten wir die Kontrolle, wenn Dutzende Services miteinander kommunizieren? Wir helfen, Microservices und verteilte Architekturen sicher zu gestalten – von API-Security über sichere Service-zu-Service-Kommunikation bis hin zu Zero-Trust-Konzepten. Dabei orientieren wir uns an etablierten Standards.

Schwerpunkte: API-Security, Service-to-Service-Authentifizierung, Zero Trust Networking, Aufbau von PKI-Infrastruktur, TLS-Konfiguration, OWASP Top 10, OWASP ASVS.

Warum INNOQ

Wir betrachten IT Security nicht als isoliertes Thema, sondern als Teil guter Architekturarbeit. Denn Sicherheit funktioniert nur, wenn wir sie von Anfang an mitdenken – in der Architektur, in den Prozessen und in der Organisation.

Herstellerunabhängig

Wir beraten unabhängig: ob Keycloak oder Zitadel, AWS oder Azure, Open Source oder kommerziell – wir bewerten neutral und wählen aus dem gesamten Markt das aus, was zu Ihrer Situation passt.

Security als Teil der Architektur

Wer Sicherheit erst am Ende nachrüstet, zahlt doppelt: teure Nacharbeiten und Software, die anfällig bleibt. Wir betrachten Security deshalb als integralen Teil der Softwarearchitektur. Das Ergebnis sind Systeme, die robust gegen Angriffe sind – und das von Beginn an.

Pragmatische Lösungen

Nicht jedes Risiko rechtfertigt den gleichen Aufwand. Wir helfen, die richtigen Prioritäten zu setzen und Maßnahmen zu wählen, die wirken. Denn Sicherheit muss im Alltag funktionieren – nicht nur auf dem Papier.

Enabling

So lange wie nötig, so kurz wie möglich. Unser Ziel ist Ihre Selbstständigkeit. Wir befähigen Ihre Teams durch Wissenstransfer, Security-Champion-Programme und gemeinsames Arbeiten. So bauen Sie die Kompetenzen auf, die Sie für die eigenständige Weiterentwicklung Ihrer Security-Prozesse brauchen.

Langjährige Erfahrungen

Unsere Consultants haben Security-Herausforderungen in verschiedenen Kontexten gelöst – von Identity und Access Management über Cloud-Security bis hin zu KI-Sicherheit. Diese Erfahrung bringen wir auch in Ihr Projekt ein.

Ganzheitlichkeit

Nachhaltige Sicherheit entsteht nicht durch Technologie allein. Deshalb betrachten wir das Zusammenspiel von Architektur, Prozessen und Organisation – und helfen, Security dort zu verankern, wo sie hingehört: in den Arbeitsalltag Ihrer Teams.

So haben wir unsere Kunden unterstützt

Sichere Systeme entstehen nicht im Alleingang. In unseren Projekten arbeiten wir eng mit Ihren Teams zusammen – vom ersten Assessment über die Umsetzung bis zum Wissenstransfer.

Haushaltsgeräte, IoT

Der Thermomix® als Online-Plattform mit bis zu 45 Millionen Zugriffen pro Tag

Case Study lesen
IoT, Automatisierungstechnik

Eckelmann erhöht Wettbewerbsfähigkeit durch IoT-Plattform

Case Study lesen

Der Security-Workshop mit INNOQ hat uns sehr dabei geholfen, einen Überblick über potenzielle Schwachstellen zu bekommen. Auch wenn wir am Abend etwas erschlagen waren, war allen klar, was wir als Nächstes tun müssen.

Jan RedepenningSoftwareentwickler, PharmGenetix GmbH

Security Reviews

Schwachstellen erkennen, bevor sie zum Risiko werden: Unsere Reviews sind technisch fundiert, methodisch durchdacht und auf Ihre Zielgruppe abgestimmt – vom Entwicklungsteam bis zur Geschäftsleitung.

Technisches Security Review

Wir analysieren Ihre sicherheitskritischen Komponenten – von Quellcode und APIs bis zu Architekturen und Protokollen. Dabei konzentrieren wir uns auf Authentifizierung, Verschlüsselung und Zugriffskontrolle. Das Ergebnis: eine Dokumentation mit verständlichen und priorisierten Handlungsempfehlungen.

Review anfragen

Architektur-Sicherheitsbewertung

Wir bewerten die Sicherheit Ihrer gesamten Systemarchitektur – von der Bestandsaufnahme über Threat Modeling bis zu konkreten Handlungsempfehlungen. Dabei integrieren wir Risikoanalysen und unterstützen Sie bei der Definition und Prüfung von Security Requirements.

Review anfragen

Workshops, die wirken

Unsere Trainer:innen sind praktizierende Security-Expert:innen. In ihren Trainings verbinden sie Theorie mit praktischen Übungen – damit Ihre Teams Security nicht nur verstehen, sondern auch umsetzen können.

Web Security (iSAQB® Modul WEBSEC)

Webanwendungen effektiv vor Angriffen schützen: In diesem Training lernen Sie praxisnah, wie Sie potenzielle Schwachstellen erkennen, beheben und sichere Webarchitekturen gestalten.
Mehr erfahren

OWASP Top 10 in der Praxis

In diesem Training lernen Sie, Schwachstellen in Webanwendungen aufzuspüren und zu beheben. In praktischen Übungen schlüpfen Sie in die Rolle der Angreifenden und verstehen, wie Angriffe in der Praxis funktionieren. Orientierung bietet die OWASP Top Ten – die Liste der größten Sicherheitsrisiken für Webanwendungen.
Mehr erfahren

Legacy Software absichern

Wie gehe ich Security in gewachsener Software systematisch an? In diesem Workshop üben Sie an einer größeren Java-Applikation ein strukturiertes Vorgehen – von der Analyse bis zur Absicherung. Für Softwareentwickler:innen und -architekt:innen.
Mehr erfahren

Agentic Software Security

Agentische Systeme und LLM-gestützte Anwendungen bringen neue Angriffsvektoren mit sich – von Prompt Injection über Tool Misuse bis zu Datenexfiltration. In diesem 2-tägigen Training vermitteln wir Ihnen und Ihrem Team die Grundlagen, um diese Risiken zu verstehen und zu adressieren.
Mehr erfahren

Threat Modelling Workshop

Workshop für Ihre Teams: Gemeinsam analysieren wir Ihre Systemarchitektur, identifizieren Bedrohungen und entwickeln Maßnahmen. Praktisches Threat Modeling an Ihrem konkreten System.
Workshop anfragen

Häufige Fragen

Sie haben Fragen zum Thema IT-Security? Hier finden Sie Antworten auf Fragen, die wir häufig gestellt bekommen.

Warum sollte IT-Security Teil der Softwarearchitektur sein?

Wer Sicherheit erst am Ende nachrüstet, riskiert teure Nacharbeiten und Systeme, die anfällig bleiben. Wir betrachten IT-Security deshalb als integralen Bestandteil der Softwarearchitektur. Das bedeutet: Sicherheitsanforderungen fließen von Anfang an in Architekturentscheidungen ein – von der Authentifizierung über die Zugriffskontrolle bis zur sicheren Kommunikation zwischen Services.

Was umfasst Identity und Access Management (IAM) und wann brauche ich Unterstützung?

Identity und Access Management regelt, wer in Ihren Systemen auf welche Ressourcen zugreifen darf. Das klingt einfach, ist in gewachsenen Systemlandschaften mit Microservices, APIs und verteilten Anwendungen aber schnell komplex. Wir unterstützen bei der Auswahl und Integration von IAM-Lösungen, bei Autorisierungsarchitekturen und beim Aufbau von Konzepten wie Role-based, Policy-based oder Relationship-based Access Control.

Wie lässt sich Security in den Entwicklungsprozess integrieren (DevSecOps)?

Durch die Einbettung von Security-Checks in Ihre CI/CD-Pipeline – etwa mit Tools für statische und dynamische Codeanalyse (SAST, DAST) und Software Composition Analysis (SCA). Ergänzend helfen Security-Champion-Programme und Secure Coding Guidelines dabei, dass Teams Sicherheit als Teil ihrer täglichen Arbeit verstehen, statt sie als nachgelagerte Aufgabe zu behandeln.

Welche Sicherheitsrisiken bringen KI-Anwendungen und agentische Systeme mit sich?

KI-gestützte Anwendungen und KI-Agenten eröffnen neue Angriffsvektoren, die klassische Security-Konzepte nur teilweise abdecken. Dazu gehören Prompt Injection, Tool Misuse und Datenexfiltration. Wir helfen, diese Risiken durch Threat Modeling, Guardrails, Sandboxing und sichere Architekturen von Anfang an zu adressieren – orientiert an den OWASP Top 10 für LLM- und Agentic Applications.

Was ist ein Security Review und wann ist es sinnvoll?

Ein Security Review analysiert Ihre sicherheitskritischen Komponenten – von Quellcode und APIs bis zu Architekturen und Protokollen. Es ist sinnvoll, wenn Sie Schwachstellen identifizieren möchten, bevor sie zum Risiko werden, oder wenn Sie vor einer größeren Investition den Sicherheitsstatus Ihres Systems bewerten wollen. Das Ergebnis sind priorisierte Handlungsempfehlungen, abgestimmt auf Ihre Zielgruppe – vom Entwicklungsteam bis zur Geschäftsleitung.

Wie sorgt INNOQ dafür, dass unser Team Security eigenständig weiterentwickeln kann?

Unser Ziel ist Ihre Selbstständigkeit: so lange wie nötig, so kurz wie möglich. Wir befähigen Ihre Teams durch Wissenstransfer, Security-Champion-Programme und gemeinsames Arbeiten im Projekt. Ergänzend bieten wir praxisnahe Trainings an – von Web Security über OWASP Top 10 bis hin zu Agentic Software Security.

Tiefer einsteigen

Blog-Post

What’s Wrong with the Current OWASP Microservice Security Cheat Sheet?

Modern microservice architectures require evolving security practices. Yet popular resources like the OWASP Microservice Security Cheat Sheet are starting to show their age and need a fresh look.

Blog-Post

Ich habe meine KI-Agenten in eine Sandbox gesteckt. Du solltest das auch tun.

KI-Agenten sind mächtig, weil sie Programme mit der entsprechenden Berechtigung auf unseren Rechnern ausführen können. Genau diese Stärke macht uns aber auch angreifbar. Ein einziger Fehler oder eine Prompt-Injection reicht, um das ganze System zu kompromittieren.

Primer

Advanced IAM Patterns and Strategies
Artikel

Beyond the hype: An engineer’s journey into ReBAC and AI with the Model Context Protocol

In this article, I share my experiences on my journey into the AI world. During this journey, we’ll build our own Model Context Protocol (MCP) Server using C Sharp, learn about access management with relationship based access control (ReBAC) on the way, and in the end I’ll provide my thoughts on the current state of AI and MCP, focusing on security and UX.

Artikel

Kubernetes sicher und transparent – Erste Schritte mit Cilium

Cilium bringt Observability-, Security- und Netzwerkfeatures für Kubernetes – dank eBPF ganz ohne den eigentlichen Anwendungscode zu ändern. In dieser Artikelreihe lernen wir, wie wir ein lokales Cilium-Setup aufsetzen, wie Cilium funktioniert und in weiteren Teilen auch, eigene Netzwerkregeln durchzusetzen und sie in Echtzeit zu überwachen. Starte deinen lokalen Cluster und werde zum Kubernetes-Jedi-Meister - oder folge der dunklen Seite der Macht.

Security Podcast

MCP Security

Sicherheitsrisiken beim Model Context Protocol

Christoph Iserlohn
Dominik Guhr
Podcast

Security Podcast

Unser Podcast rund um IT-Security, sichere Softwareentwicklung und aktuelle Sicherheitsthemen.

Video

Technology Lunch

Identity & Access Management: Nicht neu, aber oft falsch gelöst. In dieser Live-Session sprechen unsere Expert:innen über häufige Fehler beim Aufbau von IAM-Systemen, moderne Patterns und praktische Lösungsansätze für sichere Authentifizierung und Autorisierung in verteilten Architekturen.