← Zurück zur Seite

Das ist der Bericht, den Sie für jeden Lieferanten erhalten. Echte Daten, anonymisiert.

VendoReport

Vendor Risk Report

fornitore-erp.it

7.4 HIGH
Bewertete Einheit fornitore-erp.it
Rolle des Lieferanten ERP-Anbieter · geschäftskritisch (Einstufung des Kunden)
Umfang Externe passive Angriffsflächen-Analyse · Momentaufnahme
Bewertungsdatum 2026-06-06
Gültig bis 2026-09-06 · vierteljährlich neu prüfen
Methodik VR-EXT v1.2
Bewertet von VendoReport-Analyseteam
Bericht-ID VR-2026-0606-ERP

NIS2 · Art. 21

VendoReport · VR-EXT v1.2 · Bericht VR-2026-0606-ERP · 2026-06-06 p. 1/7

1 · Executive Summary

Diese Zusammenfassung hebt die von außen beobachtbaren Findings mit der größten Auswirkung hervor. Die vollständigen 4 Findings stehen in Abschnitt 2; Umfang und Grenzen in Abschnitt 5.

  1. 1

    Ein Datenbank-Port (3306) antwortet aus dem öffentlichen Internet. Er ist der Haupttreiber des HIGH-Scores.

  2. 2

    Das Unternehmen taucht in 2 bekannten Datenlecks auf (2021, 2023). Einige Zugangsdaten könnten kursieren.

  3. 3

    Der E-Mail-Spoofing-Schutz (SPF) ist nicht konfiguriert. Phishing im Namen dieses Lieferanten ist leichter als es sein sollte.

VendoReport · VR-EXT v1.2 · Bericht VR-2026-0606-ERP · 2026-06-06 p. 2/7

2 · Technische Findings

HIGH

Datenbankdienst möglicherweise exponiert

Port 3306 (MySQL) antwortet
Quelle: Passiver Host-Eintrag Erfasst: 2026-06-06 09:14 UTC Referenz: Art. 21(2)(d) · DVO Anhang 5.3 (Monitoring-Nachweis) Status: Offen · Maßnahme angefordert

Bitten Sie den Lieferanten, den Datenbankzugriff auf ein privates Netzwerk zu beschränken.

HIGH

Exposition durch bekannte Datenlecks

2 Datenlecks: 2021, 2023
Quelle: Öffentlicher Datenleck-Index Erfasst: 2026-06-06 09:15 UTC Referenz: Art. 21(2)(d) Status: Offen · Maßnahme angefordert

Lassen Sie bestätigen, dass die betroffenen Zugangsdaten geändert wurden.

MEDIUM

TLS-Konfiguration veraltet

Note B · TLS 1.0 aktiv
Quelle: TLS-Probe Erfasst: 2026-06-06 09:16 UTC Referenz: Art. 21(2)(h) Status: Offen · Maßnahme angefordert

Fordern Sie ausschließlich Unterstützung von TLS 1.2 oder höher.

MEDIUM

E-Mail-Authentifizierung unvollständig

SPF-Eintrag fehlt
Quelle: DNS-TXT-Abfrage Erfasst: 2026-06-06 09:16 UTC Referenz: Art. 21(2)(g) Status: Offen · Maßnahme angefordert

Fordern Sie die Konfiguration von SPF, DKIM und DMARC.

VendoReport · VR-EXT v1.2 · Bericht VR-2026-0606-ERP · 2026-06-06 p. 3/7

3 · NIS2- und DVO-Zuordnung

Art. 21(2)(d) Lücke erkannt (2 HIGH-Findings)

Sicherheit der Lieferkette

Art. 21(3) Teilweise bewertet · nur externe Schwachstellen (siehe Grenzen)

Lieferantenspezifische Schwachstellen und Qualität der Praktiken

Art. 21(2)(f) Durch diesen Bericht dokumentiert

Bewertung der Wirksamkeit

Art. 22(1) Außerhalb des Umfangs · kein Ersatz (siehe Grenzen)

Koordinierte Bewertungen kritischer Lieferketten

DVO (EU) 2024/2690 Anhang 5.1.2 Zugeordnet, soweit anwendbar

Kriterien zur Lieferantenauswahl

DVO Anhang 5.3 Nachweise je Finding angehängt

Dokumentierter Nachweis des Monitorings

BSIG §30 Für die Pflichten gegenüber dem BSI aufbereitet

Risikomanagement der Lieferkette

Das BSIG verpflichtet betroffene Einrichtungen zur Registrierung beim BSI und zu Risikomanagementmaßnahmen. Die technischen Kontrollen der Lieferkette ergeben sich aus der Durchführungsverordnung (EU) 2024/2690, Anhang 5.

VendoReport · VR-EXT v1.2 · Bericht VR-2026-0606-ERP · 2026-06-06 p. 4/7

4 · Remediation

Die an den Lieferanten weiterzuleitenden Anforderungen, nach Priorität:

01

Datenbankzugriff (Port 3306) auf ein privates Netzwerk beschränken.

Verantwortlich: Lieferant Schweregrad: HIGH Status: Angefordert am 2026-06-06 Neuprüfung: Beim nächsten Scan
02

Rotation der bei den Datenlecks 2021 und 2023 betroffenen Zugangsdaten bestätigen.

Verantwortlich: Lieferant Schweregrad: HIGH Status: Angefordert am 2026-06-06 Neuprüfung: Beim nächsten Scan
03

TLS 1.0 deaktivieren und nur TLS 1.2 oder höher unterstützen.

Verantwortlich: Lieferant Schweregrad: MEDIUM Status: Angefordert am 2026-06-06 Neuprüfung: Beim nächsten Scan
04

SPF-, DKIM- und DMARC-Einträge konfigurieren.

Verantwortlich: Lieferant Schweregrad: MEDIUM Status: Angefordert am 2026-06-06 Neuprüfung: Beim nächsten Scan

VendoReport · VR-EXT v1.2 · Bericht VR-2026-0606-ERP · 2026-06-06 p. 5/7

5 · Methodik, Umfang und Grenzen

VendoReport erstellt eine externe, passive Bewertung der öffentlichen Angriffsfläche des Lieferanten. Es meldet sich nicht in den Systemen des Lieferanten an, führt keine intrusiven Tests durch und ersetzt kein internes Audit.

Schweregradskala

LOW 0.0 bis 3.9 Geringe Hygienelücke, niedrige Exposition.
MEDIUM 4.0 bis 6.4 Sollte behoben werden, begrenzte direkte Exposition.
HIGH 6.5 bis 8.4 Erhebliche Exposition, Remediation anfordern.
CRITICAL 8.5 bis 10 Direkt ausnutzbare Exposition, sofort handeln.

Datenquellen

  • Passives DNS und Certificate Transparency
  • Öffentliche Datenleck-Indizes
  • Service-Banner auf offenen Ports
  • E-Mail-Authentifizierungseinträge (SPF, DKIM, DMARC)

Grenzen

  1. 01 Dies ist eine externe, passive Sicht auf die öffentliche Angriffsfläche, kein vollständiges Sicherheitsaudit.
  2. 02 Die Zuordnung von IP und Host hat eine Konfidenzmarge und kann geteilte Infrastruktur umfassen.
  3. 03 Findings beschreiben, was potenziell exponiert ist, nicht was als ausnutzbar bestätigt ist.
  4. 04 Die Praktiken sicherer Entwicklung des Lieferanten (Art. 21(3)) liegen außerhalb des passiven Umfangs: Sie erfordern Fragebögen oder Vertragsprüfung.
  5. 05 Dieser Bericht ersetzt nicht die koordinierten Bewertungen nach NIS2 Art. 22(1).
  6. 06 Die Ergebnisse gelten zum oben genannten Bewertungsdatum. Vierteljährlich oder bei wesentlichen Änderungen neu prüfen.

Bewertung durchgeführt vom VendoReport-Analyseteam nach der Methodik VR-EXT v1.2.

VendoReport · VR-EXT v1.2 · Bericht VR-2026-0606-ERP · 2026-06-06 p. 6/7

6 · Rechtliche Referenzen

Richtlinie (EU) 2022/2555 (NIS2)

Art. 21, Risikomanagementmaßnahmen im Bereich Cybersicherheit.

NIS2-Umsetzungsgesetz (NIS2UmsuCG)

Deutsche Umsetzung der NIS2, in Kraft seit Dezember 2025.

Durchführungsverordnung (EU) 2024/2690

Anhang 5, technische Kontrollen der Lieferkette.

BSI-Gesetz (BSIG)

Risikomanagement- und Registrierungspflichten gegenüber dem BSI.

VendoReport · VR-EXT v1.2 · Bericht VR-2026-0606-ERP · 2026-06-06 p. 7/7

Das erhalten Sie für jeden Lieferanten.

Ihren für 49 € anfordern

Kein automatischer Scan: von einem Analysten geprüft · Ohne Konto · Geld-zurück-Garantie