SOMMON UG  ·  Cybersecurity, Software & Game Security

Sicherheit ist
kein Feature.
Sie ist die Substanz.

Wir auditieren Kanzleien, Steuerberater und Game Studios — passiv, §202a-konform, ohne Hochglanz-PDF. Wir bauen Software, die mit sensiblen Daten so umgeht, wie es das Gesetz verlangt. Und wir härten Backends, bevor jemand anderes sie testet.

Kostenloses Risiko-Briefing Was wir tun
sommon · recon shell
bereit
~$
// Tippen Sie eine Domain ein. Wir laufen ausschließlich gegen öffentlich abrufbare Quellen. // DNS · TLS · DMARC · SPF · DKIM · Header · Tracker · AVV · Schrems II
0
Domains in Analyse
0Mio €
Ø Schadenshöhe DE 2025
0%
passiv · §202a-konform
0h
Ø Reaktion · werktags
01  /  Leistungen

Vier Disziplinen, ein Fundament.

Die technische und rechtliche Integrität digitaler Systeme — auditiert, gebaut, dokumentiert.

01 / Audit

Cybersecurity-Audits

Passive Sicherheitsanalyse — DNS, TLS, E-Mail-Authentifizierung, Tracking, AVV. Schwerpunkt: regulierte Branchen mit Berufsgeheimnis (§203 StGB, §43a BRAO, §57 StBerG).

DMARCDSGVO Schrems IIBSI Grundschutz
02 / Build

Software-Engineering

Web-Anwendungen, Automation-Pipelines, Integrationsschichten. Wir bauen, was vom Markt nicht angeboten wird — DSGVO-konform, dokumentiert, wartbar.

TypeScriptPython Dockern8n
03 / Store

Document Management

Selbst-gehostete Dokumenten-Architekturen für Kanzleien und KMU. OCR, Volltextsuche, Mandantenakte, Aufbewahrung — ohne dass Daten in fremde Clouds wandern.

Paperless-NGXOCR AVV-freiOn-Premise
04 / Harden Specialty

Game Security & Backend-Härtung

Anti-Cheat-Architektur, Multiplayer-Backend-Reviews, DDoS-Resilienz für Game-Server, DSGVO für Indie-Studios und Publisher. Sicherheit, die das Spielerlebnis nicht verschlechtert.

Anti-CheatDDoS L4/L7 Live-ServiceAccount Security
Ein Sicherheits-Audit ist kein Verkaufsgespräch. Es ist ein schriftlicher Befund, der hält, wenn Aufsicht und Versicherung Fragen stellen.
Gideon Monsees · Geschäftsführer SOMMON UG
02  /  Methodik

Vier Schritte. Kein Risiko.

Unsere Audits sind vollständig passiv — keine Login-Versuche, keine Exploits, keine volumetrischen Scans.

01 / DISCOVER

Passive Recon

DNS, WHOIS, crt.sh, Wayback, robots.txt, leichter Port-Scan — alles ohne aktive Angriffe.

02 / ANALYZE

Browser-Forensik

Netzwerkanalyse der öffentlichen Frontends: Tracking, Drittanbieter, AVV-Lücken, JS-Schwachstellen.

03 / SCORE

Risiko-Bewertung

Gewichteter Score nach Schweregrad und Bußgeld-Potenzial — kritisch, hoch, mittel, niedrig.

04 / DELIVER

Handlungsplan

Konkrete Maßnahmen mit Aufwandsschätzung und Priorisierung. Kein PDF-Bullshit.

§

Rechtlicher Rahmen. Wir agieren strikt im Rahmen von §202a StGB. Alle Analysen beschränken sich auf öffentlich abrufbare Informationen und Protokoll-Header. Kein Credential-Testing. Keine Path-Traversal-Versuche. Keine Brute-Force-Aktivitäten. Diese Selbstbeschränkung ist die Voraussetzung dafür, dass wir Sie ohne Mandatsvereinbarung vorab informieren dürfen.

03  /  Befunde

Was wir wirklich finden.

Auszug aus realen Audits — Mandanten und Domains anonymisiert. So sieht ein Befund-Ticket bei uns aus.

Kritisch kanzlei-.de
DMARC-Policy auf p=none — Spoofing in Mandanten-Kommunikation möglich

Eingehende E-Mail-Authentifizierung wird geprüft, aber bei Fehlschlag nicht durchgesetzt. Angreifer können im Namen der Kanzlei Mandanten anschreiben, ohne dass es technisch verhindert wird.

Aufwand · 1–2 h §43a BRAO
Hoch -tax.de
Google Fonts via CDN — kein AVV, US-Datentransfer

Mandanten-IPs werden bei jedem Seitenaufruf an Google in den USA übermittelt. LG-München-Urteil ist eindeutig. Selbsthosting löst das in 20 Minuten — wir liefern den Snippet mit.

Aufwand · 20 min Schrems II
Kritisch -studio.com
Match-Server akzeptiert client-side hit detection ohne Verifikation

Aim-Hits werden vom Client gemeldet, vom Server geglaubt. Klassisches Anti-Cheat-Antipattern. Mit server-authoritativer Validierung lösbar, ohne dass die Latenz spürbar steigt.

Aufwand · 3–5 Tage Live-Service
Hoch .de
TLS 1.0/1.1 aktiv — veraltete Cipher Suites zugelassen

Server akzeptiert RC4 und 3DES. Wirkt auf Versicherer und Cyber-Auditoren als rotes Tuch, kostet Punkte im NIS2-Selbst-Assessment. Konfigurationsänderung am Reverse-Proxy.

Aufwand · 30 min NIS2
Mittel .eu
Session-Cookie ohne SameSite, ohne Secure

CSRF-Vektor offen, Cookie wird auch über unverschlüsselte Subdomains gesendet. Bei einem Login-Portal für Mandantenakten ist das ein Risiko, das nicht auf Audit-Ticket #7 stehen darf.

Aufwand · 1 h OWASP A05
Hoch .de
Mandanten-Upload-Portal ohne Größen- und MIME-Limit

Upload-Endpoint akzeptiert beliebige Dateitypen, beliebige Größe, keine Magic-Byte-Prüfung. Klassischer DoS-Vektor — und bei aktivem Virenscanner trotzdem riskant, weil RCE-Pfade in alten Scanner-Versionen existieren.

Aufwand · 4–6 h §203 StGB
04  /  Branchen

Wo wir genau richtig sind.

Drei Welten — ein gemeinsamer Nenner: regulierte, sensible Daten, die einer hohen technischen und rechtlichen Sorgfalt unterliegen.

— 01

Rechtsanwaltskanzleien

Mandantenkommunikation, beA, §43a BRAO, §203 StGB. Sicherheit als Berufspflicht.

— 02

Steuerberater & WPs

DATEV-Integration, Mandanten-Uploadportale, Berufsverschwiegenheit, AVV-Hygiene.

— 03

Game Studios

Indie bis Mid-Tier. Multiplayer-Backends, Account-Security, DSGVO bei Telemetrie.

— 04

SaaS & B2B

Auftragsverarbeiter-Hygiene, Schrems II, Pen-Test-Vorbereitung, Compliance-Doku.

— 05

Praxen & MVZ

Patientendaten, KIM, ePA-Anbindung, §203 StGB, §75c SGB V.

— 06

Mittelstand

NIS2-Vorbereitung, IT-SiG 2.0, KRITIS-Schwelle, ISO 27001 Vor-Audit.

05  /  Specialty

Game Security ist eigene Disziplin.

Live-Service-Spiele tragen Wartelisten, Real-Money-Trading, anonyme Accounts und Telemetrie-Pipelines, die DSGVO-relevant sind. Wir verstehen die Architektur — und ihre Bruchstellen.

Specialty · Gamescom 2026

Wir reviewen Backends, bevor sie viral gehen.

Wir prüfen Multiplayer-Backends auf Manipulationssicherheit, bewerten Anti-Cheat-Strategien (server-authoritativ vs. client-side), modellieren DDoS-Resilienz für Match-Server, und auditieren Authentication-Stacks gegen Account-Takeover.

  • Anti-Cheat-Architektur · server-authoritative Patterns
  • DDoS-Mitigation · L4 / L7 / Match-Server-Spezifika
  • Account Security · Token-Rotation, Device-Binding, MFA
  • Live-Service-DSGVO · Telemetrie, Cohorten, Right-to-Erasure
  • Backend-Pen-Test-Prep · OWASP API Top 10 für Game APIs
  • Web3-Gaming · On-Chain-Asset-Custody, Smart-Contract-Reviews
06  /  Stack

Was wir täglich anfassen.

Wir verstecken den Tech-Stack nicht. Tools werden nach Sicherheit, Wartbarkeit und Datenschutz gewählt — nicht nach Hype.

TypeScript lang
Python 3.12+ lang
Bash · Zsh shell
Docker · K8s infra
Traefik · nginx edge
PostgreSQL · MariaDB db
Supabase · n8n platform
Paperless-NGX dms
WebGL · Canvas frontend
Nmap · Wireshark recon
crt.sh · Wayback osint
CI/CD · GitOps devops
07  /  Kontakt

Reden wir Klartext.

Ein erstes Risiko-Briefing für Ihre Domain ist kostenlos und unverbindlich. Sie bekommen einen schriftlichen Befund — keine Verkaufsbroschüre.

Kostenloses Risiko-Briefing.

Senden Sie uns Ihre Domain — wir senden Ihnen innerhalb von 48 Stunden eine passive Sicherheits- und DSGVO-Analyse zurück. Ohne Anmeldung, ohne Login, ohne aktive Tests.

→ kontakt@sommon.de → Sitz: Bremervörde · Deutschland → Reaktion: ≤ 48 h werktags
Briefing anfragen oder Domain oben im Scanner eintippen