Cyberweerbaar Scan, technische meting van jouw digitale weerbaarheid door Digiweerbaar en KAM Groep
Wat zien aanvallers als ze jouw organisatie bekijken?
De Cyberweerbaar Scan meet jouw digitale weerbaarheid van buitenaf én van binnenuit. Met bewezen tooling, objectieve data en een helder technisch rapport.
Vraag een gratis quickscan aan ➔ Bekijk wat we meten ▾Aanvallers doen hun huiswerk. Doe jij dat ook?
Voordat een aanvaller toeslaat, verkent hij zijn doelwit. Hij zoekt open poorten, verouderde software, zwakke instellingen voor e-mail en medewerkers die klikken op een phishingmail. Dit proces duurt soms maar een paar minuten en is grotendeels geautomatiseerd.
Wij doen hetzelfde, maar dan in jouw opdracht. Met dezelfde technieken als aanvallers, maar met als doel jouw zwakke plekken bloot te leggen vóórdat iemand anders dat doet.
Jouw aanvalsoppervlak is groter dan je denkt
Elk domein, elk subdomein, elke e-mailserver en elk extern bereikbaar systeem is een potentieel doelwit. Veel organisaties hebben geen volledig beeld van wat er van buitenaf zichtbaar en bereikbaar is.
E-mail is het meest misbruikte aanvalskanaal
Zonder correcte instellingen voor SPF, DKIM en DMARC kunnen aanvallers e-mails versturen die lijken alsof ze van jouw domein komen. Dat wordt gebruikt voor phishing, directiefraude en leveranciersfraude.
Techniek alleen is niet genoeg
De beste firewall helpt niet als een medewerker zijn inloggegevens invult op een nepsite. Menselijk gedrag is een technisch risico, en het is meetbaar.
van de geslaagde cyberaanvallen begint met een phishingmail, volgens de Amerikaanse cyberwaakhond CISA
is de mediane tijd tussen het openen van een phishingmail en de klik op de link (Verizon DBIR 2024)
medewerkers zonder voorafgaande securitytraining trapt in een eerste phishingsimulatie (KnowBe4 benchmark 2025)
Wat meten we, en hoe?
De Cyberweerbaar Scan bestaat uit twee technische meetcomponenten, uitgevoerd door Digiweerbaar. Daarnaast voert onze partner KAM Groep interviews uit over de organisatorische kant van informatiebeveiliging en zet een awareness vragenlijst uit in de organisatie. Samen vormen de uitkomsten één geïntegreerde rapportage.
Vulnerability scan
Wat is er van buitenaf zichtbaar en kwetsbaar?
De vulnerability scan brengt in kaart wat van buitenaf zichtbaar en kwetsbaar is in jouw digitale infrastructuur. We simuleren de verkenningsfase van een aanvaller, zonder daadwerkelijk in te breken.
Domeinen en subdomeinen
We inventariseren alle domeinen en subdomeinen die aan jouw organisatie gekoppeld zijn. Ook vergeten of verouderde exemplaren die je zelf misschien niet meer op de radar hebt.
E-mailbeveiliging
We toetsen de aanwezigheid én correcte configuratie van:
- SPF (Sender Policy Framework), wie mag e-mail versturen namens jouw domein?
- DKIM (DomainKeys Identified Mail), worden e-mails cryptografisch ondertekend?
- DMARC, wat gebeurt er met e-mails die de controle op SPF en DKIM niet doorstaan?
Als DMARC ontbreekt of verkeerd staat ingesteld, kunnen aanvallers e-mails versturen die lijken alsof ze van jou komen, zonder dat jij dat ziet. Een aanvaller heeft daarvoor alleen jouw domeinnaam nodig, geen toegang tot jouw systemen.
_dmarc.jouwnaam.nl TXT "v=DMARC1; p=reject; rua=mailto:dmarc@jouwnaam.nl" p=none monitoring zonder actie (onveilig) p=quarantine verdachte mail gaat naar spam p=reject verdachte mail wordt volledig geblokkeerd (aanbevolen)
Technische kwetsbaarheden
We scannen op bekende kwetsbaarheden (CVE's) in extern bereikbare systemen, verouderde software en de instellingen voor TLS en SSL. We brengen in kaart welke poorten open staan en welke services zichtbaar zijn.
Datalekken
We controleren of e-mailadressen of inloggegevens van jouw domein voorkomen in bekende datalekdatabases. Dit zijn gegevens die aanvallers actief gebruiken voor credential stuffing en gerichte phishing.
Hoe werkt het technisch? De scan wordt uitgevoerd zonder installatie van software bij jou als klant. We werken met passieve en beperkt actieve scantechnieken, gericht op extern bereikbare systemen. Er ontstaat geen verstoring van de productie. De doorlooptijd bedraagt 24 tot 72 uur.
Phishing simulatie
Wie klikt? Wie meldt? Wie vult in?
Een phishingsimulatie is de meest directe manier om menselijk risico te meten. We sturen een zorgvuldig samengestelde valse phishingmail naar alle medewerkers, zonder hen van tevoren te informeren.
Wat meten we?
Hoeveel medewerkers openden de mail?
Hoeveel klikten op de link in de mail?
Hoeveel vulden gegevens in op de neppagina?
Hoeveel medewerkers meldden de mail als verdacht?
Hoe bouwen we de campagne op?
We stellen de phishingcampagne in op de context van de organisatie. We kiezen een scenario dat realistisch en herkenbaar is. Denk aan een valse melding van IT, een nepfactuur of een bericht dat van HR lijkt te komen. Hoe geloofwaardiger het scenario, hoe waardevoller de meting.
De neppagina waarop medewerkers terechtkomen bevat geen malware en verzamelt geen echte inloggegevens. Medewerkers die klikten, ontvangen na afloop direct een educatieve boodschap, een leermoment op het juiste moment.
Wat zegt het resultaat?
Bij een eerste phishingsimulatie zonder voorafgaande training trapt gemiddeld een derde van de medewerkers erin, blijkt uit internationaal benchmarkonderzoek van KnowBe4 (2025, gemeten over ruim 14 miljoen gebruikers). Kleine organisaties zitten rond de 25 procent, grote organisaties rond de 40 procent. Maar ook de report rate is cruciaal, want een lage meldbereidheid betekent dat echte incidenten in de praktijk te laat worden opgemerkt.
Awareness vragenlijst
Kennis meten naast gedrag meten
Naast het gedragsmeetpunt van de phishingsimulatie meet onze partner KAM Groep ook het kennisniveau van medewerkers, via een digitale vragenlijst. Dit geeft een genuanceerder beeld, want iemand die niet klikte in de phishingsimulatie kan toch fundamentele kennishiaten hebben.
Zes categorieën
- Wachtwoorden en toegangsbeheer
- Herkennen van phishing en social engineering
- Omgang met bedrijfsgegevens en apparaten
- Meldgedrag bij incidenten
- Veilig werken op afstand
- Algemene beveiligingskennis en bekendheid met beleid
Afname
Volledig digitaal, anoniem en zonder installatie. Medewerkers ontvangen een gepersonaliseerde link per e-mail. Het invullen duurt 10 tot 15 minuten. We rapporteren per categorie én per afdeling, zodat gerichte vervolgacties mogelijk zijn.
Interview op locatie
De organisatorische kant, door KAM Groep
Samen met een ervaren adviseur van KAM Groep bespreken we jouw organisatie op alle relevante thema's. Van beleid en governance tot toegangsbeheer, incidentrespons en beveiliging bij leveranciers. We beoordelen niet alleen wat er op papier staat, maar ook wat er in de praktijk daadwerkelijk werkt.
De structuur sluit direct aan op de beheersmaatregelen van NIS2, zodat je na afloop ook weet waar je staat ten opzichte van de wet. Afhankelijk van de grootte van jouw organisatie duurt dit 1 of 2 dagen op locatie.
Wat staat er in het technische rapport?
Onze technische bevindingen vormen een zelfstandig deel van de geïntegreerde eindrapportage, die KAM Groep opstelt met onze input. Het technische rapport dat wij aanleveren bevat:
Inventarisatie van het aanvalsoppervlak
Volledig overzicht van gevonden domeinen, subdomeinen, open poorten en extern bereikbare services. Inclusief services die de organisatie zelf niet meer op de radar had.
Kwetsbaarheden per ernstniveau
Alle gevonden kwetsbaarheden gerangschikt op CVSS score, van kritiek (9.0 tot 10.0) tot laag (0.1 tot 3.9). Per kwetsbaarheid een beschrijving, het betrokken systeem en de aanbevolen oplossing.
Status van de e-mailbeveiliging
Gedetailleerd overzicht van de configuratie van SPF, DKIM en DMARC per domein, met exacte technische aanbevelingen voor de juiste DNS records en policy.
Resultaten phishing en awareness
Open rate, click rate, submission rate en report rate per afdeling, vergeleken met sectorgemiddelden. Inclusief risicoclassificatie en aanbevelingen voor een bewustwordingsprogramma.
De technische bevindingen van Digiweerbaar vertaalt KAM Groep naar organisatorische consequenties, gekoppeld aan de beheersmaatregelen van NIS2. Zo krijgt elke technische bevinding ook een beleidsmatige context.
Hoe verloopt de uitvoering?
Onze technische componenten lopen parallel aan de interviews van KAM Groep. Zo blijft de totale doorlooptijd zo kort mogelijk, zonder dat de kwaliteit van de meting in het geding komt.
Voorbereiding
We verzamelen domeinen, IP reeksen en e-maildomeinen. De phishingcampagne en de vragenlijst worden ingericht. Geen installatie nodig.
Uitvoering
De vulnerability scan draait grotendeels automatisch. De phishingcampagne wordt verstuurd en de awareness vragenlijst staat open. Dit duurt 7 tot 10 dagen.
Analyse
We verwerken de ruwe scandata en kwalificeren kwetsbaarheden op CVSS score. De resultaten van phishing en awareness vergelijken we met sectorgemiddelden.
Aanlevering
Het technische rapport gaat naar KAM Groep voor integratie in de eindrapportage en de presentatie aan het management.
Wat hebben we van jou nodig?
- Een lijst van gebruikte domeinen en e-maildomeinen
- Een contactpersoon voor de phishingcampagne (toestemming en configuratie)
- Een distributielijst voor de awareness vragenlijst
- Geen installatie van software, geen VPN toegang en geen aanpassingen aan de firewall nodig
Voor welke organisaties is de scan geschikt?
De Cyberweerbaar Scan is ontworpen voor organisaties in het MKB, van 5 tot 250 medewerkers. De scan is het meest waardevol voor organisaties die zich hierin herkennen:
Geen zicht op het aanvalsoppervlak
Geen actuele inventarisatie van domeinen, systemen of e-mailconfiguraties. Geen recente meting van kwetsbaarheden. Geen idee of bedrijfsgegevens voorkomen in bekende datalekken.
E-mail als primair communicatiemiddel
Fraude via e-mail is het meest directe risico voor het MKB. Zonder correcte DMARC policy is het domein eenvoudig te spoofen voor directiefraude of leveranciersfraude.
Geen actief bewustwordingsprogramma
Geen recente phishingtest, geen training in security awareness en geen actief gecommuniceerde meldprocedure voor verdachte e-mails.
Niet direct geschikt als:
Jouw organisatie al beschikt over een recente penetratietest (minder dan 6 maanden oud), een actief programma voor vulnerability management en een doorlopend awareness platform. In dat geval bieden wij aanvullende technische diensten die verder gaan dan de Cyberweerbaar Scan.
Digiweerbaar × KAM Groep, techniek én organisatie
De Cyberweerbaar Scan is het resultaat van een samenwerking tussen Digiweerbaar en KAM Groep. Wij leveren de technische meetcomponenten. KAM Groep verzorgt de organisatorische beoordeling, de eindrapportage en de presentatie aan het management.
Technische bevindingen hebben alleen waarde als ze worden vertaald naar beleid en concrete maatregelen. Een open poort is een technisch feit. Wat de organisatie daarmee moet doen, is een organisatorische beslissing. Wij meten de feiten. KAM Groep vertaalt ze naar actie.
| Onderdeel | Digiweerbaar | KAM Groep |
|---|---|---|
| Vulnerability scan | ✓ Uitvoering | Interpretatie |
| Phishing simulatie | ✓ Uitvoering en analyse | Contextduiding |
| Awareness vragenlijst | ✓ Uitvoering en analyse | ✓ Uitvoering |
| Interviews (NIS2 en ISO) | n.v.t. | ✓ Uitvoering |
| Technisch deelrapport | ✓ Opstellen | Integratie |
| Eindrapportage | Input | ✓ Opstellen |
| Managementpresentatie | n.v.t. | ✓ Uitvoering |
| Verbeterplan | Technische input | ✓ Opstellen |
Voor jou als klant is er één aanspreekpunt, via KAM Groep. Aparte contracten of contactmomenten met Digiweerbaar zijn niet nodig.
Technische vragen
De Cyberweerbaar Scan richt zich primair op extern bereikbare systemen en op de infrastructuur voor e-mail. Interne netwerkscans (achter de firewall) zijn beschikbaar als aanvullende dienst, maar vereisen VPN toegang of aanwezigheid op locatie.
Een penetratietest gaat verder. Daarbij wordt actief geprobeerd in te breken, worden kwetsbaarheden daadwerkelijk misbruikt en worden interne netwerken onderzocht. De Cyberweerbaar Scan is een brede, overwegend passieve meting van het aanvalsoppervlak. Breder in scope, maar minder diep. Ideaal als startpunt. Een penetratietest is een logische vervolgstap.
Nee. We gebruiken scantechnieken die gericht zijn op het verzamelen van informatie, niet op misbruik. Er worden geen payloads uitgevoerd op productiesystemen. In meer dan vijf jaar hebben we nog nooit een productiestoring veroorzaakt.
We stemmen het scenario en de timing af met de contactpersoon. Na afloop communiceren we direct met alle medewerkers, ook met wie niet klikte, zodat het leermoment voor iedereen duidelijk is. De educatieve opvolging is een vast onderdeel van de simulatie.
De vragenlijst wordt anoniem afgenomen. We rapporteren uitsluitend op het niveau van groepen en afdelingen, nooit op individueel niveau. De verwerking voldoet aan de AVG en een verwerkersovereenkomst wordt standaard afgesloten.
Alle ruwe scandata en resultaten van de vragenlijst worden na oplevering van het rapport verwijderd volgens onze retentieprocedure, uiterlijk 30 dagen na de rapportage. We bewaren geen klantdata langer dan noodzakelijk.
Ja. De technische componenten zijn ook afzonderlijk beschikbaar. Neem contact met ons op voor de mogelijkheden. De Cyberweerbaar Scan als totaalpakket, inclusief de organisatorische beoordeling door KAM Groep, is altijd de meest volledige optie.
Wil je weten wat aanvallers over jouw organisatie kunnen vinden?
Voor geïnteresseerde organisaties voeren we een gratis quickscan uit van de e-mailbeveiliging (SPF, DKIM en DMARC) en controleren we of jouw domeinen voorkomen in bekende datalekdatabases. Resultaat binnen 24 uur.
- Professionele tooling voor vulnerability scanning
- Phishingcampagnes voldoen aan de AVG, verwerkersovereenkomst standaard
- Geen verstoring van de productie
- Bevindingen geïntegreerd in de NIS2 rapportage van KAM Groep
- Voor het MKB van 5 tot 250 medewerkers