Sie verteilen realistisch wirkende Köder in Ihrem Netzwerk. Ein Dokument namens Gehälter 2025, eine gefälschte VPN-Verknüpfung, ein Tracking-Pixel in einer ausgehenden E-Mail. Niemand in Ihrem Team hat einen Grund, sie zu berühren. In dem Moment, in dem einer geöffnet wird, trifft eine Warnung ein mit der IP, dem Standort und dem Gerät, das es getan hat.
Wählen Sie ein Dokument, einen Tracking-Pixel, eine gefälschte Anmeldeseite, eine Windows-Verknüpfung, einen QR-Code oder einen anderen Ködertyp. Legen Sie ihn auf der Dateifreigabe ab, in einer ausgehenden E-Mail, im Firmenwiki oder auf einem Desktop. Keine Agenten zu installieren.
Die Datei öffnet sich normal und sieht aus wie ein gewöhnliches Dokument. Es gibt kein Pop-up, keine Warnung, keinen sichtbaren Hinweis. Ein stiller Rückruf wird vom Köder zu Hacked ausgelöst, sobald er gerendert wird.
Jede Warnung enthält die IP, das Land und die Stadt, die ASN, das Betriebssystem, den Geräte-Fingerabdruck sowie eine Markierung für VPN oder Proxy. Zustellung per E-Mail, Slack, Microsoft Teams oder über einen Webhook an Ihr SIEM.
Die Warnung nennt die IP, die die Datei geöffnet hat, das Betriebssystem und die verwendete Office-Version. Ob die IP zu einer ehemaligen Mitarbeiterin, einem Auftragnehmer oder einem Angreifer gehört, der über gestohlene Zugangsdaten hereingekommen ist: Sie wissen es jetzt innerhalb der Minute.
Der Köder war für das Build-Team gekennzeichnet. Er wurde von einem Finanz-Laptop aus geöffnet, auf dem eine Outlook-Sitzung 10 Minuten vor der Warnung gestartet wurde. Diese Kombination ist ein Signal, das einen Anruf wert ist, und die Warnung sagt Ihnen, welches Gerät Sie zuerst aufnehmen sollten.
Die Warnung sagt Ihnen in einer Zeile, welche Datei, welche IP, welches Betriebssystem und die Geolokalisierung. Die Kombination aus Zeitpunkt ausserhalb der Geschäftszeiten und einem unbekannten Gerät verdient einen Anruf vor dem Morgen.
Der Köder lag auf einem freigegebenen Laufwerk und die Köderkopie ist nun auf einem Laptop ausserhalb des Unternehmens. Die Warnung nennt das Land, die ASN und den Geräte-Fingerabdruck, sodass Sie wissen, wohin die Datei gegangen ist und wovon Sie ausgehen müssen, dass es mit ihr verschwunden ist. Der Köder stoppt die Exfiltration nicht, er sagt Ihnen, was entwendet wurde und wo es aufgetaucht ist.
OOXML-Template-Injection. Löst einen stillen Rückruf in dem Moment aus, in dem die Datei plattformübergreifend in Word geöffnet wird.
Derselbe Mechanismus, angewandt auf Tabellen. Die Datei öffnet sich normal und sieht aus wie ein echtes Dokument.
Ein kleines PDF, das auslöst, wenn es in Adobe Acrobat oder Foxit Reader geöffnet wird. Browser-PDF-Viewer laden den Rückruf nicht.
Eine .url Internet-Verknüpfung. Doppelklick im Explorer öffnet den Tracker, protokolliert den Besuch und leitet anschliessend an ein realistisches Köderziel weiter, das Sie auswählen.
Eine kleine SVG mit einer externen Bildreferenz. Löst aus, wenn sie im Browser gerendert, in ein Office-Dokument eingebettet, von einem Wiki vorab angezeigt oder von einem Link-Bot entfaltet wird.
Ein 1x1 transparentes Bild plus ein HTML-Schnipsel für eine ausgehende E-Mail. Löst aus, wenn die Nachricht in einem Client gelesen wird, der entfernte Bilder lädt.
Eine getrackte Bild-URL für SharePoint, Confluence, Notion, OneNote, Teams oder Slack. Löst beim Rendern aus, auch durch Link-Unfurl-Bots.
Eine gehostete gefälschte Anmeldeseite auf hacked.endolum.io. Löst beim Seitenaufruf aus und erneut beim Übermitteln von Zugangsdaten. Nützlich, um Phishing-Vorbereitungen gegen Ihre Marke zu erkennen.
Ein Tracker-Link, den Sie in E-Mails, Chatnachrichten oder Dokumente einfügen. Der Klick wird protokolliert und dann per 302 an eine Ziel-URL weitergeleitet, die Sie auswählen.
Ein druckbarer PNG-QR-Code, der eine Tracker-URL kodiert. Verwenden Sie ihn auf Rechnungsfusszeilen, Türplakaten oder Papierdokumenten. Das Scannen protokolliert das Ereignis und kann an eine Landingpage weiterleiten, die Sie auswählen.
Alle 10 Typen sind heute im Dashboard aktiv. Die kostenlose Stufe akzeptiert die voreingestellten Standarddateinamen. Der Business-Plan akzeptiert beliebige eigene Dateinamen, eigene hochgeladene Vorlagen und eigene Weiterleitungsziele.
Keine Karte und keine Verpflichtung zum Start.
CHF 1'910 pro Workspace und Jahr. Sparen Sie 20 Prozent und kündigen Sie zum nächsten Monatszyklus.
Sie legen Dateien und Tracker auf Ihren eigenen Systemen ab und überwachen den Zugriff darauf. Die Technik ist weltweit gängige Praxis bei Sicherheitsteams und nach Schweizer und EU-Recht vollständig legal.
Jeder Köder rendert wie das Original. Ein Dokument öffnet sich wie ein echtes Dokument, eine Anmeldeseite sieht aus wie die echte Anmeldeseite, ein QR-Code löst sich zu einem plausiblen Ziel auf. Das Tracking läuft still im Hintergrund. Kein Pop-up, keine Warnung, kein sichtbarer Hinweis.
Sie erstellen einen Köder im Dashboard, laden ihn herunter oder kopieren die Tracker-URL und legen ihn dort ab, wohin er gehört. Es gibt keine Agenten, keine zu installierende Software und keine Konfiguration, die auf Endgeräte ausgerollt werden muss.
Verwenden Sie Einsatzzonen, um genehmigte Zugriffe zu kennzeichnen. Jede Warnung kommt mit der Quell-IP, der ASN und dem Geräte-Fingerabdruck, sodass die Triage Sekunden dauert. Der Business-Plan kennzeichnet zusätzlich VPN- und Proxy-Verkehr separat.
VPN-, Proxy- und Tor-Exit-Erkennung sind in jeder Business-Warnung enthalten. Das Dashboard zeigt die Original-IP und die ASN und kennzeichnet Verkehr von bekannten kommerziellen VPN-Anbietern. Fehlalarme aus legitimer Remote-Arbeit werden reduziert, ohne dass echte Signale verloren gehen.
Die Plattform läuft in Frankfurt auf verschlüsselten Volumes. Es gilt Schweizer Gerichtsstand. Warndaten der kostenlosen Stufe werden 30 Tage aufbewahrt. Warndaten des Business-Plans werden 1 Jahr aufbewahrt.
Der Business-Plan liefert eine REST-API mit Schlüsseln im Format `eh_` sowie Webhook-Zustellung an Slack, Microsoft Teams und jeden eigenen Endpunkt, der JSON akzeptiert. CSV- und JSON-Export sind für die Offline-Analyse verfügbar.