Welche Systeme können getestet werden?

Wir testen interne und externe Netzwerke, Webanwendungen, REST-APIs, E-Mail-Infrastruktur (Phishing-Simulationen) sowie spezifische Dienste und Protokolle nach vorheriger Absprache im Scoping.

Wie lange dauert ein Penetrationstest?

Die Dauer hängt vom Scope ab. Ein einfacher Webanwendungstest dauert typischerweise 2–5 Tage. Ein umfassender Netzwerk-Pentest kann 1–3 Wochen beanspruchen, inklusive Reporting.

🔐 IT-Sicherheit & Ethical Hacking

Penetrationstests, die Ihre Angriffsfläche kennen

Marc Seeber (SBS-UG) führt autorisierte Angriffssimulationen auf Netzwerke, Webanwendungen und APIs durch — strukturiert, autorisiert und mit priorisierten Handlungsempfehlungen. So schließen Sie Lücken, bevor Angreifer sie finden.

Pentest anfragen Ablauf ansehen

Warum jetzt handeln

Was passiert, wenn Sicherheitslücken unentdeckt bleiben?

Moderne Unternehmensinfrastrukturen entstehen durch inkrementelle Wachstumsentscheidungen. Offene Ports, veraltete Bibliotheken, fehlende Netzwerksegmentierung oder unsichere Standard-Credentials akkumulieren sich zu einer realen Angriffsfläche — oft ohne dass IT-Teams davon wissen.

Ein Penetrationstest liefert kein theoretisches Risikomodell, sondern empirische Evidenz: welche Schwachstellen existieren, wie sie verkettbar sind und welche Schutzmaßnahmen sofortige Wirkung entfalten.

Gleichzeitig erfüllen Sie damit Compliance-Anforderungen aus NIS2, ISO 27001 und branchenspezifischen Regulierungen, die regelmäßige Sicherheitsüberprüfungen vorschreiben.

⚠️ Typische Angriffsvektoren, die wir aufdecken

SQL-Injection & Command Injection — Direkter Zugriff auf Datenbanken oder Betriebssysteme über ungefilterte Eingaben

Cross-Site Scripting (XSS) — Session-Hijacking und Credential-Diebstahl über manipulierte Ausgaben

Fehlkonfigurierte Dienste — Exponierte Admin-Interfaces, Default-Passwörter, offene Datenbankports

Schwache Authentifizierung — Fehlende MFA, unsichere Passwort-Richtlinien, kompromittierbare Session-Tokens

Privilege Escalation — Laterale Bewegung durch das Netz nach initialem Zugang

Leistungsumfang

Was umfasst unser Pentest-Angebot?

Jede Prüfung wird individuell auf Ihren Scope zugeschnitten. Die folgende Übersicht zeigt unsere Standardmodule:

🌐

Netzwerk-Penetrationstest

Systematische Analyse interner und externer Netzwerkinfrastruktur. Portscanning, Service-Enumeration, Protokollschwächen, Segmentierungslücken und laterale Bewegung.

Intern & Extern

🕸️

Webanwendungs-Test (OWASP Top 10)

Manuelle und automatisierte Prüfung von Webanwendungen und REST-APIs nach OWASP Top 10. SQL-Injection, XSS, CSRF, Broken Access Control, Security Misconfiguration.

OWASP Top 10

🎣

Phishing-Simulation & Social Engineering

Optionale Kampagnen zur Messung der Mitarbeiter-Awareness. Realistische Phishing-E-Mails, Klick-Tracking und Auswertung mit Schulungsempfehlungen.

Optional

📑

Security Reporting & Priorisierung

Strukturierter Abschlussbericht mit CVSS-Bewertung, Risiko-Priorisierung (Kritisch / Hoch / Mittel / Niedrig) und konkreten, umsetzbaren Maßnahmenempfehlungen.

CVSS v3.1

🔁

Retest / Nachtest

Nach Umsetzung der Maßnahmen prüfen wir auf Wunsch erneut die identifizierten Schwachstellen — um die Wirksamkeit der Fixes zu bestätigen und Lücken auszuschließen.

Optionale Folgestufe

🧑‍💼

Beratung & Handlungsempfehlungen

Abschlusspräsentation der Ergebnisse für technische und nicht-technische Stakeholder. Wir begleiten Sie bei der Priorisierung und der initialen Umsetzungsplanung.

Ergebnispräsentation

Unser Vorgehen

Wie läuft ein Penetrationstest ab?

Fünf strukturierte Phasen vom Erstkontakt bis zur Ergebnispräsentation — transparent und planbar.

Scoping & Kick-off

Gemeinsame Definition des Testumfangs: Welche Systeme, IP-Bereiche, Anwendungen und Zeitfenster sind Teil des Tests? Wir klären Berechtigungen, Eskalationspfade und Vertraulichkeitsvereinbarungen (NDA). Ergebnis: schriftliche Testvereinbarung.

Reconnaissance & Analyse

Passive und aktive Informationssammlung über den Zielbereich. OSINT, DNS-Enumeration, Service-Discovery und initiale Schwachstellenidentifikation. Kein aktiver Eingriff in Produktivsysteme ohne Absprache.

Testdurchführung (Exploitation)

Aktive Ausnutzung identifizierter Schwachstellen unter kontrollierten Bedingungen. Dokumentation jedes Schritts inklusive Beweise (Screenshots, Logs). Risikobasiertes Vorgehen — keine destruktiven Aktionen ohne explizite Freigabe.

Auswertung & Reporting

Konsolidierung aller Findings. Bewertung nach CVSS v3.1. Erstellung des Abschlussberichts mit Executive Summary (nicht-technisch), technischem Detail-Teil und priorisierten Maßnahmen.

Präsentation & Nachsorge

Vorstellung der Ergebnisse für Ihr Team. Beantwortung von Rückfragen. Optional: Retest nach Patch-Umsetzung zur finalen Bestätigung der Behebung kritischer Schwachstellen.

Häufige Fragen

FAQ: Penetrationstest

Was ist ein Penetrationstest und wozu dient er?

Ein Penetrationstest (kurz: Pentest) ist ein autorisierter, simulierter Cyberangriff. Ziel ist die empirische Aufdeckung von Sicherheitslücken in IT-Systemen, Netzwerken oder Webanwendungen — bevor echte Angreifer diese ausnutzen. Im Gegensatz zu Vulnerability Scans werden Schwachstellen dabei aktiv verifiziert und in Angriffsketten bewertet.

Welche Systeme können mit einem Pentest geprüft werden?

Wir prüfen interne und externe Netzwerke, Webanwendungen (inkl. REST-APIs, GraphQL), E-Mail-Infrastruktur, Cloud-Dienste (AWS, Azure, GCP) sowie spezifische Einzeldienste wie VPNs oder Remote-Desktop-Zugänge. Der konkrete Scope wird vorab im Scoping-Gespräch festgelegt.

Wie lange dauert ein Pentest?

Ein fokussierter Webanwendungstest dauert typischerweise 2–5 Arbeitstage (Durchführung) plus 1–2 Tage Reporting. Ein umfassender Infrastruktur-Pentest kann 1–3 Wochen beanspruchen. Wir kalkulieren den Aufwand transparent auf Basis des vereinbarten Scopes.

Was ist der Unterschied zwischen Black-, Grey- und White-Box-Test?

Bei einem Black-Box-Test hat der Prüfer keinerlei Vorabinformationen — er simuliert einen externen Angreifer. Beim Grey-Box-Test werden begrenzte Informationen (z.B. Nutzeraccounts) bereitgestellt. Der White-Box-Test (Full-Disclosure) erlaubt vollständigen Zugang zu Quellcode, Architektur und Konfigurationen und ist besonders gründlich und kosteneffizient.

Ist ein Pentest mit NIS2 oder ISO 27001 kompatibel?

Ja. Penetrationstests sind ein anerkanntes Instrument zur Erfüllung der Anforderungen der EU-Richtlinie NIS2 (Artikel 21), der ISO/IEC 27001 (Kontrolle A.12.6) sowie des BSI IT-Grundschutzes. Der Abschlussbericht ist so strukturiert, dass er direkt als Nachweisdokument für Audits verwendet werden kann.

Was ist der Unterschied zwischen einem Pentest und einem Vulnerability Scan?

Ein Vulnerability Scanner (z.B. Nessus, OpenVAS) findet bekannte Schwachstellen automatisch anhand von Signaturen — er prüft aber nicht, ob diese Schwachstellen wirklich ausnutzbar sind oder in einer Angriffskette kombiniert werden können. Ein Penetrationstest geht weiter: Der Prüfer verifiziert Schwachstellen manuell, versucht aktiv, Zugang zu erlangen, und bewertet den realen Schaden. Ein Scan liefert eine Liste, ein Pentest liefert empirische Evidenz.

Welche Informationen brauche ich, um ein Angebot anzufragen?

Für ein erstes Angebot reicht eine grobe Beschreibung: Welche Systeme sollen getestet werden (Webapplikation, Netzwerk, API)? Wie viele Anwendungen / IP-Bereiche ungefähr? Gibt es einen geplanten Zeitraum? Besteht ein regulatorischer Anlass (NIS2-Audit, ISO-27001-Zertifizierung)? Ich erstelle auf dieser Basis innerhalb von 48 Stunden ein transparentes Festpreisangebot — ohne versteckte Kosten.

Eigene Toolchain

Pentest Swiss Army Knife — entwickelt von SBS-UG

Für strukturierte Penetrationstests setzen wir auf ein intern entwickeltes Windows-Tool, das alle Phasen — von Reconnaissance über Web-App-Testing bis Defense-Checks — in einer Oberfläche vereint.

Nur für autorisierte Pentests · Kein Einsatz ohne schriftliche Genehmigung

Pentest Swiss Army Knife v4.0 v4.0 · Admin ✗ · Scapy ✓ · Ready

Recon & Enumeration

Netzwerk-Reconnaissance, Service-Detection, OS-Fingerprinting, WLAN-Scanner und Bluetooth-Recon.

Netzwerk-Scan OS-Fingerprinting WLAN-Scanner

Screenshot anklicken zum Vergrößern

Eigenentwicklung statt Blackbox: Das Pentest Swiss Army Knife wird intern von SBS-UG entwickelt und ausschließlich für autorisierte Sicherheitsüberprüfungen eingesetzt. Alle Testergebnisse werden vollständig dokumentiert und im Abschlussbericht mit CVSS-Bewertung ausgewiesen.

Ihr Mehrwert

Was Sie durch unseren Pentest gewinnen

🛡️

Reduziertes Risiko

Nachweisliche Reduktion der Angriffsfläche durch gezielte Behebung priorisierter Schwachstellen.

📋

Compliance-Nachweis

Dokumentierter Bericht für NIS2, ISO 27001, BSI IT-Grundschutz und Kundenaudits.

🎯

Priorisierte Maßnahmen

Kein Datenberg — klare Rangfolge: Was muss sofort, was kann mittelfristig behoben werden.

🤝

Vertrauen stärken

Gegenüber Kunden, Partnern und Versicherungen demonstrieren Sie aktiven Sicherheitsnachweis.

Transparenz

Was kostet ein Penetrationstest?

Die Kosten hängen direkt vom vereinbarten Scope ab. Hier sind realistische Orientierungswerte für die häufigsten Testarten:

Web-App Pentest

ab 1.500 €

Festpreis, abhängig vom Scope

✓ 1–3 Anwendungen / Endpunkte
✓ OWASP Top 10 Abdeckung
✓ CVSS-Bericht + Maßnahmen
✓ Durchführung 2–4 Tage

Bereit für Ihren Penetrationstest?

Schildern Sie uns Ihren Scope — wir erstellen Ihnen ein unverbindliches, transparentes Angebot innerhalb von 48 Stunden.

Anfrage stellen Zurück zur Startseite