Welche Systeme können getestet werden?

Wir testen interne und externe Netzwerke, Webanwendungen, REST-APIs, E-Mail-Infrastruktur (Phishing-Simulationen) sowie spezifische Dienste und Protokolle nach vorheriger Absprache im Scoping.

Wie lange dauert ein Penetrationstest?

Die Dauer hängt vom Scope ab. Ein einfacher Webanwendungstest dauert typischerweise 2–5 Tage. Ein umfassender Netzwerk-Pentest kann 1–3 Wochen beanspruchen, inklusive Reporting.

🔐 IT-Sicherheit & Ethical Hacking

Penetrationstests, die Ihre Angriffsfläche kennen

Wir simulieren echte Angriffe auf Netzwerke, Webanwendungen und APIs — strukturiert, autorisiert und mit priorisierten Handlungsempfehlungen. So schließen Sie Lücken, bevor Angreifer sie finden.

Pentest anfragen Ablauf ansehen

Warum jetzt handeln

Was passiert, wenn Sicherheitslücken unentdeckt bleiben?

Moderne Unternehmensinfrastrukturen entstehen durch inkrementelle Wachstumsentscheidungen. Offene Ports, veraltete Bibliotheken, fehlende Netzwerksegmentierung oder unsichere Standard-Credentials akkumulieren sich zu einer realen Angriffsfläche — oft ohne dass IT-Teams davon wissen.

Ein Penetrationstest liefert kein theoretisches Risikomodell, sondern empirische Evidenz: welche Schwachstellen existieren, wie sie verkettbar sind und welche Schutzmaßnahmen sofortige Wirkung entfalten.

Gleichzeitig erfüllen Sie damit Compliance-Anforderungen aus NIS2, ISO 27001 und branchenspezifischen Regulierungen, die regelmäßige Sicherheitsüberprüfungen vorschreiben.

⚠️ Typische Angriffsvektoren, die wir aufdecken

SQL-Injection & Command Injection — Direkter Zugriff auf Datenbanken oder Betriebssysteme über ungefilterte Eingaben

Cross-Site Scripting (XSS) — Session-Hijacking und Credential-Diebstahl über manipulierte Ausgaben

Fehlkonfigurierte Dienste — Exponierte Admin-Interfaces, Default-Passwörter, offene Datenbankports

Schwache Authentifizierung — Fehlende MFA, unsichere Passwort-Richtlinien, kompromittierbare Session-Tokens

Privilege Escalation — Laterale Bewegung durch das Netz nach initialem Zugang

Leistungsumfang

Was umfasst unser Pentest-Angebot?

Jede Prüfung wird individuell auf Ihren Scope zugeschnitten. Die folgende Übersicht zeigt unsere Standardmodule:

🌐

Netzwerk-Penetrationstest

Systematische Analyse interner und externer Netzwerkinfrastruktur. Portscanning, Service-Enumeration, Protokollschwächen, Segmentierungslücken und laterale Bewegung.

Intern & Extern

🕸️

Webanwendungs-Test (OWASP Top 10)

Manuelle und automatisierte Prüfung von Webanwendungen und REST-APIs nach OWASP Top 10. SQL-Injection, XSS, CSRF, Broken Access Control, Security Misconfiguration.

OWASP Top 10

🎣

Phishing-Simulation & Social Engineering

Optionale Kampagnen zur Messung der Mitarbeiter-Awareness. Realistische Phishing-E-Mails, Klick-Tracking und Auswertung mit Schulungsempfehlungen.

Optional

📑

Security Reporting & Priorisierung

Strukturierter Abschlussbericht mit CVSS-Bewertung, Risiko-Priorisierung (Kritisch / Hoch / Mittel / Niedrig) und konkreten, umsetzbaren Maßnahmenempfehlungen.

CVSS v3.1

🔁

Retest / Nachtest

Nach Umsetzung der Maßnahmen prüfen wir auf Wunsch erneut die identifizierten Schwachstellen — um die Wirksamkeit der Fixes zu bestätigen und Lücken auszuschließen.

Optionale Folgestufe

🧑‍💼

Beratung & Handlungsempfehlungen

Abschlusspräsentation der Ergebnisse für technische und nicht-technische Stakeholder. Wir begleiten Sie bei der Priorisierung und der initialen Umsetzungsplanung.

Ergebnispräsentation

Unser Vorgehen

Wie läuft ein Penetrationstest ab?

Fünf strukturierte Phasen vom Erstkontakt bis zur Ergebnispräsentation — transparent und planbar.

Scoping & Kick-off

Gemeinsame Definition des Testumfangs: Welche Systeme, IP-Bereiche, Anwendungen und Zeitfenster sind Teil des Tests? Wir klären Berechtigungen, Eskalationspfade und Vertraulichkeitsvereinbarungen (NDA). Ergebnis: schriftliche Testvereinbarung.

Reconnaissance & Analyse

Passive und aktive Informationssammlung über den Zielbereich. OSINT, DNS-Enumeration, Service-Discovery und initiale Schwachstellenidentifikation. Kein aktiver Eingriff in Produktivsysteme ohne Absprache.

Testdurchführung (Exploitation)

Aktive Ausnutzung identifizierter Schwachstellen unter kontrollierten Bedingungen. Dokumentation jedes Schritts inklusive Beweise (Screenshots, Logs). Risikobasiertes Vorgehen — keine destruktiven Aktionen ohne explizite Freigabe.

Auswertung & Reporting

Konsolidierung aller Findings. Bewertung nach CVSS v3.1. Erstellung des Abschlussberichts mit Executive Summary (nicht-technisch), technischem Detail-Teil und priorisierten Maßnahmen.

Präsentation & Nachsorge

Vorstellung der Ergebnisse für Ihr Team. Beantwortung von Rückfragen. Optional: Retest nach Patch-Umsetzung zur finalen Bestätigung der Behebung kritischer Schwachstellen.

Häufige Fragen

FAQ: Penetrationstest

Was ist ein Penetrationstest und wozu dient er?

Ein Penetrationstest (kurz: Pentest) ist ein autorisierter, simulierter Cyberangriff. Ziel ist die empirische Aufdeckung von Sicherheitslücken in IT-Systemen, Netzwerken oder Webanwendungen — bevor echte Angreifer diese ausnutzen. Im Gegensatz zu Vulnerability Scans werden Schwachstellen dabei aktiv verifiziert und in Angriffsketten bewertet.

Welche Systeme können mit einem Pentest geprüft werden?

Wir prüfen interne und externe Netzwerke, Webanwendungen (inkl. REST-APIs, GraphQL), E-Mail-Infrastruktur, Cloud-Dienste (AWS, Azure, GCP) sowie spezifische Einzeldienste wie VPNs oder Remote-Desktop-Zugänge. Der konkrete Scope wird vorab im Scoping-Gespräch festgelegt.

Wie lange dauert ein Pentest?

Ein fokussierter Webanwendungstest dauert typischerweise 2–5 Arbeitstage (Durchführung) plus 1–2 Tage Reporting. Ein umfassender Infrastruktur-Pentest kann 1–3 Wochen beanspruchen. Wir kalkulieren den Aufwand transparent auf Basis des vereinbarten Scopes.

Was ist der Unterschied zwischen Black-, Grey- und White-Box-Test?

Bei einem Black-Box-Test hat der Prüfer keinerlei Vorabinformationen — er simuliert einen externen Angreifer. Beim Grey-Box-Test werden begrenzte Informationen (z.B. Nutzeraccounts) bereitgestellt. Der White-Box-Test (Full-Disclosure) erlaubt vollständigen Zugang zu Quellcode, Architektur und Konfigurationen und ist besonders gründlich und kosteneffizient.

Ist ein Pentest mit NIS2 oder ISO 27001 kompatibel?

Ja. Penetrationstests sind ein anerkanntes Instrument zur Erfüllung der Anforderungen der EU-Richtlinie NIS2 (Artikel 21), der ISO/IEC 27001 (Kontrolle A.12.6) sowie des BSI IT-Grundschutzes. Unser Abschlussbericht ist so strukturiert, dass er direkt als Nachweisdokument für Audits verwendet werden kann.

Ihr Mehrwert

Was Sie durch unseren Pentest gewinnen

🛡️

Reduziertes Risiko

Nachweisliche Reduktion der Angriffsfläche durch gezielte Behebung priorisierter Schwachstellen.

📋

Compliance-Nachweis

Dokumentierter Bericht für NIS2, ISO 27001, BSI IT-Grundschutz und Kundenaudits.

🎯

Priorisierte Maßnahmen

Kein Datenberg — klare Rangfolge: Was muss sofort, was kann mittelfristig behoben werden.

🤝

Vertrauen stärken

Gegenüber Kunden, Partnern und Versicherungen demonstrieren Sie aktiven Sicherheitsnachweis.

Jetzt anfragen

Bereit für Ihren Penetrationstest?

Schildern Sie uns Ihren Scope — wir erstellen Ihnen ein unverbindliches, transparentes Angebot innerhalb von 48 Stunden.

Anfrage stellen Zurück zur Startseite