PENETRATIONSTESTS
Penetrationstests, die zeigen, wo Ihr Unternehmen wirklich angreifbar ist
Manuelle Penetrationstests nach PTES und OWASP, durchgeführt von Pentestern mit OSCP- und OSEP-Zertifizierung. Sie erhalten einen Bericht mit Nachweisen, Risikoprioritäten und einer konkreten Maßnahmenliste, plus Retest nach der Behebung.
WARUM ES WICHTIG IST
Ein Scanner zeigt Bekanntes. Angreifer suchen das, was er nicht sieht
Ein automatischer Scan findet, was bereits eine Signatur hat. Echte Einbrüche laufen über Geschäftslogikfehler, Berechtigungsketten und Konfigurationen, die kein Scanner zu einem Pfad zusammensetzt. Genau das testen wir von Hand.
Ein Beispiel aus der Praxis: Eine einzige API-Lücke erlaubte es, Daten anderer Kunden abzurufen. Unbehoben bedeutet das Datenabfluss, ein DSGVO-Bußgeld und eine Meldepflicht. Der Scanner meldete diesen Endpoint als in Ordnung.
TESTARTEN
Black-Box, Grey-Box, White-Box. Drei Wissensstufen, drei Perspektiven
Das Testmodell hängt davon ab, wie viel Wissen über das System Sie dem Team geben. Jedes spiegelt einen anderen Angreifertyp wider und liefert eine andere Abdeckungstiefe. Wir wählen es nach Testziel und Zeitbudget.
Der Pentester erhält kein Wissen über das System und agiert wie ein Angreifer von außen. Das kommt einem echten Einbruch aus dem Internet am nächsten, braucht aber mehr Zeit.
Das Team erhält begrenzten Zugriff, etwa ein Nutzerkonto. Das verbindet Realismus mit Effizienz und erlaubt es, Berechtigungen und Rechteausweitung zu testen.
Der Pentester erhält vollständige Dokumentation und oft den Quellcode. Das ermöglicht die tiefste Analyse und findet die maximale Zahl an Schwachstellen in kürzester Zeit.
WAS SIE ERHALTEN
Ein Bericht, mit dem Ihr Team am Montag handeln kann
Den Umfang stimmen wir auf Ihre Umgebung ab. Im Anschluss finden Sie die vollständige Liste der Testarten.
UNSER ANSATZ
Manuelle Tests durch erfahrene, zertifizierte Pentester, kein automatischer Scan
Einen Scanner kann jeder starten. Der Wert eines Pentests ist ein Mensch, der scheinbar kleine Fehler zu einem echten Angriffspfad verbindet und ihn mit einem funktionierenden Exploit beweist. Deshalb führen erfahrene Pentester, deren Zertifizierungen ihre Kompetenz belegen, jedes Projekt durch, keine Tool-Konsole.
Wir arbeiten nach PTES und OWASP, daher ist das Ergebnis wiederholbar und vergleichbar. Wir dokumentieren nicht nur, was wir gefunden haben, sondern wie wir es genutzt haben und was es fürs Geschäft bedeutet. Ohne diesen zweiten Teil ist ein Bericht nur eine Alarmliste.
COMPLIANCE
Ein Test, der das Audit der Aufsicht besteht
Penetrationstests sind ein ausdrücklich geforderter oder klar empfohlener Teil der Compliance. Wir liefern einen Bericht, den Sie einem Auditor vorlegen können.
STANDARDS & ZERTIFIZIERUNGEN
Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl
Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.
Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.
SO GEHEN WIR VOR
Ein wiederholbarer Prozess nach PTES
PREISE
Individuell kalkuliert, ohne versteckte Posten
Wir kalkulieren einen Test nach Umfang, denn jede Umgebung ist anders. Nach einem kurzen Gespräch erhalten Sie ein konkretes, unverbindliches Angebot, meist innerhalb von 24 Stunden.
NACHWEISE
Zahlen hinter jedem Versprechen
Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.
TESTUMFANG
Wählen Sie den Bereich, den Sie prüfen möchten
Elf Arten von Penetrationstests, gruppiert nach Risikobereich. Jede verlinkt auf einen detaillierten Umfang.
WISSEN
Penetrationstests in der Praxis, Schritt für Schritt
Was ein Penetrationstest ist und was nicht
Ein Penetrationstest ist ein kontrollierter, autorisierter Angriff auf Ihr System, durchgeführt so, wie es ein echter Angreifer täte, aber in einem vereinbarten Umfang und vollständig dokumentiert. Das Ziel ist nicht nur eine Liste von Schwachstellen, sondern der Nachweis, was sich damit tatsächlich anstellen lässt: welche Daten erreichbar sind, welches Konto übernommen werden kann und wie weit ein Angreifer in die Infrastruktur vordringt.
Das unterscheidet einen Pentest von einem Schwachstellenscan. Ein Scanner vergleicht seine Funde mit einer Datenbank bekannter Signaturen und liefert eine Liste von Alarmen, oft mit vielen Fehlalarmen. Ein Pentester verifiziert jede Hypothese von Hand, führt einzeln harmlose Fehler zu einem Angriffspfad zusammen und bestätigt ihn mit einem funktionierenden Nachweis. Ein Scan kann Teil eines Tests sein, niemals ein Ersatz.
Wann ein Test sinnvoll ist
Der beste Zeitpunkt für einen Test ist kurz bevor ein System in den Produktivbetrieb geht, sowie nach jeder wesentlichen Änderung: einer neuen Funktion, einer Cloud-Migration, einer Architekturänderung oder einer Integration mit einem externen Anbieter. Jede davon schafft neue Angriffsfläche, die ein früherer Test nicht abgedeckt hat.
Unabhängig von Änderungen empfehlen wir mindestens einen jährlichen Zyklus, in Umgebungen mit hohem Risiko einen häufigeren. Ein Test wird zudem oft direkt von einer Regulierung oder von einem Geschäftspartner im Rahmen der Due Diligence verlangt. Nach einem Vorfall bestätigt ein separater Test nach der Behebung, dass die Lücke tatsächlich geschlossen und nicht nur umgangen wurde.
Was den Umfang bestimmt und wie wir die Regeln festlegen
Bevor wir beginnen, vereinbaren wir gemeinsam Umfang und Regeln des Tests, die Rules of Engagement: welche Systeme im Spiel sind, welche Techniken erlaubt sind, in welchen Zeitfenstern wir arbeiten und wer auf Ihrer Seite Ansprechpartner ist. So wissen Sie genau, was wann geschieht, und der Test stört den Produktivbetrieb nicht.
Den Umfang richten wir am realen Risiko aus, nicht an einer Preisliste. Eine öffentliche Webanwendung wird anders getestet als ein internes Active-Directory-Netzwerk und wiederum anders als eine OT-Umgebung, in der die Betriebskontinuität Vorrang hat. Die Wahl des Modells, von Black-Box bis White-Box, wirkt sich direkt auf die Abdeckungstiefe und die benötigte Zeit aus.
Wie man den Bericht liest und was danach zu tun ist
Wir liefern den Bericht in zwei Ebenen. Der technische Teil beschreibt jede Schwachstelle mit Nachweis, CVSS-Bewertung und Reproduktionsschritten, damit Ihr Team das Problem bestätigen und sofort mit der Behebung beginnen kann. Der Management-Teil erklärt das Risiko in der Sprache des Geschäfts, ohne Fachjargon, damit Prioritätsentscheidungen auf realer Auswirkung beruhen.
Das Wichtigste geschieht nach dem Versand des Berichts. Wir ordnen die Korrekturen nach tatsächlichem Risiko statt allein nach CVSS-Zahl, beantworten die Fragen Ihres Teams während der Behebung und führen nach der Umsetzung der Korrekturen einen Retest durch und bestätigen schriftlich, dass die Lücke geschlossen ist. Ohne diesen Schritt bleibt der Bericht nur ein Dokument.
Penetrationstests und regulatorische Compliance
Für zunehmend viele Unternehmen ist der Penetrationstest von einer guten Praxis zur Pflicht geworden. DORA verlangt regelmäßige Tests der digitalen Widerstandsfähigkeit von Finanzunternehmen, NIS2 legt wesentlichen und wichtigen Einrichtungen Pflichten zu Risikomanagement und Sicherheitstests auf, und das polnische NIS-Gesetz (KSC) erfasst Betreiber wesentlicher Dienste und öffentliche Stellen.
Wir erstellen unsere Berichte so, dass sie direkt einem Auditor vorgelegt und konkreten Anforderungen zugeordnet werden können, einschließlich der Maßnahmen aus Anhang A der ISO 27001. Ein Test liefert den Nachweis, dass die deklarierten Maßnahmen tatsächlich wirken, was das spätere Compliance-Audit verkürzt und vereinfacht.
FAQ
Die häufigsten Fragen
Wie unterscheidet sich ein Pentest von einem Schwachstellenscan?
Und wie unterscheidet er sich von einem Sicherheitsaudit?
Wie lange dauert ein Pentest?
Wie oft sollten Tests durchgeführt werden?
Wie unterscheidet sich ein Pentest von Ethical Hacking?
Stört der Test den Produktivbetrieb?
Wer führt die Tests durch?
Was erhalten Sie nach dem Test?
VERWANDT
Verwandte Beiträge
- Was kostet ein Penetrationstest? Woraus sich der Preis zusammensetzt und worauf Sie achten sollten
- Penetrationstest oder Schwachstellenanalyse: worin sie sich unterscheiden
- Der Umfang eines Penetrationstests: die eine Seite, die entscheidet, ob der Test sein Geld wert war
- Umfang eines Penetrationstests
- Warum CVSS-Werte oft die tatsächliche Bedrohung verfehlen
REFERENZEN
Referenzen in diesem Bereich
REFERENZEN
“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”
















