Zum Hauptinhalt springen
KONTAKT
Web Application · API · Infrastructure

Penetrationstests
für Ihre Anwendungen

Wir identifizieren Sicherheitslücken in Ihren Webanwendungen und APIs, bevor sie zum Risiko werden. Methodisch, gründlich und mit klaren Handlungsempfehlungen.

Ein professioneller Penetrationstest simuliert reale Angriffsszenarien unter kontrollierten Bedingungen. Sie erhalten einen detaillierten Einblick in die Sicherheitslage Ihrer Systeme — und einen priorisierten Maßnahmenplan zur Behebung identifizierter Schwachstellen.

Unverbindlich anfragen Leistungsumfang
Grundlagen

Was ist ein Penetrationstest?

Ein Penetrationstest — kurz Pentest — ist eine kontrollierte Sicherheitsprüfung, bei der erfahrene Sicherheitsexperten Ihre Systeme mit denselben Methoden untersuchen, die auch echte Angreifer verwenden würden. Der entscheidende Unterschied: Wir tun dies in Ihrem Auftrag, unter definierten Rahmenbedingungen und mit dem Ziel, Schwachstellen zu identifizieren, bevor sie ausgenutzt werden.

Anders als ein automatisierter Vulnerability Scan geht ein professioneller Penetrationstest deutlich weiter: Unsere Tester analysieren die Geschäftslogik Ihrer Anwendung, verketten mehrere kleinere Schwachstellen zu kritischen Angriffspfaden und prüfen Bereiche, die Scanner prinzipbedingt nicht erfassen können — etwa Autorisierungsfehler, Session-Management oder komplexe Workflow-Manipulationen.

Das Ergebnis ist ein umfassender Bericht mit allen identifizierten Schwachstellen, deren Risikobewertung nach CVSS-Standard und konkreten, technisch umsetzbaren Handlungsempfehlungen. Sie erhalten damit eine fundierte Entscheidungsgrundlage für Ihre Sicherheitsinvestitionen.

Warum regelmäßige Pentests?

Ihre Anwendungen entwickeln sich kontinuierlich weiter — und mit jeder neuen Funktion können neue Schwachstellen entstehen. Regelmäßige Penetrationstests stellen sicher, dass Sie Sicherheitslücken frühzeitig erkennen und beheben, bevor sie zum Geschäftsrisiko werden. Viele Compliance-Frameworks wie PCI-DSS, ISO 27001 oder NIS-2 fordern zudem regelmäßige Sicherheitsprüfungen.

Pentest vs. Vulnerability Scan

Ein Vulnerability Scan ist ein automatisiertes Tool, das bekannte Schwachstellen in Minuten findet. Ein Penetrationstest ergänzt dies durch manuelle Expertise: Unsere Tester verstehen Ihre Anwendung, identifizieren Logikfehler und erstellen echte Proof-of-Concepts. Schätzungen zufolge finden Scanner nur etwa 20% der tatsächlichen Schwachstellen — den Rest entdeckt erst die manuelle Analyse.

Unser Leistungsumfang

Wir prüfen Ihre Webanwendungen und APIs systematisch auf Sicherheitslücken — orientiert an internationalen Standards und ergänzt durch unsere Erfahrung aus zahlreichen Projekten.

Web Application Testing

Umfassende Sicherheitsprüfung Ihrer Webanwendungen nach OWASP Web Security Testing Guide (WSTG). Wir analysieren sowohl die technische Implementierung als auch die Geschäftslogik Ihrer Anwendung.

  • Injection-Schwachstellen: SQL, NoSQL, Command, LDAP, Template Injection
  • Authentifizierung & Session-Management: Brute-Force, Session Fixation, Token-Sicherheit
  • Autorisierung: IDOR, Privilege Escalation, fehlende Funktionszugriffskontrollen
  • Client-Side Attacks: XSS (Stored, Reflected, DOM-based), CSRF, Clickjacking
  • Business Logic: Workflow-Bypasses, Preismanipulation, Race Conditions

API Security Testing

Spezialisierte Prüfung Ihrer REST- und GraphQL-APIs nach OWASP API Security Top 10. APIs sind heute das Rückgrat moderner Anwendungen — und ein beliebtes Angriffsziel.

  • Broken Object Level Authorization: Zugriff auf fremde Ressourcen über ID-Manipulation
  • Broken Authentication: JWT-Schwachstellen, Token-Leakage, fehlende Expiry
  • Excessive Data Exposure: Ungefilterte Datenrückgabe, Sensitive Data Leakage
  • Mass Assignment: Manipulation interner Objektattribute
  • Rate Limiting & Resource Management: DoS-Anfälligkeit, fehlende Throttling

Ergänzende Prüfbereiche

Konfiguration & Deployment

Security Headers, TLS-Konfiguration, Error Handling, Debug-Endpoints, Default Credentials

Datenschutz & Compliance

Personenbezogene Daten in Logs, fehlende Verschlüsselung, DSGVO-relevante Schwachstellen

Third-Party Komponenten

Bekannte CVEs in Frameworks und Libraries, veraltete Abhängigkeiten, Supply Chain Risiken

Server-Side Vulnerabilities

SSRF, XXE, Deserialization, Path Traversal, File Upload Schwachstellen

Unser Vorgehen

Wir arbeiten nach etablierten Standards wie OWASP WSTG und PTES. Unser strukturierter Prozess stellt sicher, dass Sie nachvollziehbare, reproduzierbare Ergebnisse erhalten.

1

Scoping

Definition des Testumfangs, Klärung von Zugängen, Abstimmung der Rules of Engagement und Testzeitfenster.

2

Reconnaissance

Analyse der Angriffsoberfläche, Technologie-Fingerprinting, Endpoint-Mapping, Identifikation von Entry Points.

3

Testing

Systematische Prüfung aller relevanten Schwachstellenkategorien. Kombination aus automatisierten Tools und manueller Analyse.

4

Analyse

Verifizierung aller Findings, Bewertung nach CVSS 4.0, Erstellung reproduzierbarer Proof-of-Concepts.

5

Reporting

Detaillierter Bericht mit Executive Summary und technischen Details. Persönliches Debriefing mit Ihrem Team.

B

Black Box

Test aus Angreiferperspektive ohne Vorwissen über die Anwendung. Simuliert einen externen Angreifer, der keine internen Informationen besitzt.

Geeignet für: Realistische Bedrohungssimulation, Compliance-Anforderungen

G

Grey Box

Empfohlen

Test mit Basisinformationen wie Testkonten und Dokumentation. Ermöglicht eine effiziente und gründliche Prüfung bei optimalem Zeit-Nutzen-Verhältnis.

Geeignet für: Die meisten Anwendungen, beste Balance aus Tiefe und Effizienz

W

White Box

Test mit vollständigem Zugang zu Quellcode, Architektur und Dokumentation. Ermöglicht die tiefgreifendste Analyse aller Sicherheitsaspekte.

Geeignet für: Sicherheitskritische Anwendungen, maximale Testabdeckung

Was Sie erhalten

Nach Abschluss des Penetrationstests erhalten Sie einen umfassenden Bericht, der sowohl für Ihr Management als auch für Ihr technisches Team aufbereitet ist.

Executive Summary

Für Geschäftsführung & Entscheider

Die Management-Zusammenfassung gibt Ihnen auf wenigen Seiten einen klaren Überblick über die Sicherheitslage Ihrer Anwendung — ohne technische Details, aber mit allen relevanten Informationen für fundierte Entscheidungen.

  • Gesamtrisikobewertung auf einen Blick
  • Geschäftliche Auswirkungen der Findings
  • Priorisierte Handlungsempfehlungen
  • Compliance-relevante Nachweise

Technischer Report

Für Entwickler & IT-Teams

Der technische Bericht enthält alle Details, die Ihr Entwicklerteam benötigt, um die identifizierten Schwachstellen zu verstehen und zu beheben — inklusive reproduzierbarer Proof-of-Concepts und konkreter Code-Beispiele.

  • Detaillierte Schwachstellenbeschreibung
  • HTTP-Requests, Responses & Screenshots
  • CVSS-Score und Risikobewertung
  • Konkrete Behebungsempfehlungen mit Code

Darüber hinaus erhalten Sie

Persönliches Debriefing

Vorstellung der Ergebnisse im Gespräch mit Ihrem Team, Beantwortung aller Fragen

Retest (optional)

Nach Behebung der Schwachstellen prüfen wir erneut und bestätigen die erfolgreiche Umsetzung

Support bei Rückfragen

Wir stehen für Nachfragen zur Verfügung und unterstützen bei der Priorisierung

Häufig gestellte Fragen

Antworten auf die wichtigsten Fragen rund um Penetrationstests

Was kostet ein Penetrationstest?

Die Kosten für einen Penetrationstest hängen primär vom Umfang und der Komplexität der zu prüfenden Anwendung ab. Relevante Faktoren sind unter anderem die Anzahl der Endpoints, die Komplexität der Geschäftslogik, der gewünschte Testansatz (Black/Grey/White Box) und zusätzliche Anforderungen wie API-Tests oder Compliance-Nachweise.

Für eine typische Webanwendung mittlerer Komplexität beginnen professionelle Penetrationstests im mittleren vierstelligen Bereich. Nach einem unverbindlichen Scoping-Gespräch erhalten Sie von uns ein transparentes Festpreisangebot.

Wichtig: Seien Sie skeptisch bei Angeboten unter 3.000€ — dies sind in der Regel rein automatisierte Scans ohne echte manuelle Expertise, die nur einen Bruchteil der tatsächlichen Schwachstellen identifizieren.

Wie lange dauert ein Penetrationstest?

Die Testdauer richtet sich nach dem vereinbarten Scope. Für eine Webanwendung mittlerer Komplexität sollten Sie mit 5-10 Testtagen rechnen. Komplexere Anwendungen mit umfangreichen APIs, mehreren Benutzerrollen oder speziellen Anforderungen können mehr Zeit erfordern.

Hinzu kommt Zeit für die Berichterstellung (typischerweise 3-5 Werktage nach Testabschluss) sowie das Debriefing-Gespräch. Vom Projektstart bis zur Berichtsübergabe vergehen bei den meisten Projekten 2-4 Wochen.

Beeinträchtigt der Test unsere Produktivsysteme?

Wir empfehlen nach Möglichkeit Tests auf einer Staging- oder Testumgebung durchzuführen, die Ihrer Produktivumgebung entspricht. Dies ermöglicht uns, auch invasivere Tests durchzuführen, ohne Ihr Live-System zu gefährden.

Falls Tests auf dem Produktivsystem erforderlich sind, führen wir diese kontrolliert durch: Wir vermeiden destruktive Aktionen, stimmen kritische Tests vorher mit Ihnen ab und können Testzeitfenster vereinbaren (z.B. außerhalb der Hauptgeschäftszeiten).

Denial-of-Service-Tests führen wir ausschließlich nach expliziter Vereinbarung in abgestimmten Zeitfenstern durch.

Welche Informationen benötigen Sie von uns?

Die benötigten Informationen hängen vom gewählten Testansatz ab:

Für Black Box Tests: URL der Anwendung, ggf. erlaubte IP-Bereiche, Ansprechpartner für Notfälle.

Für Grey Box Tests (empfohlen): Zusätzlich Testkonten für verschiedene Benutzerrollen, API-Dokumentation falls vorhanden, Informationen zu besonderen Funktionen.

Für White Box Tests: Zusätzlich Zugang zum Quellcode, Architekturdiagramme, Deployment-Dokumentation.

Wie gehen Sie mit kritischen Schwachstellen um?

Bei kritischen Schwachstellen, die ein unmittelbares Risiko darstellen, informieren wir Sie sofort — nicht erst im Abschlussbericht. Sie erhalten eine kurze Beschreibung des Problems und erste Empfehlungen zur Mitigation, damit Sie umgehend reagieren können.

Diese Vorgehensweise ist Teil unserer Rules of Engagement, die wir vor Testbeginn mit Ihnen abstimmen.

Erfüllt ein Penetrationstest Compliance-Anforderungen?

Ja, regelmäßige Penetrationstests sind Bestandteil vieler Compliance-Frameworks:

PCI-DSS: Fordert jährliche Penetrationstests für Unternehmen, die Kreditkartendaten verarbeiten.

ISO 27001: Empfiehlt regelmäßige technische Sicherheitsprüfungen als Teil des ISMS.

NIS-2: Fordert angemessene Maßnahmen zum Risikomanagement, wozu auch Sicherheitstests gehören.

Unsere Berichte sind so aufgebaut, dass sie als Compliance-Nachweis verwendet werden können. Auf Wunsch passen wir das Reporting an spezifische Anforderungen an.

Bereit für Ihren Pentest?

Lassen Sie uns in einem unverbindlichen Gespräch den Scope definieren. Sie erhalten eine transparente Aufwandsschätzung.

Kontakt

[email protected]
Antwort innerhalb von 24h

So geht es weiter:

1 Scoping-Call (30 Min.)
2 Angebot & Timeline
3 Testdurchführung
4 Report & Debriefing