Ein Penetration Test simuliert reale Angriffe auf IT-Systeme, um Schwachstellen aufzudecken, bevor Angreifer sie ausnutzen können. Er bietet Ihnen eine:

Erhöhung der Sicherheit: Die in unserem Testbericht zusammengefassten Ergebnisse sind leicht für ihre IT-Teams zu interpretieren. Sie erhalten eine nach Schweregrad geordnete Liste von Schwachstellen, sowie eine Analyse der zugrunde liegenden Probleme, um Maßnahmen auf technischer und konzeptioneller Ebene abzuleiten. Dies erleichtert Ihrem IT-Team die Prioritätensetzung und die Umsetzung sowohl spezifischer als auch struktureller Verbesserungen.

Stärkung des Vertrauens von Kunden, Partnern und Lieferanten: Viele Anwendungen sind kundenorientiert, sodass sich die Erhöhung ihrer Sicherheit direkt positiv auf den Datenschutz und damit auf das Vertrauen der Kunden auswirkt. Darüber hinaus zeigen Sie Ihren Partnern und Lieferanten, dass Sie ihre IT-Sicherheit ernst nehmen und Maßnahmen zur Sicherung Ihrer Geschäftsaktivitäten ergreifen.

Erfüllung gesetzlicher Anforderungen: Viele Branchen und Datenschutzgesetze verlangen die unabhängige Überprüfung von Sicherheitsmaßnahmen. Mit der Durchführung von Penetrationstests und Sicherheitsaudits verbessern Sie nicht nur Ihre Sicherheit, sondern machen auch einen wichtigen Schritt zur Einhaltung von Vorschriften wie der Datenschutz-Grundverordnung der Europäischen Union.

Threat Modeling und Penetrationstests ergänzen sich und bilden gemeinsam eine ganzheitliche Sicherheitsstrategie. Während beim Threat Modeling potenzielle Bedrohungen, Angriffsflächen und kritische Assets systematisch identifiziert und priorisiert werden, überprüft ein Penetrationstest praktisch, ob und wie diese Schwachstellen tatsächlich ausnutzbar sind.

Das Threat Modeling dient dabei oft als Grundlage für einen gezielten Penetrationstest: Es hilft, die Tests auf besonders risikoreiche Bereiche zu fokussieren und effizienter zu gestalten. Umgekehrt liefern die Ergebnisse eines Penetrationstests wertvolle Erkenntnisse, um das Threat Modeling kontinuierlich zu verfeinern und realistischer abzubilden.

Unternehmen mit hohen Compliance-Anforderungen (Gesundheitswesen, Finanzwesen), technologieorientierte Unternehmen (Software, E-Commerce) und Organisationen mit kritischen Infrastrukturen profitieren besonders von Sicherheitsaudits.

Darüber hinaus sollten alle Unternehmen, die mit sensiblen Daten oder Informationen von Kunden, Lieferanten oder anderen Dritten arbeiten, regelmäßig Penetrationstests durchführen.

Die Häufigkeit und der optimale Zeitpunkt eines Penetrationstests hängen von der Komplexität Ihrer Systeme, sowie von Ihren individuellen Risikofaktoren ab. Grundsätzlich lassen sich die Empfehlungen wie folgt zusammenfassen:

• Regelmäßige Intervalle: Wir empfehlen, mindestens einmal pro Jahr einen Penetrationstest durchzuführen. Da sich die Cybersicherheitslandschaft ständig weiterentwickelt, stellen regelmäßige Bewertungen sicher, dass Ihre Systeme auf dem neusten Stand und gegen aktuelle Bedrohungen geschützt sind. In risikoreichen Branchen oder bei spezifischen Compliance-Anforderungen kann es erforderlich sein, Tests in kürzeren Intervallen durchzuführen.
• Strategischer Zeitpunkt: Idealerweise sollte ein Penetrationstest so früh wie möglich im Entwicklungsprozess stattfinden. Durch diesen proaktiven Ansatz können Schwachstellen identifiziert werden, bevor sie zu einem späteren Zeitpunkt kostspielige Korrekturen verursachen.
• Anlassbezogene Durchführung: Unabhängig vom regulären Turnus sollte ein Test immer dann erfolgen, wenn signifikante Änderungen an Ihrer IT-Landschaft vorgenommen werden. Maßgebliche Faktoren sind hierbei:
  • Die Häufigkeit größerer Codeänderungen
  • Die Integration und Art neuer Funktionen
  • Die Bereitstellung neuer Infrastrukturkomponenten oder größerer Systemupdates

Zusammenfassend hängt der perfekte Zeitplan von der Art des Produkts, seinem Entwicklungszyklus und den gesetzlichen Anforderungen ab. Wir unterstützen Sie gerne dabei, den für Ihr spezifisches Projekt am besten geeigneten Zeitplan zu ermitteln.

Ja, professionelle Angriffe bleiben oft lange unentdeckt. Ein Penetrationstest wirkt präventiv - Er deckt Lücken auf, bevor diese missbraucht werden, und stärkt somit das Vertrauen von Kunden, Partnern und Lieferanten in Ihre digitale Infrastruktur.

Wir führen zielgerichtete Black-Box- und Grey-Box-Penetrationstests durch. Dabei simulieren wir realistische Angriffsszenarien mit unterschiedlichem Kenntnisstand, von externen Angreifern ohne Vorwissen bis hin zu internen Akteuren mit eingeschränktem Zugriff. Unsere Tests kombinieren automatisierte Verfahren mit manuellen, tiefgehenden Analysen, um sowohl bekannte als auch komplexe, geschäftskritische Schwachstellen zu identifizieren.

Wir simulieren sowohl externe Angriffe über das Internet als auch interne Angriffsszenarien innerhalb von Unternehmensnetzwerken (z. B. ausgehend von kompromittierten Endgeräten oder Benutzerkonten).

Aktuelle decken wir folgende Zielsysteme ab:

• Webanwendungen
• Server (Linux und Windows)
• APIs (REST, GraphQL)
• Mobile Anwendungen (Android)

Wir arbeiten an der Entwicklung von dezidierten Penetrationstests für KI-Systeme und Chatbots.

Eine nachträgliche Erweiterung des Testumfangs ist grundsätzlich möglich und wird im Rahmen einer zusätzlichen Vereinbarung festgelegt.

Der Ablauf unserer Penetrationstests orientiert sich am international anerkannten Penetration Testing Execution Standard (PTES) und umfasst die Festlegung des Testumfangs (Pre-engagement Interactions), die Informationssammlung über die Anwendung oder Test-Ziele (Intelligence Gathering), die Identifikation und die Ausnutzung von Schwachstellen (Vulnerability Analysis & Exploitation), sowie die Dokumentation der Ergebnisse inkl. Abschlussbesprechung (Reporting).  Bei Bedarf wird ein Retest zur Validierung der Korrekturen durchgeführt.

Je nach Art des Penetrationstests werden für die die Identifikation und die Ausnutzung von Schwachstellen weitere Standards und Leitfäden herangezogen. Dazu zählen:

• Der Leitfaden IT-Sicherheits-Penetrationstests des BSI
• Verschiedene OWASP Top 10 Standards (Web, API)
• Der OWASP Web Security Testing Guide (WSTG)

Die Dauer eines Penetrationstests hängt vom Umfang der Anwendung und zu testende Systeme, der gewünschten Testtiefe und dem regulatorischen Kontext ab. Sie kann zwischen einigen Tagen und mehreren Wochen liegen. Die Überprüfung von Korrekturen ("Retest") ist hingegen deutlich schneller.

Ja, auf Wunsch und wenn die Möglichkeit besteht, führen wir Tests auch außerhalb der regulären Geschäftszeiten durch, um Betriebsabläufe nicht zu beeinträchtigen.

Wir stellen Ihnen eine Checkliste bereit. Vorab benötigen wir lediglich Kontaktpunkte, Testkonten und die Freigabe der Zielsysteme. Während des Tests müssen Ihre Techniker nicht aktiv mitwirken, sollten aber für eventuelle Rückfragen oder zur Abstimmung bei kritischen Funden erreichbar sein.

Wir führen alle Tests unter kontrollierten Bedingungen und mit entsprechenden Sicherheitsvorkehrungen durch. Durch unseren Fokus auf Greybox-Szenarien sowie die bewusste Vermeidung destruktiver Eingriffe minimieren wir das Risiko einer Beeinträchtigung des Systems erheblich.

Sicherheit beginnt bei uns. Wir arbeiten nach dem Least-Privilege-Prinzip und nutzen ausschließlich verschlüsselte Kommunikationswege. Vertraulichkeit kann zusätzlich durch strikte NDAs (Non-Disclosure-Agreements) und AVVs (Auftragsverarbeitungsverträge) garantiert werden. Unsere Experten halten sich strikt an die im Scoping-Dokument vereinbarten Grenzen.

Obwohl wir auf möglichst nicht-invasive Methoden setzen, definieren wir vorab Notfall-Kontakte auf beiden Seiten. Im Falle einer Unregelmäßigkeit stoppen wir die Prüfung sofort, informieren Sie umgehend und unterstützen Ihr Team bei der Ursachenanalyse.

Mehr Details hierzu finden Sie im Dokument "IT-Risiken als Teil des Qualitätsmanagementsystems"

Die Kosten hängen vom Umfang (Scope), der Komplexität der Anwendung(en) und der gewünschten Testtiefe ab. Wir erstellen Ihnen nach einem kurzen Scoping-Gespräch ein transparentes Festpreisangebot.

Sie erhalten einen detaillierten Prüfbericht. Dieser enthält ein Management-Summary, sowie eine technische Analyse aller Schwachstellen inklusive Nachweise und eine Einordnung anhand sicherheitstechnischer Standards und Best Practices.

Ja. Ein Abschlussgespräch zur Priorisierung der Maßnahmen ist fester Bestandteil unseres Prozesses. Nach der Behebung der Schwachstellen bieten wir zudem einen optionalen Retest an, um sicherzustellen, dass die Lücken erfolgreich und nachhaltig geschlossen wurden.