_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

Penetrationstests

Wir finden Schwachstellen, bevor es ein Angreifer tut.

Black-Box- und White-Box-Testing, Schwachstellenbewertung, Code Review. Wir simulieren reale Angriffe auf Ihre Infrastruktur und Anwendungen.

Pentest anfragen Zurueck zu Security
OWASP/PTES
Methodik
Inklusive
Retest
<5 Tage
Report-SLA
<5%
Falsch-Positiv-Rate

Arten von Penetrationstests

Black-Box-Testing

Der Tester hat keine Vorinformationen ueber das System — simuliert einen realen externen Angreifer.

Phasen: 1. Reconnaissance — OSINT, DNS-Enumeration, Subdomain Discovery, Technology Fingerprinting 2. Scanning — Port-Scanning, Service-Erkennung, Schwachstellen-Scanning (Nessus, Nuclei) 3. Enumeration — User Enumeration, Directory Brute-Force, API Endpoint Discovery 4. Exploitation — Versuche, gefundene Schwachstellen auszunutzen 5. Post-Exploitation — Lateral Movement, Privilege Escalation, Datenexfiltrations-Simulation

Was es aufdeckt: Exponierte Services, Standard-Credentials, Informationslecks in Fehlermeldungen, IDOR, Broken Authentication, falsch konfiguriertes CORS, Subdomain Takeover.

White-Box-Testing

Der Tester hat vollen Zugang zu Quellcode, Architektur, Konfiguration und Dokumentation.

Umfasst: - Security Code Review — Manueller Code-Review fokussiert auf OWASP Top 10, CWE Top 25 - Architektur-Review — Analyse von Datenfluessen, Trust Boundaries, Authentifizierungs-/Autorisierungsmechanismen - Konfigurations-Review — Cloud-Infrastruktur (Azure/AWS), Kubernetes, Datenbank-, Webserver-Konfiguration - IaC-Review — Terraform, Helm Charts, Dockerfiles — Security Best Practices

Was es zusaetzlich aufdeckt: Logic Flaws, Race Conditions, unsichere kryptografische Implementierungen, hartcodierte Secrets, zu freizuegige IAM-Policies, unsichere Deserialisierung.

Grey-Box-Testing

Kombination — der Tester hat teilweise Informationen (z.B. authentifizierten Zugang, API-Dokumentation). Das effizienteste Kosten/Abdeckungs-Verhaeltnis fuer die meisten Anwendungen.

Methodik

OWASP Testing Guide v4

Systematisches Framework fuer das Testen von Webanwendungen:

  • Information Gathering — Fingerprinting, Konfigurations-Review, Authentifizierungstests
  • Authorization Testing — RBAC-Bypass, Privilege Escalation, IDOR
  • Session Management — Token-Analyse, Session Fixation, CSRF
  • Input Validation — SQL Injection, XSS, Command Injection, SSRF, XXE
  • Business Logic — Workflow-Bypass, Rate Limiting, Race Conditions
  • API Security — BOLA, Broken Function Level Authorization, Mass Assignment

PTES (Penetration Testing Execution Standard)

Fuer Infrastrukturtests — Netzwerk-Penetrationstests, Wireless, Physical Security Assessment.

Vulnerability Assessment vs. Penetrationstest

Aspekt Vulnerability Assessment Penetrationstest
Ziel Bekannte Schwachstellen finden Schwachstellen ausnutzen
Ansatz Automatisiert + manuelles Review Ueberwiegend manuell
Tiefe Breit, oberflaechlich Tief, gezielt
Output Liste von CVEs mit Schweregrad PoC-Exploits, Business Impact
Dauer 1-3 Tage 5-20 Tage
Wann Vierteljaehrlich, nach Deployment Jaehrlich, nach grosser Aenderung

Wir empfehlen beides — Vulnerability Assessment als kontinuierlicher Prozess, Penetrationstest als Tiefenanalyse.

Reporting

Executive Summary

Fuer Management — Business Impact, Risikostufe, Top 3 Empfehlungen. Eine Seite, kein technischer Jargon.

Technischer Report

Fuer das Dev-Team — jedes Finding enthaelt: - Beschreibung — Was die Schwachstelle ist und wo sie sich befindet - Schweregrad — CVSS-Score + Business Impact - Proof of Concept — Reproduzierbare Schritte (Screenshot, Request/Response) - Empfehlung — Wie man es behebt, Best Practices - Referenzen — CWE, OWASP, Hersteller-Dokumentation

Retest

Nach Implementierung der Fixes fuehren wir einen Retest durch — Verifizierung dass die Fixes wirksam sind und keine neuen Schwachstellen eingefuehrt wurden.

Continuous Security Testing

Ein einmaliger Pentest ist ein Schnappschuss. Fuer kontinuierliche Sicherheit integrieren wir:

  • DAST in CI/CD — OWASP ZAP, Burp Suite Enterprise in der Pipeline
  • SAST — SonarQube, Semgrep fuer statische Analyse bei jedem Commit
  • Dependency Scanning — Snyk, Dependabot fuer kontinuierliches CVE-Monitoring
  • Bug Bounty — Programm fuer externe Security Researcher (Setup, Triage, Reward Management)

Umfang und Preise

Umfang Dauer Richtpreis
Webanwendung (Standard) 3-5 Tage ab 150K CZK
API (REST/GraphQL) 2-4 Tage ab 120K CZK
Mobile Anwendung (iOS + Android) 5-8 Tage ab 200K CZK
Infrastruktur (extern) 3-5 Tage ab 150K CZK
Umfassend (App + Infra + API) 10-20 Tage ab 400K CZK

Den genauen Preis legen wir nach einem Scoping-Gespraech fest — abhaengig von Anwendungsgroesse, Anzahl der Endpunkte und erforderlicher Tiefe.

Häufig gestellte Fragen

Mindestens einmal jaehrlich fuer Compliance. Idealerweise nach jeder groesseren Architekturanpassung. Automatisierte DAST-Tests in CI/CD als Ergaenzung.

Sofortige Benachrichtigung — wir warten nicht auf den Abschlussbericht. Kritische Befunde werden innerhalb von 24 Stunden mit empfohlener Gegenmaßnahme kommuniziert.

Haben Sie ein Projekt?

Lassen Sie uns darüber sprechen.

Termin vereinbaren