EN DE
EN DE
Kontakt

Penetrationstest

Kontinuierliche oder on-demand Tests für Webanwendungen, APIs, Netzwerke und Clients.

Leistungsüberblick

Unser Penetrationstest hilft Unternehmen dabei, ausnutzbare Schwachstellen in Webanwendungen, APIs, Mobile Apps und Netzwerken frühzeitig zu erkennen. Ob punktuelle Prüfung eines kritischen Systems oder kontinuierliche Sicherheitsüberprüfung einer sich verändernden Angriffsfläche: Im Fokus stehen validierte Findings, die tatsächliches Angreiferverhalten abbilden.

Wir analysieren Einstiegspunkte, Vertrauensgrenzen und Datenflüsse in Ihrer Infrastruktur und Ihren Anwendungen. Tools helfen dabei, die Oberfläche zu kartieren, aber der eigentliche Mehrwert entsteht durch praktische Sicherheitstests, bei denen mehrere Schwächen zu realistischen Angriffspfaden kombiniert und mit reproduzierbaren Proofs of Concept belegt werden.

Was sich nicht ausnutzen lässt, gehört nicht in den Bericht. Was sich ausnutzen lässt, wird nach Geschäftsrisiko priorisiert und mit konkreten Handlungsempfehlungen zur Behebung versehen.

Webanwendungen und API Penetrationstest

Wir testen internet erreichbare Anwendungen und APIs so, wie es echte Angreifer tun würden, mit Fokus auf Ausnutzbarkeit, Auswirkungen und Angriffsketten.

  • Webanwendungen & APIs: Wir prüfen Authentifizierung, Autorisierung, Business Logic, Input Handling, Session-Management und die relevanten OWASP-Schwachstellenklassen über moderne Web-Stacks hinweg.
  • Komplexe Anwendungsabläufe: Wir testen Vertrauensgrenzen und Randfälle, die in der Praxis oft wichtiger sind als generische Checklisten-Findings.

Mobile Apps und Netzwerk Penetrationstest

Unser Penetrationstest deckt auch mobile und infrastrukturlastige Scopes ab, bei denen sich Risiken oft nicht nur im Browser zeigen.

  • Mobile Apps: Wir testen iOS- und Android-Anwendungen zusammen mit den dazugehörigen Backend-Systemen, APIs und Vertrauensannahmen.
  • Netzwerke: Wir prüfen Ihren externen Perimeter, exponierte Dienste, Segmentierungsannahmen und erreichbare Wege in interne Systeme.

Engagement-Modelle

  • On-demand Penetrationstest: Zeitlich klar begrenzte Prüfungen für definierte Ziele, Releases oder Meilensteine.
  • Kontinuierlicher Penetrationstest: Laufende Tests, Validierung und Re-Tests, während sich Ihre externe Angriffsfläche verändert.

Was Sie mit unserem Penetrationstest erhalten

  • Priorisierte Ergebnisse mit validierten Proof-of-Concepts.
  • Risikokontext, der sich auf konkrete geschäftliche Auswirkungen bezieht.
  • Anleitungen zur Behebung von Problemen, die Sie ohne Spekulationen umsetzen können.
  • Kontinuierliche Erfassung von Assets und Nachverfolgung von Änderungen für fortlaufende Projekte.
  • Nachprüfungen zur Bestätigung der Korrekturen und zum Schließen des Regelkreises.

Immer enthalten

Folgendes ist in jedem Engagement enthalten:

  • Always-on Kommunikation Dedizierte Kommunikationskanäle wie Slack, Teams oder Wire bleiben während des gesamten Engagements offen.
  • Live-Zugriff auf Dokumentation Sie müssen nicht wochenlang auf ein PDF warten. Findings sind live verfügbar, sobald wir sie entdecken.
  • Issue-Tracker-Integration Copy-and-paste aus PDF-Reports ist ineffizient. Auf Wunsch spielen wir Findings direkt in Ihr Issue-Tracking-System ein.
  • Nachvollziehbarkeit Wir testen mittels vordefinierten statischen IP-Adressen, damit Ihr Team legitimen Testverkehr klar von echten Angriffen unterscheiden kann.
  • Datenspeicherung Alle Projektdaten werden in Rechenzentren innerhalb der Europäischen Union gespeichert.

Besonders geeignet für

Der Penetrationstest eignet sich besonders für Teams, die kritische Systeme tiefgehend prüfen lassen möchten, Releases absichern müssen oder statt punktueller Prüfungen eine laufende Sicherheitsabdeckung benötigen.