DOMAIN VERKAUF

cybersecurity-experte.de steht zum Kauf, Mietkauf oder zur Miete bereit.

Mehr erfahren →
Service · Penetrationstest

Penetrationstest – realer Angreifer-Blick auf Ihre Systeme.

Strukturierte, manuelle Sicherheitsanalyse Ihrer Webanwendungen, APIs und Netze nach anerkannten Standards. Sie erfahren, wo ein echter Angreifer ansetzen würde – und wie Sie es verhindern, bevor es passiert.

Pentest anfragen Methodik ansehen

Was ist ein Penetrationstest?

Ein Penetrationstest – kurz Pentest – ist eine kontrollierte, autorisierte Simulation realer Cyberangriffe auf Ihre IT-Systeme. Ziel ist es, Sicherheitslücken zu identifizieren bevor sie ein echter Angreifer findet. Anders als ein reiner Schwachstellenscan bewertet ein Pentester gefundene Schwachstellen manuell, nutzt sie kontrolliert aus und prüft, welcher reale Schaden entstehen könnte.

Welche Arten von Pentests gibt es?

Je nach Zielsystem, Informationsstand und Angriffsperspektive wählen wir das passende Vorgehen.

Black-Box

Wie ein externer Angreifer ohne Vorwissen.

  • Keine internen Informationen vorab
  • Maximaler Realismus, externes Bedrohungsbild
  • Längere Aufklärungsphase nötig
Standard

Grey-Box

Mit Standard-Benutzerkonto, wie ein „Insider mit Account".

  • Realistisches Szenario für die meisten Bedrohungen
  • Bestes Verhältnis Tiefe ↔ Aufwand
  • Empfohlen für Webanwendungen mit Login

White-Box

Mit Quellcode und Architektur-Zugang.

  • Maximale Tiefe, ideal vor Major-Releases
  • Findet auch Logik- und Design-Fehler
  • Höherer Zeitaufwand, höhere Investition

Worauf zielt der Pentest?

Web
Webanwendungen, SaaS-Portale, Customer Frontends nach OWASP Web Top 10
API
REST/GraphQL-APIs nach OWASP API Security Top 10
Netz
Externe und interne Netze, AD-Strukturen, Servicedienste
Mobile
iOS/Android-Apps nach OWASP MASVS

Methodik & Ablauf in 5 Phasen.

Strukturiert, nachvollziehbar, dokumentiert – nach OWASP, OSSTMM und BSI-Leitfaden.

  1. 1

    Scoping

    Ziele, Systeme, Tiefe, Zeitfenster und „Rules of Engagement" werden schriftlich festgelegt.

  2. 2

    Aufklärung

    Sammlung öffentlicher und interner Informationen, Identifikation der Angriffsflächen.

  3. 3

    Analyse

    Automatisierte Scans gepaart mit manuellen Tests – Tools allein finden nur ~30 % der Lücken.

  4. 4

    Ausnutzung

    Kontrollierte Exploitation, um reales Risiko und Schadenstiefe zu bewerten.

  5. 5

    Reporting

    Klartext-Report mit CVSS-Bewertung, Beweisen (Screenshots, Requests) und Fix-Empfehlungen.

Was Sie im Bericht erhalten.

Der Pentest-Bericht ist kein automatisch generierter Tool-Output, sondern ein handlungsorientiertes Dokument. Geschäftsführung, IT-Leitung und Entwicklerteam finden jeweils das, was sie brauchen.

  • Management Summary – Risiken in einer halben Seite, ohne Fachchinesisch
  • Befundliste mit CVSS-Score, priorisiert nach realem Risiko
  • Beweise – Screenshots, Requests, Reproduktions-Anleitung
  • Konkrete Empfehlungen, idealerweise mit Code-Snippet oder Konfig-Beispiel
  • Re-Test nach Behebung im Festpreis möglich

Was kostet ein Pentest?

Transparente Indikation – das verbindliche Angebot folgt nach kostenfreiem Scoping-Gespräch.

Web-Anwendung kompakt

Eine Anwendung, ein Rollen-Set, externe Sicht.

  • 3–5 Werktage Testphase
  • Grey-Box-Ansatz
  • Klartext-Report + Management Summary
ab 3.500 €
Häufig

Web + API erweitert

Komplexe Anwendung mit API-Backend und mehreren Rollen.

  • 7–10 Werktage Testphase
  • Grey-Box, OWASP Web + API
  • Re-Test im Festpreis enthalten
ab 7.900 €

Infrastruktur intern/extern

Netzwerk-, AD- und Service-Pentest.

  • 10–15 Werktage Testphase
  • OSSTMM + BSI-Methodik
  • On-Site und Remote-Anteile
ab 12.500 €
Jetzt unverbindliches Scoping-Gespräch anfragen

Häufige Fragen zum Pentest.

Wie unterscheidet sich Black-Box, Grey-Box und White-Box?

Black-Box: Tester hat keine internen Informationen, simuliert externen Angreifer. Grey-Box: Tester erhält Basis-Informationen wie ein Standard-Benutzerkonto. White-Box: Tester bekommt vollen Zugriff auf Quellcode und Architektur – maximale Tiefe, aber teurer.

Wie lange dauert ein Pentest?

Ein fokussierter Web-Pentest dauert typischerweise 3–5 Werktage Testphase plus 2–3 Tage Reporting. Komplexere Engagements mit interner und externer Komponente können 10–20 Werktage umfassen.

Welche Methodik wird verwendet?

Etablierte Standards wie OWASP Testing Guide (Web), OWASP API Security Top 10, OSSTMM (Infrastruktur) und der BSI-Leitfaden für IS-Penetrationstests bilden die Grundlage. Die konkrete Ausgestaltung richtet sich nach Scope und Zielsystem.

Sind die Tests gefährlich für unsere Produktivsysteme?

Pentests werden in der Regel zunächst gegen Staging- oder Testumgebungen geführt. Wo Produktivtests notwendig sind, vereinbaren wir vorab klare „Rules of Engagement": Zeitfenster, ausgenommene Aktionen (z. B. DoS), Eskalationswege bei Auffälligkeiten.

Wie wird vertraulich mit den Ergebnissen umgegangen?

Jedes Engagement basiert auf einem schriftlichen Auftrag mit NDA. Befunde werden verschlüsselt übertragen, nach Projektende auf Wunsch gelöscht, Reporting-Daten bleiben in der EU.

Was passiert nach dem Pentest?

Sie erhalten Bericht und Debrief-Termin. Ein Re-Test der behobenen Schwachstellen ist meist im Festpreis enthalten – damit Sie auch dokumentiert nachweisen können, dass die kritischen Lücken geschlossen sind.

Verwandte Themen.