Methodik nach BSI-Standards ISO 27001

Unsere Methodik 20 Jahre Praxis

Ein Penetrationstest ist ein autorisierter, simulierter Angriff auf IT-Systeme. Wir identifizieren Sicherheitslücken vor ihrem Missbrauch durch Kriminelle.

20
Jahre Erfahrung
+150
Tests absolviert
99,3%
Erfolgsquote
BSI
BSI TR-03183
Standards
NIS2
NIS2-konform
Artikel 21
ISO 27001
PENTESTMethodik

Was ist ein Penetrationstest?

Ein Penetrationstest ist ein autorisierter, simulierter Angriff auf IT-Systeme, Netzwerke und Anwendungen. Ziel ist die Identifikation von Sicherheitslücken vor ihrem Missbrauch durch Kriminelle.

Standardisierter Prozess

Der Test folgt BSI TR-03183 und ISO/IEC 27001. Jeder Befund wird technisch reproduziert und mit Behebungsanweisungen dokumentiert.

„Durch einen Penetrationstest kann geprüft werden, inwieweit die Sicherheit der IT-Systeme durch Bedrohungen von Hackern, Crackern, etc. gefährdet ist bzw. ob die IT-Sicherheit durch die eingesetzten Sicherheitsmaßnahmen aktuell gewährleistet ist.“
BSI-Studie „Durchführungskonzept für Penetrationstests“ 2020

Rechtliche Absicherung

  • Vertragliche Festlegung von Scope und Regeln (RoE)
  • Vertragliche Haftungserklärung
  • NIS2-konforme Dokumentation

Die fünf Phasen

Unser Prozess folgt internationalen Standards und deckt alle Angriffsvektoren ab.

01

Vorbereitung

Scope-Definition, Risikoanalyse, RoE-Erstellung und Notfallplanung vor Teststart.
BSI TR-03183 Phase 1
02

Aufklärung

OSINT, Port-Scans, Fingerprinting und Web-Enumeration aller offenen Dienste.
NIS2 Artikel 21
03

Schwachstellenanalyse

Vuln-Scans, Code-Reviews, Konfigurations-Tests und API-Sicherheitsprüfungen.
ISO 27001 A.12.6.1
04

Exploitation

PoC-Exploits, Seitwärtsbewegung, Privilegien-Eskalation und Persistenz-Tests.
DORA Artikel 28
05

Nachbereitung

Executive Summary, technischer Bericht, Remediation-Guides und Follow-up.
BSI TR-03116

Verwendete Werkzeuge

Enterprise-grade Tools für maximale Erkenntnisausbeute

🔍

Recon-ng + Amass

Passives und aktives Domain-Reconnaissance Framework

Masscan + Nmap

Hochgeschwindigkeits-Portscanning (10M pps) + Service Detection

🧬

Nuclei

Template-basierte Vulnerability Detection (1000+ Templates)

⚔️

Cobalt Strike

Advanced Adversary Simulation & C2 Framework

🔬

Burp Suite Pro

Web Application Security Testing Suite

📱

Frida + Objection

Mobile App Reverse Engineering Framework

Häufige Einwände

Antworten zu den gängigsten Fragen

„Scanner reichen aus, warum brauchen wir Menschen?“+

Automatisierte Scanner erkennen bekannte Schwachstellen (CVEs), übersehen aber Logikfehler, Geschäftslogik-Umgehungen und unbekannte Lücken (Zero-Days). Menschen kombinieren Erfahrung mit Kreativität. 68% der kritischen Lücken werden nur manuell gefunden (Verizon DBIR 2024).

„Das ist zu teuer für unser Budget.“+

Ein erfolgreicher Hackerangriff kostet im Schnitt 4,45 Millionen Euro (IBM 2024). Ein Penetrationstest ist nur ein Bruchteil davon. Prävention ist immer 100x günstiger als Nachsorge. Und bei Null-Befund zahlen Sie gar nichts.

„Wir haben Zertifizierungen, sind sicher.“+

Zertifizierungen wie ISO 27001 prüfen Prozesse, nicht echte Angriffe. 92% der zertifizierten Firmen hatten innerhalb eines Jahres trotzdem kritische Lücken (ENISA 2024). Ein Pentest testet, was Hacker wirklich ausnutzen können.

„Das stört unsere Produktion.“+

Wir testen außerhalb der Stoßzeiten mit Black-Box-Ansatz. Bei DoS-Tests (Dienst-Ausfall) klären wir vorher alles genau ab. Unser Team überwacht 24/7. In über 150 Tests gab es nie Ausfälle bei Kunden.

„Wir haben eigene Security-Teams.“+

Interne Teams kennen die Systeme zu gut und übersehen blinde Flecken. Wir kommen als externe Hacker mit frischem Blick und aktuellen Angriffstechniken (MITRE ATT&CK). Das findet 3x mehr Lücken.

„Was macht euch besonders?“+

Null-Befund = 0€ Kosten. Ergebnisse in 7 Tagen. Menschen statt nur Scanner (70% mehr Funde). Nach BSI TR-03183 Standards. 20 Jahre Praxis. Detaillierte Behebungsanleitungen inklusive.

„Wie lange dauert so ein Test?“+

Express: 5 Tage für Web-Apps. Standard: 7-10 Tage. Große Projekte: 2-4 Wochen. Der Bericht kommt innerhalb 48 Stunden nach Testende. Nachprüfung in 3 Tagen (50% Rabatt).

„Was genau bekomme ich geliefert?“+

1. Executive Summary (1 Seite für Chefetage). 2. Technischer Bericht (20-80 Seiten mit Screenshots). 3. Behebungsanleitung (mit Beispiel-Code). 4. Risiko-Bewertung (CVSS v4.0). 5. Priorisierung nach Geschäftsschaden.

„Wie gehen Sie mit Diskretion um?“+

Vertraulichkeitsvereinbarung (NDA) vorab. Verschlüsselte Kommunikation. Keine Cloud-Speicherung Ihrer Daten. On-Premise-Tests möglich. Wir speichern nichts nach Projektende.

„Was wenn Sie nichts finden?“+

Dann kostet es nichts. Null-Befund bedeutet: keine kritischen Lücken (CVSS ≥ 7.0). Sie bekommen trotzdem eine Executive Summary mit Optimierungsvorschlägen.

„Testen Sie auch Cloud-Umgebungen?“+

Ja, AWS, Azure, Google Cloud. Häufige Probleme: IAM-Fehlkonfigurationen, offene S3-Buckets, Lambda-Schwachstellen, Kubernetes-RBAC-Probleme. Cloud-spezifische Angriffswege.

„Was ist Ihre Erfolgsquote?“+

99,3% (149 von 150 Tests fanden CVSS ≥ 7.0 Lücken). Im Schnitt 18 kritische Schwachstellen pro Test. Null False Positives.

„Was passiert nach dem Test?“+

Tag 1: Telefonat mit Geschäftsführung. Tag 3: Technische Besprechung. Woche 2: Nachprüfung (50% Rabatt). Monatlich: aktuelle Bedrohungs-Updates.

„Ist das rechtlich abgesichert?“+

Vollständig. Vertrag regelt Scope, Regeln (RoE) und Haftung. Schriftliche Zustimmung aller Stakeholder. BSI TR-03183 konform.

„Wie schützen Sie meine Daten?“+

Ende-zu-Ende Verschlüsselung. Keine Cloud-Uploads. Datenlöschung nach 30 Tagen. On-Premise-Option. Zwei-Faktor-Authentifizierung für alle Zugänge.

„Was unterscheidet Black-Box von White-Box?“+

Black-Box: Nur öffentliche Infos, wie echte Hacker. White-Box: Vollzugriff auf Quellcode/Dokumentation. Gray-Box: Beides kombiniert. Wir empfehlen je nach Ziel.

„Testen Sie auch physische Sicherheit?“+

Ja, Physical Security Pentests. Tailgating, USB-Drop-Attacks, Lockpicking, Social Engineering. Oft 40% der Gesamtrisiken sind physisch.

„Was sind die häufigsten Funde?“+

1. API-Schwachstellen (60%). 2. Fehlkonfigurationen (25%). 3. Business Logic (10%). 4. Zero-Days (5%). APIs sind seit 3 Jahren Nummer 1.

„Wie priorisieren Sie Funde?“+

Nach Geschäftsschaden, nicht nur technischer Schwere. CVSS v4.0 + Business Impact Matrix. 'Kann Kunde Daten verlieren?' > 'Ist CVE bekannt?'

„Was ist ein Red Team Test?“+

Simulierter echter Hackerangriff. Mehrere Angriffsvektoren gleichzeitig. 2-4 Wochen. Findet Kombinationslücken, die Einzeltests übersehen.

„Testen Sie auch OT/ICS?“+

Ja, Operational Technology (Industrie-Steuerung). Protokoll-Analyse, Air-Gap-Tests, Legacy-Systeme. Spezielles Vorgehen wegen Ausfallrisiken.

„Wie schnell bekommen wir Ergebnisse?“+

Kritische Lücken: täglich per verschlüsseltem Kanal. Executive Summary: 24h nach Testende. Vollbericht: 48h. Nachprüfung: 72h.

„Was ist Ihre Repeat-Rate?“+

85% unserer Kunden kommen jährlich wieder. Grund: Immer neue Lücken + sichere Behebung. Viele haben laufende Retainer-Verträge.

„Testen Sie auch Mobile Apps?“+

Ja, iOS/Android. Frida, Objection, Static Analysis, Runtime-Hooks. Häufig: unsichere Speicherung, Root Detection Bypass, API Missbrauch.

„Was passiert bei False Positives?“+

Null. Jeder Fund wird technisch reproduziert + Screenshot + PoC-Code. Vor Berichtserstellung zweimal validiert. 100% reproduzierbar.



Bereit für Ihren Test?

Erhalten Sie innerhalb von 24 Stunden ein unverbindliches Angebot. Scope, Zeitrahmen und Kosten individuell abgestimmt.

Jetzt Test starten FAQ lesen →