Penetrationstest

Finden, was Ihre Compliance-Prüfung übersieht.

Von Web und API bis Mobile, IoT, Cloud und KI/LLM. Senior-geführte, manuelle Tests nach OWASP-Standards — verankert in einem Jahrzehnt Erfahrung mit großen, ISMS-integrierten Pentest-Programmen.

Für wen wir arbeiten

Teams unter regulatorischem Druck und mit echtem Angriffsrisiko.

Banken & Asset Manager
BaFin-Erwartung, DORA-Artikel-24/25, TIBER-Vorbereitung.
Versicherer & Healthcare
Patientendaten, KRITIS §8a, Portale mit hohem Missbrauchsrisiko.
Industrie & OT-nahe IT
TISAX, NIS2, IT/OT-Grenze, Firmware für vernetzte Produkte.
SaaS & E-Commerce
Enterprise-Deals verlangen unabhängige Testnachweise.
Konzerne mit ISMS
ISO 27001 A.8.29, kontinuierliches Testen im Jahresplan.
KI-Produkt-Teams
LLM-Apps, RAG-Pipelines, Agents mit Tool-Aufrufen.
Fragen, die wir hören

Was CISOs, Head of AppSec und Product Security uns fragen.

Wenn Sie nur eine dieser Fragen gerade offen haben, sind wir das richtige Team für ein Scoping-Gespräch.

  • Wie stellen wir sicher, dass ein Test wirklich manuell ist und nicht nur ein Scanner-Report?
  • Wie passt der Pentest in unseren SDLC ohne Release-Blockaden?
  • Wie belegen wir dem Auditor die Behebung — nicht nur die Findings?
  • Wer testet unsere KI-Assistenten realistisch, wenn Standard-Web-Tests hier nichts finden?
  • Wie skalieren wir Pentests über 200+ Anwendungen im Jahr ohne Qualitätsverlust?
  • Wie hängt das mit unserem ISMS, dem Risikoregister und Jira zusammen?
Testarten

Neun Testarten — jede von Senior-Praktikern geführt.

Web-Anwendungen

OWASP WSTG · ASVS L1–L3

Manuelle Prüfung nach OWASP Web Security Testing Guide (WSTG) und Verifikation gegen ASVS-Level. Fokus auf Business-Logik, Auth-Broken-Access und Kettenangriffe, die Scanner nie sehen.

API

OWASP API Top 10 (2023)

REST, GraphQL, gRPC. Fokus auf BOLA, Broken Auth, Rate-Limit-Umgehung, Mass Assignment und SSRF in Microservice-Ketten.

Mobile Apps

OWASP MASVS · MASTG

iOS und Android nach OWASP Mobile Application Security Verification Standard (MASVS) und Mobile Application Security Testing Guide (MASTG). Static + dynamic, Reversing, RASP-Bypass, Cert-Pinning-Bypass.

IoT & Embedded

OWASP ISVS · IoTGoat · FW analysis

Firmware-Extraktion, UART/JTAG, BLE/Zigbee/LoRa, Hardware-Fault-Injection, Prüfung nach OWASP IoT Security Verification Standard (ISVS) und IoT Top 10.

AI / LLM

OWASP AISVS · LLM Top 10

Prompt Injection (direkt & indirekt), Model-DoS, Trainings-Data-Poisoning, Supply-Chain-Modelle, Agent-Tool-Missbrauch, Data-Exfil über RAG. Verifikation nach OWASP AI Security Verification Standard (AISVS) und den OSAI-Themen.

Netzwerk & Infrastruktur

Intern · Extern · Segment

Externe Perimeter, interne Bewegung, Segmentierungs-Reviews, Assumed-Breach-Szenarien mit klaren Erfolgskriterien.

Active Directory / Entra ID

Kerberoasting · BloodHound · Tier-0

AD-CS-Missconfig, ADFS, Entra-ID-Federation, Conditional-Access-Bypass, Tier-0-Kompromittierungspfade und Hardening-Roadmap.

Cloud

AWS · Azure · GCP · K8s

IAM-Priv-Esc, Workload-Escape, Kubernetes, CI/CD-Supply-Chain, Landing-Zone-Review gegen CIS/CSA-CCM-Baselines.

SAP

S/4HANA · BTP · RFC

SAP-Berechtigungen, RFC-Gateway, SAProuter, BTP-Integrationen. Wenige Anbieter machen es — wir schon.

Standards & Verifikation

Wir testen nicht nach Bauchgefühl — sondern gegen anerkannte Verifikations-Standards.

OWASP-Testing-Guides sagen, wie getestet wird. OWASP-Verification-Standards (ASVS, MASVS, AISVS, ISVS) sagen, welches Sicherheitsniveau ein System nachweisbar erreicht. Wir kombinieren beides — pro Assettyp der passende Guide plus der passende Verifikations-Standard.

OWASP WSTG

Web-Testleitfaden — Grundlage jedes Web-Pentests.

OWASP ASVS

Application Security Verification Standard — L1/L2/L3 als messbares Ziel.

OWASP MASVS + MASTG

Mobile Verification Standard und passender Test-Guide für iOS/Android.

OWASP API Top 10 (2023)

BOLA, Broken Auth, Broken Object Property Level Authorization u. a.

OWASP AISVS

Artificial Intelligence Security Verification Standard — Kontrollen für KI-Systeme.

OWASP LLM Top 10

LLM01 Prompt Injection bis LLM10 Model Theft — praxisnah abgeprüft.

OWASP ISVS

IoT Security Verification Standard für vernetzte Geräte und Firmware.

MITRE ATT&CK

TTP-Mapping für Berichte, Detection-Engineering und Purple-Team-Übergaben.

NIST SP 800-115 · PTES

Rahmen für Scoping, Ausführung und Reporting.

KI- & LLM-Pentesting

Wie man LLMs, RAG und Agents ehrlich prüft.

Standard-Web-Tests finden bei KI-Anwendungen fast nichts. Wir kombinieren OWASP AISVS und LLM Top 10 mit den Angriffsklassen aus unserer OSAI-Kurslinie — dieselben Techniken, die wir in unseren Trainings unterrichten, werden hier gegen Ihre Systeme angewendet.

  • Direkte & indirekte Prompt Injection
  • Jailbreaks über multimodale Eingaben (Bild, Audio, PDF)
  • Tool-/Function-Calling-Missbrauch bei Agents
  • Data-Exfil aus RAG-Kontexten und Vektor-Stores
  • Supply-Chain: kompromittierte Modelle & Adapter
  • Trainings-/Feintuning-Data-Poisoning
  • Model-DoS, Kosten-Amplifikation, Token-Flooding
  • Excessive Agency & schlecht abgegrenzte Guardrails
  • Sensitive-Information-Leakage aus System-Prompts
  • Model-Inversion & Membership Inference
Methodik

Klare Phasen. Klare Übergaben.

  1. 01 Scoping · Threat-Model · Rules of Engagement
  2. 02 Recon · Mapping · Baseline
  3. 03 Manuelles Testen · Exploitation · Post-Exploitation
  4. 04 Verifikation gegen ASVS/MASVS/AISVS/ISVS-Level
  5. 05 Bericht · Debrief · Remediation Workshop
  6. 06 Retest & Nachweisführung fürs Audit
Deliverables
  • Executive Report für Vorstand & Auditor
  • Technischer Bericht mit PoC pro Finding
  • Risiko-priorisierte Findings mit CVSS + Owner
  • MITRE ATT&CK-Mapping für Detection-Engineering
  • Verifikations-Statement gegen ASVS/MASVS/AISVS
  • Remediation-Workshop mit Entwicklern
  • Retest & Nachweis-Paket fürs Audit
Penetration Testing as a Service

Wir managen Ihr Pentest-Programm End-to-End — nicht nur den Test in der Mitte.

Sie haben ein ISMS, Sie kennen Ihre Anwendungen und Services. Wir helfen Ihnen, Testfrequenzen und -strukturen zu definieren: Wann ist welche App, welcher Service, welches System an der Reihe? Wir planen das Quartal voraus, stimmen uns mit Ihren Release-Zyklen ab und sorgen dafür, dass nichts durchrutscht.

Danach führen wir aus. Und danach helfen wir bei der Behebung: Brauchen Sie weitere Anleitung? Sind Sie bereit für den Retest? Wo landen die Findings — im Risikoregister, in Jira oder in einem schwarzen Loch? Wir halten Sie auditfähig, von der ersten Planung bis zur letzten Nachweisführung.

Der PTaaS-Zyklus
  1. 01 Planung · Frequenz · Quartalskalender · Release-Alignment
  2. 02 Ausführung · Senior-geführte Tests nach OWASP-Standards
  3. 03 Behebungsunterstützung · Guidance · Retest-Readiness
  4. 04 Findings-Management · Risikoregister · Jira · Tracking
  5. 05 Audit-Nachweisführung · Konsistente Evidenz ohne Nacharbeit
ISMS-Integration & Bandbreite

Ein Jahrzehnt große Pentest-Programme — kein Boutique-Experiment.

Unsere Gründer und Senior-Tester haben in vorherigen Rollen Pentest-Service-Lines mit hoher Bandbreite betrieben: hunderte Engagements pro Jahr, konsistent an ISMS-, Risiko- und Auditprozesse angebunden. Diese Betriebs­erfahrung ist heute unser Standard — nicht die Ausnahme.

  • Findings direkt in Ihr Risiko-Register oder Jira
  • Wiederkehrende Test-Kalender im Jahresplan
  • Einheitliche Metriken über Portfolios hinweg
  • Auditor-freundliche Nachweise ohne Nacharbeit
ISO 27001 A.8.29

Security-Testing im Entwicklungslebenszyklus — dokumentiert und wiederholbar.

DORA / NIS2

Threat-Led Testing, kritische Assets, Meldeketten, Nachweisführung.

TISAX / VDA ISA

Prototypen-Schutz, Prozessreife, klare Nachweise für OEM-Audits.

PCI DSS 4.0 · 11.4

Segmentierungstests, externe/interne Pentests, Behebungsnachweis.

Feedback aus dem Pentesting und Red Teaming

„Es war unglaublich zu sehen, was das Team noch an Findings gefunden hat. Dabei wird das interne Netz seit Jahren getestet!"

Deutscher Asset Manager

„Das Ergebnis des Red Teaming war ein Augenöffner, was tatsächlich möglich ist und wie schnell das funktioniert."

Stadtwerk

„Für uns war die Kommunikation das Wichtigste. Zu jedem Punkt zu wissen: Wer macht was, was passiert als Nächstes. Das hat super funktioniert."

RegTech / CapTech Provider
Engagement Models
One-Off

Klassischer, abgegrenzter Pentest mit Retest.

PTaaS

Kontinuierliches Testen mit rollierenden Findings statt Jahres-Snapshot.

Retainer

Tage-Budget auf Abruf — schnelle Slots, feste Ansprechpartner.

FAQ

Häufige Fragen zum Penetrationstest.

Was unterscheidet Sie von einem klassischen Pentest-Anbieter?+

Ein Jahrzehnt Betrieb großer Pentest-Programme mit hoher Bandbreite — 200+ Engagements pro Jahr, direkt in ISMS-, Risiko- und Ticket-Workflows integriert. Jeder Test wird von Senior-Testern mit OSCP/OSEP/OSWE/OSAI-Niveau geführt, nicht outgesourct an Junior-Ketten.

Ist das ein Scanner-Report mit hübschem Deckblatt?+

Nein. Scanner werden nur als Kartierungshilfe genutzt. Der Kern jedes Berichts sind manuell verifizierte, ausgenutzte Findings mit Proof-of-Concept, Business-Impact und konkreter Fix-Empfehlung.

Wie testet man ein LLM oder einen KI-Agent überhaupt?+

Wir folgen dem OWASP AISVS und dem LLM Top 10 und ergänzen um Themen aus unserer OSAI-geführten Trainingslinie: Prompt-Injection-Ketten, Tool-Abuse in Agents, RAG-Datenabfluss, Model-DoS, Supply-Chain-Angriffe auf Modelle und Adapter, Guardrail-Bypass. Wir bewerten Systemarchitektur, nicht nur einzelne Prompts.

Wie integriert sich das in unser ISMS und die Jahresplanung?+

Wir betreiben seit Jahren Pentest-Programme für Konzerne mit ISO 27001, DORA, NIS2 und TISAX. Findings landen mit CVSS + Owner in Ihrem Risiko-Register oder Jira, Retests werden nachvollziehbar dokumentiert, Auditoren bekommen konsistente Nachweise ohne Nacharbeit.

Wie schnell können Sie starten?+

Typische Scoping-Runde in 3–5 Werktagen, Start meist innerhalb von 2–4 Wochen. Retainer-Kunden bekommen Slots deutlich schneller.

Testen Sie Produktions- oder nur Staging-Systeme?+

Beides. Für Produktion definieren wir sichere Rules of Engagement, No-Go-Zonen und Not-Aus-Prozeduren. Für zerstörerische Tests (Fuzzing, DoS) bevorzugen wir Staging mit produktionsnahen Daten.

Sind Retests inklusive?+

Ja — ein Verifikations-Retest innerhalb von 60 Tagen ist Bestandteil jedes One-Off-Pentests. PTaaS und Retainer haben Retests laufend eingeplant.