Finden, was Ihre Compliance-Prüfung übersieht.
Von Web und API bis Mobile, IoT, Cloud und KI/LLM. Senior-geführte, manuelle Tests nach OWASP-Standards — verankert in einem Jahrzehnt Erfahrung mit großen, ISMS-integrierten Pentest-Programmen.
Teams unter regulatorischem Druck und mit echtem Angriffsrisiko.
Was CISOs, Head of AppSec und Product Security uns fragen.
Wenn Sie nur eine dieser Fragen gerade offen haben, sind wir das richtige Team für ein Scoping-Gespräch.
- Wie stellen wir sicher, dass ein Test wirklich manuell ist und nicht nur ein Scanner-Report?
- Wie passt der Pentest in unseren SDLC ohne Release-Blockaden?
- Wie belegen wir dem Auditor die Behebung — nicht nur die Findings?
- Wer testet unsere KI-Assistenten realistisch, wenn Standard-Web-Tests hier nichts finden?
- Wie skalieren wir Pentests über 200+ Anwendungen im Jahr ohne Qualitätsverlust?
- Wie hängt das mit unserem ISMS, dem Risikoregister und Jira zusammen?
Neun Testarten — jede von Senior-Praktikern geführt.
Web-Anwendungen
Manuelle Prüfung nach OWASP Web Security Testing Guide (WSTG) und Verifikation gegen ASVS-Level. Fokus auf Business-Logik, Auth-Broken-Access und Kettenangriffe, die Scanner nie sehen.
API
REST, GraphQL, gRPC. Fokus auf BOLA, Broken Auth, Rate-Limit-Umgehung, Mass Assignment und SSRF in Microservice-Ketten.
Mobile Apps
iOS und Android nach OWASP Mobile Application Security Verification Standard (MASVS) und Mobile Application Security Testing Guide (MASTG). Static + dynamic, Reversing, RASP-Bypass, Cert-Pinning-Bypass.
IoT & Embedded
Firmware-Extraktion, UART/JTAG, BLE/Zigbee/LoRa, Hardware-Fault-Injection, Prüfung nach OWASP IoT Security Verification Standard (ISVS) und IoT Top 10.
AI / LLM
Prompt Injection (direkt & indirekt), Model-DoS, Trainings-Data-Poisoning, Supply-Chain-Modelle, Agent-Tool-Missbrauch, Data-Exfil über RAG. Verifikation nach OWASP AI Security Verification Standard (AISVS) und den OSAI-Themen.
Netzwerk & Infrastruktur
Externe Perimeter, interne Bewegung, Segmentierungs-Reviews, Assumed-Breach-Szenarien mit klaren Erfolgskriterien.
Active Directory / Entra ID
AD-CS-Missconfig, ADFS, Entra-ID-Federation, Conditional-Access-Bypass, Tier-0-Kompromittierungspfade und Hardening-Roadmap.
Cloud
IAM-Priv-Esc, Workload-Escape, Kubernetes, CI/CD-Supply-Chain, Landing-Zone-Review gegen CIS/CSA-CCM-Baselines.
SAP
SAP-Berechtigungen, RFC-Gateway, SAProuter, BTP-Integrationen. Wenige Anbieter machen es — wir schon.
Wir testen nicht nach Bauchgefühl — sondern gegen anerkannte Verifikations-Standards.
OWASP-Testing-Guides sagen, wie getestet wird. OWASP-Verification-Standards (ASVS, MASVS, AISVS, ISVS) sagen, welches Sicherheitsniveau ein System nachweisbar erreicht. Wir kombinieren beides — pro Assettyp der passende Guide plus der passende Verifikations-Standard.
Web-Testleitfaden — Grundlage jedes Web-Pentests.
Application Security Verification Standard — L1/L2/L3 als messbares Ziel.
Mobile Verification Standard und passender Test-Guide für iOS/Android.
BOLA, Broken Auth, Broken Object Property Level Authorization u. a.
Artificial Intelligence Security Verification Standard — Kontrollen für KI-Systeme.
LLM01 Prompt Injection bis LLM10 Model Theft — praxisnah abgeprüft.
IoT Security Verification Standard für vernetzte Geräte und Firmware.
TTP-Mapping für Berichte, Detection-Engineering und Purple-Team-Übergaben.
Rahmen für Scoping, Ausführung und Reporting.
Wie man LLMs, RAG und Agents ehrlich prüft.
Standard-Web-Tests finden bei KI-Anwendungen fast nichts. Wir kombinieren OWASP AISVS und LLM Top 10 mit den Angriffsklassen aus unserer OSAI-Kurslinie — dieselben Techniken, die wir in unseren Trainings unterrichten, werden hier gegen Ihre Systeme angewendet.
- Direkte & indirekte Prompt Injection
- Jailbreaks über multimodale Eingaben (Bild, Audio, PDF)
- Tool-/Function-Calling-Missbrauch bei Agents
- Data-Exfil aus RAG-Kontexten und Vektor-Stores
- Supply-Chain: kompromittierte Modelle & Adapter
- Trainings-/Feintuning-Data-Poisoning
- Model-DoS, Kosten-Amplifikation, Token-Flooding
- Excessive Agency & schlecht abgegrenzte Guardrails
- Sensitive-Information-Leakage aus System-Prompts
- Model-Inversion & Membership Inference
Klare Phasen. Klare Übergaben.
- 01 Scoping · Threat-Model · Rules of Engagement
- 02 Recon · Mapping · Baseline
- 03 Manuelles Testen · Exploitation · Post-Exploitation
- 04 Verifikation gegen ASVS/MASVS/AISVS/ISVS-Level
- 05 Bericht · Debrief · Remediation Workshop
- 06 Retest & Nachweisführung fürs Audit
- ▸ Executive Report für Vorstand & Auditor
- ▸ Technischer Bericht mit PoC pro Finding
- ▸ Risiko-priorisierte Findings mit CVSS + Owner
- ▸ MITRE ATT&CK-Mapping für Detection-Engineering
- ▸ Verifikations-Statement gegen ASVS/MASVS/AISVS
- ▸ Remediation-Workshop mit Entwicklern
- ▸ Retest & Nachweis-Paket fürs Audit
Wir managen Ihr Pentest-Programm End-to-End — nicht nur den Test in der Mitte.
Sie haben ein ISMS, Sie kennen Ihre Anwendungen und Services. Wir helfen Ihnen, Testfrequenzen und -strukturen zu definieren: Wann ist welche App, welcher Service, welches System an der Reihe? Wir planen das Quartal voraus, stimmen uns mit Ihren Release-Zyklen ab und sorgen dafür, dass nichts durchrutscht.
Danach führen wir aus. Und danach helfen wir bei der Behebung: Brauchen Sie weitere Anleitung? Sind Sie bereit für den Retest? Wo landen die Findings — im Risikoregister, in Jira oder in einem schwarzen Loch? Wir halten Sie auditfähig, von der ersten Planung bis zur letzten Nachweisführung.
- 01 Planung · Frequenz · Quartalskalender · Release-Alignment
- 02 Ausführung · Senior-geführte Tests nach OWASP-Standards
- 03 Behebungsunterstützung · Guidance · Retest-Readiness
- 04 Findings-Management · Risikoregister · Jira · Tracking
- 05 Audit-Nachweisführung · Konsistente Evidenz ohne Nacharbeit
Ein Jahrzehnt große Pentest-Programme — kein Boutique-Experiment.
Unsere Gründer und Senior-Tester haben in vorherigen Rollen Pentest-Service-Lines mit hoher Bandbreite betrieben: hunderte Engagements pro Jahr, konsistent an ISMS-, Risiko- und Auditprozesse angebunden. Diese Betriebserfahrung ist heute unser Standard — nicht die Ausnahme.
- ▸ Findings direkt in Ihr Risiko-Register oder Jira
- ▸ Wiederkehrende Test-Kalender im Jahresplan
- ▸ Einheitliche Metriken über Portfolios hinweg
- ▸ Auditor-freundliche Nachweise ohne Nacharbeit
Security-Testing im Entwicklungslebenszyklus — dokumentiert und wiederholbar.
Threat-Led Testing, kritische Assets, Meldeketten, Nachweisführung.
Prototypen-Schutz, Prozessreife, klare Nachweise für OEM-Audits.
Segmentierungstests, externe/interne Pentests, Behebungsnachweis.
„Es war unglaublich zu sehen, was das Team noch an Findings gefunden hat. Dabei wird das interne Netz seit Jahren getestet!"
„Das Ergebnis des Red Teaming war ein Augenöffner, was tatsächlich möglich ist und wie schnell das funktioniert."
„Für uns war die Kommunikation das Wichtigste. Zu jedem Punkt zu wissen: Wer macht was, was passiert als Nächstes. Das hat super funktioniert."
Klassischer, abgegrenzter Pentest mit Retest.
Kontinuierliches Testen mit rollierenden Findings statt Jahres-Snapshot.
Tage-Budget auf Abruf — schnelle Slots, feste Ansprechpartner.
Häufige Fragen zum Penetrationstest.
Was unterscheidet Sie von einem klassischen Pentest-Anbieter?+
Ein Jahrzehnt Betrieb großer Pentest-Programme mit hoher Bandbreite — 200+ Engagements pro Jahr, direkt in ISMS-, Risiko- und Ticket-Workflows integriert. Jeder Test wird von Senior-Testern mit OSCP/OSEP/OSWE/OSAI-Niveau geführt, nicht outgesourct an Junior-Ketten.
Ist das ein Scanner-Report mit hübschem Deckblatt?+
Nein. Scanner werden nur als Kartierungshilfe genutzt. Der Kern jedes Berichts sind manuell verifizierte, ausgenutzte Findings mit Proof-of-Concept, Business-Impact und konkreter Fix-Empfehlung.
Wie testet man ein LLM oder einen KI-Agent überhaupt?+
Wir folgen dem OWASP AISVS und dem LLM Top 10 und ergänzen um Themen aus unserer OSAI-geführten Trainingslinie: Prompt-Injection-Ketten, Tool-Abuse in Agents, RAG-Datenabfluss, Model-DoS, Supply-Chain-Angriffe auf Modelle und Adapter, Guardrail-Bypass. Wir bewerten Systemarchitektur, nicht nur einzelne Prompts.
Wie integriert sich das in unser ISMS und die Jahresplanung?+
Wir betreiben seit Jahren Pentest-Programme für Konzerne mit ISO 27001, DORA, NIS2 und TISAX. Findings landen mit CVSS + Owner in Ihrem Risiko-Register oder Jira, Retests werden nachvollziehbar dokumentiert, Auditoren bekommen konsistente Nachweise ohne Nacharbeit.
Wie schnell können Sie starten?+
Typische Scoping-Runde in 3–5 Werktagen, Start meist innerhalb von 2–4 Wochen. Retainer-Kunden bekommen Slots deutlich schneller.
Testen Sie Produktions- oder nur Staging-Systeme?+
Beides. Für Produktion definieren wir sichere Rules of Engagement, No-Go-Zonen und Not-Aus-Prozeduren. Für zerstörerische Tests (Fuzzing, DoS) bevorzugen wir Staging mit produktionsnahen Daten.
Sind Retests inklusive?+
Ja — ein Verifikations-Retest innerhalb von 60 Tagen ist Bestandteil jedes One-Off-Pentests. PTaaS und Retainer haben Retests laufend eingeplant.