Was ist ein Penetrationstest?

Ein Penetrationstest ist eine kontrollierte Sicherheitsprüfung, bei der IT-Systeme mit den Methoden und Techniken echter Angreifer untersucht werden — im Auftrag des Unternehmens, in einem klar definierten Rahmen und mit dem Ziel, Schwachstellen zu identifizieren und zu beheben. Im Unterschied zu einem automatisierten Schwachstellenscan setzt ein Pentest auf methodisches, manuelles Vorgehen und berücksichtigt den spezifischen Kontext der geprüften Systeme.

Für wen ist ein Pentest geeignet?

Penetrationstests sind nicht nur für große Konzerne sinnvoll. Mittelständische Unternehmen, Kanzleien, Arztpraxen, Verwaltungen und Dienstleister, die mit vertraulichen Daten arbeiten, profitieren ebenso von einer gezielten Sicherheitsprüfung. Oft zeigt sich gerade in gewachsenen IT-Umgebungen, dass Systeme zuverlässig funktionieren, aber nie gezielt auf Sicherheit geprüft wurden.

Wird während des Pentests der Betrieb beeinträchtigt?

Wir stimmen Testumfang und -zeitraum vorab sorgfältig mit Ihnen ab. Produktive Systeme werden grundsätzlich nicht beeinträchtigt. Bei besonders kritischen Umgebungen können Tests in Zeitfenstern mit geringer Last oder auf Testsystemen durchgeführt werden.

Wie lange dauert ein Pentest?

Das hängt vom Umfang ab. Eine gezielte Prüfung einzelner Webanwendungen oder Teilbereiche der Infrastruktur ist oft in zwei bis fünf Tagen möglich. Umfangreichere Prüfungen von Netzwerken oder Microsoft 365-Umgebungen benötigen entsprechend mehr Zeit. Nach einem ersten Gespräch geben wir eine konkrete Einschätzung.

Was erhalte ich nach dem Pentest?

Sie erhalten einen strukturierten Bericht mit einem Management Summary, das die wesentlichen Ergebnisse verständlich zusammenfasst, sowie einen technischen Detailbericht mit allen Befunden, Bewertungen und konkreten Handlungsempfehlungen — priorisiert nach Risiko und Umsetzungsaufwand. Auf Wunsch besprechen wir die Ergebnisse in einem persönlichen Termin mit Ihnen und Ihrem IT-Team.

IT-Security & Pentesting

Sicherheitslücken erkennen, bevor sie zum Problem werden.

Viele IT-Systeme funktionieren im Alltag zuverlässig — werden aber nie gezielt auf Sicherheitslücken geprüft. Wir analysieren Ihre IT-Infrastruktur unter kontrollierten Bedingungen, identifizieren konkrete Schwachstellen und leiten priorisierte Maßnahmen ab.

Methodik statt Showeffekte

Ein professioneller Penetrationstest besteht nicht aus spontanen Angriffen oder vorgefertigten Scan-Berichten. Er folgt einem strukturierten Ablauf: klare Abstimmung vorab, systematische technische Analyse, verständliche Dokumentation und Handlungsempfehlungen, die in Ihrer IT tatsächlich umsetzbar sind.

Unser Ziel ist keine Panikmache, sondern eine belastbare Bewertung Ihres Sicherheitsniveaus. Wir zeigen, welche Angriffspunkte tatsächlich bestehen, welches Risiko damit verbunden ist und welche Maßnahmen zuerst angegangen werden sollten — damit Geschäftsleitung und IT auf einer gemeinsamen Grundlage entscheiden können.

Was wir prüfen

Webanwendungen und APIs
Netzwerkinfrastruktur und Firewalls
VPN und Remote-Zugänge
Active Directory und Gruppenrichtlinien
Microsoft 365 und Cloud-Dienste
Windows Server, Clients und Terminalserver
Virtualisierte Umgebungen
Benutzerrechte und Berechtigungsstrukturen
Phishing-Resistenz der Mitarbeiter (auf Anfrage)
Technische und organisatorische Maßnahmen

Leistungsbereiche

Web Application & API Security

Wir prüfen Webanwendungen und Schnittstellen auf Schwachstellen wie SQL-Injection, Cross-Site-Scripting, unsichere Authentifizierung und Zugriffsschutzprobleme. Grundlage unserer Tests ist der OWASP Top 10 Standard.

Netzwerk & Infrastruktur

Wir analysieren Ihre Netzwerkarchitektur, Firewall-Konfiguration, VPN-Zugänge und Server-Infrastruktur auf Schwachstellen und Fehlkonfigurationen — einschließlich Terminalserver, virtualisierter Umgebungen und Remote-Zugänge.

Active Directory & Microsoft 365

Benutzerrechte, Gruppenrichtlinien und Administrationskonzepte in Active Directory und Microsoft 365 gehören zu den häufigsten Angriffspunkten in mittelständischen IT-Umgebungen. Wir prüfen gezielt, welche Konfigurationen ein Risiko darstellen.

Phishing-Simulation & Awareness

Auf ausdrücklichen Wunsch führen wir Phishing-Simulationen durch, um zu prüfen, wie Mitarbeiter auf täuschend echte E-Mails reagieren. Die Ergebnisse dienen als Grundlage für gezielte Awareness-Maßnahmen — nicht als Schuldnachweis.

Schwachstellenanalyse & Härtung

Wir identifizieren Schwachstellen in Betriebssystemen, Diensten und Applikationen, bewerten deren Risiko realistisch und erarbeiten konkrete Härtungsempfehlungen — abgestimmt auf den tatsächlichen Umsetzungsaufwand in Ihrer IT.

Reporting & Handlungsempfehlungen

Jeder Pentest wird mit einem verständlichen Bericht abgeschlossen: ein Management Summary für die Geschäftsleitung und ein technischer Bericht für Ihre IT. Alle Befunde werden nach Risiko und Umsetzungsaufwand priorisiert.

Unser Pentest-Ablauf

Abstimmung & Scope-Definition

Bevor wir beginnen, klären wir gemeinsam, welche Systeme geprüft werden sollen, in welchem Zeitraum der Test stattfindet und welche Bereiche ausdrücklich ausgeschlossen sind. Diese schriftliche Vereinbarung ist die Grundlage für einen kontrollierten und verantwortungsvollen Test.

Informationssammlung & Analyse

In der ersten Testphase sammeln wir Informationen über die zu prüfenden Systeme — sowohl aus öffentlich zugänglichen Quellen als auch aus dem vereinbarten Prüfbereich. Ziel ist ein realistisches Bild der Angriffsfläche.

Technische Prüfung & Angriffssimulation

Wir prüfen die Systeme systematisch auf Schwachstellen und simulieren, wie ein Angreifer mit den gefundenen Sicherheitslücken vorgehen könnte. Alle Maßnahmen erfolgen innerhalb des vereinbarten Rahmens — dokumentiert und kontrolliert.

Auswertung & Berichterstattung

Die gefundenen Schwachstellen werden bewertet, nach Risiko priorisiert und in einem strukturierten Bericht dokumentiert. Der Bericht enthält ein Management Summary sowie einen detaillierten technischen Teil mit konkreten Handlungsempfehlungen.

Nachbesprechung & Umsetzungsunterstützung

Wir besprechen die Ergebnisse gemeinsam mit Ihnen und Ihrem IT-Team. Auf Wunsch unterstützen wir bei der Umsetzung der empfohlenen Maßnahmen und stehen für Rückfragen zur Verfügung.

Häufige Fragen

Sicherheitsprüfung anfragen

Beschreiben Sie uns kurz, welche Systeme oder Bereiche geprüft werden sollen — wir erstellen Ihnen eine Einschätzung zum Umfang und nehmen uns Zeit für Ihre Fragen.

Jetzt anfragen