Scanner-Blindstellen finden. Vor Launch beheben.
Expertengeführtes Penetration Testing, das reale Angriffe auf Webanwendungen und APIs simuliert. OWASP Top 10 plus manuelle Exploitation, mit Proof-of-Concept-Nachweisen und inklusive Re-Test.
Kontakt aufnehmen
Die Situation
Die meisten Angreifer brechen nicht ein. Sie gehen durch die offene Tür, weil niemand geprüft hat, ob sie verschlossen war.
Die Zahlen
Durchschnittliche Kosten eines Datenlecks: 4,9 Mio. $ (IBM Security, 2024).
287 Tage, um ein Datenleck ohne proaktive Tests zu identifizieren und einzudämmen.
Anstieg der Cyberangriffe um +40 % im Jahresvergleich (ENISA, 2024).
3x ROI präventiver Sicherheitstests im Vergleich zu Kosten nach einem Datenleck.
Wer ist gefährdet
KMU und Scale-ups ohne internes Sicherheitsteam. SaaS-Plattformen, bei denen ein Datenleck sofortige Kundenabwanderung bedeutet. Regulierte Branchen unter DSGVO, NIS2 und ISO 27001. Produkte vor dem Launch, die an Tausende von Nutzern ausgeliefert werden.
Was der Test aufdeckt
Jede öffentlich zugängliche Schwachstelle, identifiziert und validiert mit Proof-of-Concept-Nachweisen.
Risikobewertung (Kritisch, Hoch, Mittel, Niedrig) mit verständlicher Darstellung der geschäftlichen Auswirkungen.
Eine priorisierte Roadmap zur Behebung: Was zuerst behoben werden muss.
Klare Trennung zwischen compliance-kritischen und beratenden Feststellungen.
Kostenloser Re-Test aller kritischen und hoch eingestuften Feststellungen.
Executive Risk Summary, bereit für den Vorstand, plus technische Details für Ihr Entwicklungsteam.
Beispielberichte eines echten Penetration Tests
Unautorisierte Kontoübernahme via Dateiupload (Kritisch): Nicht authentifizierte Payload hochgeladen, Admin-Session via Social-Engineering-Link gekapert.
Privilegieneskalation und Massen-Datenexfiltration (Zero-Day): HR-Konto mit geringsten Berechtigungen extrahierte gesamte Mitarbeiterdatenbank, Gehälter, Passwörter, persönliche Daten.
Schwachstelle in der Geschäftslogik, Preismanipulation (Kritisch): Negative Mengen umgingen Server-Validierung, Buchungen zu Nullkosten abgeschlossen.
So funktioniert es
Scoping
Kickoff, Bestätigung des Umfangs, Mapping der Angriffsfläche, Notfallkontakte.
Scanning und Exploitation
OWASP Top 10, automatisches Scanning mit Burp Suite Pro, manuelle Experten-Exploitation von Logikfehlern und API-Missbrauch.
Synthese und Reporting
Feststellungen mit PoC-Nachweisen validiert. Executive Risk Summary und priorisierte Roadmap zur Behebung geliefert.
Re-Test und Debriefing
Kritische und hoch eingestufte Feststellungen erneut getestet. Berichtslieferung und Besprechung mit dem Team.
Umfang
Was ist enthalten
Mapping der Angriffsfläche über alle öffentlich zugänglichen Endpunkte, APIs und Authentifizierungsmechanismen hinweg.
OWASP Top 10 Testing und automatisiertes Scanning mit Burp Suite Pro.
Manuelle Experten-Exploitation: Authentifizierungsangriffe, Injection Chains, Schwachstellen in der Geschäftslogik, API-Missbrauch.
Executive Risk Summary mit Risikobewertungen und verständlicher Darstellung der geschäftlichen Auswirkungen.
Priorisierte Roadmap zur Behebung: Was zuerst behoben werden muss, für Entwickler verfasst.
Kostenloser Re-Test aller kritischen und hoch eingestuften Feststellungen.
Was ist nicht enthalten
Source Code Review (im Deep Dive Tier verfügbar).
Architekturanalyse und Insider-Bedrohungssimulation (Deep Dive Tier).
Laufendes Monitoring (siehe Managed Vulnerability Assessment).
Sicherheit der Cloud-Infrastruktur (siehe Cloud Security Assessment).
Wer den Test durchführt
An Ngo, Security Engineer
Offensive Security & Vulnerability Research. Red Team Spezialist mit über 200 veröffentlichten CVEs und einer weltweiten Top-Platzierung bei Patchstack.
Expertise
Fortgeschrittenes Penetration Testing für Web-, API-, Host- und mobile Umgebungen. Umfassendes Source Code Auditing in Java, .NET, PHP, JavaScript und Python. Kundenspezifische Exploit-Tools und KI-gestützte Sicherheitsautomatisierung. Full-Stack Application Security.
Branchenerfahrung
Cybersecurity. Telekommunikation. SaaS.
Erfolgsbilanz
Aufnahme in die Apple Hall of Fame (August 2024). Weltweit führender Researcher auf Patchstack (Platz 1, September 2023). Über 200 veröffentlichte CVEs, darunter mehrere kritische Schwachstellen mit CVSS 9.8. Führung eines Teams zum nationalen Sieg in einem IT-Sicherheitswettbewerb.
Warum Gradion
Red Team Expertise, nicht nur Tools
OWASP Top 10 und Burp Suite Pro sind die Basis, nicht das Ziel. Jedes Engagement beinhaltet manuelle, expertenbasierte Exploitation. Wir finden Logikfehler, API-Missbrauchsketten und Session-Schwachstellen, die automatisierte Scanner übersehen.
Zwei Prüftiefen, ein Expertenteam
Standard (Black/Grey-Box) für Compliance-Anforderungen und Pre-Launch-Checks. Deep Dive (White-Box) für Quellcode-Reviews, Architekturanalysen und Insider-Bedrohungs-Simulationen. Dasselbe Team, abgestimmt auf Ihr Risikoprofil.
Stets mit Proof-of-Concept-Nachweis
Jeder Befund wird durch einen funktionierenden PoC-Exploit belegt. Berichte in verständlichem Deutsch für die Geschäftsleitung und präzise, codebasierte Handlungsempfehlungen für Entwickler. Ein Re-Test ist inbegriffen.
Web Application Penetration Test
Festpreis. Keine Überraschungen.
Standard (Black/Grey-Box)
OWASP Top 10, automatisierte Scans, manuelle Exploitation, inklusive Re-Test. 5-7 Tage.
- Angriffsflächen-Mapping
- OWASP Top 10 Tests
- Automatisierte Scans mit Burp Suite Pro
- Manuelle, expertenbasierte Exploitation
- Re-Test kritischer und hochpriorer Befunde
Deep Dive (White-Box)
Alle Leistungen des Standard-Pakets plus Quellcode-Review, Architektur-Analyse, Insider-Bedrohungs-Simulation. 17-25 Tage.
- Alle Leistungen des Standard-Pakets
- Quellcode-Analyse auf Logikfehler
- Architektur-Review über alle Angriffsflächen hinweg
- Simulation von Insider-Bedrohungen und kompromittierten Konten
- Umfassende Prüfung der API-Integrität und Business-Logik-Missbrauch
Häufige Fragen
Wir haben letztes Jahr einen Pentest durchführen lassen. Benötigen wir einen weiteren?
Ja, wenn sich Quellcode, Infrastruktur oder APIs seitdem geändert haben. Ein Penetrationstest ist nur zum Zeitpunkt seiner Durchführung gültig. Neue Funktionen, Integrationen und Abhängigkeits-Updates schaffen neue Angriffsflächen. Jährliche Tests sind der Mindeststandard für die meisten Compliance-Frameworks.
Wie störend ist der Testprozess?
Für den Standard-Test benötigen wir URL-Zugriff, eine Staging-Umgebung und einen technischen Ansprechpartner. Ihr Entwicklerteam ist nur beim Kick-off und Debriefing involviert. Für den Deep Dive benötigen wir Lesezugriff auf den Quellcode und 2-3 Stunden Verfügbarkeit während des gesamten Engagements.
Was passiert, wenn während des Tests etwas Kritisches gefunden wird?
Der technische Leiter wird umgehend benachrichtigt. Wir warten nicht bis zum Abschlussbericht. Die Sicherheit bleibt während der gesamten Dokumentationsphase gewährleistet.
Worin unterscheidet sich dies von einem automatisierten Scan?
Automatisierte Scanner finden bekannte Muster. Unser Red Team entdeckt Logikfehler, verkettete Schwachstellen und Exploits im Geschäftskontext, die kein Scanner erkennt. Jeder Befund beinhaltet einen funktionierenden Proof-of-Concept, keine reine Schweregrad-Bewertung in einer Tabelle.
Was kommt als Nächstes?
Die Ergebnisse des Penetrationstests fließen direkt in unser Web Security Hardening (EUR 4.999-6.999) ein. Wir beheben die gefundenen Schwachstellen, implementieren WAF-Schutz und führen einen Re-Test durch, um sicherzustellen, dass alle Lücken geschlossen sind.
Für Cloud-Umgebungen erweitert das Cloud Security Assessment (EUR 5.999-6.999) die Abdeckung über die Web-Ebene hinaus.
Keine Verpflichtung zur Fortsetzung. Der Pentest-Bericht ist eigenständig nutzbar.
Web App Penetration Test: ab EUR 5.000
Füllen Sie das Formular aus. Wir bestätigen Verfügbarkeit und Umfang innerhalb von 48 Stunden.
- Unverbindlich. Kein Verkaufsgespräch.
- Antwort innerhalb von 48 Stunden.
- Senior-Experte im Gespräch.