Ein Schwachstellenscanner liefert eine Liste. Ein Penetrationstest erzählt eine Geschichte: Er zeigt auf, wie ein Angreifer von einem exponierten Endpunkt zu einem Domain Controller gelangt, welche Kontrollen versagt haben und welche Annahmen in Ihrer Architektur sich als falsch erwiesen. Der Wert liegt im Angriffspfad, nicht in den einzelnen Befunden.

Red Teaming geht noch einen Schritt weiter. Während ein Penetrationstest die Wirksamkeit spezifischer Kontrollen validiert, prüft eine Red-Team-Übung, ob Ihre Erkennungs-, Reaktions- und Koordinationsfähigkeiten einem anhaltenden, zielgerichteten Angriff standhalten. Ein Angreifer kündigt seinen Umfang nicht an. Ein Red Team tut dies ebenfalls nicht.

NIS2 hat eine Welle von Compliance-orientierten Tests ausgelöst – Prüfungen, die darauf abzielen, eine Audit-Anforderung zu erfüllen, anstatt tatsächliche Schwachstellen aufzudecken. Das Ergebnis ist eine wachsende Diskrepanz zwischen dokumentierter Sicherheitslage und operativer Realität. Gradion führt keine reinen „Checkbox-Tests“ durch. Jedes Engagement ist darauf ausgelegt, eine Frage zu beantworten, die Ihr Unternehmen tatsächlich beantwortet wissen muss.

Penetration Testing für Webanwendungen

Zwei Stufen je nach erforderlicher Tiefe. Standard/Lean: Eine Woche pro Anwendung – deckt OWASP Top 10, Authentifizierungs- und Session-Management, Zugriffssteuerungslogik, Injektionsschwachstellen, API-Endpunkt-Exposition und Fehler in der Geschäftslogik ab. Deep Dive: Zwei bis vier Wochen pro Anwendung – vollständige manuelle Tests einschließlich REST-, GraphQL- und älterer SOAP-Schnittstellen, verketteter Angriffspfade und erweiterter Geschäftslogikanalyse.

Tests erfolgen primär manuell. Automatisierte Scanner finden die Oberfläche; Menschen finden die Exploits.

Lieferobjekte für beide Stufen: Executive Report, Technischer Deep Dive mit Proof-of-Concept-Exploits, Remediation Roadmap.

Härtung der Web-Sicherheit

Schwachstellen zu finden, ist nur die halbe Miete. Nach einem Pentest implementieren wir die Korrekturen: WAF-Konfiguration, Behebung auf Code-Ebene und vollständige Validierung, dass die Änderungen Bestand haben. Sieben Tage Durchlaufzeit von der Entdeckung bis zur Behebung. Dies ist kein separates, nachträglich angehängtes Engagement – es ist die natürliche Fortsetzung des Tests.

Externes und internes Netzwerk-Penetration Testing

Externe Tests bewerten die internetexponierte Infrastruktur aus der realistischen Perspektive eines Angreifers – ohne internes Wissen, ohne vorherigen Zugang. Exponierte Dienste, Authentifizierungsmechanismen, Konfigurationsschwächen und verkettete Angriffspfade.

Interne Tests gehen von der Präsenz eines Angreifers innerhalb des Perimeters aus – dem häufigsten Szenario nach Phishing oder einer Kompromittierung der Lieferkette. Möglichkeiten zur lateralen Bewegung, Pfade zur Privilegienerhöhung, Active Directory-Exposition und die Wirksamkeit der Segmentierung in Windows-, Linux-, Cloud-verbundenen und hybriden Umgebungen.

OT- und ICS-Penetration Testing

Umgebungen industrieller Steuerungssysteme erfordern einen anderen Ansatz. Aktive Exploitation, die eine Produktionslinie stört, ist kein akzeptables Testergebnis. Wir führen passive Aufklärung, Protokollanalyse und gezielte aktive Tests innerhalb vereinbarter Sicherheitsgrenzen durch. IEC 62443 liefert den Risiko- und Zonenrahmen; der Test validiert, ob die in diesem Rahmen definierten Kontrollen tatsächlich durchgesetzt werden.

Diese Fähigkeit ist im DACH-Markt selten. Die meisten Pentest-Firmen nähern sich OT-Umgebungen mit IT-Methodik und stoppen, sobald sie auf Modbus oder PROFINET stoßen. Wir nicht.

Red-Team-Übungen

Umfassende Gegnersimulation: Phishing, physische Eindringversuche, Social Engineering, Etablierung dauerhaften Zugangs und laterale Bewegung zu definierten Zielen. Red-Team-Engagements erstrecken sich über zwei bis vier Wochen und nutzen MITRE ATT&CK als Rahmenwerk für das Angreiferverhalten. Das Ergebnis ist eine Angriffszeitleiste, eine Analyse der Erkennungslücken und ein strukturiertes Debriefing mit dem Blue Team. Wir liefern keine reine Befundliste und ziehen uns zurück – das Debriefing ist der Ort, an dem die eigentliche Arbeit stattfindet.

Mobile Anwendungstests

iOS- und Android-Anwendungen, die sensible Daten verarbeiten oder als Authentifizierungseinstiegspunkte dienen. Statische Analyse, dynamische Tests, Traffic-Interception und Backend-API-Überprüfung aus der Perspektive des mobilen Clients.

Wie wir unsere Ergebnisse präsentieren

Jedes Engagement umfasst einen technischen Bericht und eine Management-Zusammenfassung. Der technische Bericht ist für die Ingenieure gedacht, die die Probleme beheben. Er enthält detaillierte Reproduktionsschritte, Tool-Ausgaben, relevante Code-Snippets und konkrete Handlungsempfehlungen. Die Management-Zusammenfassung richtet sich an den Vorstand oder CISO und beleuchtet die Risikobelastung, ordnet die geschäftlichen Auswirkungen ein und schlägt priorisierte Maßnahmen vor.

Die Validierung der Behebung – also das erneute Testen behobener Schwachstellen – ist bei allen Standard-Engagements im Leistungsumfang enthalten. Sollte eine Korrektur ein neues Problem verursachen, identifizieren wir es.

Umfassende IT/OT-Analyse

Für Unternehmen, die ein vollständiges Bild ihrer IT- und OT-Systeme benötigen, bevor sie gezielte Tests beauftragen, ist unser „Cybersecurity & Infrastructure Safety Check“ der ideale Ausgangspunkt. Dieses etwa 3-wöchige Engagement deckt Netzwerksegmentierung, Risiken durch Fernzugriffe, die Exposition von Altsystemen und Zugriffssteuerungen in beiden Bereichen ab. Die Ergebnisse umfassen eine Executive Risk Scorecard und einen priorisierten Maßnahmenplan zur Risikobehebung. Dauer: 6–7 Beratungstage. Weitere Details finden Sie auf unserer Cybersecurity-Landingpage.

Ablauf unserer Engagements

Erstes Scoping-Gespräch innerhalb von 48 Stunden. Umfang und Angebot für das Engagement innerhalb einer Woche. Testzeitfenster werden mit Ihrem Operationsteam koordiniert, um Auswirkungen auf die Produktion zu vermeiden. Standard-Webanwendungs- oder Netzwerktests werden innerhalb von zwei bis drei Wochen nach Projektstart geliefert. Red-Team-Übungen werden separat basierend auf Zielen und Umgebungsgröße definiert.

Wir sind in Deutschland, Vietnam, Singapur, Ägypten und Thailand tätig. Für Kunden, die Tests in mehreren Regionen oder über länderübergreifende Infrastrukturen hinweg benötigen, führen wir koordinierte parallele Bewertungen durch. Dies eliminiert den Planungsaufwand, dem Unternehmen mit nur einem Standort gegenüberstehen.

Methodik

Unsere Anwendungstests folgen den PTES- und OWASP-Methodologien. OT-Tests orientieren sich an der Sicherheitslevel-Bewertung nach IEC 62443-3-3. Red-Team-Übungen nutzen MITRE ATT&CK. Zu den eingesetzten Tools gehören Burp Suite Pro, Metasploit, Cobalt Strike (lizenziert), Nessus sowie kundenspezifische Tools für OT-Protokolle.

Teilen Sie uns Ihre Umgebung und Ziele mit. Wir erstellen Ihnen innerhalb einer Woche einen Testplan und ein Angebot.