Externer Netzwerk-Pentest
Internet-Perimeter-Bewertung nach PTES + NIST SP 800-115: Enumeration, Schwachstellenanalyse, manuelle Exploitation exponierter Dienste, Credential-Angriffsketten und das Angriffsszenario, das Ihr CISO schriftlich benötigt.
Leistungen
Penetrationstests & Sicherheitsaudits für SaaS — Extern, Webanwendung, Mobile, API und Cloud
Manuelle Penetrationstests durch OSCP/OSCE/CREST-zertifizierte Tester nach den Standards, die Ihre Prüfer und Kunden tatsächlich erwarten: PTES-Methodik, OWASP ASVS L1–L3 für Web, OWASP MASVS für Mobile, OWASP API Security Top 10 2023, CIS Benchmarks für Cloud. Jeder Befund bewertet nach CVSS v4.0 mit geschäftlichem Risikokontext, vorstandsgerechter Zusammenfassung, JIRA-importierbarem Sanierungsplan und kostenlosem Nachtest innerhalb von 90 Tagen. Berichte konzipiert als Nachweise für SOC 2 CC4/CC7, PCI DSS Req 11.4, HIPAA §164.308(a)(8), EU-KI-Verordnung Art. 15 und DORA TLPT. Tests ab 5.500 EUR.
Automatisierte Scanner fangen das Rauschen ab; Menschen finden die Fehler, die ins Produktionssystem gelangen. Unsere Engagements sind manuell, hypothesengetrieben und folgen PTES (Penetration Testing Execution Standard) von Anfang bis Ende — Vorengage, Intelligence, Bedrohungsmodellierung, Schwachstellenanalyse, Exploitation, Post-Exploitation und Berichterstattung. Jeder Befund wird mit einem funktionierenden PoC, einem CVSS-v4.0-Vektor mit Bedrohungs- und Umgebungsmetriken und einem Sanierungsblock ausgeliefert, den Ihre Entwickler montags als Ticket anlegen können. Berichte überstehen Enterprise-Beschaffung, Audit-Feldarbeit und Cyberversicherungs-Underwriting, weil die Methodik dokumentiert und die Tester namentlich genannt sind.
Was wir liefern
Webanwendungs-Pentest
OWASP-ASVS-L1/L2/L3-Abdeckung: Authentifizierung, Session, Zugriffskontrolle (einschließlich BOLA/IDOR), Eingabevalidierung, Geschäftslogik-Missbrauch, Dateiverarbeitung, API-Fläche und die zehn OWASP-Top-10-2021-Kapitel mit aktiver Exploitation.
Mobile-Pentest (iOS + Android)
OWASP-MASVS-Abdeckung mit MASTG-Testfällen: Plattforminteraktion, Datenspeicherung, Kryptografie, Netzwerk, Authentifizierung, Codequalität, Resilienz (Root-/Jailbreak-Erkennung, Anti-Debug) und die IPA/APK statische + dynamische Analyse, die auch Store-Reviewer durchführen.
API-Pentest
OWASP API Security Top 10 2023: BOLA (API1), Broken Authentication (API2), BOPLA (API3), Unrestricted Resource Consumption (API4), BFLA (API5), SSRF (API7), Security Misconfiguration (API8), Improper Inventory Management (API9). REST, GraphQL und gRPC.
Cloud-Konfigurations-Audit
AWS/GCP/Azure gegen CIS Benchmarks plus den sicherheitsspezifischen Pfeiler des Well-Architected Framework des Anbieters: IAM, Verschlüsselung, Logging, Netzwerkexposition, Secret-Management, Container-/Serverless-Konfiguration und die Cross-Account-/Cross-Tenant-Grenzüberprüfung.
Bericht & Nachtest
Vorstandsgerechte Zusammenfassung, Methodik mit zitierten PTES-Phasen und ASVS/MASVS/API-Top-10-Kapiteln, Befunde mit CVSS-v4.0-Vektoren und PoC, Angriffs-Narrative, JIRA-importierbarer Sanierungsplan und ein kostenloser Nachtest innerhalb von 90 Tagen mit ausgestelltem sauberem Schreiben.
Methoden, Standards und Tools, die wir einsetzen
PTES
NIST SP 800-115
OSSTMM 3
OWASP Top 10 2021
OWASP ASVS L1
OWASP ASVS L2
OWASP ASVS L3
OWASP MASVS
OWASP MASTG
OWASP API Top 10 2023
OWASP LLM Top 10
CVSS v4.0
CWE / CAPEC
CIS Benchmarks
MITRE ATT&CK
OSCP / OSCE / OSEP
CREST CRT / CCT
CISSP
Burp Suite Pro
Nuclei / ZAP
Frida / Objection
MobSF
Pacu / Prowler
ScoutSuite
DORA TLPT
CBEST / TIBER-EU
Wie ein Engagement abläuft
-
01
Scope & Testregeln
Woche 0: Scoping-Gespräch, unterzeichnete Testregeln (Zielliste, erlaubte Techniken, Zeitfenster, Notfallkontakte), Testkonten bereitgestellt, Quellcode-Zugang für Grey/White-Box wo im Scope.
-
02
Test
Tage 1–N: PTES-gesteuertes manuelles Testen mit namentlich genanntem leitenden und begleitenden Tester, tägliche Statusaktualisierungen, sofortige Meldung kritischer Befunde mit funktionierendem PoC, Screenshot-Nachweise während des gesamten Tests.
-
03
Bericht & Debriefing
Innerhalb von 5 Arbeitstagen nach Testende: Berichtsentwurf, technisches Debriefing mit dem Engineering-Team, Führungs-Debriefing mit der Unternehmensleitung, Abschlussbericht als PDF + JIRA-importierbarer CSV-Sanierungsplan.
-
04
Nachtest
Innerhalb von 90 Tagen: kostenloser Nachtest aller als Hoch und Kritisch eingestuften Befunde, sauberes Nachtest-Schreiben zur Weitergabe an Beschaffung/Auditor. Jahres-Pakete bieten Quartals-Rhythmus und kontinuierliche Nachtests pro Quartal.
Engagement-Pakete
Externer Netzwerk-Pentest
Fünf Arbeitstage Test + Bericht. Internet-Perimeter-Scope, bis zu ~50 Hosts, PTES-Methodik, CVSS-v4.0-Bewertung, Führungs- + Technikbericht, kostenloser Nachtest innerhalb von 90 Tagen. 5.500 EUR.
Webanwendungs-Pentest
Acht Arbeitstage. Einzelne Webanwendung, OWASP ASVS L2 Standard (L3 +30%), authentifizierter Multi-Rollen-Test, vollständige OWASP Top 10 + Geschäftslogik, Bericht und Nachtest enthalten. 8.500 EUR.
Mobile-App-Pentest
Sieben Arbeitstage, einzelne Plattform (iOS oder Android). MASVS L1+R, statische + dynamische Analyse, Laufzeit-Instrumentierung (Frida/Objection), Bericht und Nachtest. Beide Plattformen: 13.500 EUR. Einzelplattform: 7.500 EUR.
API-Pentest
Sechs Arbeitstage. Einzelne API-Fläche (REST/GraphQL/gRPC), OWASP API Security Top 10 2023, authentifizierter Multi-Rollen-Test, Bericht und Nachtest enthalten. 6.500 EUR.
Cloud-Konfigurations-Audit
Sechs Arbeitstage. Einzelner AWS-, GCP- oder Azure-Account, CIS Benchmark + Well-Architected-Sicherheitspfeiler, IAM/Verschlüsselung/Logging/Netzwerk-Review, Härtungsrückstand. 7.000 EUR.
Jährliches 4-Test-Paket
Beliebige Kombination aus vier Tests im Jahresverlauf mit Prioritätsterminierung, kontinuierlichen Nachtests innerhalb jedes Quartals, jahresübergreifender Zusammenfassung aller Engagements und namentlichem Relationship-Manager. 22.000 EUR/Jahr.
Bedrohungsgeleitete Penetrationstests (DORA TLPT, CBEST, TIBER-EU) und Red-Team-Engagements werden separat auf Basis eines individuellen Scopes angeboten. NDA und unterzeichnete Testregeln vor Beginn jeglichen Testens.
Verwandte Leistungen
SOC-2-Bereitschaft
Jährliche Pentest-Nachweise für CC4.1-Monitoring und CC7.1-Schwachstellenerkennung — Berichte werden von jeder großen Wirtschaftsprüfungsgesellschaft akzeptiert.
Mehr erfahren →
PCI DSS Compliance
Jährliche externe/interne Penetrationstests gemäß Req 11.4.3 und Segmentierungstests gemäß Req 11.4.5 — in dem Umfang und der Form, die Ihr QSA erwartet.
Mehr erfahren →
HIPAA-konforme Softwareentwicklung
§164.308(a)(8) technische Evaluierungsnachweise, mit Befunden, die auf Security-Rule-Sicherheitsmaßnahmen zurückverfolgt und in OCR-verteidigte Sanierungsverfolgung eingebettet sind.
Mehr erfahren →Warum CISOs und Audit-Komitees YuSMP für Penetrationstests wählen
DSGVO-konform · ISO-27001-bereit · SOC 2 Type II in Vorbereitung · HIPAA-fähig · OSCP/CREST-geführt
Menschen, nicht nur Scanner
Jedes Engagement wird von einem namentlich genannten OSCP/OSCE/CREST-zertifizierten Tester geleitet. Automatisierte Scanner unterstützen zur Maximierung der Abdeckung, aber die entscheidenden Befunde entstehen durch manuelles Hypothesentesten und verkettete Exploitation.
Berichte, die Prüfer auf Anhieb akzeptieren
PTES-zitierte Methodik, OWASP-Standard-Kapitel, CVSS-v4.0-Vektoren, namentlich genannte Tester und Zertifizierungen, Nachtest-Schreiben-Format, das auf SOC-2-/PCI-/HIPAA-Nachweisanforderungen abgestimmt ist. Kein Hin und Her mit der Wirtschaftsprüfungsgesellschaft.
Sanierung, die umgesetzt wird
Befunde sind für den Entwickler geschrieben, der sie beheben muss: minimale Reproduktion, Ursachenanalyse, codeebene Anleitung, JIRA-importierbar. Engineering-Teams schließen Befunde ab, anstatt mit dem Bericht zu diskutieren.
Für kontinuierliche Sicherheitssicherung bringt das Jahres-Paket Sie mit einem Relationship-Manager zusammen, der Ihren Stack über das Jahr hinweg kennenlernt — jeder Quartals-Test baut auf früheren Befunden auf, statt von vorn zu beginnen.
Häufig gestellte Fragen
Welche Art von Penetrationstest benötige ich, und welchem Standard folgt der Test?
Das hängt von Ihrer Angriffsfläche ab. Ein externer Netzwerk-Pentest (PTES-Methodik, NIST SP 800-115) deckt internetexponierte Infrastruktur ab — DNS, E-Mail, Perimeterdienste, exponierte Admin-Interfaces. Ein Webanwendungs-Pentest deckt Ihre Anwendungslogik ab und wird gegen OWASP ASVS (Application Security Verification Standard) L1 für opportunistische Bedrohungen, L2 für die meisten SaaS-Anwendungen mit sensiblen Daten, L3 für hochsicherheitsrelevante Bereiche (Gesundheitswesen, Fintech, Verteidigung) durchgeführt. Ein Mobile-Pentest folgt OWASP MASVS (Mobile ASVS) und umfasst Plattformkontrollen (iOS/Android), Netzwerk, Kryptografie, Auth und Codequalität. Ein API-Pentest folgt dem OWASP API Security Top 10 2023 (BOLA, Broken Auth, BOPLA, Unrestricted Resource Consumption usw.) und testet Authn/Authz auf Anforderungsebene. Ein Cloud-Konfigurations-Audit überprüft AWS/GCP/Azure gegen CIS Benchmarks plus den sicherheitsspezifischen Pfeiler des Well-Architected Framework des Anbieters. Die meisten SaaS-Unternehmen benötigen jährlich Webanwendung + API + Cloud-Konfiguration; Mobile zusätzlich, wenn Sie eine Mobile-App ausliefern.
Welche Zertifizierungen halten Ihre Tester, und warum ist das wichtig?
Unsere leitenden Tester halten eine Kombination aus OSCP (Offensive Security Certified Professional — praktische 24-Stunden-Prüfung), OSCE/OSEP (fortgeschrittene Exploitation), CREST CRT/CCT (in der britischen Industrie anerkannt, akzeptiert von HMG und Bank of England CBEST) sowie CISSP für die Rolle des Senior-Beraters. Warum das wichtig ist: Ein OSCP-Inhaber hat nachweislich Multi-Host-Umgebungen unter Zeitdruck ausgenutzt; ein automatisierter Scanner nicht. Enterprise-Beschaffung, Bank of England CBEST, EU TIBER-EU und die meisten Cyberversicherungs-Underwriter verlangen heute namentlich genannte zertifizierte Tester in einem Engagement — nicht nur die Marketing-Aussage eines Unternehmens über ‘zertifizierte Fachleute’.
Wie bewerten Sie Befunde, und was kann ich im Bericht erwarten?
Jeder Befund wird nach CVSS v4.0 bewertet (der aktuelle FIRST-veröffentlichte Vektor, der Bedrohungs- und Umgebungsmetriken sowie die Safety/Automated/Recovery-Erweiterungen einschließt). Wir vergeben außerdem eine kontextbezogene geschäftliche Risikoeinstufung, da CVSS allein den Kontext der Mandantenisolierung und Datenklassifizierung übersieht. Der Bericht enthält: eine für den Vorstand lesbare Zusammenfassung, einen Methodikteil mit Verweis auf PTES-Phasen und die getesteten ASVS/MASVS/API-Top-10-Kapitel, einen Befundteil mit Reproduktionsschritten, CVSS-Vektor, Geschäftsauswirkung und priorisierter Sanierung, eine Angriffs-Narrative, die den Pfad eines Angreifers rekonstruiert, sowie einen Anhang mit Testnachweisen. Wir liefern außerdem einen als JIRA-importierbare CSV aufbereiteten Sanierungsplan.
Wie funktioniert der Nachtest-Prozess, und ist er enthalten?
Ja — jedes Engagement beinhaltet einen kostenlosen Nachtest innerhalb von 90 Tagen nach dem Bericht. Wir führen den Proof-of-Concept für jeden als Hoch und Kritisch eingestuften Befund erneut aus, verifizieren die Behebung und stellen ein sauberes Nachtest-Schreiben aus, das Sie an die Enterprise-Beschaffung oder einen Auditor weitergeben können. Nachtests außerhalb des Scopes (mehr als 90 Tage oder erweiterter Scope) werden mit 30% des ursprünglichen Engagements berechnet. Für kontinuierliche Sicherheitssicherung beinhaltet das jährliche 4-Test-Paket einen Quartals-Rhythmus und kontinuierliche Nachtests innerhalb jedes Quartals.
Wie erfüllt Ihr Pentest die Anforderungen von SOC 2, PCI DSS Req 11.4, HIPAA und EU-KI-Verordnung / DORA?
SOC 2 erwartet einen regelmäßigen Pentest als Nachweis für CC4.1-Monitoring und CC7.1-Schwachstellenerkennung; unsere Berichte werden von jeder großen Wirtschaftsprüfungsgesellschaft akzeptiert. PCI DSS v4.0.1 Req 11.4.3 verlangt jährliche externe/interne Penetrationstests sowie nach wesentlichen Änderungen; Req 11.4.5 verlangt Segmentierungstests (jährlich für Händler, alle 6 Monate für Dienstleister). HIPAA nennt ‘Penetrationstest’ nicht explizit, §164.308(a)(8) verlangt jedoch regelmäßige technische Evaluierungen — Pentests sind der de-facto-Nachweis. EU AI Act Art. 15 verlangt Tests auf Genauigkeit, Robustheit und Cybersicherheit; DORA (Verordnung (EU) 2022/2554) schreibt bedrohungsgeleitete Penetrationstests (TLPT) für bedeutende Finanzinstitute ab Januar 2025 vor. Wir ordnen jeden Befund der entsprechenden Kontrolle zu, sodass der Bericht in Audits doppelten Nutzen hat.
Wie sehen die Preise aus, und was ist im Scope enthalten – was nicht?
Preise pro Engagement. Externer Netzwerk-Pentest: 5.500 EUR (5 Arbeitstage Test + Bericht) — Internet-Perimeter-Scope, bis zu ~50 Hosts. Webanwendungs-Pentest: 8.500 EUR (8 Tage) — einzelne Anwendung oder eng abgegrenzter Multi-App-Scope, standardmäßig ASVS L2. Mobile-Anwendungs-Pentest: 7.500 EUR (7 Tage) — iOS oder Android, MASVS L1+R; beide Plattformen zusammen 13.500 EUR. API-Pentest: 6.500 EUR (6 Tage) — einzelne API-Fläche, OWASP API Top 10 2023. Cloud-Konfigurations-Audit: 7.000 EUR (6 Tage) — einzelner AWS/GCP/Azure-Account, CIS Benchmark + Well-Architected-Sicherheitspfeiler des Anbieters. Jährliches 4-Test-Paket: 22.000 EUR — beliebige Kombination aus vier Tests im Jahresverlauf mit Prioritätsterminierung, kontinuierlichen Nachtests und jahresübergreifender Zusammenfassung aller Engagements. Kostenloser Nachtest innerhalb von 90 Tagen in jedem Engagement enthalten.