EN / DE
  SICHERHEITSBEWERTUNG · IT & OT

Wissen, wo Sie angreifbar sind.

Strukturierte Sicherheitsbewertungen und Penetrationstests für Web-Anwendungen, APIs, Infrastruktur und Industriesteuerung. Wir prüfen aus der Perspektive eines Angreifers — mit klarer Autorisierung, ohne Theatralik und mit einem Bericht, den Ihr Team direkt umsetzen kann.

Bewertung anfragen
01 Vorgehen

Methodisch statt punktuell.

Jede Bewertung folgt einem anerkannten Rahmenwerk — OWASP Testing Guide und PTES — und wird ausschließlich nach schriftlicher Freigabe durchgeführt. Schwachstellen werden nach CVSS bewertet, nach CWE klassifiziert und an den OWASP Top 10 ausgerichtet, damit Ergebnisse vergleichbar und nachvollziehbar bleiben.

Aus Angreiferperspektive

Black- und Gray-Box-Tests, die reale Angriffsketten nachbilden — nicht nur Checklisten abhaken.

Autorisiert & abgestimmt

Scope, Zeitfenster und Eskalationswege werden vorab definiert. Keine Tests ohne klare Freigabe.

Bewertet & klassifiziert

CVSS-Score, CWE-Klassifizierung und OWASP-Zuordnung für jede Schwachstelle — reproduzierbar belegt.

Schonend durchgeführt

Ratenlimitiert, ohne Datenabfluss und ohne Denial-of-Service. Der Nachweis genügt — kein Schaden.

02 Ablauf

Was geprüft wird.

Von der Aufklärung der Angriffsfläche bis zur Analyse zusammenhängender Angriffsketten — jede Phase baut auf der vorherigen auf.

Aufklärung

Angriffsfläche kartieren: Subdomains, exponierte Dienste, Ports, Technologie-Stack und historische Artefakte.

Asset-Discovery

Verzeichnisse, vergessene Endpunkte, Backup- und Konfigurationsdateien sowie JavaScript-Logik aufdecken.

Schwachstellen-Scan

Automatisierte Prüfung auf bekannte CVEs, fehlende Security-Header und unsichere TLS-Konfiguration.

Web-Application-Testing

Manuelle Prüfung gegen die OWASP Top 10: Injection, Cross-Site-Scripting, CSRF und Logikfehler.

Authentifizierung & Zugriff

Session-Handling, Token-Lebenszyklus, Brute-Force-Schutz und Berechtigungsgrenzen (IDOR, Privilege Escalation).

API-Sicherheit

Endpunkt-Enumeration, Methodenprüfung, Authentifizierungs-Bypass und Objektzugriff über Web- und Mobile-Backends.

Infrastruktur & OT-Grenze

TLS- und Zertifikatsprüfung, Versionsoffenlegung und die Trennung zwischen IT-Netz und Industriesteuerung.

Angriffsketten-Analyse

Einzelne Befunde zu realistischen Szenarien verketten — vom ersten Zugang bis zum potenziellen Schaden.

03 Bericht

Was Sie erhalten.

Kein Tool-Dump, sondern ein Dokument für zwei Zielgruppen: eine Zusammenfassung fürs Management und ein technisch belastbarer Befundteil, mit dem Ihr Team sofort arbeiten kann.

  1. /01

    Executive Summary

    Risikolage in klarer Sprache: was gefunden wurde, wie kritisch es ist und was es fürs Geschäft bedeutet.

  2. /02

    Risiko-Matrix

    Alle Befunde nach Schweregrad und Eintrittswahrscheinlichkeit eingeordnet, mit CVSS-Score je Eintrag.

  3. /03

    Priorisierte Befunde mit Nachweis

    Jede Schwachstelle mit Reproduktionsschritten, Beleg und Auswirkung — verifiziert, nicht nur gemeldet.

  4. /04

    Ursachenanalyse

    Wiederkehrende Muster hinter den Einzelbefunden, damit nicht nur Symptome, sondern Ursachen behoben werden.

  5. /05

    Remediation-Roadmap

    Konkrete Maßnahmen, gestaffelt nach Sofort-, Kurz- und Mittelfristmaßnahmen — umsetzbar, nicht generisch.

Autorisiert

Nur nach schriftlicher Freigabe und innerhalb des vereinbarten Scopes.

Schonend

Ratenlimitiert und ohne Denial-of-Service. Tests stoppen am Beweis.

Vertraulich

Keine Datenexfiltration. Befunde und Daten bleiben streng vertraulich.

Nachvollziehbar

Jeder Befund reproduzierbar belegt — audit-fähig dokumentiert.

04 / Anfrage Direkt

Lassen Sie prüfen, bevor es jemand anderes tut.

Schildern Sie kurz Ihre Systeme und Ihr Ziel — wir schlagen einen passenden Scope und Ablauf vor.

Anfrage senden