EN / DE
  SICHERHEITSBEWERTUNG · IT & OT

Wissen, wo Sie angreifbar sind.

Strukturierte Sicherheitsbewertungen und Penetrationstests für Web-Anwendungen, APIs, Infrastruktur und Industriesteuerung. Wir prüfen aus der Perspektive eines Angreifers, mit klarer Autorisierung und einem Bericht, den Ihr Team direkt umsetzen kann.

01 Vorgehen

Nach anerkannten Rahmenwerken.

Jede Bewertung orientiert sich am OWASP Web Security Testing Guide und am PTES. Sie wird ausschließlich nach schriftlicher Freigabe durchgeführt. Schwachstellen werden nach CVSS bewertet, nach CWE klassifiziert und den OWASP Top 10 zugeordnet, damit Ergebnisse vergleichbar und nachvollziehbar bleiben.

Aus Angreiferperspektive

Wir denken in realen Angriffsketten und prüfen, was sich tatsächlich missbrauchen lässt.

Autorisiert & abgestimmt

Scope, Zeitfenster und Eskalationswege werden vorab definiert. Keine Tests ohne klare Freigabe.

Bewertet & klassifiziert

CVSS-Score, CWE-Klassifizierung und OWASP-Zuordnung für jede Schwachstelle, reproduzierbar belegt.

Schonend durchgeführt

Gedrosselt, ohne Datenabfluss und ohne Denial-of-Service. Es bleibt beim kontrollierten Nachweis.

02 Testtiefe

Black-, Gray- oder White-Box.

Wie viel wir vorab wissen, bestimmt, was ein Test findet. Den Wissensstand legen wir gemeinsam fest, von der reinen Außensicht bis zur vollständigen Einsicht in Code und Architektur.

Black Box

Ohne Vorwissen, ohne Zugangsdaten. Wir starten wie ein externer Angreifer und zeigen, was von außen tatsächlich erreichbar und ausnutzbar ist.

Gray Box

Mit Benutzerkonto und Grundwissen: die Sicht eines angemeldeten Nutzers oder Insiders. Der effiziente Mittelweg aus Realismus und Abdeckung.

White Box

Wir erhalten Quellcode, Architektur, Konfiguration und Zugangsdaten. Diese zusätzlichen Informationen erweitern die Testabdeckung und decken Probleme auf, die bei Black-Box-Tests verborgen bleiben können.

Welche Tiefe?

Wir wählen die Perspektive nach Ziel, Risiko und Budget. Wir kombinieren sie, wenn sowohl eine realistische Angreiferperspektive als auch eine breitere interne Prüfung sinnvoll sind.

03 Ablauf

Was geprüft wird.

Von der Aufklärung der Angriffsfläche bis zur Analyse zusammenhängender Angriffsketten: Jede Phase baut auf der vorherigen auf.

Aufklärung

Angriffsfläche kartieren: Subdomains, exponierte Dienste, Ports, Technologie-Stack und historische Artefakte.

Asset-Discovery

Verzeichnisse, vergessene Endpunkte, Backup- und Konfigurationsdateien sowie JavaScript-Logik aufdecken.

Schwachstellen-Scan

Automatisierte Prüfung auf bekannte CVEs, fehlende Security-Header und unsichere TLS-Konfiguration.

Web-Application-Testing

Manuelle Prüfung gegen die OWASP Top 10: Injection, Cross-Site-Scripting, CSRF und Logikfehler.

Authentifizierung & Zugriff

Session-Handling, Token-Lebenszyklus, Brute-Force-Schutz und Berechtigungsgrenzen (IDOR, Privilege Escalation).

API-Sicherheit

Endpunkt-Enumeration, Methodenprüfung, Authentifizierungs-Bypass und Objektzugriff über Web- und Mobile-Backends.

Infrastruktur & OT-Grenze

TLS- und Zertifikatsprüfung, Versionsoffenlegung und die Trennung zwischen IT-Netz und Industriesteuerung.

Angriffsketten-Analyse

Wir verketten einzelne Befunde zu realistischen Szenarien, die den ersten Zugang mit dem potenziellen Schaden verbinden.

04 Bericht

Was Sie erhalten.

Ein Dokument für zwei Zielgruppen: eine Zusammenfassung fürs Management und ein technisch belastbarer Befundteil, mit dem Ihr Team sofort arbeiten kann.

  1. /01

    Executive Summary

    Risikolage in klarer Sprache: was gefunden wurde, wie kritisch es ist und was es fürs Geschäft bedeutet.

  2. /02

    Risiko-Matrix

    Alle Befunde nach Schweregrad und Eintrittswahrscheinlichkeit eingeordnet, mit CVSS-Score je Eintrag.

  3. /03

    Priorisierte Befunde mit Nachweis

    Jede Schwachstelle verifiziert, mit Reproduktionsschritten und Nachweis der Auswirkung.

  4. /04

    Ursachenanalyse

    Wiederkehrende Muster hinter den Einzelbefunden, damit die Ursachen behoben werden.

  5. /05

    Remediation-Roadmap

    Konkrete Maßnahmen, geordnet nach sofortiger, kurz- und mittelfristiger Umsetzung. Ihr Team kann direkt damit beginnen.

Autorisiert

Nur nach schriftlicher Freigabe und innerhalb des vereinbarten Scopes.

Schonend

Gedrosselt und ohne Denial-of-Service. Tests stoppen am Beweis.

Vertraulich

Keine Datenexfiltration. Befunde und Daten bleiben streng vertraulich.

Nachvollziehbar

Jeder Befund lässt sich reproduzieren und ist belegt. Die Dokumentation ist audit-fähig.

05 / Anfrage Direkt

Lassen Sie prüfen, bevor es jemand anderes tut.

Schildern Sie kurz Ihre Systeme und Ihr Ziel. Wir schlagen einen passenden Scope und Ablauf vor.

Für den kompakten Einstieg: Security-Check, AI-Code-Audit sowie AI-Act- und NIS2-Readiness finden Sie auf sicheres.netz.jetzt.