Wissen, wo Sie angreifbar sind.
Strukturierte Sicherheitsbewertungen und Penetrationstests für Web-Anwendungen, APIs, Infrastruktur und Industriesteuerung. Wir prüfen aus der Perspektive eines Angreifers, mit klarer Autorisierung und einem Bericht, den Ihr Team direkt umsetzen kann.
Nach anerkannten Rahmenwerken.
Jede Bewertung orientiert sich am OWASP Web Security Testing Guide und am PTES. Sie wird ausschließlich nach schriftlicher Freigabe durchgeführt. Schwachstellen werden nach CVSS bewertet, nach CWE klassifiziert und den OWASP Top 10 zugeordnet, damit Ergebnisse vergleichbar und nachvollziehbar bleiben.
Aus Angreiferperspektive
Wir denken in realen Angriffsketten und prüfen, was sich tatsächlich missbrauchen lässt.
Autorisiert & abgestimmt
Scope, Zeitfenster und Eskalationswege werden vorab definiert. Keine Tests ohne klare Freigabe.
Bewertet & klassifiziert
CVSS-Score, CWE-Klassifizierung und OWASP-Zuordnung für jede Schwachstelle, reproduzierbar belegt.
Schonend durchgeführt
Gedrosselt, ohne Datenabfluss und ohne Denial-of-Service. Es bleibt beim kontrollierten Nachweis.
Black-, Gray- oder White-Box.
Wie viel wir vorab wissen, bestimmt, was ein Test findet. Den Wissensstand legen wir gemeinsam fest, von der reinen Außensicht bis zur vollständigen Einsicht in Code und Architektur.
Black Box
Ohne Vorwissen, ohne Zugangsdaten. Wir starten wie ein externer Angreifer und zeigen, was von außen tatsächlich erreichbar und ausnutzbar ist.
Gray Box
Mit Benutzerkonto und Grundwissen: die Sicht eines angemeldeten Nutzers oder Insiders. Der effiziente Mittelweg aus Realismus und Abdeckung.
White Box
Wir erhalten Quellcode, Architektur, Konfiguration und Zugangsdaten. Diese zusätzlichen Informationen erweitern die Testabdeckung und decken Probleme auf, die bei Black-Box-Tests verborgen bleiben können.
Welche Tiefe?
Wir wählen die Perspektive nach Ziel, Risiko und Budget. Wir kombinieren sie, wenn sowohl eine realistische Angreiferperspektive als auch eine breitere interne Prüfung sinnvoll sind.
Was geprüft wird.
Von der Aufklärung der Angriffsfläche bis zur Analyse zusammenhängender Angriffsketten: Jede Phase baut auf der vorherigen auf.
Aufklärung
Angriffsfläche kartieren: Subdomains, exponierte Dienste, Ports, Technologie-Stack und historische Artefakte.
Asset-Discovery
Verzeichnisse, vergessene Endpunkte, Backup- und Konfigurationsdateien sowie JavaScript-Logik aufdecken.
Schwachstellen-Scan
Automatisierte Prüfung auf bekannte CVEs, fehlende Security-Header und unsichere TLS-Konfiguration.
Web-Application-Testing
Manuelle Prüfung gegen die OWASP Top 10: Injection, Cross-Site-Scripting, CSRF und Logikfehler.
Authentifizierung & Zugriff
Session-Handling, Token-Lebenszyklus, Brute-Force-Schutz und Berechtigungsgrenzen (IDOR, Privilege Escalation).
API-Sicherheit
Endpunkt-Enumeration, Methodenprüfung, Authentifizierungs-Bypass und Objektzugriff über Web- und Mobile-Backends.
Infrastruktur & OT-Grenze
TLS- und Zertifikatsprüfung, Versionsoffenlegung und die Trennung zwischen IT-Netz und Industriesteuerung.
Angriffsketten-Analyse
Wir verketten einzelne Befunde zu realistischen Szenarien, die den ersten Zugang mit dem potenziellen Schaden verbinden.
Was Sie erhalten.
Ein Dokument für zwei Zielgruppen: eine Zusammenfassung fürs Management und ein technisch belastbarer Befundteil, mit dem Ihr Team sofort arbeiten kann.
-
/01
Executive Summary
Risikolage in klarer Sprache: was gefunden wurde, wie kritisch es ist und was es fürs Geschäft bedeutet.
-
/02
Risiko-Matrix
Alle Befunde nach Schweregrad und Eintrittswahrscheinlichkeit eingeordnet, mit CVSS-Score je Eintrag.
-
/03
Priorisierte Befunde mit Nachweis
Jede Schwachstelle verifiziert, mit Reproduktionsschritten und Nachweis der Auswirkung.
-
/04
Ursachenanalyse
Wiederkehrende Muster hinter den Einzelbefunden, damit die Ursachen behoben werden.
-
/05
Remediation-Roadmap
Konkrete Maßnahmen, geordnet nach sofortiger, kurz- und mittelfristiger Umsetzung. Ihr Team kann direkt damit beginnen.
Nur nach schriftlicher Freigabe und innerhalb des vereinbarten Scopes.
Gedrosselt und ohne Denial-of-Service. Tests stoppen am Beweis.
Keine Datenexfiltration. Befunde und Daten bleiben streng vertraulich.
Jeder Befund lässt sich reproduzieren und ist belegt. Die Dokumentation ist audit-fähig.
Lassen Sie prüfen, bevor es jemand anderes tut.
Schildern Sie kurz Ihre Systeme und Ihr Ziel. Wir schlagen einen passenden Scope und Ablauf vor.
Für den kompakten Einstieg: Security-Check, AI-Code-Audit sowie AI-Act- und NIS2-Readiness finden Sie auf sicheres.netz.jetzt.