Zum Inhalt springen

Cyber Security

Penetrationstests

Schützen Sie Ihr Unter­nehmen vor Cyber­an­griffen

Werden Schwachstellen in Ihren Systemen, Komponenten oder Anwendungen nicht frühzeitig erkannt, können diese zum Einfallstor für Cyberkriminelle wer­den. Daten­diebstähle, Erpressung und Systemausfälle sowie damit einher­gehende wirt­schaft­liche Schäden und Vertrauensverluste sind dabei nur einige der möglichen Folgen eines erfolgreichen Cyberangriffs.

Kontaktanfrage Pentest

Bestmöglicher Schutz vor Hackerangriffen

Mittels bedarfsgerechter Penetrationstests decken Sie potenzielle Sicherheits­lücken auf, bevor es Cyberkriminelle tun.

Pentests zahlen sich aus

Prävention statt Rehabilitation: Durch Pentests beugen Sie möglichen Angriffen und damit verbundenen Finanz- & Reputationsverlusten vor.

Prüfbericht mit Handlungsempfehlungen

Nach Abschluss der Pentests erhalten Sie einen aussagekräftigen Prüfbericht inklusive Handlungsempfehlungen zur Behebung von Schwachstellen.

Was ist ein Penetrationstest (kurz: Pentest)?

Ein Pentest ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit von IT-Systemen, Netzwerken und Anwendungen überprüft wird. Ziel ist es, frühzeitig potenzielle Schwachstellen und Angriffspunkte ausfindig zu machen, bevor diese durch Cyberkriminelle genutzt werden können. Zum Einsatz kommen dabei Methoden und Mittel, die auch echte Angreifer verwenden würden. 

Ihre Vorteile auf einen Blick

Mit Penetrationstests Sicherheitslücken aufdecken & schließen

Ein Pentest liefert als ein zentrales Element moderner IT-Sicherheitsstrategien nicht nur wertvolle Einblicke in bestehende Schwachstellen, sondern bietet auch eine fundierte Grundlage für gezielte Schutzmaßnahmen – kompakt zusammengefasst in den folgenden Vorteilen.

  • Identifizierung potenzieller Schwachstellen
    Pentests decken Sicherheitslücken & Schwachstellen auf, bevor Cyberkriminelle diese ausnutzen können.
  • Objektive Einschätzung & Bewertung der Sicherheit
    Pentests stellen ein effizientes Instrument dar, um die Wirksamkeit Ihrer IT-Sicherheitsmaßnahmen zu bewerten.
  • Pentests auf Grundlage anerkannter Standards
    Unsere IT-Sicherheitsexpert:innen führen Penetrationstests nach anerkannten Standards & Richtlinien durch.
  • Einhaltung von vertraglichen Vorgaben
    Mit der Durchführung von Pentests kommen Sie bestehenden regulatorischen Anforderungen & Vorgaben nach.
  • Schutz vor Finanz- & Reputationsverlusten
    Vorsorge statt Nachsorge: Durch Pentests beugen Sie Angriffen – und damit einhergehenden Schäden – vor. 
  • Fundierte Handlungsempfehlungen zur Behebung
    Mit dem Abschlussbericht erhalten Sie auch Handlungsempfehlungen zur Behebung möglicher Schwachstellen.
  • Erhöhung der IT-Sicherheit, Verringerung von Risiken
    Pentests helfen Ihnen dabei, die Sicherheit innerhalb Ihres Unternehmens zu verbessern & Angriffsrisiken zu senken.
  • Sensibilisierung von Mitarbeitenden
    Mittels Pentests erhöhen Sie gleichzeitig das Sicherheitsbewusstsein von Mitarbeitenden aller Hierarchieebenen.
  • Orientierungshilfe für Investitionen
    Durch das Aufdecken von Schwachstellen zeigen Pentests die Bereiche auf, in die Sie zukünftig am besten investieren.
  • Vertrauen bei Kunden & Geschäftspartnern
    In Form von durchgeführten Pentests stärken Sie das Vertrauen bei Ihren Kunden & Geschäftspartnern.

Pentests: 3 Testmethoden in der Übersicht

Black-Box-Penetrationstest

Bei einem Black-Box-Pentest erhält der Pen­tester vorab keine zusätzlichen In­for­ma­tio­nen über den Un­ter­su­chungs­gegen­stand. So wird ein typischer Angreifer simuliert, der meist nur wenig über sein Angriffsziel weiß.

Grey-Box-Penetrationstest

Der Grey-Box-Pentest ist eine Mischung aus Black- & White-Box-Pentest. Das heißt, der Pen­tester be­kommt bereits einige Infor­ma­tionen, wie Test­zu­gangs­daten und (API-) Doku­men­ta­tionen, und ermittelt die übrigen Informationen selbst.

White-Box-Penetrationstest

Bei einem White-Box-Pentest verfügt der Prüfer über umfangreiche Zusatz­infor­ma­tio­nen, wie z. B. Testzugangsdaten, Architektur-/ Design­dokumente, Kommu­ni­kations­matrix oder Quellcode. Dadurch kann ein effizientes Testen in einem bestimmten Zeitraum oder innerhalb eines bestimmten Budgets gewährleistet werden.
Von A bis Z

Ganzheitliche Betrachtung der IT-Sicherheit in Ihrem Unternehmen

Neben der rein technischen Betrachtung bieten wir im Rahmen eines ganzheitlichen Ansatzes auch Tests an, die sich auf mögliche physische oder menschliche Schwachstellen beziehen. 

Red Teaming – Realistische Angriffsszenarien für Ihre Sicherheit

Red Teaming stellt einen umfassenden, realistischen Härtetest Ihrer Cybersecurity das. Unser Sicherheitsexpertenteam agiert wie echte Angreifer: Von der unauffälligen Aufklärung bis zur späteren Exfiltration prüfen sie alle sicherheitskritischen Phasen. Dabei simulieren sie gezielte Angriffe auf Prozesse, Systeme und Mitarbeitende, um Schwachstellen aufzudecken, die klassische Penetrationstests oft nicht erfassen. Das Ergebnis: Ein klarer, umsetzbarer Maßnahmenplan, der Ihre Verteidigungsstrategien nachhaltig stärkt.

Digitale Forensik und Incident Response

Digitale Forensik (DFIR) ist ein zentraler Bestandteil moderner Cybersicherheit und ergänzt Penetrationstests durch die systematische Untersuchung von Sicherheitsvorfällen. Bei einem Angriff ermöglichen forensische Analysen die Beweissicherung, Datenextraktion und Wiederherstellung kritischer Informationen. Methoden wie Netzwerkforensik, Cloud-Forensik oder IoT-Forensik helfen bei Bedrohungserkennung, Fallanalyse und Ermittlung. Mit DFIR-Tools werden IT-Logs, Malware-Spuren und Sicherheitslücken identifiziert, um durch gezielte Vorfallreaktion künftige Angriffe zu verhindern.

Wie läuft ein Pentest ab? – Exemplarischer Projektablauf

1

Vorbereitung & Kickoff

Besprechung technischer sowie orga­ni­sa­torischer Besonderheiten und der notwendigen Voraussetzungen für die Durchführung von Penetrationstests.

2

Informationsbeschaffung & Analyse

Erfassung der wesentlichen Infor­ma­tionen über den Untersuchungs­ge­gen­stand (Identifizierung von Kom­po­nen­ten, Daten & Funktionen).

3

Durchführung Penetrationstests

Untersuchung im Hinblick auf Angriffs­flächen sowie Schwach­stel­len (Grund­lage: Im Kickoff spezifizierte Kriterien & gesammelte Informationen).

4

Abschlussbericht

Zusammenfassung aller Prüfungs­er­geb­nisse in Form eines individuellen & aussagekräftigen Abschluss­be­rich­tes (keine automatische Generierung).

5

Optional: Re-Test

Nach dem Test ist vor dem Test: Prüfung, ob die durchgeführten Verbesserungs- & Abwehr­maß­nahmen (wirksam) greifen oder Wiederholung von Pentests bedingt durch neue Releases.

Optimal abgesichert

Drei Anwendungsgebiete - drei Pentests

Ob Sicherheitsrisiken in Webanwendungen, mobilen Apps oder in IT-Infrastruktur (ICT- und OT-Infrastruktur ) und deren Mischbetrieben: Mit dem passenden Pentestverfahren sind Sie auf der sicheren Seite - und zwar in zahllosen branchenübergreifenden Bereichen, vom Produkt bis zum Prozess.

Häufig gestellte Fragen (FAQ)

Was Sie über Penetrationstests wissen müssen

Die Dauer eines Pentests ist von verschiedenen Faktoren abhängig. So entscheiden beispielsweise der Prüfgegenstand und dessen Komplexität, die gewählte Prüftiefe sowie die Vorgehensweise darüber, wie viele Tage ein Pentest in Anspruch nimmt. Generell gilt: Je komplexer der zu prüfende Gegenstand, desto mehr Zeit benötigt ein entsprechender Pentest. 

Gerne bieten wir Ihnen hierzu ein unverbindliches Erstgespräch an. 

In Bezug auf Penetrationstests gilt: Nach dem Test ist vor dem Test. Somit sollten Pentests grundsätzlich fester Teil einer ganzheitlichen Betrachtung der IT-Sicherheit innerhalb eines Unternehmens sein. Da Angriffsmethoden sich stetig weiterentwickeln, kann nur so gewährleistet werden, dass Netzwerke, IT-Systeme, Webanwendungen oder mobile Apps möglichen Cyber-Attacken standhalten. 

Grundsätzlich verfolgen Schwachstellenscans und Penetrationstests das gleiche Ziel: Das Aufdecken potenzieller Schwachstellen innerhalb der Unternehmens-IT.

Schwachstellenscans laufen im Gegensatz zu Penetrationstests jedoch software-gestützt und vollautomatisiert ab. Damit liefern sie grundlegende Erkenntnisse in Bezug auf mögliche Schwachstellen und dienen als Ausgangspunkt für tiefergehende Prüfungen wie Penetrationstests. Da Schwachstellenscanner auf Datenbanken mit bereits bekannten Sicherheitslücken zurückgreifen, stoßen sie insbesondere bei selbstentwickelten Anwendungen allerdings an ihre Grenzen. 

Penetrationstests werden weitestgehend manuell durch entsprechend ausgebildete IT-Sicherheitsexpert:innen durchgeführt. Dabei stehen vor allem komplexere Sicherheitslücken sowie die unautorisierte Ausnutzung bestimmter Funktionen im Fokus. Zudem erhalten Unternehmen im Anschluss an die Durchführung einen Prüfbericht mit konkreten Handlungsempfehlungen zur Behebung. 

Das Wichtigste vorweg: Penetrationstests verfolgen grundsätzlich nicht das Ziel, Verfügbarkeiten einzuschränken. Denial of Service Angriffe führen wir nur nach Absprache mit dem Auftraggeber durch. Dennoch kann es in seltenen Fällen passieren, dass es im Rahmen der Durchführung zu Verfügbarkeitseinschränkungen kommt. Generell steht jedoch die Identifizierung von Schwachstellen im Fokus. Das Risiko einer Unterbrechung des Geschäftsbetriebs wird dabei möglichst niedrig gehalten. 

Wie viel ein Pentest kostet, kann leider nicht pauschal beantwortet werden. Die letztendlichen Kosten sind von verschiedenen Faktoren wie Prüfgegenstand, Prüfkonfiguration und Sicherheitsniveau abhängig. Gerne erstellen wir Ihnen ein kostenloses, unverbindliches Angebot. 

Allgemein kann zwischen externen und internen Penetrationstests unterschieden werden.

Bei einem externen Pentest erfolgt der Angriff auf Systeme und Netzwerke von außen / aus dem Internet und damit aus der Perspektive eines externen Angreifers. Im Fokus steht dabei die Frage, wie sicher ein Unternehmen gegenüber derartigen Angriffen ist. 

Bei einem internen Pentest haben Prüfer:innen Zugang zur inneren Infrastruktur eines Unternehmens. Dabei wird das weitere Vorgehen von Angreifer:innen simuliert, denen es gelungen ist, die externen Sicherheitsmaßnahmen zu überwinden und sich Zugriff auf das interne Netz zu verschaffen.  

Prüfgegenstand

  • IT-Infrastruktur-Penetrationstest
    Mögliche Angriffsziele sind verschiedene Systeme und IT-Infrastruktur-Komponenten, z.B. Web- & E-Mail Server, VPN-Gateways, Domänen-Controller oder Datei- & Datenbankserver. Darüber hinaus können aber auch Firewalls, Switche, WLAN Access-Points, Virtualisierungen und komplette Netzwerkbereiche/-infrastrukturen auf Schwachstellen überprüft werden.
  • Webanwendungs-Penetrationstest
    Im Rahmen von Penetrationstests (inkl. Backendsysteme, Webservices & APIs) wird eine Webanwendung auf die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken hin untersucht.
  • App-Penetrationstests
    Im Rahmen von Penetrationstests wird eine mobile Android / iOS App automatisiert und manuell auf Sicherheitsschwachstellen untersucht. Ziel ist es, die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken für mobile Apps zu ermitteln.
  • Social Engineering
    Social Engineering zielt darauf ab, menschliche Eigenschaften wie Hilfsbereitschaft, Neugierde oder Vertrauen auszunutzen, um Personen auf diese Weise geschickt zu manipulieren. 

Testmethode

  • Black-Box-Penetrationstest
    Bei einem Black-Box-Pentest erhält der Pentester vorab keine zusätzlichen Informationen über den Untersuchungsgegenstand. So wird ein typischer Angreifer simuliert, der meist nur wenig über sein Angriffsziel weiß.
  • White-Box-Penetrationstest
    Bei einem White-Box-Pentest verfügt der Prüfer über umfangreiche Zusatzinformationen, wie z. B. die Testzugangsdaten, die Architektur-/Designdokumente, die Kommunikationsmatrix oder den Quellcode. Dadurch kann ein effizientes Testen in einem bestimmten Zeitraum oder innerhalb eines bestimmten Budgets gewährleistet werden.
  • Grey-Box-Penetrationstest
    Der Grey-Box-Pentest ist eine Mischung aus Black- & White-Box-Pentest. Das heißt, der Pentester bekommt bereits einige Informationen, wie Testzugangsdaten und (API-) Dokumentationen, und ermittelt die übrigen Informationen selbst.

Ausgangspunkt

  • Externer Pentest
    Im Fokus eines externen Penetrationstests steht die Frage, wie sicher ein Unternehmen gegen Angriffe von außen / aus dem Internet ist.
  • Interner Pentest
    Bei einem internen Penetrationstest haben die Prüfer:innen Zugang zur inneren Infrastruktur eines Unternehmens. Dabei wird entweder vorausgesetzt, dass ein IT-System oder ein Benutzerkonto von außen kompromittiert wurde oder dass ein interner Angriff durch eine:n Mitarbeiter:in erfolgt ist. Der Pentest setzt an dieser Stelle an und simuliert das weitere Vorgehen eines Angreifers oder einer Angreiferin.

Bevor Pentests durchgeführt werden können, ist die Zustimmung des zu testenden Unternehmens unbedingt notwendig. Liegt diese nicht vor, würde es sich bei der Durchführung um eine Straftat handeln. Denn ohne vorherige, umfassende Klärung der Bedingungen wäre ein Pentest nichts anderes als ein unautorisierter Hackerangriff, der geahndet werden könnte. Daher muss der geschlossene Vertrag sämtliche Modalitäten wie Prüfzeitraum, Prüfobjekt und Prüftiefe spezifizieren. 

Darüber hinaus dürfen nur Objekte geprüft werden, die eindeutig dem beauftragenden Unternehmen zugehörig sind. Aus diesem Grund sollte im Vorhinein geklärt werden, welche Softwaredienste, wie zum Beispiel Cloud-Services, nicht im Eigentum des Unternehmens stehen, um Eigentums- und/oder Urheberrechte von Dritten nicht zu verletzen. Alternativ können vor der Durchführung von Pentests vertragliche Vereinbarungen mit bestehenden Drittanbietern bzw. Dienstleistern getroffen werden. 

Der APrüfbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
  • Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
  • Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
  • Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
  • Detaillierte Beschreibung der Schwachstellen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
  • Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜVIT-Sicherheitsexpert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
  • Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
  • Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
  • Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

Warum wir ein starker Partner für Sie sind

Gute Gründe, die für uns sprechen