Mithilfe von Penetrationstests Risiken minimieren & die Sicherheit Ihrer Webanwendung erhöhen
Sind Webanwendungen nicht ausreichend geschützt, drohen sie zum Ziel potenzieller Hackerangriffe zu werden. Diese gefährden neben sensiblen Kundendaten auch interne Unternehmensnetzwerke.
Mithilfe bedarfsgerechter Penetrationstests (Pentests) unterstützen wir Sie dabei, Ihre Webanwendung bestmöglich gegen Cyberattacken und Datendiebstähle abzusichern. Unsere Expertinnen und Experten überprüfen etablierte Sicherheitsmaßnahmen, ermitteln konkrete Risiken und identifizieren Schwachstellen.
Darüber hinaus führen sie Untersuchungen auf Netzwerkebene (Port- und Schwachstellenscans) durch, so dass auch das zugrundeliegende Backendsystem (Webserver) auf dessen Sicherheit hin überprüft wird. Die Ergebnisse unserer Untersuchungen erhalten Sie in Form eines ausführlichen Berichts, der unter anderem auch Handlungsempfehlungen zur Behebung von Schwachstellen enthält.




Unsere Leistungen: Drei Level der Untersuchung




Spot Check
Level 1
Stichprobenartige Einschätzung des Sicherheitsniveaus Ihrer Anwendung hinsichtlich Schwachstellen.
Stichprobe / Erste Einschätzung




Regular Pentest
Level 2
Untersuchung zur Einschätzung der Sicherheit, zur Ermittlung der am häufigsten auftretenden Risiken und Schwachstellen für Webanwendungen.
Für die meisten Anwendungen




Advanced Pentest
Level 3
Tiefergehende Untersuchung, die zusätzlich zu Level 2 auch schwer ausnutzbare Risiken und Schwachstellen ermittelt, insbesondere durch mehr Testfälle.
Hohes Sicherheitsniveau
Ihre Vorteile auf einen Blick
- Prüfung Ihrer Webanwendung nach anerkannten Standards
- Untersuchungen auf Netzwerkebene (Port- und Schwachstellenscans) inklusive
- Identifizierung von Schwachstellen / Reduzierung von IT-Risiken
- Kontinuierliche Verbesserung der IT-Sicherheit Ihrer Webanwendung
- Objektiver Nachweis über die IT-Sicherheit Ihres Produktes
- Penetrationstests gemäß dem Black-, Gray- oder White-Box-Ansatz
Ablauf eines Web Application Security Pentests




Klärung technischer & organisatorischer Besonderheiten sowie der Voraussetzungen.




Ermittlung grundlegender Informationen über den Untersuchungsgegenstand.




Untersuchung der ausgewählten Webanwendung auf Basis der gesammelten Informationen.




Zusammenfassung aller Ergebnisse der Prüfung in Form eines Abschlussberichtes.




Optional: Re-Test
Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen.
Häufig gestellte Fragen (FAQ):
- Black-Box
Pentest ohne Zusatzinformationen
- Grey-Box (Standard)
Pentest mit Zusatzinformationen, bspw. Testzugangsdaten und (API-) Dokumentationen
- White-Box
Pentest mit weiteren Zusatzinformationen, neben Testzugangsdaten bspw. Architektur-/Designdokumente, Kommunikationsmatrix oder Quellcode
Die Vorgehensweise der TÜViT-Experten orientiert sich an dem OWASP Application Security Verification Standard (ASVS), der grundlegende Sicherheitsanforderungen für Webanwendungen beschreibt sowie dem OWASP Web Security Testing Guide (WSTG), der darstellt, wie die Anforderungen aus dem ASVS überprüft werden können. Des Weiteren werden die OWASP Top 10 Schwachstellen für Webanwendungen sowie das Durchführungskonzept für Penetrationstests vom BSI berücksichtigt.
Die Testdauer hängt von der gewählten Untersuchungsart (Level 1 bis 3) ab, siehe oben. Abweichend vom Testzeitraum wird ein Zeitraum von mindestens 1 Woche beim Spot Check (Level 1) bzw. mindestens 2 Wochen beim Regular (Level 2) und Advanced (Level 3) Pentest angenommen.
Die Kosten hängen von der gewählten Untersuchungsart (Level 1 bis 3) sowie der Komplexität des Untersuchungsgegenstandes ab. Ein Spot Check bewegt sich im unteren bis mittleren vierstelligen Bereich. Der Regular Pentest liegt im oberen vierstelligen bzw. unteren fünfstelligen Bereich und der Advanced Pentest beginnt im unteren fünfstelligen Bereich. Für eine genaue Preisindikation benötigen wir weitere Informationen zu Ihrer Webanwendung.