METHODIK & PROZESS
Strukturierte Sicherheitsanalysen nach internationalen Standards.
Systematische Risikominimierung.
Unsere Prüfmethodik basiert strikt auf dem Penetration Testing Execution Standard (PTES). Dies gewährleistet reproduzierbare Ergebnisse, eine vollständige Abdeckung der definierten Angriffsfläche und die Sicherheit Ihrer operativen Systeme.
Reconnaissance & OSINT
Informationsbeschaffung & Profiling
Jede Sicherheitsprüfung beginnt mit einer fundierten Datenanalyse. In dieser Phase erstellen wir ein detailliertes Bedrohungsprofil Ihres Unternehmens unter Nutzung öffentlicher Quellen (OSINT). Wir identifizieren exponierte Informationen, die von Angreifern für Initialzugriffe genutzt werden könnten, ohne dabei aktiv in Ihre Systeme einzugreifen.
Enumeration & Mapping
Erfassung der Angriffsfläche
In dieser Phase erfolgt die aktive Interaktion mit den Zielsystemen. Wir kartografieren die laufenden Dienste, Schnittstellen und Anwendungen, um ein vollständiges Bild der technischen Infrastruktur zu erhalten. Ziel ist die Identifikation aller potenziellen Einstiegspunkte, inklusive veralteter Systeme (Legacy) und Schatten-IT.
Vulnerability Analysis
Tiefgehende Schwachstellenanalyse
Dies ist der Kern unserer Dienstleistung. Im Gegensatz zu automatisierten Scannern führen unsere Experten eine manuelle Analyse auf logische Fehler (Business Logic Flaws) und komplexe Berechtigungsprobleme durch. Wir prüfen, ob Sicherheitsmechanismen effektiv greifen oder durch Verkettung mehrerer Faktoren umgangen werden können.
{"id": 1, "role": "admin", ...}
Exploitation
Verifikation & Proof of Concept
Identifizierte Schwachstellen werden kontrolliert verifiziert ('Proof of Concept'), um das tatsächliche Risikopotenzial zu bewerten. Wir demonstrieren, ob ein Zugriff auf sensible Daten oder interne Systeme möglich wäre. Hierbei gilt unser Grundsatz der Betriebssicherheit: Alle Tests erfolgen nicht-destruktiv, um die Verfügbarkeit Ihrer Systeme zu gewährleisten.
Reporting & Remediation
Dokumentation & Handlungsempfehlungen
Das Ergebnis unserer Prüfung ist ein audit-sicherer Bericht. Wir liefern eine verständliche Risikoeinschätzung für das Management sowie detaillierte technische Anleitungen für Ihre IT-Abteilung. Unser Ziel ist nicht nur das Finden von Fehlern, sondern der nachhaltige Wissenstransfer zur Schließung der Sicherheitslücken.
Prüfobjekte & Scope
Moderne IT ist komplex. Wir beschränken uns nicht auf Webseiten, sondern prüfen die gesamte Angriffsfläche Ihres Unternehmens – von der API bis zum internen Netzwerk.
Web Applications
Single Page Apps (React/Vue), Legacy-Systeme, Webshops & Admin-Panels.
API Schnittstellen
REST, GraphQL & SOAP Endpunkte auf Logikfehler und Datenlecks prüfen.
Active Directory
Interne Domänen-Netzwerke, Rechte-Eskalation & Lateral Movement.
Netzwerk & WLAN
Firewall-Konfigurationen, VPN-Gateways und WLAN-Verschlüsselung.
Professional Toolset
Wir nutzen den Industriestandard. Keine Open-Source Bastellösungen für kritische Analysen, sondern lizenzierte Profi-Software ergänzt durch eigene Skripte.
Legal & Safety First
- Rechtssicherheit: Durchführung nur nach schriftlicher Autorisierung (Hackerparagraph § 202c StGB konform).
- Datenschutz: Alle Berichte werden PGP-verschlüsselt übermittelt. Keine Daten verlassen Ihre Systeme ungewollt.
Expertise & Standards
Prüf-Modi: Black-, Grey- & Whitebox
Wir passen die Prüftiefe exakt an Ihre Anforderungen an:
- Blackbox: Realistische Simulation eines externen Angreifers ohne Vorwissen.
- Greybox: Der Standard. Effiziente Prüfung mit Benutzerrechten (Insider-Szenarien).
- Whitebox: Maximale Prüftiefe durch Code-Einsicht (Audit).
Compliance & Standards
Unsere Audits sind kompatibel mit internationalen Normen:
Wir prüfen Web-Apps gezielt auf Injection, XSS, Broken Auth und mehr.
Betriebssicherheit & Verfügbarkeit
Die Integrität Ihrer Systeme hat Priorität. Wir nutzen etablierte "Non-Destructive"-Verfahren. Lasttests (DoS) führen wir nur nach expliziter schriftlicher Freigabe durch.
Empfehlung: Durchführung in Staging-Umgebungen zum Schutz von Produktionsdaten.
Critical Finding Protocol
Sicherheit duldet keinen Aufschub. Sollten wir während des Tests eine kritische Schwachstelle (z.B. RCE, Datenleak) identifizieren, eskalieren wir sofort.
Ihr Notfall-Kontakt wird umgehend informiert, um die Lücke noch während der laufenden Prüfung zu schließen.
Der Zeitplan: Transparent & Planbar
Kickoff
Architekturaufnahme, Scope-Finalisierung, VPN-Einrichtung und NDA-Unterzeichnung.
Active Testing
Durchführung der Sicherheitsanalysen. Hybrider Ansatz aus toolgestützter Erkennung und manueller Verifikation.
Reporting
Berichterstattung. Übergabe der Ergebnisse, Risikoklassifizierung und Präsentation der Befunde.
Remediation
Mitigations-Phase. Fachliche Begleitung Ihrer Entwickler bei der Behebung der Schwachstellen.
Re-Test
Verifikation. Erneute Prüfung der behobenen Punkte und Ausstellung des Abschlusszertifikats.
Sektorspezifische Expertise
Wir adaptieren unsere Prüfverfahren an die regulatorischen und technischen Anforderungen Ihrer Branche – vom produzierenden Gewerbe bis zum Finanzsektor.
Gewährleistung der Anlagenverfügbarkeit.Besondere Vorsicht bei der Prüfung sensibler OT/SCADA-Netzwerke in der Produktion.
Fokus auf API-Sicherheit.Tiefgehende Logik-Tests für moderne Microservices-Architekturen (REST/GraphQL).
SaaS & Software
Cloud & API Security
Produktion & IoT
Netzwerk-Segmentierung
E-Commerce
Fraud & Payment Logic
Finanz & Recht
Datenschutz & Compliance
Manuell vs. Automatisiert
Qualitativer Unterschied zum Vulnerability Scan.