Penetrationstests
Was der Angreifer tun würde tun wir zuerst.
OWASP-, PTES- und NIST-orientierte manuelle Penetrationstests. Zertifizierte Pentester setzen Ihrer Web-Anwendung, API, Mobile-App, Cloud sowie Ihrem externen/internen Netzwerk wie ein echter Angreifer zu. Die Business-Logic-Lücken, verketteten Exploits und Privilege-Escalations, die kein Scanner findet, finden wir manuell und liefern sie in einem belegten Bericht.
Kein Service, der einen Scanner laufen lässt und ein PDF druckt. Eine Disziplin, die simuliert, dass ein Angreifer Tage in Ihrem System verbringt — mit reproduzierbaren Beweisen und einem Re-Test nach den Fixes.
280+
Pentest-Projekte
CVSS3.1
Risiko-Score
OSCP/CEH
Zertifizierungen
nmap -sV -p- target.partnerfy.co
443/tcp open https nginx 1.18.0 — TLS 1.2
22/tcp open ssh OpenSSH 7.4 (legacy)
gobuster dir -u https://target -w common.txt
/admin (Status: 200) [Size: 4821]
/api/v1/users (Status: 401) [Size: 38]
/.git/config (Status: 200) [Size: 263]
sqlmap -u 'target/login' --data 'u=a&p=b'
[INFO] testing 'AND boolean-based blind'
[INFO] parameter 'u' is vulnerable
[CRITICAL] SQL Injection — CVE-2024-XXXX — CVSS 9.8
Angriffskette
MITRE ATT&CK
Pentest-Bericht — Befunde
RPT-2026-0541
SQL-Injection im Login-Formular
CVSS 9.8
CRIT
Schwaches JWT-Secret — Brute-Force
CVSS 9.1
CRIT
IDOR — /api/v1/users/{id}
CVSS 8.2
HIGH
Stored XSS — Kommentare
CVSS 7.4
HIGH
CORS-Fehlkonfiguration
CVSS 6.1
MED
Fehlender HSTS-Header
CVSS 3.7
LOW
FIXED
Das Problem
Warum automatisierte Scanner nicht reichen.
Scanner wie Nessus, Acunetix und OWASP ZAP helfen — ersetzen aber keinen Angreifer. Angreifer denken in Ketten, lesen Ihre Geschäftslogik und drehen sie gegen Sie, ignorieren Rauschen und finden den echten Einstieg. Ein Scanner arbeitet Checklisten ab; ein Pentester bildet hypothesen, die auf Ihr System zugeschnitten sind.
Keine verketteten Exploits
Ein Scanner zeigt Befunde isoliert; ein Angreifer kombiniert drei Low-Befunde zu einer kritischen Kette.
Sieht keine Business-Logic
Einen Logikfehler wie "Bestellsumme mit -1 multiplizieren" findet kein Scanner.
Keine Kreativität
Ein Pentester bildet App-spezifische Hypothesen; Scanner suchen nur Signaturen.
Berg an False-Positives
70 % eines 500-seitigen Scanner-Berichts sind Rauschen. Ein Pentester verifiziert jeden Befund manuell.
Keine Autorisierungs-Nuance
„Dieser Nutzer darf diesen Datensatz nicht sehen" kann nur jemand testen, der Ihre Domäne kennt.
Umgeht keine CAPTCHA/WAF
Ein Angreifer umgeht die WAF; ein Scanner stoppt beim ersten 403.
Kein Social Engineering
Der echte Einstieg ist oft eine E-Mail. Eine Phishing-Simulation kann kein Scanner.
Kein Anti-Forensik-Test
Angreifer verwischen Spuren; ob Ihr SOC das bemerkt, misst nur ein Red Team.
Angriffs-Visualisierung
Wo sind die Lücken und wie kritisch?
Für jede Engagement fassen wir Befunde in drei Visualisierungen zusammen: Kategorie-Heatmap, OWASP-Top-10-Checkliste und „Scan → Find → Fix → Re-Test → Clean"-Timeline.
Heatmap der Schwachstellenkategorien
Critical
High
Med
Low
XSS
SQLi
Auth
CORS
Crypto
Logic
IDOR
CSRF
SSRF
Upload
Headers
Deps
Jede Zelle ist eine Kategorie; die Punkte zeigen Anzahl und Schwere. Ihre Führungskraft sieht die Hotspot-Zone sofort.
OWASP Top 10 — 2021
Checkliste
- A01 Broken Access Control
- A02 Cryptographic Failures
- A03 Injection (SQL/XSS/Cmd)
- A04 Insecure Design
- A05 Security Misconfiguration
- A06 Vulnerable Components
- A07 Identification & Auth Failures
- A08 Software & Data Integrity
- A09 Logging & Monitoring Failures
- A10 SSRF
Vorher vs nachher
Pentest-Flow — Scan → Find → Fix → Re-Test → Clean
Jede Phase dokumentiert; jede Lücke nach dem Fix mit kostenlosem Re-Test verifiziert.
01
Scan
Automatisierter + manueller Recon
02
Find
Validierte Befunde
03
Fix
Behebung + Code-Snippets
04
Re-Test
Verschluss-Verifizierung
05
Clean
Sauberer Bericht
Für wen?
Wer braucht diesen Pentest wirklich?
Pentests sind nicht für jedes Unternehmen Pflicht — aber wenn Sie zu einem dieser Profile passen, sollten Sie heute beginnen, nicht irgendwann. Die acht typischen Profile.
Zahlungs-E-Commerce
Kartendaten, 3DSecure, Coupon-Missbrauch, Preismanipulation.
SaaS mit Kundendaten
Multi-Tenant-Isolation, Authz-Grenzen, hohes IDOR-Risiko.
Regulierte Fintech
PCI-DSS, BaFin-äquivalent, DSGVO — mindestens ein unabhängiger Pentest/Jahr.
Gesundheit mit PHI
Patientendaten, Terminsysteme, HIPAA-Niveau-Schutz.
Behörden-Lieferant
Vor Behörden-Audits — unabhängige Pentest-Attestierung erforderlich.
B2B mit API-Integrationen
Partner-APIs, OAuth-Flows, Identitäts-Ketten.
AppStore-auditierte Mobile-App
Token-Speicherung, Jailbreak/Root-Erkennung, SSL-Pinning, MASVS-Compliance.
Kunde nach Vorfall
Nach einem Vorfall: belegte Antwort auf „ist eine andere Tür offen?".
Leistungsumfang
10 unterschiedliche Pentest-Fähigkeiten — ein Team.
Vom Web in die Cloud, von Mobile bis Physisch — ein Engineering-Team, das die gesamte Angriffsfläche abdeckt. Brauchen Sie nur einen App-Test, machen wir das; brauchen Sie ein Full-Red-Team, auch das.
Externer Netzwerk-Pentest
Alle internetzugänglichen IPs, offene Ports, Legacy-Services.
Interner Netzwerk-Pentest
Von innen als Mitarbeiter — Weg zum Domain Admin.
Web-App-Pentest
OWASP Top 10 + Business-Logic + AuthZ/AuthN-Szenarien.
API-Pentest
REST + GraphQL + gRPC; OWASP API Top 10, Rate-Limit, BOLA.
Mobile-App-Pentest
iOS + Android, MASVS, Frida, Reverse Engineering.
Cloud-Pentest (AWS/Azure/GCP)
IAM-Misconfig, öffentliche Buckets, Lambda-IAM, K8s-RBAC.
Social Engineering
Phishing-Kampagne, Vishing, USB-Drop — misst Mitarbeiter-Awareness.
Physischer Pentest
Bürozugang, Badge-Cloning, Tailgating, Server-Raum-Zugriff.
Red-Team-Einsatz
Vollszenario: von E-Mail zum Domain Admin — bemerkt es Ihr SOC?
Re-Test nach Fix
Kostenlose Verifizierung, dass Fixes die Lücken wirklich schließen.
Prozess
Unsere 6-Schritte-Pentest-Methode.
Jede Engagement folgt derselben Disziplin: Scope-Dokument (RoE), Aufklärung, Schwachstellen-Bewertung, echte Ausnutzung, belegte Berichterstattung und abschließend ein kostenloser Re-Test.
01
Scope und Rules of Engagement
Welche Systeme, welche Szenarien, erlaubte Zeiten und Rate-Limits werden im RoE-Dokument unterschrieben. Produktion oder Staging, Social-Eng im Scope oder nicht — vorher geklärt.
02
Aufklärung
OSINT, Subdomain-Enumeration, Port-Mapping, Tech-Fingerprinting, Leak-Suche. Wir fotografieren die Oberfläche mit den Augen eines Angreifers.
03
Schwachstellen-Bewertung
Scanner-Ausgaben werden manuell triagiert, Business-Logic-Szenarien entworfen. Jeder Befund wird zur Hypothese.
04
Ausnutzung
Hypothesen werden bewiesen: verkettete Exploits, Privilege-Escalation, Daten-Exfiltration — innerhalb ethischer Grenzen, vollständig protokolliert.
05
Berichterstattung
Executive Summary + Beweis pro Befund + CVSS-Score + priorisierte Behebungs-Roadmap. Entwickler können bis auf Code-Snippet-Ebene gehen.
06
Behebung und Re-Test
Nach den Fixes (üblicherweise 4-8 Wochen) werden alle Critical/High-Befunde kostenlos erneut getestet; Verschluss verifiziert.
Toolkit
Tools, die wir einsetzen.
Werkzeuge zählen; der Verstand dahinter zählt mehr. Manuelles Testing geht dem Scanner immer voraus.
Burp Suite Pro
OWASP ZAP
Metasploit
Nmap
Nessus
Acunetix
Nuclei
Wireshark
John the Ripper
Hashcat
Cobalt Strike
Postman
ffuf
BloodHound
SQLmap
Frida
MobSF
Kali Linux
Responder
CrackMapExec
Aus der Praxis
Einige reale Befunde, die wir gefunden haben.
Kundennamen behalten wir vertraulich; die technischen Details teilen wir. Jeder Befund wurde vor Produktion oder Missbrauch geschlossen.
E-Commerce
CRIT
SQL-Injection vor Launch
Blind-SQLi in der Produktsuche — die ganze Bestelltabelle konnte ausgelesen werden. 4 Tage vor Launch erkannt, auf ORM migriert.
SaaS
CRIT
Authentication-Bypass
JWT akzeptierte "alg:none" — Angreifer konnte als Admin in jeden Tenant einsteigen.
Bank-Mobile
CRIT
Unsichere Token-Speicherung
Session-Token wurde plaintext in NSUserDefaults geschrieben — auf gerooteten Geräten lesbar. Auf Keychain + Biometrie migriert.
B2B-API
HIGH
IDOR — Daten anderer Tenants
/api/invoices/{id} prüfte den Owner nicht; sequenzielle IDs gaben Konkurrenten-Rechnungen frei.
Gesundheitsportal
HIGH
Reset-Link nicht zufällig
Der Passwort-Reset-Token wurde aus Epoch + user_id abgeleitet; per Brute-Force konnte jedes Konto übernommen werden.
Enterprise-AWS
MED
Öffentlicher S3-Bucket
CI/CD-Logs landeten in einem öffentlichen Bucket — enthielten kurzlebige DB-Credentials.
FAQ
Häufige Pentest-Fragen.
Ein automatisierter Scanner (Nessus, ZAP, Acunetix etc.) ist signaturbasiert: er sucht bekannte Muster, die meisten Ergebnisse sind False-Positives und Business-Logic-Lücken werden nie gefunden. Ein Pentester baut App-spezifische Hypothesen, kombiniert drei schwache Punkte zu einer kritischen Kette, versucht Privilege-Escalation manuell und beweist jeden Befund mit reproduzierbaren Schritten. In der Praxis ist die Hälfte der „10 Critical" eines Scanners Rauschen; jeder Befund in einem Pentest-Bericht wurde ausgenutzt und bewiesen — das Engineering-Team spart die Diskussion und springt direkt zur Behebung.
Alle drei sind valide und messen Unterschiedliches. Black-Box: der Tester weiß nichts über Sie — am nächsten am echten Angreifer, aber teuer in Zeit und Scope. White-Box: Source-Code, Architektur-Diagramme und Admin-Konten — der tiefste Test pro Stunde, ideal vor Produktion. Gray-Box liegt dazwischen: normaler User-Account plus High-Level-Architektur; für die meisten Enterprise-Pentests der praktischste Kompromiss, da er externe und interne Angreifer in einem Einsatz abdeckt. Die richtige Wahl hängt vom Ziel ab; entscheiden wir gemeinsam im ersten Call.
Korrekt gemanagt: nein. Das RoE-Dokument legt erlaubte Zeiten, Parallelitäts-Limits, isolierte Test-Accounts und verbotene Aktionen (DoS, persistente Löschungen etc.) fest. In den meisten Engagements laufen destruktive Checks (z. B. Brute-Force, das Account-Lockout auslöst, Payload-Uploads) nur in Staging; in Produktion sammeln wir nur Read-Only-Beweise. Es gibt immer einen Rollback-Plan: Snapshots vor dem Test, On-Call-Engineer für Anomalien. 280+ Engagements ohne Produktionsausfall — weil die Disziplin die Disziplin verlangt.
Hängt vom Scope ab. Eine einzelne Web-App: 5–10 Werktage; mittlere API: 7–12 Tage; Mobile-App: 8–14 Tage; vollständiges Red-Team-Szenario: 4–8 Wochen. Zusätzlich dauert der kostenlose Re-Test (üblicherweise innerhalb 4–8 Wochen nach den Fixes) etwa 2–3 Werktage. Drei Faktoren bestimmen die Dauer: Scope-Breite, Anzahl der zu prüfenden Rollen/Berechtigungen und Verfügbarkeit der Testumgebung. Im ersten Call fixieren wir Scope, Werktage und Festpreis — ändert sich später nicht.
Der Bericht hat drei Schichten. Erstens, eine Executive Summary: 1–2 Seiten, nicht-technische Risiko-Tabelle, Befundzahlen, Gesamtbild. Zweitens, technische Befunde: pro Befund Beschreibung, betroffene Komponente, Exploitation-Schritte mit Screenshots, CVSS-3.1-Score und empfohlener Fix (mit Code). Drittens, ein priorisierter Aktionsplan: was zuerst, was danach — passend zu Ihrem Sprint-Takt. Lieferung als Markdown + PDF; nach dem Re-Test wird er mit „remediated"-Notizen neu ausgegeben. Kunden reichen ihn direkt für ISO-27001-, SOC-2-, PCI-DSS-Audits ein.
Nein. Der Re-Test aller Critical- und High-Befunde aus dem Haupt-Engagement ist im Vertragspreis enthalten. Einzige Bedingung: Fixes müssen innerhalb 4–8 Wochen deployt sein (per Vereinbarung bis 12 Wochen verlängerbar) und eine testbare Umgebung muss bereitstehen. Geschlossene Befunde werden „remediated" markiert; offene neu berichtet. Das ist unsere Qualitätsgarantie: wir übergeben keinen Bericht und verschwinden — wir bleiben bis zum Verschluss. Re-Test für Medium und Low ist optional und kostet einen Bruchteil des Haupt-Engagements.
Wir nutzen alle drei in derselben Engagement. Web-Apps: OWASP Top 10 (2021) und OWASP ASVS Level 2; APIs: OWASP API Top 10; Mobile: OWASP MASVS. Methodisch folgen wir den PTES-Phasen (Penetration Testing Execution Standard): Pre-Engagement, Intel-Gathering, Threat-Modelling, Vuln-Analysis, Exploitation, Post-Exploitation, Reporting. CVSS 3.1 für Risiko-Scoring; NIST SP 800-115 als Berichtsstruktur-Referenz. ISO-27001-, SOC-2- und PCI-DSS-konform — der Bericht hat die Form, die Ihr Auditor erwartet. Die Kombination garantiert technische Tiefe und Audit-Reife.
Ja, jede Engagement hat einen Lead-Engineer mit mindestens einer branchenanerkannten Zertifizierung: OSCP, OSWE, CEH, CRTP oder GPEN. Für Mobile zusätzlich eMAPT; für Cloud AWS Security Specialty oder AZ-500. Zertifikate sind nicht zwingend — aber wenn Kunden die Nachweise verlangen (besonders bei Finanz- und Public-Sector-Ausschreibungen), liefern wir sie zur Beschaffung mit. Wichtiger ist, dass das Team reproduzierbare Befunde liefert; Zertifikate signalisieren das, garantieren es aber nicht — wir liefern beides.
Finden wir Ihre Lücken vor
den Angreifern.
In einem kostenlosen 30-Minuten-Scoping-Call entwerfen wir den Pentest-Plan zusammen: Zielsysteme, RoE, Zeitplan und Festpreis.