Alle Service-Infos auf einen Blick: One-Pager (PDF) herunterladen.
Proaktiv testen. Sicher bleiben.
Automatisierte Scanner finden die Low-Hanging-Fruits. Ein manueller Penetrationstest geht auf die Dinge, die Scanner oft übersehen: Fehler in der Geschäftslogik, verkettbare Schwachstellen und subtile Authentifizierungs-Bypässe, die erst auffallen, wenn jemand gezielt wie ein Angreifer denkt.
Ich setze offensive Hacking-Techniken in manuellen und teilautomatisierten Angriffen auf Webanwendungen und Backend-APIs ein. Um blinde und super-blinde Schwachstellen zu finden, ergänze ich die Tests mit Timing- und DNS-basierten (Out-of-Band-)Side-Channels. So lassen sich auch Findings nachweisen, die tiefer in Backend-Systemen liegen.
Vor dem eigentlichen Test haben wir einen Scoping-Call. Darin klären wir Umfang, relevante Backend-Systeme, Ausschlüsse, Reporting-Format und Zeitfenster. Das sorgt dafür, dass ich meine Zeit auf die Bereiche mit der größten Wirkung für Ihr Geschäft konzentriere.
Im Hauptteil des Penetrationstests führe ich manuelle und teilautomatisierte Angriffe auf das Zielsystem aus. Dabei prüfe ich unter anderem:
- Schwachstellen in Client- und Server-Komponenten der Anwendung
- Schwachstellen in kritischen Geschäftsfunktionen, zum Beispiel Zahlungsprozessen
- Schwachstellen in Authentifizierung und Autorisierung
- Schwachstellen in offengelegten und genutzten Kommunikationsschnittstellen
- Schwachstellen in Session- oder Token-Management
- Schwachstellen in exponierten Komponenten und Abhängigkeiten
- Schwachstellen im Fehlerhandling
Ich schaue nicht nur auf einzelne Kategorien, sondern auch auf deren Zusammenspiel. Eine kleine Informationspreisgabe zusammen mit einem schwachen Session-Token kann am Ende zu einem deutlich größeren Problem führen als jeder Punkt für sich. Genau dort zeigt manuelles Testing seinen Wert gegenüber reinen Scanner-Ergebnissen.
Detailliertes Reporting
Der Ergebnisbericht der gefundenen Security-Probleme umfasst detaillierte Beschreibungen der Findings (inklusive aller gesammelten Nachweise) und konkrete Absicherungsempfehlungen pro Problem sowie Hinweise zur weiteren Härtung Ihrer Anwendung. Damit Findings schnell bei den richtigen Teams landen, kategorisiere ich sie nach Funktion (Business, Architektur, Entwicklung, Betrieb).
Nach Versand des Reports folgt ein Debriefing vor Ort oder remote, um Ergebnisse und offene Fragen gemeinsam mit den für die Behebung zuständigen Teammitgliedern durchzugehen.
Optional kann anschließend ein Re-Check der behobenen Findings erfolgen, der in einen aktualisierten Report mündet.
Voraussetzungen
Diese Art von Security Check kann mit wenig oder ganz ohne Vorwissen zum zugrunde liegenden Softwaresystem durchgeführt werden (Blackbox), remote oder vor Ort. Optional ist auch eine Graybox-Variante möglich, bei der vorab Architekturinformationen bereitgestellt werden. Wenn Sie noch einen Schritt weitergehen wollen, kann ich zusätzlich eine Whitebox-Analyse durchführen und dabei den Quellcode parallel zu den Laufzeittests prüfen. Das ist besonders bei sicherheitskritischen Komponenten wie Authentifizierungsabläufen, kryptografischen Implementierungen oder Access-Control-Logik hilfreich, weil sich bestimmte Schwachstellenklassen im Code schneller erkennen oder gezielt ausschließen lassen. Das ist kein vollständiges Code-Audit im klassischen Sinn, sondern eine fokussierte Prüfung der Bereiche, in denen Source-Level-Sicht echte Zusatzinformationen für den Pentest liefert.
Auch wenn Tests auf Produktivsystemen möglich sind, führe ich die meisten Pentests in Testumgebungen durch. Dort können offensivere und risikoreichere Angriffe gefahren werden, ohne den Produktionsbetrieb zu stören.
Alle Checks und Tests können remote sowie on-site bei Ihnen durchgeführt werden. Als Mindestvoraussetzungen benötige ich zum Start:
- Zugriff auf die Anwendung (URLs, Client-Zugang usw., abhängig vom Anwendungstyp)
- Mindestens zwei unterschiedliche Benutzerkonten (mit unterschiedlichen Daten, z. B. verschiedene Kunden oder Tenants)
- Falls Datei-Uploads mit speziellen Formaten vorhanden sind: gültige Beispiel-Dateien
- Falls die Anwendung ein Dienst ohne Benutzeroberfläche ist (z. B. REST-Microservice): Dokumentation oder Beispiel-Requests
Um bestmögliche Ergebnisse zu erzielen, kann optional ein read-only Zugriff auf Backoffice-Systeme vereinbart werden, die Daten aus dem getesteten Frontend-System verarbeiten. Damit kann ich auch prüfen, ob bestimmte Payloads in Backoffice-Systemen als Second-Order-Angriffe zünden.
Diese Leistung unterstützt auch technische Security-Anforderungen, die in modernen Cybersecurity-Regulierungen häufig gefordert werden.
Pentest + Threat-Modeling-Bundle
Kombinieren Sie Ihren Penetrationstest mit einem Attack Tree Quickstart für einen umfassenden Blick auf die Sicherheit Ihrer Anwendung - von strategischen Angriffspfaden bis zur praktischen Validierung von Schwachstellen. Der Attack Tree zeigt Bedrohungslandschaft und Security Controls auf Architektur-Ebene, während der Pentest die reale Ausnutzbarkeit auf Implementierungs-Ebene prüft. Beides zusammen ergibt ein belastbares Gesamtbild.
Fragen Sie nach Bundle-Konditionen, wenn Sie beides gemeinsam buchen.