Penetrationstests und Code-Audits

Aktualisiert am 15 Okt 2025

Risikobasierte Pentests gegen Ihre internen und externen Anwendungen und Netzwerke auf Basis von Täterprofilen.

Was sind Penetrationstest?

Im Rahmen eines Penetrationstests (kurz: Pentests) wird Ihre IT-Infrastruktur (Applikationen, Netzwerke, Clients & Server) auf typische Fehlkonfigurationen und Schwachstellen überprüft. Dabei wird ein ganzheitlicher Ansatz verfolgt, d. h. die Applikation und die potenziellen Schwachstellen bzw. Befunde werden im Kontext Ihrer Organisation bewertet und beurteilt. Für jeden Befund wird eine Risikoeinstufung vorgenommen. Dabei werden verschiedene Arten von Täterprofilen (eng. Threat Actors) als Grundlage verwendet.

Je nach Testumfeld werden gängige Standards als Grundlage für die Testmethodik verwendet, z. B.:

OWASP Web Security Testing Guide (WSTG) für Webanwendungen
OWASP Mobile Security Testing Guide (MSTG) für mobile Anwendungen
MITRE ATT&CK for Enterprise für Active Directory und Netzwerk-Infrastruktur

Testbereiche

Web- und API-Security

Sicherheitsanalyse von Webanwendungen und REST/SOAP-APIs
Identifizierung von OWASP Top 10 Schwachstellen
Autorisierungs- und Authentifizierungsschwachstellen
Identifizierung von SQL-Injection-Schwachstellen
Überprüfung von Server-Sicherheitseinstellungen
Identifizierung von Cross-Site Scripting (XSS)-Schwachstellen

Mobile Security (Android)

Analyse von Android-Apps auf Sicherheitslücken
Überprüfung der Datenspeicherung und -übertragung
Reverse Engineering und Analyse von Schutzmechanismen
Überprüfung der App-Sandbox und Berechtigungen
Sicherheit der Backend-Kommunikation

Active Directory & Netzwerk-Infrastruktur

Schwachstellenanalyse von Active Directory-Konfigurationen
Prüfung auf Rechteausweitungspfade
Überprüfung der Gruppenrichtlinien (GPOs)
Analyse der Vertrauensstellungen zwischen Domänen
Überprüfung der Sicherheitseinstellungen von Domänencontrollern

Was kostet ein Penetrationstest?

Ein Penetrationstest muss nicht teuer sein. Es hängt jedoch von einigen Faktoren ab:

Prüfart: Greybox oder Whitebox
Einsatz von Standardsoftware
Anzahl der Schnittstellen und Softwarekomponenten
Anzahl der IT-Systeme

Erfahrungsgemäß lassen sich IT-Anwendungen oder IT-Systeme (intern/extern), die eine geringe Komplexität aufweisen, bereits im Preisbereich von 5.000 € bis 10.000 EUR prüfen.

Generell wird als geringe Komplexität je nach Penetrationstestart (Web oder Infrastruktur) verstanden:

wenige Rollen und Berechtigungen
bis zu 100 REST-Schnittstellen
eine geringe Anzahl von Eingabefeldern für Webanwendungen
bis zu 10 Server

Damit die Systeme auch nachhaltig besser dastehen als vor der Überprüfung, ist ein kurzer Retest immer Teil der Beauftragung.

Code-Audits

Ich biete Code-Audits für Software in verschiedenen Programmiersprachen an. Durch meine Expertise im Bereich Pentesting kann ich gängige Schwachstellen und Angriffspfade gezielt untersuchen und aufdecken. Ich biete unter anderem:

Webanwendungen: Code-Review basierend auf gängigen Frameworks (Springboot, Laravel, Django) oder Eigenentwicklungen
Mobile Apps: Sicherheitsanalyse von Android- und iOS-Anwendungen
Backend-Systeme: Überprüfung von Geschäftslogik und Schnittstellen
Konfigurationsüberprüfung: Analyse von sicherheitskritischen Konfigurationen

Nehmen Sie gerne Kontakt auf!