Penetrationstest und Sicherheits-Audit
Penetrationstest für KMU – ehrlich erklärt, sauber dokumentiert.
Ein umfassendes Cyberaudit kann je nach vereinbartem Scope bis zu 13 Test-Bereiche abdecken – von der CMS-Schwachstellen-Suche über aktive Injection-Tests, Brute-Force-Versuche auf Login-Strecken, TLS-Tiefenprüfung, DNS-Aufklärung bis zur Phishing-Simulation. Komplett remote, schriftlicher PDF-Bericht, klare Reparatur-Empfehlungen, schriftliche Prüfvereinbarung mit dokumentierter Scope-Freigabe vor jedem Test. Pragmatisch geschnitten für Solo-Selbstständige, Praxen, Kanzleien und kleine Mittelständler – nicht für die Compliance-Bescheinigung, sondern für die ehrliche Risiko-Abschätzung.
Für wen sich das Audit lohnt – und für wen nicht
Wir sind kein vom BSI im Geltungsbereich IS-Penetrationstests zertifizierter Dienstleister. Wir machen pragmatische Sicherheits-Audits für Solo-Selbstständige, Handwerksbetriebe, Praxen, Kanzleien, Online-Shops und kleine Mittelständler.
Passt zu Ihnen, wenn
- Sie eine Website mit Kontaktformular, Login-Bereich, Buchungs-Funktion oder Online-Shop betreiben
- Sie personenbezogene Daten verarbeiten und DSGVO-Pflichten haben
- Ihre IT outgesourct ist und Sie eine unabhängige Außensicht möchten
- Sie ein WordPress, Joomla, TYPO3 oder Shopware betreiben und Klarheit zu Plugin-Versionen brauchen
- Sie einen Cloud-Tenant in Microsoft 365 oder Google Workspace einsetzen
- Sie eine Phishing-Welle bei Mitarbeitern vermuten und Awareness aufbauen wollen
- Sie einen Vor-Audit vor einer formalen ISO-27001- oder TISAX-Prüfung brauchen
Passt nicht, wenn
- Sie eine BSI-zertifizierte Penetrationstest-Bescheinigung für Compliance-Zwecke benötigen
- Sie ein Red-Team mit Social Engineering, physischem Eindringen oder Dropbox-Angriffen suchen
- Sie ein internes Netzwerk vor Ort untersuchen wollen – wir sind reiner Online-Anbieter
- Sie eine Source-Code-Prüfung über 5.000 Codezeilen brauchen
- Sie eine KRITIS-, NIS2- oder TISAX-Zertifizierung anstreben
- Sie einen forensischen Incident-Response-Dienstleister nach laufendem Angriff suchen
Was ist eigentlich ein Penetrationstest?
Ein Penetrationstest ist ein beauftragter, kontrollierter Einbruchsversuch in Ihre IT – mit dem Ziel, Schwachstellen zu finden, bevor sie ein echter Angreifer findet. Stellen Sie sich vor: Sie engagieren eine Person, die in Ihr Bürogebäude einsteigen soll – mit Ihrer schriftlichen Erlaubnis. Sie sucht offene Fenster, schlecht abgeschlossene Türen, vergessene Hinterausgänge, freundliche Mitarbeiter, die ihr aufhalten. Am Ende übergibt sie einen Bericht: hier ist die Liste der Schwachstellen, hier die Reihenfolge, in der ich sie ausnutzen würde. Ein Penetrationstest macht genau das – nur digital.
Vier wichtige Begriffe, die oft durcheinandergehen
Schwachstellen-Scan Automatisierte Abfrage einer Datenbank bekannter Lücken: „Ist diese Apache-Version anfällig?" Schneller Überblick, viele falsch-positive Befunde, kein Beweis der Ausnutzbarkeit. Ergebnis: Liste von „könnte sein". Tools: Tenable Nessus, Greenbone OpenVAS.
Penetrationstest Eine Fachperson nutzt Werkzeuge und Erfahrung, um Schwachstellen aktiv auszunutzen und den realen Schaden zu zeigen. Ergebnis: Bericht mit „so weit kam ich, das hätte ich erbeuten können". Eingesetzt werden interaktive Proxies, Injection-Scanner, Exploit-Frameworks und Web-Application-Scanner – plus Köpfchen.
Red Team Geht weiter: simuliert einen kompletten Angreifer – auch mit Social Engineering, Phishing, physischem Eindringen, Dropbox-Angriffen, Zugriff auf Mitarbeiter. Dauert Wochen bis Monate. Nur für große Organisationen.
Bug Bounty Eine offene Einladung an Sicherheitsforscher weltweit: „Findet Lücken auf unseren Systemen, wir zahlen pro Fund." Plattformen: HackerOne, Bugcrowd, Intigriti. Für kleine Firmen oft zu offen.
Wo Angreifer heute ansetzen – die Angriffsfläche eines KMU
Mögliche Test-Bereiche eines umfassenden Sicherheits-Audits
Diese Liste folgt der Praxis großer Sicherheits-Häuser und dem BSI-Praxisleitfaden für IS-Penetrationstests sowie dem BSI-IT-Grundschutz. Je nach gebuchtem Paket und vereinbartem Scope deckt unser Audit einen Teil dieser Bereiche ab – die Stichprobe prüft ausgewählte Außenrisiken, das Webseiten-Audit vertieft Web-Anwendung und Login-Strecken, das Komplett-Audit ergänzt Cloud-, Mail- und Infrastrukturthemen. Verbindlich ist immer der schriftlich vereinbarte Leistungsumfang.
Inhalt
- CMS-Schwachstellen (Joomla, WordPress, TYPO3)
- Aktive Injection-Tests (SQLi, XSS, LFI)
- Authentifizierung und Login-Strecken
- HTTP-Methoden und WebDAV
- API-Sicherheit
- TLS- und SSL-Tiefenprüfung
- DNS-Aufklärung und Subdomain-Enumeration
- Datei- und Pfad-Discovery
- Upload-Funktionen
- CSRF und Session-Fixation
- User-Enumeration
- Rate-Limit und DDoS-Resilienz
- Captcha-Bypass
CMS-Version und alle nachinstallierten Komponenten, Module, Plugins und Templates enumerieren. Abgleich mit der CVE-Datenbank des Herstellers und mit öffentlichen Schwachstellen-Listen. Prüfung auf veraltete jQuery-Versionen in Templates, anfällige Komponenten-Routen, ungeschützte Admin-Pfade, Default-Anmeldedaten in Demo-Installationen.
Methode: spezialisierte CMS-Scanner für Joomla/WordPress/TYPO3, CVE-Template-Engine, interaktiver Proxy und gezielte Component-Enumeration via URL-Parameter-Variation.
Jedes Eingabe-Feld, jeder URL-Parameter und jeder HTTP-Header wird systematisch mit präparierten Werten getestet. SQL-Injection mit klassischen, blinden und zeit-basierten Payloads im Tampering-Modus. XSS in reflektierter, gespeicherter und DOM-basierter Variante. Local-File-Inclusion über Pfad-Traversal-Sequenzen. Server-Side-Request-Forgery gegen Cloud-Metadaten-Endpunkte. XML-External-Entity gegen XML-verarbeitende Routen.
Methode: automatisierter Injection-Scanner, interaktiver Proxy mit Repeater- und Intruder-Funktion, Web-Application-Scanner im aktiven Modus, manuelle Payload-Konstruktion gegen kuratierte Wortlisten.
Login-Endpunkte gegen Wortlisten testen, Rate-Limit-Reaktion prüfen, Lockout-Verhalten messen. Credential-Stuffing-Resistenz mit bekannten Leak-Listen prüfen, ohne dabei echte Anmeldungen zu provozieren. Session-Cookies inspizieren: Secure-Flag, HttpOnly, SameSite, Signatur, Ablauf, Rotation nach Login. JWT-Token analysieren: Algorithmus-Confusion, „none"-Algorithmus, schwache Signatur-Schlüssel, fehlende Audience-Prüfung. Passwort-Reset-Flow testen: vorhersagbare Token, fehlende Bindung an die Session, möglicher Account-Übernahme über die Mail-Adresse.
Methode: Brute-Force-Engine für Login-Tests, interaktiver Proxy mit Sequenz-Modul, Token-Analyzer für JWT- und Session-Cookies, eigene Skripte für Reset-Flow-Tests.
Erlaubte HTTP-Methoden pro Endpunkt enumerieren. PUT und DELETE auf Verzeichnisse testen. TRACE auf XST-Verwundbarkeit prüfen. WebDAV-Endpunkte mit spezialisierten WebDAV-Clients gegen Authentifizierungs-Bypasse testen. PROPFIND-Antworten auf interne Pfad-Leaks prüfen.
Methode: HTTP-Client mit voller Methoden-Abdeckung, WebDAV-Tester, Pfad- und Konfigurations-Scanner.
Alle API-Endpunkte enumerieren – via Swagger/OpenAPI, robots.txt, Sitemap, Frontend-JavaScript-Analyse. Authentifizierungs-Bypass-Tests an Endpunkten wie /api/v1/users/1, /api/admin, /api/internal. IDOR-Tests durch IDs hochzählen, fremde Daten anfragen, Berechtigungs-Logik prüfen. Rate-Limit-Tests in mehreren Geschwindigkeiten und mit IP-Rotation. JSON-Body-Manipulation für Mass-Assignment-Lücken.
Methode: API-Client mit Sequenz-Aufzeichnung, interaktiver Proxy mit Request-Logging, Endpunkt-Discovery-Scanner.
Vollständige TLS-Konfiguration testen: erlaubte Protokoll-Versionen, Cipher-Suite-Reihenfolge, Forward Secrecy, OCSP-Stapling, HSTS-Header, HSTS-Preload-Liste, Zertifikats-Kette, Wildcard-Verwendung, Signatur-Algorithmus, RSA-Schlüssel-Stärke, Diffie-Hellman-Parameter, Renegotiation-Verhalten. Klassische Schwachstellen prüfen: CVE-2014-0160 (Heartbleed), CVE-2014-3566 (POODLE), CVE-2011-3389 (BEAST), CVE-2015-4000 (Logjam).
Methode: Tiefen-TLS-Analyzer für Protokolle und Cipher-Suiten, Zertifikatsketten-Prüfer und externer Cross-Check gegen Reference-Scanner.
DNS-Records vollständig auflisten: A, AAAA, MX, TXT, NS, SOA. SPF-Record prüfen: Strenge des all-Mechanismus, Anzahl der Lookups, includes. DKIM-Schlüssel der relevanten Selektoren testen. DMARC-Policy auswerten: p=none, p=quarantine, p=reject, rua-Adressen. MTA-STS und DANE-Records prüfen. Subdomain-Enumeration über öffentliche Zertifikats-Transparenz-Logs, passives DNS und Wortlisten-Bruteforce. Zone-Transfer-Versuche gegen alle Nameserver.
Methode: DNS-Inspektor, Subdomain-Discovery, Certificate-Transparency-Suche, E-Mail-Sicherheits-Analyzer für SPF, DKIM, DMARC und MTA-STS, Domain-Squatting-Erkennung.
Wortlisten-basierte Pfad-Aufzählung mit dediziertem Discovery-Scanner gegen Standard-Backup-Endungen (.bak,.swp,.old, ~,.save,.orig,.tmp). Common-Sense-Pfade prüfen: /.git/config, /.env, /phpinfo.php, /admin/, /backup/, /test/, /old/, /dev/, /staging/. Sitemap.xml, robots.txt, Source-Maps in JavaScript-Bundles auf interne Pfade prüfen.
Methode: dedizierter Pfad-Discovery-Scanner mit kuratierten Wortlisten, Git-Repository-Recovery für versehentlich veröffentlichte.git-Ordner, JS-Source-Map-Analyse.
Upload-Endpunkte mit verschiedenen Datei-Typen testen: PHP, JSP, JSP, EXE, SVG mit eingebettetem Skript, polyglotte Dateien (Bild plus Code). Datei-Endung-Filter umgehen mit Doppel-Endungen (.jpg.php), Null-Byte-Tricks (.php%00.jpg), Case-Variation (.PHP). Content-Type-Header manipulieren. MIME-Type-Sniffing prüfen. Hochgeladene Dateien auf Ausführbarkeit im Web-Pfad testen.
Methode: interaktiver Proxy mit kundenspezifischen Payloads, Upload-Schwachstellen-Wortlisten und polyglotter Datei-Generator für File-Magic-Injection.
Jedes zustandsverändernde Formular auf CSRF-Token prüfen. Token-Stärke testen: vorhersagbar, an Session gebunden, einmalig, Server-validiert. Session-Fixation prüfen: lässt sich vor dem Login eine Session-ID setzen, die nach dem Login gültig bleibt? SameSite-Cookie-Attribut prüfen. Referer-basierte Schutz-Mechanismen umgehen mit speziell präparierten Sub-Requests.
Methode: interaktiver Proxy mit CSRF-Proof-of-Concept-Generator, Web-Application-Scanner und manuelle HTML-Form-Konstruktion.
Login-Fehlermeldungen auf Unterschiede zwischen „falscher User" und „falsches Passwort" prüfen. Antwortzeiten messen – manche Server brauchen für existierende Logins minimal länger (Timing-Attack). Passwort-Reset-Flow testen: kommt die gleiche Bestätigung für jede Eingabe? API-Endpunkte für Account-Existenz prüfen. Registrierungs-Formulare auf „diese Mail ist schon registriert"-Meldungen testen.
Methode: Intruder-Modul des interaktiven Proxys mit Wortlisten, eigene Python-Skripte für Antwortzeit-Messung, Auswertung von Brute-Force-Versuchen.
Rate-Limit-Verhalten pro Endpunkt prüfen, ohne Last-Tests durchzuführen. Antwort-Header auf Standard-Rate-Limit-Felder prüfen (X-RateLimit-Remaining). Web-Application-Firewall-Verhalten prüfen, falls vorhanden. CDN-Schutz-Mechanismen identifizieren. Cache-Bypass-Versuche durch Parameter-Variation. Nur mit ausdrücklicher Genehmigung führen wir kontrollierte Last-Tests gegen klar abgegrenzte Endpunkte durch, niemals als Bestandteil eines Standard-Audits.
Methode: kontrollierte Last-Test-Tools, interaktiver Proxy mit Sequenz-Tests, eigene Python-Skripte für Header-Analyse.
Captcha-Anbieter identifizieren (reCAPTCHA, hCaptcha, Cloudflare Turnstile, eigene Lösung, das neue Joomla-6.1-Proof-of-Work-Captcha). Token-Wiederverwendung prüfen: lässt sich derselbe Captcha-Token mehrfach einlösen? Server-seitige Validierung prüfen: wird das Token wirklich gegen den Anbieter validiert oder nur Existenz geprüft? Bei eigenen Captchas: KI-Lösbarkeit mit OCR-Tools testen, Audio-Captchas mit Speech-to-Text. Bypass über versteckte Honeypot-Felder.
Methode: interaktiver Proxy mit Repeater-Funktion, OCR-Engine für Captcha- und Bildtests, manuelle Token-Replay-Tests.
Wie Angreifer heute wirklich ins Haus kommen
Die Theorie der 13 Test-Bereiche ist die eine Sache. Die Realität 2025/2026 ist eine andere: Die wenigsten Angriffe beginnen mit einer obskuren Software-Lücke. Sie beginnen mit einer Mail oder einem geklauten Passwort. Hier die typische Kette eines modernen KMU-Angriffs.
Die typische Angriffskette in deutschen Mittelstands-Unternehmen
- Schritt 1: Phishing-Mail. Eine glaubwürdige Mail mit gefälschtem Microsoft-Logo, Betreff „Ihr Postfach ist voll" oder „DHL-Sendung wartet auf Bestätigung". Der Mitarbeiter klickt, landet auf einer Login-Seite, die exakt aussieht wie die echte – ist es aber nicht. Er tippt Mail-Adresse und Passwort ein.
- Schritt 2: Multi-Faktor-Bypass. Der Angreifer leitet den Login in Echtzeit weiter an die echte Microsoft-Seite. Das Multi-Faktor-Prompt geht ans Telefon des Mitarbeiters, der bestätigt – im Glauben, sich gerade selbst anzumelden. Der Angreifer hat jetzt den vollen Session-Token.
- Schritt 3: Postfach lesen. Eine bis vier Wochen still im Postfach mitlesen. Geschäfts-Vorgänge verstehen, Vertreter-Regelungen finden, Rechnungs-Mails identifizieren, Vorgesetzte und Buchhaltung mappen.
- Schritt 4: CEO-Fraud oder Rechnungs-Manipulation. Eine Mail an die Buchhaltung mit gefälschter Geschäftsführer-Anweisung, einen größeren Betrag „heute noch dringend auf folgendes Konto" zu überweisen. Oder eine Manipulation einer echten ausgehenden Rechnung: IBAN ändern, Mail noch einmal verschicken.
- Schritt 5: Seitwärts-Bewegung. Mit dem kompromittierten Konto auf Cloud-Speicher zugreifen, OneDrive-Daten exfiltrieren, weitere interne Mails verschicken, IT-Admin-Konten attackieren.
- Schritt 6: Ransomware oder Erpressung. Wenn der Zugang weit genug ist, wird verschlüsselt oder mit der Veröffentlichung der gestohlenen Daten gedroht. Lösegeld-Forderung im fünf- bis sechsstelligen Bereich je nach Unternehmens-Größe.
Was hier nirgends auftaucht: die hochkomplexe Software-Schwachstelle. Der ganze Angriff lief über eine Mail, ein Passwort und ein menschliches Klick-Verhalten. Genau deshalb ist Phishing-Simulation als Test-Bereich so wichtig – und ein guter Penetrationstest deckt nicht nur die Technik, sondern auch diese Vektoren.
Berühmte deutsche Fälle, die jedes Unternehmen kennen sollte
Diese Beispiele zeigen, was passiert, wenn Schwachstellen nicht rechtzeitig gefunden werden. Allen Fällen ist gemeinsam: rückblickend hätte ein ordentlicher Sicherheits-Audit den Eintritts-Vektor entdeckt. Manche dieser Vorfälle haben Unternehmen Millionen gekostet, einer hat eine ganze Region in den Cyber-Katastrophenfall gebracht.
Universitätsklinikum Düsseldorf
Ransomware verschlüsselte 30 Server. Die Notaufnahme musste mehrere Wochen von der Notfallversorgung abgemeldet werden. Eine Patientin musste verlegt werden, die Diskussion um eine mögliche kausale Folge des Cyber-Vorfalls erreichte die Bundespresse. Wochen langer Notbetrieb, Schaden in Millionen-Höhe.
Eintritts-Vektor: bekannte Schwachstelle in einer Citrix-Komponente (CVE-2019-19781), die monatelang nicht gepatcht wurde.
Funke Mediengruppe
Ransomware legte über 1.500 Server lahm. Mehrere Tageszeitungen erschienen tagelang nur als Notausgabe. Die Druckereien arbeiteten an Ausweich-Systemen, Online-Portale waren ausgefallen. Wochenlanger Wiederaufbau, geschätzter Schaden im zweistelligen Millionenbereich.
Eintritts-Vektor: Phishing-Mail mit Schadanhang, Trojaner-Familie Emotet als Türöffner für die Ransomware DoppelPaymer.
Landkreis Anhalt-Bitterfeld – erster Cyber-Katastrophenfall
72 Kommunen mit 22.000 Arbeitsplätzen lahmgelegt, der Landkreis rief den ersten Cyber-Katastrophenfall in Deutschland aus. Bürger-Dienste, Sozialleistungen und KFZ-Anmeldungen mehrere Wochen offline, manche Verfahren Monate lang nur per Stift und Papier. Tätergruppe Akira/Grief, Lösegeld-Forderung in zweistelliger Millionen-Höhe wurde abgelehnt.
Eintritts-Vektor: Phishing-Mail mit verseuchtem Word-Anhang an einen Sachbearbeiter.
Continental AG
Ransomware-Gruppe LockBit drang in das Konzernnetz ein und stahl rund 40 Terabyte Daten – inklusive vertraulicher Geschäfts-Dokumente, Personal-Akten, Verhandlungs-Unterlagen. Lösegeld-Forderung 50 Millionen US-Dollar, Continental zahlte nicht, ein Teil der Daten wurde später im Darknet veröffentlicht.
Eintritts-Vektor: Phishing, Mitarbeiter installierte gefälschte Software (geleakter Initial-Access wurde von einem Broker gehandelt).
Deutsche Flugsicherung (DFS)
Die mit dem russischen Militär-Geheimdienst GRU in Verbindung gebrachte Gruppe APT28 drang in die administrative IT-Infrastruktur der DFS ein. Der eigentliche Flugverkehr blieb unbeeinträchtigt, aber sensible Daten und interne Mail-Kommunikation wurden kompromittiert. Politisch erheblicher Schaden, mehrere Wochen Aufklärungs-Arbeit.
Eintritts-Vektor: Phishing mit präzisem Spear-Targeting auf einzelne Mitarbeiter (geheime Details).
Rheinmetall AG
Ransomware-Angriff auf das zivile Geschäft des Rüstungs-Konzerns. Produktion in mehreren Tochter-Gesellschaften musste vorübergehend gestoppt werden, geschätzter Schaden im zweistelligen Millionen-Bereich. Sensible Konstruktionsdaten und Lieferanten-Korrespondenz wurden teilweise abgegriffen.
Eintritts-Vektor: Spear-Phishing mit auf den Konzern zugeschnittener Mail, Initial-Access-Broker.
Medion AG
Ransomware-Gruppe BlackBasta erbeutete rund 1,5 Terabyte Daten – darunter Mitarbeiter-Personalakten und vertrauliche Geschäftsdaten. Die Daten wurden auf der Leak-Seite der Gruppe veröffentlicht. Imageschaden und mehrwöchige Wiederherstellungs-Arbeit.
Eintritts-Vektor: verschlüsselte Verbindung über einen kompromittierten Mitarbeiter-Account, nach Phishing.
Collins Aerospace / Flughafen BER
Ransomware-Angriff auf den Luftfahrt-Zulieferer Collins Aerospace, dessen Software MUSE an europäischen Flughäfen die Passagier-Abfertigung steuert – inklusive Berlin BER. Über mehrere Tage „Ausnahmemodus" am BER mit manueller Abfertigung, Verspätungen, Flugausfällen. Klassischer Supply-Chain-Vorfall.
Eintritts-Vektor: noch nicht öffentlich, vermutlich Schwachstelle in Wartungs-Zugängen des Software-Lieferanten.
Das Muster ist klar: In sechs von acht Fällen war der erste Eintritt eine Phishing-Mail oder ein gestohlener Account – nicht eine exotische Software-Lücke. Genau deshalb prüfen wir in unseren Audits den menschlichen Faktor (Phishing-Simulation), die E-Mail-Sicherheit (SPF, DKIM, DMARC, MTA-STS), die Multi-Faktor-Abdeckung in Microsoft 365 und Google Workspace – und nicht nur die Server-Konfiguration.
Was wir leisten – und was wir ehrlich nicht leisten
Eine ehrliche Selbstauskunft ist Teil der Beratung. Wir sind eine Manufaktur für Digitales, kein BSI-zertifiziertes Sicherheits-Haus mit Auditor-Team. Unsere Audits decken die häufigsten Angriffs-Vektoren mit den gleichen Werkzeugen ab, die ein externer Angreifer nutzen würde – aber sie ersetzen keine formale Zertifizierungs-Prüfung.
Das machen wir verlässlich
- Externer Sicherheits-Check mit Port-Scanner, TLS-Analyzer, Web-Application-Scanner und interaktivem Proxy
- CMS-Audit für Joomla, WordPress, TYPO3, Shopware mit spezialisierten Scannern und CVE-Template-Engine
- Aktive Injection-Tests mit Injection-Scanner und manueller Payload-Konstruktion
- Login- und Session-Strecken inklusive JWT-Analyse
- API-Sicherheits-Prüfung inkl. IDOR und Authentifizierungs-Bypass
- TLS-/SSL-Tiefenprüfung mit professionellem Cipher- und Zertifikatsanalyzer
- DNS- und E-Mail-Sicherheits-Audit (SPF, DKIM, DMARC, MTA-STS, DANE)
- Datei-Discovery mit dediziertem Discovery-Scanner gegen Standard-Wortlisten
- Microsoft 365 oder Google Workspace Tenant-Audit mit Lese-Zugang
- Phishing-Simulation für bis zu 50 Empfänger mit dediziertem Framework
- Schriftlicher PDF-Bericht mit Priorisierung und Reparatur-Empfehlungen
Das machen wir nicht
- Formaler IS-Penetrationstest durch einen vom BSI zertifizierten Dienstleister mit zertifizierter Auditor-Bescheinigung
- Red Team mit Social Engineering, physischem Eindringen, Dropbox-Angriffen
- Internes Netzwerk-Pentest mit Vor-Ort-Hardware oder VPN-Mitarbeiter-Profil
- Source-Code-Audit über 5.000 Code-Zeilen (nur Stichproben)
- Hardware-Pentest gegen IoT-Geräte, Industrie-Steuerungen, OT-Systeme
- Echte DDoS-Belastungs-Tests gegen produktive Systeme
- Forensische Aufarbeitung eines laufenden Sicherheits-Vorfalls
- Compliance-Zertifizierung für ISO 27001, KRITIS, NIS2, TISAX
- Mobile-App-Pentest gegen Android- und iOS-Apps
- Hochskalierte Test-Wellen mit mehreren Mannwochen Aufwand
Wenn Sie etwas brauchen, das wir nicht leisten
Wir nennen Ihnen passende Häuser. Für BSI-zertifizierte Penetrationstests, ISO-27001-Audits und Red-Team-Operationen empfehlen wir je nach Branche secunet (Essen), SySS (Tübingen), HiSolutions (Berlin), syret (Hamburg), TÜV-IT (Köln) oder DEKRA. Wir haben keinerlei Provisions-Vereinbarungen mit diesen Häusern und bekommen kein Geld für Empfehlungen. Unser Audit kann als interner Vor-Check dienen, um vor dem teuren formalen Audit die offenkundigen Mängel zu beheben.
So gehen wir vor
Vier Schritte vom Erstgespräch bis zum fertigen Bericht. Komplett remote, ein- bis zehn Werktage Bearbeitungszeit je nach Paket.
Erstgespräch und Scope
15 bis 30 Minuten Telefonat. Wir klären Ziele, Scope, Domains, IP-Bereiche, kritische Geschäftszeiten. Sie erhalten einen schriftlichen Auftrag mit klar abgegrenztem Test-Rahmen.
Auftrag und Einwilligung
Sie unterzeichnen die schriftliche Prüfvereinbarung mit dokumentierter Scope-Freigabe. Wenn wir im Auftrag Zugriff auf personenbezogene Daten Dritter erhalten können, schließen wir vor Beginn der Prüfung verpflichtend einen AV-Vertrag nach Art. 28 DSGVO. Ohne erforderlichen AVV keine Prüfung in diesem Scope.
Audit-Durchführung
Wir scannen, testen und prüfen außerhalb Ihrer Hauptgeschäftszeit. Bei kritischen Befunden sofortige Telefon-Meldung. Sie können den Test jederzeit pausieren.
Bericht und Auslieferung
Schriftlicher PDF-Bericht mit priorisiertem Mängel-Katalog, konkreten Reparatur-Empfehlungen und Verweisen auf passende Werkzeuge. Auslieferung verschlüsselt per Mail. Reparatur auf Wunsch im Rahmen einer Folge-Beauftragung.
Was bestimmt den Aufwand eines Penetrationstests?
Die ehrliche Antwort: „Es kommt drauf an." Vier Faktoren prägen Aufwand und Tiefe einer Sicherheits-Prüfung – Scope, Test-Tiefe, Zielsystem und Zertifizierungs-Anspruch. Wer diese Faktoren versteht, kann Angebote sachlich vergleichen, statt sich an einer Zahl festzuhalten.
Welche Faktoren den Aufwand bestimmen
Scope-Größe Eine einzelne Website mit 20 Seiten bedeutet weniger Prüfzeit als eine ganze IT-Infrastruktur mit Cloud-Tenant, mehreren Domains, Subdomains und API-Endpunkten. Faustregel: jeder zusätzliche Angriffsflächen-Bereich verlängert die Prüfung.
Test-Tiefe Ein automatisierter Schwachstellen-Scan ist schneller als ein manueller Penetrationstest mit aktiver Ausnutzung. Ein Red-Team-Test mit Social Engineering und physischem Eindringen ist nochmal eine ganz andere Größenordnung.
Zertifizierungs-Anspruch Ein BSI-zertifizierter IS-Penetrationstest mit anerkannter Bescheinigung für ISO 27001, KRITIS, NIS2 oder TISAX ist eine deutlich aufwendigere Prüfung als ein pragmatischer Sicherheits-Check ohne Compliance-Bescheinigung – beides hat seinen Platz, je nach Ziel.
Berichts-Tiefe Ein Roh-Befund-Export aus dem Scanner bedeutet weniger Auswertungs-Aufwand als ein priorisierter, geschriebener Bericht mit Reparatur-Empfehlungen und Kontext zu jeder Schwachstelle.
Typische Audit-Formate am deutschen Markt
Externer Sicherheits-Check (Stichprobe). Eine fokussierte Außen-Prüfung auf ausgewählte Standard-Risiken wie TLS-Konfiguration, offene Ports, Mail-Sicherheit, sichtbare CMS-Versionen. Pragmatischer Einstieg für Solo-Betriebe und sehr kleine Unternehmen.
Webseiten- oder Web-Anwendungs-Pentest. Manuelle Prüfung der Login-Strecken, Session-Sicherheit, Injection-Tests, API-Endpunkte. Üblich für ein KMU mit überschaubarem Funktionsumfang und eigener Web-Anwendung.
Komplett-Audit einer KMU-IT-Infrastruktur. Inklusive Cloud-Tenant-Prüfung in Microsoft 365 oder Google Workspace, externer Außen-Prüfung, Web-Anwendungs-Audit und E-Mail-Sicherheits-Analyse. Geeignet für Betriebe mit mehreren digitalen Bausteinen.
BSI-zertifizierter IS-Penetrationstest mit Compliance-Bescheinigung. Anerkannt für ISO 27001, KRITIS, NIS2 oder TISAX. Mehrere Werktage bis Wochen Bearbeitungszeit. Wird von zertifizierten Häusern wie secunet, SySS oder HiSolutions durchgeführt.
Phishing-Simulation für Mitarbeiter-Awareness. Vorbereitung der Köder-Mails, Versand-Welle, anonymisierte Auswertung mit Klick-Rate und Berichts-Folie. Skaliert mit der Empfänger-Zahl und dem Umfang einer Folge-Schulung.
Was ein seriöses Angebot enthalten sollte
Ein klares Angebot benennt: Scope und ausgeschlossene Systeme, Test-Methodik (passiv, aktiv, Login, Phishing), Berichts-Form (PDF mit Priorisierung), Eskalations-Kontakt, Löschfrist für Logs und Berichte, Rechts-Grundlage und – sehr wichtig – einen verbindlich abgestimmten Leistungsumfang statt Aufwands-Schätzung mit offenem Ende. Wenn ein Anbieter „nach Aufwand" abrechnen will, fragen Sie nach einem Deckel.
Unsere Pakete sind als feste Pauschalen mit klar abgegrenztem Leistungsumfang geschnitten – kein offenes Stunden-Bündel. Den konkreten Leistungsumfang und die Konditionen besprechen wir im persönlichen Erstgespräch nach kurzer Scope-Klärung. Auf unseren Leistungen-Überblick sehen Sie die vollständige Auswahl, und unter Manufaktur erfahren Sie, wie wir arbeiten.
Cyberaudit – Begriff, Inhalte und Abgrenzung zum Pentest
„Cyberaudit" ist ein Sammelbegriff aus dem Beratungs-Markt, kein geschützter Standard. Im engeren Sinn meinen Anbieter damit eine strukturierte Bestandsaufnahme der Informations-Sicherheit eines Unternehmens, die mehrere Schichten gleichzeitig prüft – nicht nur die Technik, sondern auch Organisation, Prozesse und Mitarbeiter-Verhalten. Wir bauen das pragmatisch nach.
Was ein Cyberaudit typischerweise umfasst
Technische Außen-Sicht Was sieht ein Angreifer aus dem Netz: offene Ports, TLS-Konfiguration, CMS-Schwachstellen, Mail-Sicherheits-Einträge im DNS, sichtbare Subdomains, vergessene Test-Systeme.
Anwendungs-Sicherheit Tiefen-Prüfung der eigenen Web-Anwendungen, APIs und Login-Strecken – die Bereiche aus OWASP Top 10 und ASVS.
Cloud- und Identitäts-Hygiene Multi-Faktor-Abdeckung, Conditional-Access, externe Freigaben, Mailbox-Weiterleitungen, App-Berechtigungen in Microsoft 365 oder Google Workspace.
Mitarbeiter-Awareness Phishing-Simulation mit anonymisierter Auswertung, Schulung-Bedarf identifizieren, Vorlagen für interne Sicherheits-Hinweise.
Organisatorische Bestandsaufnahme Existieren Backup-Konzept, Notfall-Plan, Passwort-Richtlinie, Rollen-Modell, Patch-Strategie? Wer ist im Ernstfall Ansprech-Person?
Cyberaudit oder Penetrationstest – was passt zu mir?
Penetrationstest ist die schmalere, aber tiefere Übung: konkrete Systeme aktiv angreifen, Schwachstellen ausnutzen, Schaden-Potenzial zeigen. Ergebnis: harter technischer Befund mit reproduzierbaren Ausnutzungs-Pfaden.
Cyberaudit ist breiter, dafür weniger tief in jedem Einzel-Bereich: technische Außen-Sicht plus Organisation plus Awareness. Ergebnis: Risiko-Landkarte des Unternehmens mit priorisierten Empfehlungen.
In der Praxis lassen sich beide kombinieren: Unser Komplett-Audit deckt Technik und Cloud breit ab, die optionale Phishing-Simulation ergänzt die Awareness-Schicht. Für Solo-Selbstständige oder sehr kleine Betriebe reicht häufig eine Stichprobe als Einstieg.
Werkzeuge und Standards
Eine Mischung aus etablierten Open-Source-Werkzeugen, lizenzierten Tools und manueller Prüfung durch Fachperson. Methodisch orientiert an OWASP, OSSTMM und BSI-Grundschutz.
Werkzeuge im Einsatz
Standards und Methodik
Unser Vorgehen orientiert sich an etablierten Standards der Sicherheits-Branche:
- OWASP Top 10 (2021) – die häufigsten Risiken in Web-Anwendungen
- OWASP ASVS Level 1 und 2 – Verifikations-Standard für Anwendungs-Sicherheit
- OSSTMM 3 – Open Source Security Testing Methodology Manual als Methodik-Referenz
- BSI IT-Grundschutz – Bausteine als Orientierungs-Raster für Mindest-Härtung
Wichtig zur Abgrenzung: Wir sind kein vom BSI im Geltungsbereich IS-Penetrationstests zertifizierter Dienstleister und stellen keine Compliance-Bescheinigung aus. Unser Bericht ist eine fachliche Sicherheits-Einschätzung im vereinbarten Scope und zum Prüfzeitpunkt, kein formales Audit-Dokument. Ein Sicherheits-Audit kann Risiken reduzieren, aber keine vollständige Sicherheit oder Freiheit von Schwachstellen garantieren.
Rechtlicher Rahmen – ohne schriftliche Beauftragung kein Test
Unbefugte Sicherheitsprüfungen können strafbar sein. §202a–c StGB stellen das Ausspähen und Abfangen von Daten sowie das Vorbereiten solcher Taten unter Strafe – auch dann, wenn ein Tester gute Absichten hat. Entscheidend für die Zulässigkeit ist die dokumentierte Einwilligung des über die Systeme Berechtigten plus ein sauber vereinbarter Scope. Deshalb testen wir nur nach dokumentierter Freigabe. Ohne Freigabe kein Scan, keine Stichprobe, kein Login-Test.
Inhalte unserer schriftlichen Prüfvereinbarung
- Auftraggeber mit Handelsname, Rechtsform und Anschrift; Unterzeichner mit Vertretungsberechtigung
- Bestätigung, dass der Auftraggeber über die genannten Systeme verfügen darf
- Klare Liste der Domains, IP-Adressen, Cloud-Tenant-IDs, Login-Bereiche und Testkonten im Scope
- Klare Liste der ausgeschlossenen Systeme – insbesondere Dienstleister, CDN, Hosting, Payment, Drittanbieter
- Test-Zeitraum mit Start- und End-Datum, bevorzugte Geschäftszeiten
- Erlaubte Methoden: passiv, aktiv, Login-Test, Rate-Limit-Test, Phishing
- Verbotene Methoden: DoS, Datenmanipulation, destruktive Payloads, echte Exfiltration, Veränderung von Produktivdaten
- Notfall-Kontakt für kritische Befunde – telefonisch und per Mail, mit Stellvertreter-Regelung
- Verwendung der Ergebnisse, Vertraulichkeits-Vereinbarung beider Seiten, Löschfrist für Logs, Screenshots, Berichte und Zugangsdaten
- Auftragsverarbeitungs-Vereinbarung nach Art. 28 DSGVO, sofern personenbezogene Daten Dritter im Scope sind
- Eskalations-Klausel bei akut ausgenutzten Lücken (sofortige Telefon-Meldung)
- Bei Tests an Systemen bei Drittanbietern (Hosting, Cloud, SaaS, Payment, Newsletter): schriftliche Bestätigung des Auftraggebers, dass Tests dort erlaubt sind oder die Freigabe des Drittanbieters vorliegt
Für Phishing-Simulationen zusätzlich
- Mitbestimmung des Betriebsrats nach §87 Abs. 1 Nr. 6 BetrVG, falls vorhanden
- Mitarbeiter-Information vorab in geeigneter Form
- Anonymisierte Auswertung – keine personenbezogenen Klick-Listen an Vorgesetzte
- Datenschutz-Konzept mit klarer Zweckbindung und Löschfrist
Ohne Unterschrift kein Scan. Auch nicht in der Anfrage-Phase, auch nicht für eine schnelle Stichprobe, auch nicht in der „nur für eine Minute"-Variante. Der Schutz dient beiden Seiten gleichermaßen – Sie haben volle Kontrolle, wir haben volle Rechtssicherheit.
Sie wissen jetzt, wie tief ein echter Test geht
Wir zeigen, wo Ihre Systeme offen sind – und schließen Mängel auf Wunsch.
.
Externer Sicherheits-Check mit schriftlichem PDF-Befund, Regellaufzeit ein Werktag nach vollständiger Scope-Freigabe und Zugängen. Webseiten-Audit mit manueller Login- und Session-Prüfung. Komplett-Audit IT-Infrastruktur mit Microsoft 365 oder Google Workspace Tenant-Prüfung. Phishing-Simulation für Mitarbeiter-Awareness. Komplett remote, schriftliche Prüfvereinbarung mit dokumentierter Scope-Freigabe, verbindlicher Leistungsumfang nach Scope-Klärung.
Quellen und weiterführende Informationen
Die hier zitierten Zahlen, Standards und Fall-Berichte stammen aus offiziellen Quellen und der Fach-Berichterstattung. Wir verlinken die Originale, damit Sie nachprüfen können, was hier steht.
Die Lage der IT-Sicherheit in Deutschland – jährlicher Bericht des Bundesamts für Sicherheit in der Informationstechnik. bsi.bund.de
Polizeiliche Kriminalstatistik zu Cyber-Delikten – 333.922 registrierte Fälle, 1.041 Ransomware-Angriffe. bka.de
Repräsentative Hochrechnung der Schäden durch Datendiebstahl, Industrie-Spionage und Sabotage in deutschen Unternehmen für 2025. bitkom.org
Die international anerkannte Liste der häufigsten Web-Schwachstellen, Grundlage jedes seriösen Web-Pentests. owasp.org
Application Security Verification Standard – Verifikations-Stufen 1 bis 3 für strukturierte Web-Anwendungs-Audits. owasp.org/ASVS
Praxisleitfaden des BSI für die Durchführung von IS-Penetrationstests – Orientierung für Scope, Methodik und Berichts-Struktur. Für formale Tests durch einen vom BSI zertifizierten Dienstleister. bsi.bund.de/IS-Penetrationstests
Open Source Security Testing Methodology Manual – internationale Methodik-Referenz für strukturierte Sicherheits-Audits. isecom.org
Common Vulnerabilities and Exposures – internationale Schwachstellen-Datenbank, täglich aktualisiert. cve.org
Beschreiben Sie Ihr Anliegen
Schreiben Sie uns kurz, worum es geht. Wir prüfen die Anfrage und melden uns per E-Mail mit dem nächsten Schritt.
Häufig gestellte Fragen
Was ist der Unterschied zwischen einem Schwachstellen-Scan und einem Penetrationstest?
Ein Schwachstellen-Scan ist eine automatisierte Liste möglicher Probleme – wie ein Brandmelder, der piept. Ein Penetrationstest geht weiter: ein Mensch versucht aktiv, die Schwachstellen auszunutzen und zu zeigen, ob sie wirklich gefährlich sind und welcher Schaden entstehen würde. Der Scan sagt „Tür wirkt nicht abgeschlossen". Der Pentest probiert die Tür, kommt vielleicht rein, und dokumentiert, was im Inneren erreichbar war. Beides hat seinen Platz: Scan für Breite und Routine, Pentest für Tiefe und Realismus. Unser Audit kombiniert automatisierte Scans mit manueller Prüfung durch eine Fachperson.
Was unterscheidet euer Audit von einem formalen IS-Penetrationstest durch einen BSI-zertifizierten Dienstleister?
Ein formaler IS-Penetrationstest durch einen vom BSI zertifizierten IT-Sicherheitsdienstleister läuft typischerweise mehrere Werktage bis Wochen und endet mit einer dokumentierten Bescheinigung, die für Compliance-Zwecke wie ISO 27001, KRITIS, NIS2 oder TISAX anerkannt ist. Wir sind kein vom BSI im Geltungsbereich IS-Penetrationstests zertifizierter Dienstleister und stellen keine Compliance-Bescheinigung aus. Unser Audit ist ein pragmatischer Sicherheits-Check für Solo-Betriebe und KMU: deutlich kürzer, mit ähnlichen Werkzeugen, wie sie ein externer Angreifer einsetzen würde. Sie bekommen eine fachliche Sicherheits-Einschätzung im vereinbarten Scope – kein Compliance-Zertifikat. Für formale Zertifizierungen empfehlen wir größere Häuser wie secunet, SySS, HiSolutions, syret oder TÜV-IT.
Wie kommen Hacker heute typischerweise rein – per Brute-Force oder per E-Mail?
Per E-Mail. Das BKA-Lagebild Cybercrime 2025 weist Phishing-Mails als häufigsten Initial-Vektor aus. Ein Mitarbeiter klickt auf einen Link, gibt seine Anmeldedaten auf einer gefälschten Microsoft-Login-Seite ein, der Angreifer hat das Office-365-Konto. Von dort: Postfach lesen, Multi-Faktor schwächen, weitere interne Mails verschicken, Buchhaltungs-Daten kopieren. Brute-Force gegen Logins ist Sekundär-Methode, fast immer mit gestohlenen Passwortlisten aus früheren Daten-Lecks. Echte Server-Lücken werden oft erst genutzt, nachdem der erste Fuß in der Tür war.
Warum reicht ein Anti-Virus-Programm heute nicht mehr?
Weil ein moderner Angriff oft gar keine klassische Schadsoftware mehr nutzt. Phishing, Credential-Stuffing und Session-Hijacking laufen über legitime Werkzeuge: Browser, Web-Mail, Cloud-Speicher. Der Anti-Virus sieht nichts Verdächtiges, weil nichts Verdächtiges ausgeführt wird – nur ein gestohlener Login. Was heute wirklich schützt, ist eine Kombination: Multi-Faktor-Auth, Mail-Filter mit DMARC, Mitarbeiter-Awareness, Endpoint-Detection-Response statt klassischem Anti-Virus, und regelmäßige Sicherheits-Checks von außen.
Was ist eigentlich eine SQL-Injection und warum ist sie so gefährlich?
SQL ist die Sprache, in der Webseiten mit ihrer Datenbank reden („Hol mir alle Bestellungen von Kunde 42"). Bei einer SQL-Injection schmuggelt ein Angreifer eigene Datenbank-Befehle in ein Formular-Feld ein, weil die Seite die Eingabe nicht sauber prüft. Der Server führt diese Befehle aus, als kämen sie vom eigenen Code. Folge: ein Angreifer kann ganze Tabellen auslesen – Kunden, Passwörter, Bestellungen – oder Daten verändern. SQL-Injection steht seit über 15 Jahren auf Platz 1 der häufigsten Web-Schwachstellen weltweit und ist immer noch eine der häufigsten Ursachen großer Daten-Lecks.
Was bedeutet Cross-Site-Scripting (XSS)?
Ein Angreifer schmuggelt eigenen JavaScript-Code in eine Webseite ein, der dann im Browser anderer Besucher ausgeführt wird. Beispiel: Kommentar-Funktion, die HTML nicht filtert. Der Angreifer postet einen Kommentar mit Code-Schnipsel, jeder andere Besucher führt diesen Code aus – Cookies stehlen, Session übernehmen, fremde Eingaben mitschneiden. Bei reflektiertem XSS reicht ein präparierter Link, den der Nutzer anklickt. Bei gespeichertem XSS sitzt der Code dauerhaft auf der Seite. XSS ist die häufigste Schwachstelle in Web-Anwendungen überhaupt.
Was ist Brute-Force, und warum sind starke Passwörter dagegen nicht genug?
Brute-Force heißt: ein Programm probiert systematisch Passwörter durch. Im einfachsten Fall „aaaa, aaab, aaac …". In der echten Welt: Angreifer nutzen Listen aus bekannten Daten-Lecks, weil Menschen Passwörter wiederverwenden. Wenn Ihr LinkedIn-Passwort 2012 geleakt wurde und Sie es in Ihrem Firmen-Mail noch nutzen, probiert das Programm es dort einfach. Schutz dagegen: kein Wiederverwenden, Passwort-Manager, und vor allem Zwei-Faktor-Authentifizierung – damit reicht das Passwort allein nicht mehr.
Was ist ein Vulnerability-Scanner und wozu nutzen Sie ihn?
Ein Vulnerability-Scanner ist ein Programm mit einer riesigen Datenbank bekannter Schwachstellen, das systematisch prüft, ob Ihre Systeme davon betroffen sind. Beispiele: Tenable Nessus, Greenbone OpenVAS, Pentest-Tools.com. Der Scanner fragt Ihre Server höflich ab: „Welche Version läuft hier? Apache 2.4.50? Das hatte die Schwachstelle CVE-2021-41773." Er gibt eine priorisierte Liste mit Schweregraden. Wir nutzen mehrere Scanner parallel, weil keiner alles findet, und prüfen die Treffer manuell – Scanner haben oft falsch-positive Befunde, die nur eine Fachperson aussortiert.
Was prüfen Sie alles im Bereich E-Mail-Sicherheit?
Vier Schichten. SPF legt fest, welche Server in Ihrem Namen Mails verschicken dürfen. DKIM signiert jede ausgehende Mail mit Ihrer Domain, damit Empfänger die Echtheit prüfen können. DMARC bindet beides zusammen und sagt Empfängern, was bei einer Fälschung passieren soll. MTA-STS und DANE erzwingen verschlüsselten Mail-Transport. Ohne diese vier Schichten kann jeder Beliebige eine Mail mit Ihrer Domain als Absender verschicken – das ist die Grundlage fast jeder Phishing-Welle. Wir prüfen den aktuellen Stand, die Strenge der Policies, das DMARC-Report-Aufkommen und schlagen einen schrittweisen Härtungs-Plan vor.
Wie lange dauert ein Audit, und wann bekomme ich den Bericht?
Stichprobe: ein bis zwei Werktage. Webseiten-Audit: drei bis fünf Werktage. Komplett-Audit: fünf bis zehn Werktage je nach Größe Ihres Cloud-Tenants und Mitarbeiter-Zahl. Phishing-Simulation: zwei Wochen für Vorbereitung, Versand-Welle und Auswertung. Sie bekommen den Bericht als verschlüsseltes PDF per Mail mit priorisierten Reparatur-Empfehlungen. Bei akuten Sicherheits-Vorfällen prüfen wir nach Verfügbarkeit einen Start binnen 24 Stunden nach bestätigter Beauftragung und vollständiger Scope-Freigabe.
Prüfen Sie auch Microsoft 365 oder Google Workspace?
Ja, im Komplett-Audit. Wir prüfen die häufigsten Schwachstellen in Tenant-Konfigurationen: Conditional-Access-Policies, Multi-Faktor-Auth-Abdeckung, externe Freigaben in OneDrive oder Google Drive, Anmelde-Protokoll der letzten 30 Tage auf verdächtige Logins, Mailbox-Weiterleitungen, App-Berechtigungen für Drittanbieter, Audit-Log-Konfiguration, Backup-Status von Postfächern. Sie erteilen uns einen lesenden Audit-Zugang mit minimalen Rechten, der nach dem Audit sofort wieder entfernt wird.
Warum brauche ich vor dem Test eine schriftliche Prüfvereinbarung?
Weil unbefugte Sicherheitsprüfungen strafbar sein können. §202a–c StGB stellen das Ausspähen und Abfangen von Daten sowie das Vorbereiten solcher Taten unter Strafe – auch dann, wenn der Tester gute Absichten hat. Entscheidend für die Zulässigkeit ist die dokumentierte Einwilligung des über die Systeme Berechtigten. Ohne diese Freigabe würde selbst ein gut gemeinter Scan ein rechtliches Risiko bergen. Unsere Prüfvereinbarung definiert deshalb Auftraggeber, Vertretungsberechtigung, Systeme im Scope, ausgeschlossene Systeme, Zeitraum, erlaubte Testtiefe, Notfallkontakt und den Umgang mit personenbezogenen Daten. Sie schützt beide Seiten – Sie behalten die volle Kontrolle über den Test-Rahmen, wir haben die nötige Rechtssicherheit.
Ist eine Phishing-Simulation für Mitarbeiter rechtlich problematisch?
Eine Phishing-Simulation ist rechtlich zulässig gestaltbar, braucht aber Vorbereitung. Bei Unternehmen mit Betriebsrat kann eine Mitbestimmung nach §87 Abs. 1 Nr. 6 BetrVG einschlägig sein, weil bei der Auswertung personenbezogene Beschäftigtendaten verarbeitet werden. Der Auftraggeber bleibt verantwortlich für Rechtsgrundlage, Mitarbeiter-Information, gegebenenfalls Betriebsratsbeteiligung und interne Datenschutz-Dokumentation. Wir liefern auf Wunsch Vorlagen für Mitarbeiter-Information, Betriebsrats-Abstimmung, Löschfrist und anonymisierte Auswertung. Standardmäßig erfolgen keine individuellen Auswertungen einzelner Beschäftigter und keine personenbezogenen Klick-Listen an Vorgesetzte – Ergebnisse werden anonymisiert als Gesamtwerte berichtet. Wir übernehmen keine arbeitsrechtliche Beratung.
Können Sie eine Compliance-Bestätigung für ISO 27001, KRITIS, NIS2 oder TISAX ausstellen?
Nein. Wir sind kein vom BSI im Geltungsbereich IS-Penetrationstests zertifizierter Dienstleister und kein akkreditiertes Audit-Unternehmen. Unser Bericht ist eine fachliche Sicherheits-Einschätzung, kein Zertifizierungs-Dokument. Wenn Sie ISO 27001, TISAX, KRITIS-Audit, NIS2-Konformitäts-Prüfung oder eine ähnliche formale Bestätigung brauchen, empfehlen wir secunet (Essen), SySS (Tübingen), HiSolutions (Berlin), syret (Hamburg), TÜV-IT (Köln) oder DEKRA. Unser Audit kann als interner Vor-Audit dienen, um die offenkundigen Mängel vor dem teuren formalen Audit zu beheben.
Was machen Sie, wenn Sie eine kritische Lücke finden, die akut ausgenutzt wird?
Wir stoppen den Scan, melden uns sofort telefonisch und liefern in derselben Stunde eine Notfall-Empfehlung, mit der Sie die Lücke entweder schließen oder den verwundbaren Dienst zumindest abschalten können. Das ist Standard in der Sicherheits-Branche und in unserer Prüfvereinbarung als Eskalations-Klausel festgehalten. Bei laufendem Angriff helfen wir bei der ersten Eindämmung, empfehlen aber für die forensische Aufarbeitung einen spezialisierten Incident-Response-Dienstleister.
Was passiert nach dem Audit, wenn ich die Reparatur nicht selbst stemmen kann?
Drei Wege. Erstens, Sie geben den Bericht an Ihren bestehenden Dienstleister oder Webentwickler. Der Bericht ist so geschrieben, dass jede erfahrene Fachperson die Empfehlungen umsetzen kann. Zweitens, wir beheben die Mängel selbst im Rahmen einer Folge-Beauftragung, je nach Anzahl der Anpassungen. Drittens, Sie buchen unsere Sicherheits-Pflege als laufenden Service-Vertrag: quartalsweiser Re-Scan, jährliche Stichprobe, Hotline für Rückfragen, neue Erkenntnisse aus aktuellen Sicherheits-Meldungen. Konditionen besprechen wir im persönlichen Erstgespräch.
Was bringt eine Schwachstellen-Prüfung, wenn unsere IT eh outgesourct ist?
Gerade dann ist sie wertvoll. Sie erhalten eine unabhängige Außensicht auf das, was Ihr Dienstleister geliefert hat. Häufige Befunde bei outgesourcten Umgebungen: veraltete Software auf produktiven Servern, fehlende Security-Header in der Web-Konfiguration, schwache SSL-Cipher-Suites, fehlende MFA für Admin-Zugänge, ungeprüfte Backup-Strategien, vergessene Test-Domains mit alten Daten. Der Bericht gibt Ihnen eine sachliche Grundlage für ein Gespräch mit Ihrem Dienstleister, ohne Vorwurfs-Ton. Viele Mängel werden danach binnen einer Woche behoben.
Was ist ein Cyberaudit und wie unterscheidet es sich vom Penetrationstest?
Ein Cyberaudit ist eine strukturierte Bestandsaufnahme der Informations-Sicherheit eines Unternehmens. Es kombiniert technische Außen-Sicht (Ports, TLS, CMS, Mail-Sicherheit), Anwendungs-Prüfung, Cloud- und Identitäts-Hygiene, Mitarbeiter-Awareness durch Phishing-Simulation und eine organisatorische Bestandsaufnahme (Backup, Notfall-Plan, Patch-Strategie). Ein Penetrationstest ist schmaler, dafür tiefer: konkrete Systeme aktiv angreifen, Schwachstellen ausnutzen, Schaden-Potenzial zeigen. Cyberaudit zeichnet die Risiko-Landkarte, Pentest gräbt in einer Stelle in die Tiefe. In der Praxis lassen sich beide kombinieren – unser Komplett-Audit deckt die Technik- und Cloud-Schicht breit ab, die Phishing-Simulation ergänzt die Awareness-Ebene.
Was kostet ein Penetrationstest für ein KMU?
Die ehrliche Antwort: Es kommt drauf an. Vier Faktoren bestimmen den Aufwand und damit das Angebot: Scope-Größe (eine Website oder die ganze IT-Infrastruktur), Test-Tiefe (automatisierter Scan oder manueller Pentest mit Ausnutzung), Zertifizierungs-Anspruch (BSI-Bescheinigung für ISO 27001 oder pragmatischer Sicherheits-Check) und Berichts-Tiefe (Roh-Export oder priorisierter, geschriebener Bericht). Achten Sie bei jedem Angebot auf einen festen, vorab abgestimmten Leistungsumfang statt offener Aufwands-Schätzung. Wir nennen einen konkreten Festumfang im persönlichen Erstgespräch nach kurzer Scope-Klärung – jetzt anfragen.
Lohnt sich ein Pentest für ein kleines KMU oder reicht ein einfacher Scan?
Beides hat seinen Platz. Ein Schwachstellen-Scan ist schnell und gibt einen breiten Überblick – aber er produziert viele falsch-positive Befunde, beweist keine Ausnutzbarkeit und übersieht alles, was eine echte Fachperson erst nach Analyse erkennt: IDOR in APIs, schwache Geschäftslogik, unsichere Passwort-Reset-Flows, Cloud-Tenant-Fehl-Konfigurationen. Für kleine Betriebe mit überschaubarer Website ist eine fokussierte Stichprobe oft der pragmatische Einstieg. Sobald Sie Login-Bereiche, Buchungs-Funktionen, Online-Shops, APIs oder einen Cloud-Tenant betreiben, bringt der Pentest deutlich mehr als der reine Scan – weil hier die wirklich gefährlichen Lücken sitzen. Faustregel: Je mehr digitales Geschäft am Login hängt, desto wichtiger ist die manuelle Prüfung.
Wie oft sollte ein KMU ein Sicherheits-Audit durchführen lassen?
Faustregel der Branche: einmal jährlich plus bei größeren Änderungen. Jährlich, weil sich die Bedrohungslage und die eigenen Systeme so schnell wandeln, dass ein zwei Jahre alter Befund kaum noch belastbar ist. Außerplanmäßig zusätzlich nach einem CMS-Major-Upgrade, einem Wechsel des Mail-Providers, einer Cloud-Migration, einer Plugin-Erweiterung mit Login-Bereich oder nach einem Sicherheits-Vorfall. Für Branchen mit erhöhtem Risiko (Gesundheit, Recht, E-Commerce, Finanzen) empfehlen sich quartalsweise Stichproben zwischen den Jahres-Audits. Unsere Sicherheits-Pflege deckt genau dieses Muster ab: quartalsweiser Re-Scan plus jährliche Stichprobe.