Penetrationstest (Pentest)

Unabhängige Sicherheitsprüfung Ihrer IT-Infrastruktur, Web-Applikationen und APIs durch zertifizierte Pentester.

Ein professioneller Penetrationstest (Pentest) ist die effektivste Methode, um die reale Sicherheitslage Ihrer IT-Systeme zu ermitteln. Anders als automatisierte Schwachstellen-Scanner simulieren meine zertifizierten Ethical Hacker gezielte Angriffe auf Ihre Infrastruktur, Web-Applikationen, APIs und Mitarbeiter. Ich decke Schwachstellen auf, die Scanner übersehen – von Business-Logic-Fehlern bis zu komplexen Lateral-Movement-Pfaden in Active Directory.

Das Problem

Die meisten Unternehmen verlassen sich auf automatisierte Scans und glauben, sie seien sicher. Die Realität: 80 % der kritischen Schwachstellen werden nur durch manuelle Pentests gefunden. Ein Pentest von mir zeigt Ihnen, wo Angreifer tatsächlich einsteigen würden – nicht nur, wo ein Scanner theoretische CVEs meldet.

Methodik & Vorgehensweise

1. Scoping & Kickoff

Ich definiere gemeinsam den Testumfang (Black, Grey oder White Box), die kritischen Assets und die Regeln der Zusammenarbeit. Inklusive Notfallkontakt und Absprachen zu sensiblen Systemen.

2. Reconnaissance & OSINT

Passive und aktive Informationsbeschaffung über Ihre digitale Infrastruktur, Subdomains, Mitarbeiter und technische Stack – genau wie ein echter Angreifer.

3. Vulnerability Analysis

Kombination aus automatisierter Enumeration und manueller Analyse. Ich priorisiere Schwachstellen nach tatsächlichem Exploit-Potenzial, nicht nur nach CVSS-Score.

4. Exploitation & Post-Exploitation

Gezieltes Ausnutzen identifizierter Schwachstellen mit Proof-of-Concept. Ich zeige Ihnen den tatsächlichen Impact – bis zu Domain-Admin, Datenexfiltration oder Ransomware-Simulation.

5. Reporting & Retest

Priorisierter Massnahmenplan mit CVSS-Bewertung, technischen Details und Remediation-Guide. Kostenloser Retest nach Behebung der kritischen Findings.

Meine Leistungen im Detail

  • Strategische Scoping-Workshops (Black / Grey / White Box)
  • Manuelle Exploitation mit nachvollziehbarem Proof-of-Concept
  • Priorisierter Massnahmenplan mit CVSS-Bewertung und Fix-Guide
  • Kostenloser Retest nach erfolgter Remediation

Rechtliche Grundlagen & Compliance

Meine Tests sind auf die regulatorischen Anforderungen im DACH-Raum abgestimmt. Ich helfe Ihnen, Nachweise für Audits, Zertifizierungen und Aufsichtsbehörden zu erbringen.

  • ISO/IEC 27001 Anhang A.12.6 & A.18.2.3
  • FINMA-Rundschreiben 2023/1 (Betriebsrisiken / Cyber)
  • BSI IT-Grundschutz (PRG / SYS.1)
  • KRITIS / NIS2-konforme Sicherheitsprüfung
  • DSGVO / CH-DSG / FADP – Art. 32 Sicherheit der Verarbeitung

Branchen & Anwendungsfälle

Finanzdienstleister & Fintech
Kritische Infrastruktur (KRITIS)
Industrie & Produktion
E-Commerce & SaaS
Behörden & Verwaltung
Healthcare & MedTech

Häufig gestellte Fragen (FAQ)

Was kostet ein Penetrationstest in der Schweiz?

Die Kosten hängen vom Umfang und der Komplexität ab. Ein Web-Application-Pentest startet ab CHF 1'800. Ich erstelle Ihnen gerne ein unverbindliches, massgeschneidertes Angebot. Ich erstelle Ihnen gerne ein unverbindliches, massgeschneidertes Angebot.

Wie lange dauert ein Pentest?

Die Testdauer variiert zwischen 5 Arbeitstagen (Web-App) und 3 Wochen (komplexe Red-Team-Operation). Nach dem Test erhalten Sie den Report innerhalb von 5–7 Werktagen.

Was ist der Unterschied zwischen Black Box und White Box?

Bei Black Box habe ich keinerlei Vorabinformationen. Bei Grey Box erhalte ich Benutzeraccounts und eine grobe Architektur. Bei White Box stehen mir Dokumentation, Quellcode und Admin-Zugänge zur Verfügung – dies maximiert die Testtiefe.

Sind Pentests in der Schweiz rechtlich erlaubt?

Ja, sofern Sie eine schriftliche Beauftragung erteilen und der Testumfang klar definiert ist. Ich arbeite ausschliesslich auf Basis einer NDA und eines Pentest-Mandats.

Was ist im Pentest-Report enthalten?

Ein prioritärisierter Massnahmenplan mit CVSS-Bewertung, schrittweise Remediation-Guide, Screenshots und Proof-of-Concept-Beschreibungen. Der Report ist für Techniker und Management verständlich aufbereitet.

Wer führt den Pentest persönlich durch?

Ich führe alle Tests persönlich durch – kein Outsourcing an Dritte. Sie haben einen direkten Ansprechpartner während des gesamten Engagements.

Verwandte Leistungen

Web-Application-PentestAPI-PenetrationstestNetzwerk-Pentest (Infrastruktur)Red TeamingSocial Engineering & Phishing-Simulation

Sie stehen vor dieser Herausforderung?

Ich bewerte gerne in einem kurzen, kostenfreien 30-Minuten-Assessment, ob meine Expertise zu Ihrem Setup passt.

Kontakt

Zielgruppen-Fit

Unternehmen aller Branchen in der DACH-Region, die ihre Sicherheitsposition objektiv bewerten und nachweisbar verbessern wollen – von Mittelständlern bis zu Konzernen.

Zusammenarbeit

Ausschliesslich NDA-basiert. Vendor-neutral. Dokumentiert nach PTES-Standard. Flexible Terminierung auch kurzfristig.

DACH-Region

Ich bin spezialisiert auf Unternehmen in der Schweiz (Zürich, Zug, Bern, St. Gallen, Basel, Genf), Deutschland (München, Frankfurt, Berlin, Hamburg) und Österreich (Wien, Graz). Alle Reports werden auf Deutsch oder Englisch erstellt – konform zu FINMA, BSI und NIS2.