Penetrationstests, Security Audits, Code Reviews und Compliance-Beratung. Manuelle Analyse statt reinem Schwachstellen-Scan.
Live-Übersicht über den aktuellen Sicherheitsstatus betreuter Systeme.
Letzter Scan: –
Web-Apps, APIs und Netzwerke — manuell getestet nach anerkannter Methodik (z.B. OWASP).
Systematische Prüfung von Code und Infrastruktur auf Sicherheitslücken.
Unterstützung bei DSGVO, NIS2 und ISO 27001-relevanten Anforderungen.
Security direkt in CI/CD-Pipelines: SAST/DAST-Scans, Dependency-Checks, IaC-Scanning (Terraform, Docker) — Schwachstellen finden, bevor sie deployed werden.
Selbsteinschätzung — Skills.
Testumfang, erlaubte Angriffsvektoren und Zeitfenster schriftlich festlegen — vor dem ersten Scan.
Angriffsfläche kartieren: Endpunkte, Technologien, öffentlich erreichbare Systeme.
Gezielte Ausnutzung gefundener Schwachstellen nach OWASP-Methodik — kein reiner Automatik-Scan.
Jede Schwachstelle mit Risikobewertung (z.B. CVSS), Nachweis und konkreter Behebungsempfehlung.
Nach Behebung: Verifikation, dass die Schwachstellen tatsächlich geschlossen sind.
Unverbindlich — ohne Scoping-Gespräch keine belastbare Zusage möglich.
Marktrichtwerte, siehe Preistabelle unten. Finaler Preis erst nach Scoping — pauschale Festpreise ohne Scope sind unseriös.
Marktorientierung DACH 2025/2026 (deepstrike.io, binsec, Alb Cyber Guards) — finale Preise selbst festlegen.
Richtwerte basierend auf DACH-Marktdaten (deepstrike.io, binsec, Alb Cyber Guards, microCAT, Stand 2025/2026). Finaler Preis nach Scoping-Gespräch — pauschale Festpreise ohne Scope sind unseriös.
| Leistung | Basis-Pentest | Infrastruktur-Pentest | Security Audit |
|---|---|---|---|
| Manuelle Web-App-Prüfung | ✓ | ✓ | – |
| Netzwerk-Test (intern/extern) | – | ✓ | – |
| Code Review | – | – | ✓ |
| Schriftlicher Report | ✓ | ✓ | ✓ |
| Nachtest inklusive | Optional | ✓ | Optional |
| Compliance-Bezug (DSGVO/NIS2) | – | Auf Anfrage | ✓ |
Ja, solange eine schriftliche Beauftragung (Rules of Engagement) vorliegt, die Umfang und Erlaubnis dokumentiert.
Das Risiko wird im Scoping minimiert (z.B. Testfenster außerhalb der Stoßzeiten, Ausschluss kritischer Systeme nach Absprache).
Der Report enthält konkrete Behebungsempfehlungen. Umsetzung selbst ist optional zubuchbar.
Abhängig vom Umfang, wird im Scoping-Gespräch verbindlich festgelegt.