Schwachstellen existieren in jedem System. Wir finden sie, dokumentieren sie präzise und zeigen konkrete Wege, wie sie geschlossen werden. Unsere Tests folgen OWASP, PTES und MITRE ATT&CK, etablierten Standards, die eine vollständige und methodisch saubere Abdeckung aller relevanten Angriffsvektoren gewährleisten.
Compliance-Berichte dokumentieren, was vorhanden ist. Ein Penetrationstest zeigt, ob es funktioniert. Kein Audit ersetzt den kontrollierten Angriff. Firewalls, EDR-Systeme, IAM-Konfigurationen und Zugriffskontrollen halten nur stand, wenn sie getestet wurden. Die Regulatorik macht es für viele zur Pflicht.
NIS-2, ISO 27001, KRITIS und DCRA. Rund 30.000 Unternehmen in Deutschland müssen die Wirksamkeit ihrer Sicherheitsmaßnahmen nachweisen. Ein Pentest-Bericht ist der direkteste Weg dorthin.
SaaS mit Payment-Funktionen, E-Commerce, Zahlungsdienstleister. PCI DSS 4.0.1 gilt seit März 2025 und schreibt technische Tests konkret vor. Wer Kartendaten verarbeitet, ist betroffen.
Finanzinstitute unter DORA. Automotive-Zulieferer unter TISAX. Und alle, die Enterprise-Kunden gewinnen oder ihre Cyberversicherung aufrechterhalten wollen.
Neue Webanwendung, neue API, neue Cloud-Umgebung. Was vor dem Launch nicht geprüft wurde, ist nach dem Launch Angriffsfläche.
Migration, neue Systeme, Architekturänderungen. Jede Veränderung öffnet potenzielle Angriffsvektoren, die vorher nicht existiert haben.
ISO 27001, NIS-2, CRA, EU AI Act und DORA fordern technische Sicherheitsüberprüfungen. Ein Pentest-Bericht ist ein anerkannter Nachweis.
SIEM, EDR, Zugangskontrollen. Ihre Wirksamkeit zeigt sich erst unter Bedingungen, die Angriffen ähneln.
Wer als Dienstleister sensible Systeme betreibt, muss deren Sicherheit nachweisen können.
Sicherheit ist kein Zustand. Ein Penetrationstest ist eine Momentaufnahme. Wer jährlich testet, kennt seinen aktuellen Stand.
Webanwendungen nach OWASP Top 10: Authentifizierungsfehler, Injection-Schwachstellen, Business-Logic-Fehler, unsicheres Session Management. Für Single-Page-Apps, Multi-Page-Apps und Admin-Interfaces. Black-Box, Grey-Box oder White-Box.
Firmen-Notebooks und Workstations: OS-Härtung, lokale Privilege Escalation, EDR/AV-Konfiguration, Application Whitelisting, Browser-Sicherheit. Wir prüfen, wie weit ein Standard-User mit einem kompromittierten Gerät kommt.
REST, GraphQL und SOAP nach OWASP API Security Top 10: Broken Object Level Authorization, Mass Assignment, Rate Limiting, Broken Authentication. Für interne und externe APIs.
Active Directory: Fehlkonfigurationen, Kerberoasting, Pass-the-Hash, Delegation-Angriffe, Privilege Escalation bis zur Domain Dominance. Wir testen, wie weit ein Angreifer im Netzwerk kommt, der bereits einen Fuß in der Tür hat.
Externe und interne Netzwerkinfrastruktur: Server, Firewalls, VPNs, Switches. Identifikation erreichbarer Systeme, manuelle Prüfung auf Fehlkonfigurationen und Schwachstellen. Extern (Internet-facing) oder intern (Assumed Breach).
iOS- und Android-Apps nach OWASP MASVS: Client-Side Security, Reverse Engineering, Datenspeicherung, Transportverschlüsselung. Inklusive Backend-API-Testing.
AWS, Azure und GCP: IAM-Fehlkonfigurationen, überprivilegierte Rollen, Storage-Zugriffe, Serverless-Funktionen, Container-Sicherheit. Wir prüfen, wie ein Angreifer innerhalb einer Cloud-Umgebung eskaliert.
KI-Anwendungen und deren Schnittstellen: Prompt Injection, Jailbreaking, Model Inversion, unsichere API-Anbindungen. Für LLM-basierte Anwendungen und KI-Systeme in produktiven Umgebungen.
Jede Schwachstelle mit Beschreibung, Risikobewertung (z.B. nach CVSS), Reproduktionsschritten und konkreter Handlungsempfehlung. Für technische Teams direkt verwertbar.
Für Management und Aufsichtsgremien. Klares Lagebild und klare Prioritäten. Kein technisches Vorwissen erforderlich.
Nach Behebung der kritischen Findings prüfen wir die Wirksamkeit der Maßnahmen und dokumentieren das Ergebnis.
Ein Playbook für IT-Verantwortliche und Entscheider:innen, die wissen wollen, wie echte Angriffe funktionieren und wie man sie gezielt stoppt. Threat-Informed Defense ist der Ansatz, der Verteidigung an realen Angreiferverhalten ausrichtet. Dieses Playbook erklärt, welche Techniken Angreifer tatsächlich einsetzen, wie MITRE ATT&CK als Grundlage funktioniert und welche Maßnahmen nachweisbar wirksam sind.
Welche Testmethode ist die richtige, Black-Box, Grey-Box oder White-Box?
Das hängt vom Ziel ab. Black-Box simuliert einen Angreifer ohne Vorkenntnisse. White-Box gibt maximale Testtiefe, weil wir die Systemstruktur kennen. Grey-Box ist in der Praxis häufig die effizienteste Wahl: realistisches Angreiferverhalten bei kontrollierbarem Aufwand. Wir empfehlen die Methode nach eurem konkreten Scope, welchen wir im Scoping-Call klären.
Was ist der Unterschied zwischen einem Penetrationstest und einem Schwachstellenscan?
Ein Schwachstellenscan ist automatisiert und liefert eine Liste bekannter Schwachstellen. Ein Penetrationstest ist manuell, kontextuell und zeigt, ob und wie diese Schwachstellen tatsächlich ausnutzbar sind. Logikfehler, Kombinationsangriffe und komplexe Angriffspfade findet nur der Pentest.
TLPT und brauchen wir das?
Threat-Led Penetration Testing ist eine intelligence-gestützte Angriffssimulation auf Basis realer Angreiferprofile. Kein generischer Test, sondern ein Szenario, das auf eure Organisation, eure Branche und aktuelle Bedrohungslagen zugeschnitten ist. TLPT ist unter DORA für bedeutende Finanzinstitute verpflichtend, koordiniert nach dem TIBER-EU-Framework. Für alle anderen ist es der nächste Reifegrad nach einem klassischen Penetrationstest.
Wie oft sollte ein Penetrationstest durchgeführt werden?
Jährlich ist das Minimum. Nach wesentlichen Veränderungen und neue Systeme, Migrationsprojekte, neue Anwendungen, empfehlen wir einen gezielten Retest des betroffenen Bereichs. Wer unter DORA fällt, ist für kritische Systeme zu Tests alle drei Jahre verpflichtet. ISO 27001 verlangt regelmäßige Überprüfung ohne feste Frequenz.
Werden unsere Systeme während des Tests beeinträchtigt?
In der Regel nicht. Wir stimmen im Scoping ab, welche Systeme aktiv getestet werden und welche ausgenommen sind. Produktionssysteme mit hohem Ausfallrisiko behandeln wir gesondert. Sollten wir während des Tests kritische Schwachstellen finden, informieren wir sofort.
»Mit Unterstützung von carmasec haben wir KPIs definiert und einen höheren Grad an Transparenz und Akzeptanz geschaffen.«
DKV Mobility Services
»Professionell, flexibel, nahbar und vor allem: erfolgreich. carmasec hat geliefert, was versprochen wurde.«
Bruker Optics
»Mit carmasec fanden wir einen vertrauenswürdigen Partner, der uns bei der Umsetzung unterstützte und einen umfangreichen Ergebnisbericht lieferte. Wir empfehlen carmasec uneingeschränkt weiter.«
ELIGO
»carmasec leistete einen nennenswerten Beitrag zur Sicherheit unserer Dienste. Professionelle Beratung, saubere Durchführung. Für Infrastruktur-Pentests empfehlen wir carmasec uneingeschränkt.«
tyntec GmbH
Kontakt
Scoping dauert 30 Minuten. Danach ist klar, was getestet wird, welche Methode passt und wann wir starten können. Wer KI-Systeme einsetzt oder unter den EU AI Act fällt: auch das besprechen wir im Erstgespräch. Formular ausfüllen und abschicken, danach melden wir uns.
Du brauchst Unterstützung oder willst einfach mal loswerden, was dich in Sachen Cybersecurity oder ISMS gerade beschäftigt? Wir nehmen’s ernst und melden uns zeitnah.
Noch kein Kunde?
Nützliche Links
Sie sehen gerade einen Platzhalterinhalt von Hubspot Embedded Content. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen