{"id":2662,"date":"2026-04-22T10:24:19","date_gmt":"2026-04-22T10:24:19","guid":{"rendered":"https:\/\/www.carmasec.com\/?page_id=2662"},"modified":"2026-06-10T12:59:27","modified_gmt":"2026-06-10T12:59:27","slug":"penetration-testing","status":"publish","type":"page","link":"https:\/\/www.carmasec.com\/de\/leistungen\/offensive-security\/penetration-testing\/","title":{"rendered":"Penetration Testing"},"content":{"rendered":"\n
\"Blauer\n <\/figure>
\n
\n
\n

Penetration Testing<\/h1>\n

Schwachstellen existieren in jedem System. Wir finden sie, dokumentieren sie pr\u00e4zise und zeigen konkrete Wege, wie sie geschlossen werden. Unsere Tests folgen OWASP, PTES und MITRE ATT&CK, etablierten Standards, die eine vollst\u00e4ndige und methodisch saubere Abdeckung aller relevanten Angriffsvektoren gew\u00e4hrleisten.<\/p>\n

 <\/p>\n

Pentest anfragen<\/a>\u00a0 Pentest Portfolio<\/a><\/p>\n\n <\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n

Wer Sicherheit nur dokumentiert, wei\u00df nicht ob sie funktioniert<\/h2>\n

Compliance-Berichte dokumentieren, was vorhanden ist. Ein Penetrationstest zeigt, ob es funktioniert. Kein Audit ersetzt den kontrollierten Angriff. Firewalls, EDR-Systeme, IAM-Konfigurationen und Zugriffskontrollen halten nur stand, wenn sie getestet wurden. Die Regulatorik macht es f\u00fcr viele zur Pflicht.<\/p>\n\n <\/article>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n
\n \n
\n \n

Kritische Infrastruktur & regulierte Branchen<\/strong><\/h4>\n

NIS-2, ISO 27001, KRITIS und DCRA. Rund 30.000 Unternehmen in Deutschland m\u00fcssen die Wirksamkeit ihrer Sicherheitsma\u00dfnahmen nachweisen. Ein Pentest-Bericht ist der direkteste Weg dorthin.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \n

Payment & Plattformen<\/strong><\/h4>\n

SaaS mit Payment-Funktionen, E-Commerce, Zahlungsdienstleister. PCI DSS 4.0.1 gilt seit M\u00e4rz 2025 und schreibt technische Tests konkret vor. Wer Kartendaten verarbeitet, ist betroffen.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \n

Finance, Automotive & Enterprise<\/strong><\/h4>\n

Finanzinstitute unter DORA. Automotive-Zulieferer unter TISAX. Und alle, die Enterprise-Kunden gewinnen oder ihre Cyberversicherung aufrechterhalten wollen.<\/p>\n

 <\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n

Wann ein Penetrationstest der richtige Schritt ist<\/h2><\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n
\n
\n
\n
\n \n
\n \n

Vor einem Go-live<\/h4>\n

Neue Webanwendung, neue API, neue Cloud-Umgebung. Was vor dem Launch nicht gepr\u00fcft wurde, ist nach dem Launch Angriffsfl\u00e4che.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \n

Nach Ver\u00e4nderungen in der Infrastruktur<\/h4>\n

Migration, neue Systeme, Architektur\u00e4nderungen. Jede Ver\u00e4nderung \u00f6ffnet potenzielle Angriffsvektoren, die vorher nicht existiert haben.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \n

F\u00fcr Compliance-Nachweise<\/h4>\n

ISO 27001, NIS-2, CRA, EU AI Act und DORA fordern technische Sicherheits\u00fcberpr\u00fcfungen. Ein Pentest-Bericht ist ein anerkannter Nachweis.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \n

Zur Validierung bestehender Schutzma\u00dfnahmen<\/h4>\n

SIEM, EDR, Zugangskontrollen. Ihre Wirksamkeit zeigt sich erst unter Bedingungen, die Angriffen \u00e4hneln.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \n

Auf Anforderung von Kund:innen oder Partnern<\/h4>\n

Wer als Dienstleister sensible Systeme betreibt, muss deren Sicherheit nachweisen k\u00f6nnen.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \n

Regelm\u00e4\u00dfig<\/h4>\n

Sicherheit ist kein Zustand. Ein Penetrationstest ist eine Momentaufnahme. Wer j\u00e4hrlich testet, kennt seinen aktuellen Stand.<\/p>\n

Pentest anfragen<\/a><\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n

Was wir testen<\/h2><\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n
\n
\n
\n
\n \n
\n \"Globus-mit-Schloss-Icon\"\n

Webapplication Pentest<\/h4>\n

Webanwendungen nach OWASP Top 10: Authentifizierungsfehler, Injection-Schwachstellen, Business-Logic-Fehler, unsicheres Session Management. F\u00fcr Single-Page-Apps, Multi-Page-Apps und Admin-Interfaces. Black-Box, Grey-Box oder White-Box.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"Vernetztes-Schutzschild-mit-Haken-Icon\"\n

Endpoint Pentest<\/h4>\n

Firmen-Notebooks und Workstations: OS-H\u00e4rtung, lokale Privilege Escalation, EDR\/AV-Konfiguration, Application Whitelisting, Browser-Sicherheit. Wir pr\u00fcfen, wie weit ein Standard-User mit einem kompromittierten Ger\u00e4t kommt.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"Schl\u00fcssel-mit-Bin\u00e4rcode-Icon\"\n

API Pentest<\/h4>\n

REST, GraphQL und SOAP nach OWASP API Security Top 10: Broken Object Level Authorization, Mass Assignment, Rate Limiting, Broken Authentication. F\u00fcr interne und externe APIs.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"Zielscheibe-mit-Haken-Icon\"\n

AD Pentest<\/h4>\n

Active Directory: Fehlkonfigurationen, Kerberoasting, Pass-the-Hash, Delegation-Angriffe, Privilege Escalation bis zur Domain Dominance. Wir testen, wie weit ein Angreifer im Netzwerk kommt, der bereits einen Fu\u00df in der T\u00fcr hat.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"Vernetztes-Schutzschild-Icon\"\n

Netzwerk Pentest<\/h4>\n

Externe und interne Netzwerkinfrastruktur: Server, Firewalls, VPNs, Switches. Identifikation erreichbarer Systeme, manuelle Pr\u00fcfung auf Fehlkonfigurationen und Schwachstellen. Extern (Internet-facing) oder intern (Assumed Breach).<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"Gesperrtes-Smartphone-Icon\"\n

Mobile Pentest<\/h4>\n

iOS- und Android-Apps nach OWASP MASVS: Client-Side Security, Reverse Engineering, Datenspeicherung, Transportverschl\u00fcsselung. Inklusive Backend-API-Testing.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"Cloud-Schutzschild-Icon\"\n

Cloud Platform Pentest<\/h4>\n

AWS, Azure und GCP: IAM-Fehlkonfigurationen, \u00fcberprivilegierte Rollen, Storage-Zugriffe, Serverless-Funktionen, Container-Sicherheit. Wir pr\u00fcfen, wie ein Angreifer innerhalb einer Cloud-Umgebung eskaliert.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"KI-Chip-Icon\"\n

AI Pentest<\/h4>\n

KI-Anwendungen und deren Schnittstellen: Prompt Injection, Jailbreaking, Model Inversion, unsichere API-Anbindungen. F\u00fcr LLM-basierte Anwendungen und KI-Systeme in produktiven Umgebungen.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n

Ergebnisse des Penetrationstests<\/h2><\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n
\n
\n
\n
\n \n
\n \"H\u00e4kchen-Icon\"\n

Technischer Bericht<\/h4>\n

Jede Schwachstelle mit Beschreibung, Risikobewertung (z.B. nach CVSS), Reproduktionsschritten und konkreter Handlungsempfehlung. F\u00fcr technische Teams direkt verwertbar.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"H\u00e4kchen-Icon\"\n

Executive Summary<\/h4>\n

F\u00fcr Management und Aufsichtsgremien. Klares Lagebild und klare Priorit\u00e4ten. Kein technisches Vorwissen erforderlich.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"H\u00e4kchen-Icon\"\n

Retest-Bericht<\/h4>\n

Nach Behebung der kritischen Findings pr\u00fcfen wir die Wirksamkeit der Ma\u00dfnahmen und dokumentieren das Ergebnis.<\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n\n \"Blauer\n

\n \n
\n
\n \"Vorschau <\/figure>\n\n
\n

Threat-Informed Defense<\/h2>\n

Wie Organisationen aufh\u00f6ren, gegen Schatten zu k\u00e4mpfen.<\/h2>\n

Ein Playbook f\u00fcr IT-Verantwortliche und Entscheider:innen, die wissen wollen, wie echte Angriffe funktionieren und wie man sie gezielt stoppt. Threat-Informed Defense ist der Ansatz, der Verteidigung an realen Angreiferverhalten ausrichtet. Dieses Playbook erkl\u00e4rt, welche Techniken Angreifer tats\u00e4chlich einsetzen, wie MITRE ATT&CK als Grundlage funktioniert und welche Ma\u00dfnahmen nachweisbar wirksam sind.<\/p>\n

Download<\/a><\/p>\n <\/article>\n <\/div>\n\n \n <\/div>\n<\/section>\n\n\n

\n
\n
\n

FAQ<\/h4>

Fragen? Antworten.<\/h3><\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n
\n
\n
\n
\n
\n
\n
\n

\n Welche Testmethode ist die richtige, Black-Box, Grey-Box oder White-Box?\n <\/p>\n <\/div>\n

\n

Das h\u00e4ngt vom Ziel ab. Black-Box simuliert einen Angreifer ohne Vorkenntnisse. White-Box gibt maximale Testtiefe, weil wir die Systemstruktur kennen. Grey-Box ist in der Praxis h\u00e4ufig die effizienteste Wahl: realistisches Angreiferverhalten bei kontrollierbarem Aufwand. Wir empfehlen die Methode nach eurem konkreten Scope, welchen wir im Scoping-Call kl\u00e4ren.<\/p>\n<\/div>\n <\/div>\n <\/div>\n

\n
\n

\n Was ist der Unterschied zwischen einem Penetrationstest und einem Schwachstellenscan?\n <\/p>\n <\/div>\n

\n

Ein Schwachstellenscan ist automatisiert und liefert eine Liste bekannter Schwachstellen. Ein Penetrationstest ist manuell, kontextuell und zeigt, ob und wie diese Schwachstellen tats\u00e4chlich ausnutzbar sind. Logikfehler, Kombinationsangriffe und komplexe Angriffspfade findet nur der Pentest.<\/p>\n<\/div>\n <\/div>\n <\/div>\n

\n
\n

\n TLPT und brauchen wir das?\n <\/p>\n <\/div>\n

\n

Threat-Led Penetration Testing ist eine intelligence-gest\u00fctzte Angriffssimulation auf Basis realer Angreiferprofile. Kein generischer Test, sondern ein Szenario, das auf eure Organisation, eure Branche und aktuelle Bedrohungslagen zugeschnitten ist. TLPT ist unter DORA f\u00fcr bedeutende Finanzinstitute verpflichtend, koordiniert nach dem TIBER-EU-Framework. F\u00fcr alle anderen ist es der n\u00e4chste Reifegrad nach einem klassischen Penetrationstest.<\/p>\n<\/div>\n <\/div>\n <\/div>\n

\n
\n

\n Wie oft sollte ein Penetrationstest durchgef\u00fchrt werden?\n <\/p>\n <\/div>\n

\n

J\u00e4hrlich ist das Minimum. Nach wesentlichen Ver\u00e4nderungen und neue Systeme, Migrations\u00adprojekte, neue Anwendungen, empfehlen wir einen gezielten Retest des betroffenen Bereichs. Wer unter DORA f\u00e4llt, ist f\u00fcr kritische Systeme zu Tests alle drei Jahre verpflichtet. ISO 27001 verlangt regelm\u00e4\u00dfige \u00dcberpr\u00fcfung ohne feste Frequenz.<\/p>\n<\/div>\n <\/div>\n <\/div>\n

\n
\n

\n Werden unsere Systeme w\u00e4hrend des Tests beeintr\u00e4chtigt?\n <\/p>\n <\/div>\n

\n

In der Regel nicht. Wir stimmen im Scoping ab, welche Systeme aktiv getestet werden und welche ausgenommen sind. Produktionssysteme mit hohem Ausfallrisiko behandeln wir gesondert. Sollten wir w\u00e4hrend des Tests kritische Schwachstellen finden, informieren wir sofort.<\/p>\n<\/div>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n

Egal, ob Start-up, Mittelstand oder Konzern: Wir finden die passende L\u00f6sung<\/h2><\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n
\"Logo<\/figure>
\"Logo<\/figure>
\"Logo<\/figure>
\"Logo<\/figure>
\"Logo<\/figure>
\"Logo<\/figure>
\"Logo<\/figure>
\"Logo<\/figure>
\"Logo<\/figure>
\"Logo<\/figure>
\"Logo<\/figure>
\"Logo<\/figure>
\"Logo<\/figure>
\"Logo<\/figure>\n\t <\/div>
<\/div>\n<\/section>\n\n\n
\n
\n
\n

Vertrauen entsteht durch Ergebnisse<\/h4><\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n
\n
\n
\n
\n
\"Logo\n <\/div>\n
\u00bbMit Unterst\u00fctzung von carmasec haben wir KPIs definiert und einen h\u00f6heren Grad an Transparenz und Akzeptanz geschaffen.\u00ab<\/blockquote>

DKV Mobility Services<\/strong><\/p><\/article>\n <\/div>\n <\/div>\n

\n
\n
\"Logo\n <\/div>\n
\u00bbProfessionell, flexibel, nahbar und vor allem: erfolgreich. carmasec hat geliefert, was versprochen wurde.\u00ab<\/blockquote>

Bruker Optics<\/strong><\/p><\/article>\n <\/div>\n <\/div>\n

\n
\n
\"Logo\n <\/div>\n
\u00bbMit carmasec fanden wir einen vertrauensw\u00fcrdigen Partner, der uns bei der Umsetzung unterst\u00fctzte und einen umfangreichen Ergebnisbericht lieferte. Wir empfehlen carmasec uneingeschr\u00e4nkt weiter.\u00ab<\/blockquote>

ELIGO<\/strong><\/p><\/article>\n <\/div>\n <\/div>\n

\n
\n
\"Logo\n <\/div>\n
\u00bbcarmasec leistete einen nennenswerten Beitrag zur Sicherheit unserer Dienste. Professionelle Beratung, saubere Durchf\u00fchrung. F\u00fcr Infrastruktur-Pentests empfehlen wir carmasec uneingeschr\u00e4nkt.\u00ab<\/blockquote>

tyntec GmbH<\/strong><\/p><\/article>\n <\/div>\n <\/div><\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n
\n

Kontakt<\/p>\n

Scope definieren und Test starten<\/h2>\n

Scoping dauert 30 Minuten. Danach ist klar, was getestet wird, welche Methode passt und wann wir starten k\u00f6nnen. Wer KI-Systeme einsetzt oder unter den EU AI Act f\u00e4llt: auch das besprechen wir im Erstgespr\u00e4ch. Formular ausf\u00fcllen und abschicken, danach melden wir uns.<\/p>\n

\n
\"Portr\u00e4tfoto<\/figure>\n
Timm B\u00f6rgers<\/strong>
\nGesch\u00e4ftsf\u00fchrer<\/span>
\n+49 (0)201 426 385 905<\/a>
\nvertrieb@carmasec.com<\/a><\/div>\n<\/div>\n\n <\/article>\n
\n
\n