Zu den Komponenten? Hier lang!

Pentesting

Besser testen als bereuen

Zur kostenlosen Erstberatung

Warum Pentesting entscheidend ist

Ein Penetrationstest, kurz Pentest, ist eine aktive Angriffssimulation und wendet Techniken von Hackern an, um verborgene Schwachstellen zu identifizieren. Ein gründlicher Pentest gibt Ihnen nicht nur Gewissheit, sondern auch den entscheidenden Vorsprung gegenüber Cyberkriminellen. Denn werden Schwachstellen rechtzeitig entdeckt, können sie behoben werden bevor es zu spät ist. So können Sie Angriffe auf Ihr Unternehmen erfolgreich verhindern und kritische Daten vor Bedrohungen schützen.

Die Axians weist mehr als 20 Jahre Erfahrung in der Durchführung professioneller Pentests auf und bietet die nötige Expertise, um Ihr Unternehmen individuell zu prüfen und zu schützen.

Bildbeschreibung

Wir testen, damit Sie sicher sind

> 20 Jahre Expertise

> 50 festangestellte Security Experts

> 700 Pentests und Red Team Assessments pro Jahr

10 DAX-Konzerne als Kunden

Ganzheitlicher Pentest-Ansatz

Lücken erkennen. Risiken ausschalten. Zu Pentest beraten lassen

Unternehmensweite Pentests (Enterprise)

Unsere ganzheitlichen Enterprise-Pentests gehen über einzelne Systeme hinaus: Wir simulieren Angriffe aus verschiedenen Perspektiven, um technische Lücken, organisatorische Schwächen und physische Sicherheitsmängel aufzudecken.

Von außen betrachtet prüfen wir Ihre öffentliche Angriffsfläche, analysieren interne Netzwerke auf laterale Bewegungsmöglichkeiten und testen Ihre Mitarbeitenden sowie physischen Zugänge. Das Ziel ist ein vollständiges Bild Ihrer Sicherheitslage, damit Sie zielgerichtet Schwachstellen beheben können.

Illustration

Externe Angriffsfläche

  • OSINT-Recherchen & Schatten-IT-Ermittlung
  • Vulnerability Scans externer Server und Anwendungen
  • Password Spraying & Prüfung exponierter Logins
  • DarkWeb-Analyse auf geleakte Zugangsdaten

Windows Clients & Active Directory

  • Analyse der AD-Struktur & Berechtigungsvergabe
  • Tests auf Initial Access (z. B. Pass-the-Hash)
  • Simulation von Privilege Escalation-Techniken
  • Hardening-Empfehlungen für Server und Clients

Social Engineering

  • Phishing-Kampagnen zur Awareness-Überprüfung
  • Vishing (simulierte Telefon-Angriffe)
  • Physischer Zugangstest (Break-in-Szenario)
  • Anti-Phishing Audit & Schulungsmaßnahmen

Interne IT-Infrastruktur

  • 360° Pentest Ihres internen Netzwerks
  • Assume Breach Red Teaming-Szenarien
  • Data Discovery Audit für sensible Daten
  • Simulation interner Angreifer (z. B. Dienstleister)

Azure & M365

  • M365 Audit: Konfigurations- & Rechte-Check
  • Entra ID/Azure Audit: Härtungsanalyse
  • Red Teaming in der Cloud: Privilege Escalation
  • Angriffstests von Cloud-Diensten bis ins Firmennetz

Physical Security

  • Break-in-Szenario: Physischer Zugangstest
  • Überprüfung von Türen, Fenstern und Schlössern
  • Hardware-Hacking: Tests an Zutrittskontroll-Systemen
  • Analyse physischer Sicherheitslücken

Produkt- und anwendungsspezifische Pentests

Ob Web-Applikationen, mobile Apps oder komplexe IoT-Systeme – wir passen unsere Tests exakt an die Architektur Ihrer Produkte an. Dabei analysieren wir sowohl die Code-Basis als auch die darunterliegende Infrastruktur und die Kommunikationswege.

Unser Ansatz kombiniert manuelles Grey-Box-Testing mit automatisierten Prüfverfahren, um Schwachstellen in Anwendung, Plattform und Backend aufzudecken.

Illustration

Anwendungen

  • Web-Apps: Injection, XSS, Auth-Bypass
  • APIs: Authentifizierung, Rate-Limiting, Datenvalidierung
  • Mobile (iOS/Android): Insecure Storage & unsichere Kommunikation
  • Fat Clients: Binary Analysis & Local Privilege Escalation
  • Manuelles Grey-Box-Testing nach OWASP Testing Guide

Automotive

  • ISO 21434 & UNECE R 155 Compliance-Tests
  • Telematik-Prüfungen: Fahrzeug-Cloud-Kommunikation
  • ECU-Pentests: CAN/LIN/Bus-Protokollanalyse
  • Hardware-Tests an Steuergeräten (ECUs)
  • Backend-Security-Checks für Fahrzeugdaten

Cloud & CI/CD

  • AWS & Azure Infrastruktur: IAM, Security Groups, Storage
  • Kubernetes: Cluster-Hardening & Netzwerk-Policies
  • IaC-Templates (Terraform/CloudFormation) auf Schwachstellen
  • Container Registry & Image-Scanning
  • CI/CD-Pipeline: Secrets-Management & Build-Skripte

OT & IoT

  • Firmware-Analyse von IoT-Geräten (Gateway, Hauptgerät)
  • Penetrationstests embedded Devices & Hardware-Hacking
  • Netzwerkanalyse Ihrer OT-Umgebung (SCADA, PLC, ICS)
  • Mobile App & Cloud-Komponenten des IoT-Systems
  • Absicherung kritischer OT-Systeme gegen unbefugten Zugriff

Managed & Continuous Pentesting

Unsere Managed- und Continuous-Services stellen sicher, dass Sicherheitslücken nicht nur einmalig erkannt, sondern dauerhaft überwacht und verbessert werden. Wir koordinieren alle Pentest-Phasen, begleiten Sie bei der Behebung und simulieren in regelmäßigen Abständen neue Angriffe. So bleiben Ihre Abwehrmechanismen stets auf dem neuesten Stand.

Illustration

Managed Pentest

  • Planung und Koordination aller Pentest-Phasen
  • Tracking des Behebungsstatus bis zur Schließung
  • Monatliche Reports mit KPI-Übersicht
  • Management-taugliche Zusammenfassung

Continuous Red Teaming

  • Regelmäßige Angriffssimulationen
  • Evaluation Ihrer Detection & Response-Fähigkeiten
  • Enger Austausch mit Ihrem Blue Team
  • Aktualisierung nach neuen Angriffstechniken

Continuous External Attack Surface Management

  • Tägliche Scans öffentlicher IPs & Domains
  • DarkWeb-Monitoring auf geleakte Daten
  • Regelmäßige Penetrationstests externer Dienste
  • Schnelle Erkennung neuer Schwachstellen

Continuous Phishing

  • Fortlaufende, zielgerichtete Phishing-Simulationen
  • Echtzeit-Awareness-Feedback für Mitarbeitende
  • Monatliches Reporting mit KPI-Analyse
  • Integration aktueller IT-Security-Trends
Nichts Passendes dabei? Sie haben nicht das gefunden, was Sie suchen? Durch unsere Erfahrung aus über 20 Jahren sowie unser Branchen-Know-how kennen wir klassische Einfallstore für Angriffe in allen Bereichen. Sie können uns jederzeit kontaktieren, um über Ihre individuellen Anforderungen zu sprechen und eine passende Lösung zu finden. Jetzt Kontakt aufnehmen!

Unsere Test-Typen im Überblick

OSINT/Reconnaissance

Open-source Intelligence ist eine passive Recherche von öffentlich verfügbaren Informationen zur Skizzierung der Angriffsfläche, bevor zielgerichtet Angriffe durchgeführt werden können.

Vulnerability Assessment

Ein Vulnerability Assessment ist ein vorwiegend automatisierter Schwachstellen-Scan, wobei der Fokus auf der Analyse, Priorisierung und Aufbereitung der Ergebnisse liegt.

Pentest

Ein Pentest prüft aktiv mit den Techniken eines Angreifers auf Schwachstellen. Ziel ist es dabei, so viele Schwachstellen wie möglich zu identifizieren. Eine Ausnutzung der Schwachstellen liegt nicht im Fokus des Tests.

Social Engineering

Social Engineerung befasst sich mit der Schwachstelle Mensch und zeigt durch aktive Manipulationsversuche Fehlverhalten bzw. fehlendes Sicherheitbewusstein auf.

Security Audit

Ein Security Audit ist eine tiefgehende Analyse eines bestimmten Systems auf weitere Härtungsmaßnahmen und nach Security Best Practices, um es Angreifern so schwer wie möglich zu machen.

Source Code Review

In einem Source Code Review prüfen wir Applikationen durch eine statische Analyse des Codes auf Schwachstellen. Dies erfolgt meist ergänzend zu einem Pentest (White Box Test).

Red Teaming

Ein Red Team Assessment ist eine aktive Angriffssimulation. Der Fokus liegt in der Ausnutzung von Schwachstellen und dem Aufzeigen konkreter Angriffswege. Zudem wird ein Red Team Assessment üblicherweise verdeckt und heimlich durchgeführt, um auch die Prozesse in der Angriffserkennung zu evaluieren.

Workshops

In einem Workshop steht der Informations- und Wissensaustausch im Vordergrund. Wir bringen unsere Expertise in Ihr Unternehmen und können uns bestimmte Themenbereiche im Detail anschauen. Dies erfolgt oft im Anschluss an einen Pentest.

Schützen Sie Ihre digitale Zukunft

In der dynamischen Welt der Cybersicherheit sind proaktive Maßnahmen nicht nur wünschenswert, sie sind unerlässlich. Denn jede Minute, in der Ihre Systeme ungeschützt bleiben, steigt das Risiko eines potenziellen Angriffs, der Ihr Geschäft und Ihren guten Ruf gefährden könnte. Vertrauen Sie nicht darauf, dass Sie klein genug sind, um nicht ins Visier von Cyberkriminellen zu geraten oder, dass Sie groß genug sind, um sich selbst zu schützen. In der digitalen Welt sind alle Unternehmen gleich, wenn es darum geht ein potentielles Ziel zu sein. Lassen Sie uns gemeinsam sicherstellen, dass Sie vorbereitet sind!

Bitte geben Sie nachfolgende Informationen an.

Häufig gestellte Fragen zum Pentesting

Warum sollte ich einen Pentest durchführen lassen?

Ein Pentest evaluiert aus Angreifersicht die aktuelle Sicherheit eines Systems, Netzwerks, einer Anwendung oder von Prozessen. So erkennen Sie Schwachstellen und erfahren, ob Ihre Sicherheitsmaßnahmen wirklich schützen.

Ein echter Angriff verursacht meist deutlich höhere Kosten und schadet der Reputation Ihres Unternehmens. Ein Pentest ist daher eine präventive Maßnahme mit hoher Wirkung.

Wie sieht ein Pentest-Bericht aus?

Unser Bericht ist strukturiert, detailliert und enthält realistische Risikoeinstufungen. Er wird auf Basis von LaTeX mit einer eigens entwickelten Webanwendung erstellt und genießt in der Branche einen guten Ruf.

Zusätzlich erhalten Sie ein Excel-Sheet zum Tracking des Behebungsstatus. Auf Wunsch liefern wir auch individuelle Formate für die automatische Integration in Ihr Ticketsystem.

Was kostet ein Pentest?

Die Kosten hängen von Art und Umfang des Pentests ab und bewegen sich typischerweise zwischen 4.000 € und 80.000 €.

Wir beraten Sie individuell ab dem ersten Gespräch – kostenlos und durch unsere Fachexperten – um gemeinsam ein passendes Preis-Leistungs-Verhältnis zu finden.

Welche Risiken bestehen bei einem Pentest?

Je nach Testtyp gibt es gewisse Risiken. Wir klären Sie im Vorfeld transparent darüber auf und führen den Test so durch, dass keine Gefahr für Ihre Systeme entsteht.

Auf Wunsch testen wir auf Testsystemen oder außerhalb der Arbeitszeiten. Mit mehreren hundert durchgeführten Tests pro Jahr haben wir die nötige Erfahrung.

Wie oft sollte ein Pentest durchgeführt werden?

Wenn Sie regulatorischen Vorgaben wie NIS2, DORA oder ISO 27001 unterliegen, gibt es meist konkrete Anforderungen – z.B. jährliche Tests bei kritischen Systemen.

Abgesehen davon empfehlen wir eine risikobasierte Frequenz – individuell abgestimmt auf Ihre Umgebung. Auch hier beraten wir Sie gern.

Was geschieht nach einem Pentest?

Sie erhalten einen ausführlichen Bericht mit konkreten Handlungsempfehlungen, Risikobewertung und Priorisierung. Ein Excel-Sheet unterstützt Sie beim Maßnahmen-Tracking.

In einer gemeinsamen Ergebnisbesprechung erläutern wir alle Details und beraten Sie bei der Umsetzung – auf Wunsch auch mit weiteren Services aus der Axians Gruppe.