Blackfort Technology
Penetrationstests
Offensive Security

Offensive Security

Penetrationstests

Wir denken wie Angreifer – um Ihre Verteidigung zu stärken. Professionelle Pentests identifizieren Sicherheitslücken, bevor es echte Angreifer tun.

Pentest anfragenMehr zu Pentesting von LLMs

Methodik

Unser Pentest-Ansatz

Unsere Penetrationstests folgen etablierten Methoden – PTES (Penetration Testing Execution Standard), OWASP und MITRE ATT&CK. Wir dokumentieren alle Befunde mit klaren Risikobewertungen (CVSS), Reproduktionsschritten und konkreten Handlungsempfehlungen.

Jeder Pentest endet mit einem Executive Summary für das Management und einem technischen Detail-Report für das Sicherheitsteam. Nach der Behebung bieten wir optionale Retest-Dienste an.

Web Application Pentests

Umfassende Sicherheitstests für Webanwendungen nach OWASP Testing Guide. SQL Injection, XSS, CSRF, Business Logic und mehr.

  • OWASP Top 10
  • Authentifizierung und Session Management
  • API-Sicherheit
  • Business Logic Flaws

Netzwerk-Penetrationstests

Interne und externe Netzwerk-Pentests. Active Directory, laterale Bewegung, Privilege Escalation und Netzwerksegmentierung.

  • Active Directory Sicherheit
  • Laterale Bewegung
  • Privilege Escalation
  • Netzwerksegmentierung

Cloud Security Reviews

Sicherheitsbewertungen von AWS, Azure und GCP Umgebungen. Konfigurationsfehler, IAM-Schwachstellen und Datenzugriff.

  • Azure / AWS / GCP
  • IAM-Konfiguration
  • Daten-Exposition
  • Cloud Misconfiguration

Social Engineering

Phishing-Simulationen und Social Engineering-Tests, um die menschliche Seite der Sicherheit zu bewerten.

  • Phishing-Kampagnen
  • Vishing Tests
  • Physical Security
  • Awareness-Messung

Red Team Exercises

Realistische Angriffsszenarien durch unser Red Team – von der Reconnaissance bis zum simulierten Datendiebstahl.

  • MITRE ATT&CK
  • Persistenz und Lateral Movement
  • Datenexfiltration
  • Detektionstest

Mobile App Pentests

Sicherheitstests für iOS und Android Applikationen nach OWASP Mobile Security Testing Guide.

  • OWASP MSTG
  • Reverse Engineering
  • Datenspeicherung
  • Netzwerkkommunikation

Ablauf

Unser Pentest-Prozess

01

Scoping

Zieldefinition, Rules of Engagement, Timing

02

Reconnaissance

Informationssammlung und Asset Discovery

03

Testing

Aktive Sicherheitstests und Exploitation

04

Reporting

Executive Summary und technischer Report

05

Remediation

Unterstützung bei der Behebung und Retest

Häufige Fragen

Was ist der Unterschied zwischen einem Schwachstellenscan und einem Penetrationstest?

Ein Schwachstellenscan ist ein automatisierter Prozess, der bekannte Schwächen anhand von Signaturdatenbanken identifiziert. Ein Penetrationstest wird von einem menschlichen Tester durchgeführt, der Schwachstellen aktiv ausnutzt, um ihre tatsächliche Wirkung zu bewerten. Scans zeigen die Angriffsfläche; Pentests beweisen, was ein Angreifer tatsächlich erreichen könnte. Beides hat seinen Platz – Scans für kontinuierliches Monitoring, Pentests für tiefe Absicherung in definierten Intervallen.

Wie lange dauert ein Penetrationstest?

Die Dauer hängt vom Scope und der Komplexität des Ziels ab. Ein fokussierter Web-Applikations-Pentest dauert typischerweise 3–5 Tage. Ein umfassender interner Netzwerk-Pentest inklusive Active Directory benötigt 7–10 Tage. Red-Team-Übungen werden über mehrere Wochen geplant. Den genauen Zeitrahmen definieren wir im Scoping-Call – vor jeder Verpflichtung.

Erhalten wir einen Bericht, und was steht darin?

Jeder Auftrag endet mit einem umfassenden Report. Das Executive Summary liefert dem Management einen Überblick über die Gesamt-Risikolage und die kritischen Befunde. Der technische Detail-Report dokumentiert jede Schwachstelle mit CVSS-Score, Reproduktionsschritten als Proof-of-Concept, betroffenen Assets und konkreten Handlungsempfehlungen. Nach der Behebung bieten wir optional einen Retest an, um die Wirksamkeit der Maßnahmen zu verifizieren.

Wie unterstützt ein Pentest die ISO 27001- oder NIS2-Compliance?

ISO 27001 (Annex A.8.8) und NIS2 Art. 21 verlangen beide, dass Organisationen technische Schwachstellen identifizieren und adressieren. Regelmäßige Penetrationstests sind der direkteste Weg, diese Anforderung nachzuweisen. Der Pentest-Report dient als dokumentierter Nachweis einer systematischen Sicherheitsüberprüfung – direkt nutzbar für Zertifizierungs-Audits und regulatorische Anfragen.

Wie geht ihr mit sensiblen Daten um, die während eines Pentests entdeckt werden?

Alle Befunde – einschließlich sensibler Daten, auf die während des Tests zugegriffen wird – werden unter strikter Vertraulichkeit behandelt. Vor jedem Engagement unterzeichnen wir NDAs. Während des Tests entdeckte Daten werden im Report dokumentiert, aber nicht aufbewahrt. Unsere Tester arbeiten unter definierten Rules of Engagement, die festlegen, welche Systeme getestet werden dürfen und welche Aktionen zulässig sind.

Verwandte Leistungen

LLM-PentestingVulnerability ManagementISMS-Beratung

Kontakt aufnehmen

Jetzt Pentest beauftragen

Sprechen Sie mit uns über Scope, Timing und Budget. Wir erstellen ein maßgeschneidertes Angebot für Ihre Sicherheitsüberprüfung.

Pentest anfragen