Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Penetrationstest

Ihr Pentest-Anbieter.
500+ Tests.
Null False Positives.

Der durchschnittliche Datenverlust kostet deutsche Unternehmen 4,9 Mio. EUR. Ein Penetrationstest von AWARE7 findet die Lücken, die Scanner übersehen — mit OSCP-zertifizierten Experten, Festpreis in 24h und kostenlosem Nachtest.

Mein kostenloses Erstgespräch sichern Pentest-Kosten ansehen
ISO 27001 zertifiziert 500+ Pentests durchgeführt Nachtest inklusive
aware7-pentest

Diese Unternehmen vertrauen AWARE7

Pentests durchgeführt
Jahre Erfahrung
bis zum Festpreis-Angebot
False Positives
Das unterschätzte Risiko

Warum Ihr Unternehmen verwundbarer ist, als Sie denken

Die meisten Unternehmen verlassen sich auf Firewalls und Virenscanner. Was sie nicht sehen: die Schwachstellen, die kein automatisierter Scan findet.

4,9 Mio. EUR

Durchschnittliche Kosten eines Datenlecks in Deutschland

IBM Cost of a Data Breach Report 2024. Inkl. Betriebsunterbrechung, Bußgelder, Reputationsverlust und Kundenabwanderung.

60%

der kritischen Schwachstellen bleiben von Scannern unentdeckt

Business-Logik-Fehler, verkettete Angriffspfade und Konfigurationsfehler erkennt nur ein manueller Penetrationstest.

NIS-2

Penetrationstests sind jetzt Pflicht für betroffene Unternehmen

§ 30 BSIG-E verpflichtet zu technischen Sicherheitsmaßnahmen. § 40 Abs. 5 Nr. 3 nennt „Penetrationsanalysen" explizit.

Das finden wir — in fast jedem Unternehmen:

Critical CVSS 9.8 Remote Code Execution via unsicherer Deserialisierung
High CVSS 8.6 SQL Injection ermöglicht komplette Datenexfiltration
Medium CVSS 5.3 Veraltete TLS-Konfiguration erlaubt Downgrade-Angriff

Durchschnittlich finden wir 3 kritische, 5 hohe und 12 mittlere Schwachstellen pro Pentest.

Die Lösung

Penetrationstest Ablauf: 5 Phasen nach BSI-Leitfaden

Unser Vorgehen orientiert sich am BSI-Praxis-Leitfaden, dem OWASP Testing Guide und dem PTES-Standard. Transparent, reproduzierbar und als Compliance-Nachweis nutzbar.

0102030405VorbereitungEinarbeitungTestphaseBerichtNachtest5 Phasen.1 Preis.
01
VorbereitungScoping & Vertragsgestaltung
  • Prüfobjekt und Prüfumfang gemeinsam festlegen
  • Testmethodik definieren: Black-, Grey- oder White-Box
  • Rules of Engagement und Zeitfenster vereinbaren
  • Verbindliches Festpreisangebot in 24 Stunden

Ablauf nach BSI-Praxis-Leitfaden · Festpreisangebot in 24h

Management Summary

1-2 Seiten für die GF

Technische Findings

CVSS + Proof-of-Concept

Priorisierte Roadmap

Konkrete Maßnahmen

Kostenloser Nachtest

Fixes verifizieren

Scope & Ablauf besprechen

Referenzen aus der Praxis

Pentesting & Schwachstellenscans

Sill Optics GmbH

Feststellung der Angriffsfläche bei Sill Optics GmbH

Pentesting & Schwachstellenscans

XignSys GmbH

Whitebox-Penetrationstests eines Authentifizierungsdienstes als Mobile- und Web-Anwendung

Pentesting & Schwachstellenscans

TWINSOFT GmbH & Co. KG

Externer Penetrationstest einer iOS-Applikation

Pentest-Leistungen: Von der Web-App bis zur Cloud

Wir decken alle Angriffsvektoren ab — mit derselben Methodik, denselben OSCP-zertifizierten Experten und derselben Berichtsqualität.

Web-Applikationen

OWASP Top 10, API Security, Business Logic Flaws, Authentication Bypass.

Details

Netzwerk & Infrastruktur

Active Directory, Firewall-Bypass, Lateral Movement, Privilege Escalation.

Details

Mobile Apps

iOS und Android. OWASP Mobile Top 10, API-Kommunikation, Reverse Engineering.

Details

Cloud Security

AWS, Azure, GCP. IAM Review, Container Security, Serverless Functions.

Details

IoT & OT Security

Industriesteuerungen, SCADA, Hardware-Analyse, Firmware-Reverse-Engineering.

Details

Red Teaming & Social Engineering

Phishing, Physical Access, Hybrid-Angriffe — den realen Ernstfall simulieren.

Scope besprechen

Pentest-Methoden: Black Box, Grey Box & White Box

Je nach Informationsstand des Testers unterscheiden sich Tiefe und Realitätsnähe des IT-Sicherheitstests.

Black-Box-Pentest

Der Pentester erhält keinerlei Vorwissen — nur den Scope. Simuliert einen externen Angreifer. Ideal für realistische Bedrohungsszenarien und Perimeter-Tests.

Typisch: Externe Netzwerktests, Webanwendungen

Grey-Box-Pentest

Empfohlen

Eingeschränkte Informationen — z. B. Zugangsdaten oder Dokumentation. Beste Balance aus Tiefe und Realitätsnähe. Unser Standard-Ansatz.

Typisch: Web-Apps, APIs, interne Netzwerke

White-Box-Pentest

Vollständiger Zugang zu Quellcode, Architektur und Dokumentation. Maximale Testtiefe, findet auch versteckte Business-Logik-Schwachstellen.

Typisch: Sicherheitskritische Applikationen, Code Review

Warum AWARE7 als Penetrationstest-Dienstleister wählen

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Pentest Box

Nur bei AWARE7

Interner Penetrationstest. Remote statt vor Ort.

Unsere Pentest Box wird einmalig vor Ort ins Netzwerk eingebunden — danach übernehmen unsere Experten remote. Ohne VPN-Zugang oder Firewall-Öffnung. Gleiche Qualität, deutlich günstiger.

Keine Reise- & Übernachtungskosten

Volle Leistung zum reduzierten Preis. Interne Pentests werden damit für KMU deutlich günstiger.

Verschlüsselter Mobilfunk

Kein VPN, keine geöffneten Firewallports. Das Gerät verbindet sich ausschließlich über verschlüsselten Mobilfunk.

Gleichwertige Analyse

Dieselbe Methodik, dieselben Tools, dieselben OSCP-zertifizierten Experten — nur remote-gesteuert.

Penetrationstest Kosten: Transparent & planbar

Was kostet ein Pentest? Keine versteckten Kosten — verbindliches Festpreisangebot in 24 Stunden.

Pentest-Kosten

ab 5.400 EUR

einmalig, Festpreis, netto

Durchschnittliche Breach-Kosten

4,9 Mio. EUR

IBM CODB Report 2024

Ein Pentest kostet weniger als 0,1% eines durchschnittlichen Sicherheitsvorfalls — und verhindert ihn.

Web-Applikation

ab 6.750 EUR

ab 8.032,50 EUR brutto

ab 5 Werktage

Netzwerk (extern)

ab 5.400 EUR

ab 6.426,00 EUR brutto

ab 4 Werktage

Netzwerk (intern)

ab 8.100 EUR

ab 9.639,00 EUR brutto

ab 6 Werktage

Individuell

Auf Anfrage

Mobile, Cloud, IoT, Red Team

Inkl. Management Summary, CVSS-Bewertung und kostenlosem Nachtest.

Pentest-Retainer — planbar, regelmäßig, günstiger

Quartalsweise Tests zu reduzierten Konditionen. Ideal für NIS-2-Compliance und kontinuierliche Sicherheit.

Retainer-Konditionen anfragen
Pentest-Kosten online berechnen

Kostenloser Pentest-Konfigurator — Festpreisangebot in unter 5 Minuten

Penetrationstest rechtssicher durchführen

Pentests bewegen sich im Spannungsfeld zwischen IT-Sicherheit und Strafrecht. Wir sorgen für eine solide rechtliche Grundlage.

Rechtlich legitimiert

Pentests sind TOMs gem. Art. 32 DSGVO, § 165 TKG und § 8a BSIG. Das BSI empfiehlt sie als „bewährtes Mittel".

Vertraglich fixiert

Einwilligungen, Bestimmungserklärungen und Rules of Engagement — vor Testbeginn schriftlich vereinbart.

NIS-2 & DORA-konform

§ 30 BSIG-E und DORA Art. 26/27 fordern Penetrationsanalysen. Unsere Berichte sind als Compliance-Nachweis konzipiert.

Zertifizierter Pentest-Anbieter aus Deutschland

Unabhängig geprüft — auf Unternehmens- und auf Personenebene.

Organisation

AWARE7 GmbH

ISO 27001:2022

Informationssicherheit — jährlich auditiert

ISO 9001:2015

Qualitätsmanagement — standardisierte Prozesse

AZAV-Zulassung

Zertifizierter Bildungsträger

Statische IP-Adressen

RIPE-registriert — 250 Mbit/s synchrone Glasfaseranbindung

Personen

Unsere Pentester

Offensive Security Certified Professional

OSCP

Offensive Security Web Assessor

OSWA

Offensive Security Wireless Professional

OSWP

Alle Pentester sind festangestellt bei AWARE7. Kein Freelancer, kein Subunternehmer. Alle Zertifizierungen ansehen

Beispiel-Dokument

Pentest-Bericht

Sehen Sie anhand eines anonymisierten Muster-Berichts, wie wir Schwachstellen dokumentieren.

01 Management Summary
02 Technische Findings mit CVSS
03 Proof-of-Concept & Screenshots
04 Handlungsempfehlungen & Roadmap

Muster-Bericht anfordern

Überzeugen Sie sich von unserer Berichtsqualität — anonymisiert, mit CVSS-Bewertung und Handlungsempfehlungen. Kostenlos und unverbindlich.

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu. Kein Spam — nur der angeforderte Bericht.

Häufige Fragen zu Penetrationstest, Kosten & Ablauf

Ein Penetrationstest (kurz: Pentest) ist ein autorisierter, kontrollierter Sicherheitstest, bei dem zertifizierte IT-Sicherheitsexperten die Vorgehensweise realer Angreifer simulieren. Ziel ist es, Schwachstellen in IT-Systemen, Netzwerken und Applikationen zu identifizieren und zu verifizieren — bevor Cyberkriminelle sie ausnutzen können. Anders als automatisierte Vulnerability Scans liefern manuelle Pentests validierte Ergebnisse ohne False Positives, reale Angriffspfade und eine priorisierte Handlungsempfehlung.
Die AWARE7 Pentest Box ist ein physisches Gerät, das wir einmalig bei Ihnen vor Ort ins Netzwerk einbinden. Danach führen unsere Experten den internen Penetrationstest vollständig remote durch. Das Gerät verbindet sich ausschließlich über verschlüsselten Mobilfunk zurück zu uns — ohne VPN-Zugang oder Firewall-Anpassungen Ihrerseits. Das Ergebnis ist eine gleichwertige interne Analyse wie bei einem klassischen Vor-Ort-Einsatz, jedoch ohne Reise- und Übernachtungskosten.
Ein Vulnerability Scan ist ein automatisiertes Tool, das bekannte Schwachstellen auflistet - oft mit 30-70% False Positives. Ein Penetration Test geht deutlich weiter: Unsere Experten verifizieren jede Schwachstelle manuell, verketten sie zu Angriffspfaden, testen Business-Logic-Fehler und finden Schwachstellen, die kein Scanner erkennt. Sie erhalten verifizierte, reproduzierbare Findings mit konkreten Handlungsempfehlungen.
Die Dauer richtet sich nach Scope und Komplexität. Ein Web-Applikationstest dauert typischerweise 5-10 Werktage, ein umfassender Infrastrukturtest 10-20 Werktage. Im kostenlosen Erstgespräch klären wir den genauen Zeitrahmen und Sie erhalten innerhalb von 24 Stunden ein Festpreisangebot.
Nein. Wir arbeiten nach anerkannten Standards (OWASP, PTES, OSSTMM) und stimmen alle Tests vorab ab. Destruktive Tests wie DoS führen wir nur in isolierten Testumgebungen durch. Vor Tests in der operativen Umgebung wird ein aktuelles Back-Up erstellt. Unsere Tester sind ISO 27001 Lead Auditoren und halten sich an vertraglich fixierte Rules of Engagement.
Wir decken alle Bereiche ab: Web-Applikationen (OWASP Top 10, API Security), Netzwerk-Infrastruktur (intern/extern, Active Directory), Mobile Apps (iOS/Android), Cloud-Umgebungen (AWS, Azure, GCP) und IoT/OT-Systeme. Sowohl Black-Box (ohne Vorwissen), Grey-Box (mit Zugangsdaten) als auch White-Box (mit Quellcode) Tests.
Ja. § 30 Abs. 1 BSIG-E (NIS-2-Umsetzung) verpflichtet „besonders wichtige" und „wichtige Einrichtungen" zu Maßnahmen, die Störungen der Verfügbarkeit, Integrität und Vertraulichkeit vermeiden. Penetration Tests sind als „Penetrationsanalysen" explizit in § 40 Abs. 5 Nr. 3 BSIG-E genannt. Auch die DORA-Verordnung fordert seit dem 17. Januar 2025 „bedrohungsorientierte Penetrationstests" für Finanzunternehmen (Art. 26, 27 DORA). Unsere Berichte sind als Compliance-Nachweis für Auditoren und Behörden konzipiert.
Die Kosten richten sich nach Umfang und Komplexität. Ein fokussierter Web-App-Test beginnt ab ca. 5.000 EUR, ein umfassender Infrastrukturtest ab ca. 8.000 EUR. Sie erhalten innerhalb von 24 Stunden ein verbindliches Festpreisangebot - keine Stundensätze, keine Nachforderungen, keine Überraschungen.
Mindestens jährlich, bei kritischen Systemen oder nach größeren Änderungen (neue Releases, Infrastruktur-Umbau, M&A) häufiger. NIS-2-betroffene Unternehmen sollten vierteljährlich testen. Viele unserer Kunden nutzen unser Retainer-Modell für regelmäßige, planbare Tests zu reduzierten Konditionen.
Unser Bericht enthält: Management Summary für die Geschäftsführung (1-2 Seiten), detaillierte technische Findings mit CVSS-Score, Screenshots, reproduzierbaren Proof-of-Concepts und konkreten Handlungsempfehlungen, eine Risiko-Matrix und eine priorisierte Roadmap. Auf Anfrage erhalten Sie vorab einen Muster-Bericht.
Ja - wenn er professionell durchgeführt wird. Penetration Tests sind als technische und organisatorische Maßnahmen (TOMs) nach Art. 32 Abs. 1 DSGVO, § 165 TKG und § 8a BSIG rechtlich legitimiert. Das BSI empfiehlt sie als „bewährtes Mittel" zur Absicherung. Entscheidend ist die vertragliche Absicherung: Wir fixieren vor Testbeginn Einwilligungen, Bestimmungserklärungen und den Prüfumfang schriftlich. So stellen wir sicher, dass keine Straftatbestände (§§ 202a-c, 303a StGB) verwirklicht werden und unsere Tester befugt handeln.
Nein, grundsätzlich nicht. Alle Pentester sind festangestellt bei AWARE7 und unterliegen strengen Vertraulichkeitsvereinbarungen. Kein Freelancer, kein Subunternehmer hat Zugriff auf Ihre Systeme oder Ergebnisse. Der Einsatz einheitlicher Teams in der Durchführungs- und Auswertungsphase reduziert zudem strafrechtliche Risiken, wie auch in der juristischen Fachliteratur empfohlen. Alle Daten werden in Deutschland verarbeitet - auf unserer eigenen Infrastruktur, nicht in der Cloud.
Beim Black-Box-Pentest simulieren wir einen externen Angreifer ohne Vorwissen — wir erhalten nur den Scope (z. B. eine Domain oder IP-Range). Beim Grey-Box-Test arbeiten wir mit eingeschränktem Vorwissen, etwa Zugangsdaten oder Architektur-Dokumentation. Der White-Box-Pentest (auch Code Review) ist die umfassendste Variante: wir erhalten vollständigen Quellcode-Zugang und Architektur-Details. Die Wahl hängt vom Schutzbedarf ab — für maximale Abdeckung empfehlen wir Grey-Box als Standard.
Eine Schwachstellenanalyse (Vulnerability Assessment) nutzt automatisierte Scanner, um bekannte Schwachstellen aufzulisten — oft mit 30-70% False Positives. Ein Penetrationstest geht deutlich weiter: Unsere OSCP-zertifizierten Experten verifizieren jede Schwachstelle manuell, verketten sie zu realistischen Angriffspfaden und bewerten das tatsächliche Geschäftsrisiko. Das Ergebnis: keine False Positives, reproduzierbare Proof-of-Concepts und konkrete Handlungsempfehlungen mit CVSS-Bewertung.
Ein Penetrationstest hat einen definierten Scope (z. B. eine Web-App oder ein Netzwerksegment) und das Ziel, möglichst alle Schwachstellen zu finden. Red Teaming simuliert dagegen einen realen Angreifer über alle Vektoren hinweg — Technik, Phishing, Social Engineering, physischer Zugang — mit dem Ziel, ein konkretes Angriffsziel zu erreichen (z. B. Domain Admin oder Zugriff auf Kundendaten). Red Teaming testet primär Ihre Erkennung und Reaktion (Blue Team), während ein Pentest Ihre technische Angriffsfläche abdeckt.
Wir orientieren uns am BSI-Praxis-Leitfaden für IS-Penetrationstests, dem OWASP Testing Guide (für Web-Applikationen und APIs), dem PTES (Penetration Testing Execution Standard) und dem MITRE ATT&CK Framework (für Red Teaming). Unser Vorgehen folgt einem 5-Phasen-Modell: Vorbereitung, Informationsbeschaffung, Analyse & Bewertung, Aktive Eindringversuche und Abschlussanalyse mit Berichterstellung. Alle Tests werden nach anerkannten IT-Sicherheitsstandards dokumentiert und sind als Compliance-Nachweis nutzbar.
ISO 27001:2022
ISO 9001:2015
BSI Allianz für Cyber-Sicherheit
OSCP · OSWA · OSWP
100% Deutschland

Aus dem Blog

Weiterführende Artikel

NIS-2-Umsetzungsfrist läuft

Jede Woche ohne Pentest ist eine Woche, in der Angreifer den Vorteil haben.

NIS-2 verpflichtet betroffene Unternehmen zu Penetrationsanalysen. Warten Sie nicht auf den Vorfall — oder den Auditor.

1

Erstgespräch

30 Min., kostenlos

2

Festpreis in 24h

Verbindlich, transparent

3

Pentest startet

Bericht + Debrief inkl.

Mein kostenloses Erstgespräch sichern

Kein Risiko. Kein Spam. Nur ein 30-Minuten-Gespräch mit Ihrem Pentest-Experten.

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung