Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Mobile Application Security

Penetrationstest für Mobile Apps
Ihre App. Unter Angriff. Durch uns.

iOS. Android. Hybrid. Wir analysieren Ihre Mobile App nach OWASP Mobile Top 10, dekompilieren das Binary, instrumentieren die Laufzeit mit Frida und decken Schwachstellen auf, die kein automatisierter Scanner findet.

App-Pentest anfragen OWASP Mobile Top 10 ansehen
OWASP Mobile Top 10 iOS & Android ISO 27001 Festpreis in 24h

Diese Unternehmen vertrauen AWARE7

Pentests durchgeführt
beide Plattformen
iOS & Android
Festpreis-Angebot
vollständig abgedeckt
OWASP Mobile Top 10

iOS & Android

Zwei Plattformen. Zwei Sicherheitsmodelle. Gleiche Gründlichkeit.

iOS und Android unterscheiden sich fundamental in Architektur, Sandbox-Modell und Angriffsvektoren. Wir kennen beide in der Tiefe.

iOS-spezifische Tests

Objective-C / Swift

  • Jailbreak-basierte Analyse — Bypass von Jailbreak-Detection via Frida/Objection, Sandbox-Integrity-Checks, dylib-Injection auf physischen Geräten simulieren.
  • Keychain Dumping — Extraktion von Keychain-Einträgen auf gejailbreakten Geräten, Prüfung der Accessibility-Flags (kSecAttrAccessibleAlways), Secure-Enclave-Bindung.
  • Binary Analysis (otool, class-dump) — Disassemblierung von ARM64-Binaries, Methodensignaturen via class-dump rekonstruieren, hartcodierte Strings und Schlüssel extrahieren.
  • IPA Reverse Engineering — Entpacken und Analysieren von IPA-Archiven, Plist-Konfigurationen, eingebettete Frameworks und Third-Party-SDKs untersuchen.
  • App Transport Security — ATS-Ausnahmen in Info.plist prüfen, NSAllowsArbitraryLoads, Domain-spezifische Ausnahmen und Minimum-TLS-Version auditieren.
  • Certificate Pinning Bypass — SSL-Kill-Switch, Frida-Skripte und objection pinning disable zur Interception selbst bei implementiertem Pinning.

Gemeinsam mit iOS: API-Kommunikationsanalyse, lokale Datenspeicherung, Session-Management

Android-spezifische Tests

Java / Kotlin / APK

  • Root-basierte Analyse — Magisk-Root, su-Binary-Checks, RootBeer-Detection-Bypässe über Frida simulieren und Schutzmaßnahmen validieren.
  • APK Decompilation (jadx) — JADX und Apktool zur Quellcode-Rekonstruktion, Java/Kotlin-Klassen wiederherstellen, Ressourcen und Assets extrahieren.
  • Smali Patching — Direktes Manipulieren von Smali-Code um Anti-Tamper-Checks zu deaktivieren, License Checks zu umgehen oder Debug-Flags zu setzen.
  • Intent / Content Provider Abuse — Exported Activities, Services und Broadcast Receiver auf unbeabsichtigte Zugänglichkeit, Intent-Injection und Daten-Exfiltration testen.
  • Certificate Pinning Bypass — Frida-Skripte, TrustManager-Hooking und Magisk-Module zur Interception von gepinntem Datenverkehr einsetzen.
  • WebView-Schwachstellen — JavaScript-Interface-Injection, addJavascriptInterface, shouldOverrideUrlLoading, File-Access und Universal-XSS in eingebetteten WebViews prüfen.

Gemeinsam mit Android: API-Kommunikationsanalyse, lokale Datenspeicherung, Session-Management

Hybrid-Apps (React Native, Flutter, Xamarin) testen wir ebenfalls vollständig. Bei React Native analysieren wir JavaScript-Bundles auf hartcodierte Secrets und prüfen Code-Obfuszierung. Flutter-Apps werden via Dart-Decompilation und native Binary-Analyse geprüft. Xamarin-Apps erhalten einen kombinierten .NET- und plattform-nativen Test. In allen Fällen führen wir vollständige OWASP-MASVS-konforme Tests durch.

OWASP Mobile Top 10:2024

Alle 10 Kategorien. Vollständig geprüft.

Der OWASP Mobile Top 10 ist der internationale Referenzrahmen für Mobile-App-Sicherheit. Jedes Finding in unserem Bericht ist einer dieser Kategorien zugeordnet.

M1

Improper Credential Usage

Hardcodierte API-Keys, Passwörter und Zertifikate im Binary sowie in Konfigurationsdateien. Wir extrahieren systematisch alle Secrets aus dem App-Bundle — Strings, embedded Resources, Konfigurationsdateien und kompilierten Code.

M2

Inadequate Supply Chain Security

Verwundbare Third-Party-Bibliotheken, unsichere SDK-Integrationen und kompromittierte Build-Pipelines. Wir inventarisieren alle Abhängigkeiten und gleichen sie gegen bekannte CVEs ab.

M3

Insecure Authentication / Authorization

Schwache Authentifizierungslogik, fehlende Biometrie-Absicherung, Client-seitige Autorisierungsprüfungen und bypassbare Login-Flows. Wir testen alle Auth-Mechanismen auf Umgehbarkeit über Frida und manipulierte Requests.

M4

Insufficient Input / Output Validation

Fehlende Validierung von Nutzereingaben und API-Responses führt zu Injection-Angriffen in SQLite-Datenbanken, WebView-XSS und Content-Provider-Injektionen. Jeder Input-Kanal wird auf Injection-Vektoren geprüft.

M5

Insecure Communication

Fehlendes Certificate Pinning, unsichere TLS-Konfigurationen, mixed HTTP/HTTPS-Verbindungen und übermäßige Datenweitergabe an Drittanbieter-SDKs. Wir intercepieren den gesamten Netzwerkverkehr.

M6

Inadequate Privacy Controls

Übermäßige Berechtigungsanfragen, ungerechtfertigte Erfassung sensibler Daten (Standort, Kontakte, Mikrofon) und fehlerhafte DSGVO-Datenschutzimplementierungen. Wir auditieren Permission-Modell und Datenflüsse.

M7

Insufficient Binary Protections

Fehlende Code-Obfuskierung, deaktiviertes ASLR/PIE, fehlendes Stack Canary, kein Tampering-Detection. Wir prüfen alle Binary-Schutzmaßnahmen und testen deren tatsächliche Wirksamkeit gegen Frida-Hooking.

M8

Security Misconfiguration

Debug-Flags in Produktion, übermäßige Logging-Ausgaben, exportierte Android-Komponenten ohne Schutz, fehlerhafte AndroidManifest-Konfigurationen und unsichere Backup-Einstellungen.

M9

Insecure Data Storage

Auth-Tokens, persönliche Daten und Zahlungsinformationen im Klartext in SharedPreferences, Plist-Files, SQLite-Datenbanken und App-Backups. Wir prüfen alle Speicherorte auf Verschlüsselung und Zugriffsschutz.

M10

Insufficient Cryptography

Veraltete kryptographische Algorithmen (MD5, SHA-1, DES), selbstimplementierte Kryptographie, unsichere Schlüsselverwaltung und vorhersagbare IV/Nonce-Generierung. Wir auditieren alle kryptographischen Operationen.

API & Backend

Mobile API Security — der unterschätzte Angriffsvektor

Die meisten kritischen Schwachstellen in Mobile Apps liegen nicht in der App selbst, sondern im Backend. Wir testen beides — und die Interaktion zwischen App und Server.

REST & GraphQL API-Tests

Vollständige Kartierung aller API-Endpunkte direkt aus der App-Analyse. Wir testen auf fehlende Autorisierung, BOLA/IDOR-Schwachstellen und übermäßige Datenweitergabe.

Authentication Token Security

JWT-Schwachstellen (alg:none, weak secrets), OAuth-Flows, Session-Invalidierung, Token-Lifetime und Refresh-Token-Sicherheit im mobilen Kontext.

Rate Limiting & Business Logic

Brute-Force-Schutz auf Login- und Payment-Endpunkten, Mengenmanipulation, Preis-Manipulation und Race-Conditions in zeitkritischen API-Operationen.

Server-Side Injection

SQL-Injection, NoSQL-Injection, SSRF und XXE über mobile API-Parameter — besonders relevant bei APIs, die primär für mobile Clients entwickelt wurden.

API Endpoint Discovery — Beispiel

GET /api/v2/users/{id}/profile IDOR
POST /api/v2/payment/transfer No Rate Limit
PUT /api/v2/admin/users/{id} Auth missing
GET /api/v2/products/list OK
POST /api/v2/search?q= SQLi

Automatisch aus App-Traffic kartiert, manuell verifiziert.

Methodik

3 Phasen. Systematisch. Reproduzierbar.

OWASP-MASVS- und OWASP-MASTG-konforme Methodik — transparent dokumentiert, jeder Schritt nachvollziehbar.

01

Statische Analyse

Reverse Engineering des App-Binaries oder APK ohne Ausführung. Wir rekonstruieren den Quellcode, analysieren Konfigurationsdateien, suchen nach hartcodierten Secrets und auditieren eingebettete Third-Party-Bibliotheken auf bekannte CVEs. Obfuskierung wird durch Deobfuskierungstechniken behandelt.

JADXApktoolMobSFHopperGhidrastrings
02

Dynamische Analyse

Die App wird auf echten gejailbreakten bzw. gerooteten Geräten ausgeführt. Wir instrumentieren den Prozess mit Frida zur Laufzeit, hooken Authentifizierungsfunktionen, lesen Speicherbereiche aus und umgehen Anti-Tamper-Mechanismen. SSL-Pinning-Bypässe ermöglichen vollständige Traffic-Interception.

FridaObjectionBurp SuiteCycriptmitmproxy
03

Backend Testing

Das Backend der App wird separat und im Verbund mit der App getestet. Wir kartieren alle API-Endpunkte aus dem App-Traffic, prüfen Autorisierung auf Endpunkt- und Ressourcenebene, suchen nach IDOR/BOLA-Schwachstellen und testen auf Injection-Angriffe und Business-Logic-Fehler.

Burp Suite ProPostmanSQLMapOWASP ZAP

Typische Findings

Was wir regelmäßig finden

Diese Schwachstellen finden sich in der Mehrzahl der getesteten Apps — unabhängig von Technologie-Stack oder Unternehmensgröße.

Critical CVSS 9.1
M1 · M10 · MASVS-RESILIENCE-2

Hardcoded API Keys im Binary — Zugriff auf alle Nutzerdaten

Im App-Binary ist ein Admin-API-Key im Klartext eingebettet. Durch Dekompilierung mit JADX oder strings-Analyse ist dieser Key sofort extrahierbar. Jeder Angreifer mit Zugriff auf die öffentlich verfügbare App kann damit die gesamte Nutzerdatenbank über die Management-API auslesen — ohne Authentifizierung, ohne Kenntnis des Backends.

// strings extracted from libapp.so
private static final String ADMIN_API_KEY = "sk-admin-f7x9q2mK...";
High CVSS 8.2
M5 · MASVS-NETWORK-1

Missing Certificate Pinning erlaubt Man-in-the-Middle

Die App akzeptiert beliebige TLS-Zertifikate, die von einer installierten User-CA ausgestellt wurden. Angreifer im selben Netzwerk — öffentliches WLAN, kompromittierter Router, Unternehmens-Proxy — können den gesamten Datenverkehr inklusive Authentifizierungstoken, persönlicher Daten und Zahlungsinformationen mitlesen und manipulieren. Certificate Pinning ist nicht implementiert.

High CVSS 7.4
M9 · MASVS-STORAGE-1

Insecure Local Storage of Auth Tokens

Authentifizierungstoken und Session-Cookies werden unverschlüsselt in SharedPreferences (Android) bzw. im UserDefaults-Plist (iOS) gespeichert. Bei Geräteverlust, kompromittiertem Backup oder Zugriff durch eine bösartige App mit Accessibility-Permissions sind diese Tokens sofort auslesbar und ermöglichen die vollständige Account-Übernahme ohne Passwort.

Medium CVSS 6.5
M5 · MASVS-NETWORK-2

Unverschlüsselte Datenübertragung an Analytics-Endpunkt

Analysedaten inklusive Gerätekennzeichnungen, Nutzungsverhalten und teilweise personenbezogene Metadaten werden über HTTP (ohne TLS) an einen Analytics-Endpunkt übermittelt. Die Daten sind im Netzwerkverkehr im Klartext lesbar und ermöglichen in Kombination mit anderen Findings die Profilierung einzelner Nutzer ohne deren Wissen.

Preise & Pakete

Transparente Festpreise

Kein Stundensatz-Risiko. Keine Nachforderungen. Verbindliches Festpreisangebot innerhalb von 24 Stunden nach dem kostenlosen Erstgespräch.

Single Platform

iOS oder Android

ab 6.000 EUR

zzgl. MwSt.

5–8 Werktage
  • Vollständiger OWASP MASVS Test
  • Statische & dynamische Analyse
  • API-Kommunikationsanalyse
  • CVSS-bewertete Findings
  • Management Summary
  • Re-Test kritischer Findings
Angebot anfragen
Empfohlen

Dual Platform

iOS + Android

ab 10.000 EUR

zzgl. MwSt.

8–12 Werktage
  • Alles aus Single Platform
  • Beide Plattformen vollständig
  • Plattformübergreifende Vergleichsanalyse
  • Gemeinsame Backend-API-Prüfung
  • Priorisierte Gesamt-Roadmap
  • Re-Test aller High/Critical Findings
Angebot anfragen

Enterprise

App + API + Backend

ab 15.000 EUR

zzgl. MwSt.

12–18 Werktage
  • Alles aus Dual Platform
  • Vollständiger REST/GraphQL API-Test
  • OWASP API Security Top 10
  • Server-Side Vulnerability Testing
  • Kombinierter App + API Attack Path
  • Re-Test aller Findings
Angebot anfragen

Festpreis-Garantie

Kein Stundensatz-Risiko. Der vereinbarte Preis ist der finale Preis.

Angebot in 24h

Nach dem kostenlosen Erstgespräch erhalten Sie ein verbindliches Angebot.

Retainer-Modell verfügbar

Regelmäßige Tests zu festen Konditionen — ideal für kontinuierliche Entwicklung.

Alle Preise sind Richtwerte. Das verbindliche Festpreisangebot erhalten Sie nach dem kostenlosen Erstgespräch — innerhalb von 24 Stunden.

Compliance & Standards

Regulatorische Anforderungen sicher erfüllen

Mobile Apps stehen unter wachsendem regulatorischen Druck. Unser Pentest-Bericht ist als Nachweis für Audits, Aufsichtsbehörden und Zertifizierungen konzipiert.

App Store Security

Apple & Google Store-Richtlinien

Apple App Store Review Guidelines und Google Play Protect prüfen auf Datenschutz- und Sicherheitsverstöße. Unser Pentest identifiziert Store-relevante Schwachstellen proaktiv vor der Einreichung und reduziert das Risiko von Ablehnungen oder Sperren.

DSGVO Art. 25

Privacy by Design

Art. 25 DSGVO fordert Datenschutz durch Technikgestaltung. Mobile Apps verarbeiten hochsensible Daten — Standort, Kontakte, Biometrie. Unser Bericht dokumentiert technische Schutzmaßnahmen als TOM-Nachweis gegenüber Datenschutzbehörden und ist als Beleg bei Datenschutz-Audits einsetzbar.

BSI TR-03161

BSI Mobile Security

BSI TR-03161 definiert Sicherheitsanforderungen für Mobile Anwendungen im Kontext behördlicher und kritischer Nutzung. Unsere Methodik deckt alle Prüfbereiche dieser technischen Richtlinie ab und liefert eine strukturierte Konformitätsbewertung — relevant für Apps im öffentlichen Sektor und KRITIS-Umfeld.

PSD2

Banking App Security

PSD2 (Zahlungsdiensterichtlinie) verpflichtet Finanz-Apps zu starker Kundenauthentifizierung (SCA) und dynamischer Verknüpfung. Wir prüfen PSD2-relevante Kontrollen: Biometrie-Sicherheit, Transaction-Binding, App-Integrität und Anti-Fraud-Mechanismen — nach EBA-Leitlinien zu Mobile Security.

Warum AWARE7 für Ihren Mobile-Pentest

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Referenzen aus der Praxis

Pentesting & Schwachstellenscans

Sill Optics GmbH

Feststellung der Angriffsfläche bei Sill Optics GmbH

Pentesting & Schwachstellenscans

XignSys GmbH

Whitebox-Penetrationstests eines Authentifizierungsdienstes als Mobile- und Web-Anwendung

Pentesting & Schwachstellenscans

TWINSOFT GmbH & Co. KG

Externer Penetrationstest einer iOS-Applikation

So läuft es ab

Vom Erstgespräch zum Bericht

Drei Schritte. Kein versteckter Aufwand. Keine Überraschungen.

1

Kostenloses Erstgespräch

In einem 30-minütigen Call klären wir Ihren konkreten Use Case: Plattformen, App-Komplexität, besondere Anforderungen (z. B. Compliance, CI/CD-Integration). Sie erhalten innerhalb von 24 Stunden ein verbindliches Festpreisangebot.

Dauer: 30 Minuten

2

Durchführung des Tests

Nach Beauftragung und Kick-off startet unser Team umgehend. Sie stellen Build-Artefakte und Test-Accounts bereit. Wir testen in einer isolierten Umgebung und melden kritische Findings proaktiv — ohne auf den Abschlussbericht zu warten.

Dauer: 5–18 Werktage je Paket

3

Bericht & Re-Test

Sie erhalten den vollständigen Abschlussbericht mit Management Summary, technischen Findings und Remediation-Roadmap. Nach Behebung der Schwachstellen führen wir den Re-Test durch und stellen ein Verifikations-Addendum aus — als Nachweis für Auditoren.

Inklusive Re-Test-Zertifikat

FAQ

Häufige Fragen zum Mobile App Pentest

Wir testen native iOS-Apps (Objective-C, Swift), native Android-Apps (Java, Kotlin) sowie Hybrid-Apps (React Native, Flutter, Xamarin, Cordova). Für iOS werden IPA-Dateien oder TestFlight-Builds benötigt, für Android APK- oder AAB-Dateien. Beide Plattformen testen wir auf echten physischen Geräten — gejailbreakten iPhones bzw. gerooteten Android-Geräten der aktuellen Gerätegenerationen.
Nein, Quellcode ist nicht erforderlich. Wir führen standardmäßig einen Black-Box- oder Grey-Box-Test auf Basis der kompilierten App durch. Auf Wunsch akzeptieren wir auch den Quellcode für einen umfangreicheren White-Box-Test — das ermöglicht eine tiefere statische Analyse und verkürzt die Testdauer. Beide Ansätze liefern vollwertige OWASP-MASVS-konforme Ergebnisse.
Ein fokussierter Test für eine einzelne Plattform (iOS oder Android) dauert typischerweise 5–8 Werktage vom Kick-off bis zur Berichtslieferung. Ein kombinierter iOS- und Android-Test benötigt 8–12 Werktage. Inklusive vollständigem Backend-API-Test kalkulieren wir 12–18 Werktage. Bei sehr komplexen Apps mit umfangreichen Features und API-Endpunkten besprechen wir den genauen Zeitrahmen im kostenlosen Erstgespräch.
Für die dynamische Analyse nutzen wir Frida (Laufzeit-Instrumentierung), Objection (Frida-basiertes Framework), Burp Suite Pro (Traffic-Interception), mitmproxy und Wireshark. Für statische Analyse: JADX und Apktool (Android), Hopper und Ghidra (iOS), MobSF (automatisierte Vorab-Analyse). Alle Tools werden von erfahrenen Penetrationstestern manuell eingesetzt — nicht als Ersatz für Expertise, sondern als Unterstützung.
Ja. Wir bieten Retainer-Modelle an, bei denen jeder Major Release automatisch einen definierten Delta-Test auslöst. Dabei prüfen wir ausschließlich die veränderten Bereiche — Neue Features, geänderte API-Endpunkte, aktualisierte Authentifizierungsflows. Das Ergebnis erhalten Sie als strukturiertes JSON-Format, das sich in Ihr Issue-Tracking (Jira, GitHub Issues, GitLab) integrieren lässt.
Direkt und indirekt. Apple App Store Review und Google Play Protect prüfen auf bestimmte Sicherheitskriterien. Unser Pentest identifiziert Schwachstellen, die zu Store-Ablehnungen führen können — z. B. Datenspeicherung außerhalb der App-Sandbox, Verwendung privater APIs, unsichere Netzwerkkommunikation. Zusätzlich verbessert ein sauberer Sicherheitsstatus das Risikoprofil im Rahmen von Compliance-Audits (DSGVO, ISO 27001).
Ja. Alle unsere Pakete beinhalten einen Re-Test der kritischen und hochkritischen Findings nach der Remediation durch Ihr Team. Dieser Verifikationstest bestätigt, dass die Schwachstellen korrekt behoben wurden und keine Regression entstanden ist. Die Re-Test-Ergebnisse werden als Addendum in den Abschlussbericht integriert — als Nachweis für Auditoren und Compliance-Anforderungen.
Der Bericht umfasst: (1) Management Summary für die Geschäftsführung — nicht-technisch, mit Risikoüberblick und Handlungsempfehlungen. (2) Executive Dashboard mit CVSS-Score-Verteilung nach Kritikalität und OWASP-MASVS-Kategorie. (3) Vollständige technische Findings mit Screenshot-Nachweisen, reproduzierbaren Proof-of-Concept-Schritten und plattformspezifischen Remediation-Empfehlungen inkl. Code-Beispielen. Auf Anfrage stellen wir vorab einen anonymisierten Muster-Bericht zur Verfügung.
Zur Vorbereitung benötigen wir: den aktuellen Build (IPA oder APK/AAB), gültige Test-Accounts mit verschiedenen Berechtigungsstufen (Standard-User, Admin, falls vorhanden Premium-User), API-Dokumentation falls vorhanden (optional, aber hilfreich), sowie eine unterzeichnete Beauftragung (Rules of Engagement). Alles wird im Kick-off-Meeting gemeinsam abgestimmt. Der Aufwand für Sie beträgt typischerweise 1–2 Stunden.
Die Kosten hängen von Plattformanzahl, App-Komplexität und gewünschtem Umfang ab. Als Orientierung: Single-Platform (iOS oder Android) ab 6.000 EUR, Dual-Platform (iOS + Android) ab 10.000 EUR, Enterprise-Paket (App + API + Backend) ab 15.000 EUR. Alle Preise sind Festpreise — keine Stundensatz-Risiken, keine Nachforderungen. Verbindliches Angebot innerhalb von 24 Stunden nach dem kostenlosen Erstgespräch.

Aus dem Blog

Weiterführende Artikel

Bereit für einen ehrlichen Blick auf Ihre App-Sicherheit?

Wir analysieren Ihre iOS- oder Android-App und liefern klare, reproduzierbare Findings. Festpreisangebot innerhalb von 24 Stunden nach dem Erstgespräch.

App-Pentest anfragen

Kostenlos · 30 Minuten · Unverbindlich

Zertifizierungen & Standards

OWASP Mobile Top 10 OWASP MASVS OWASP MASTG OSCP-zertifiziert ISO 27001 BSI IT-Grundschutz CVSS 3.1

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung