Leistung
Web-, API-, Mobile- und Infrastruktur-Penetrationstests
Belastbare Sicherheitsprüfung für geschäftskritische Anwendungen, Schnittstellen, mobile Apps und Infrastruktur.
Wann diese Leistung passt
Wenn Webanwendungen, APIs, mobile Apps oder Infrastruktur geschäftskritisch sind, reichen automatisierte Scans selten aus. Ich prüfe aus Angreiferperspektive, welche Schwachstellen tatsächlich ausnutzbar sind und welche Auswirkungen sie auf Systeme, Daten oder Prozesse hätten.
Was ich prüfe
Je nach vereinbartem Scope untersuche ich Webanwendungen, APIs, mobile Apps oder erreichbare Infrastruktur. Dazu gehören insbesondere Authentifizierung und Berechtigungen, Session- und Datenflüsse, Geschäftslogik, Eingabevalidierung, Konfigurationen sowie sinnvolle Angriffsketten. Automatisierte Werkzeuge unterstützen die Prüfung; die Bewertung und Verifikation erfolgen manuell.
Was Sie erhalten
Sie erhalten einen nachvollziehbaren Bericht mit reproduzierbaren Befunden, Management-tauglicher Risikoeinordnung und konkreten Maßnahmen. Die Prüfung orientiert sich je nach Scope an etablierten Standards wie OWASP WSTG, OWASP MSTG, PTES und NIST SP 800-115.
- Management Summary mit den wichtigsten Geschäftsrisiken
- technische Findings mit Nachweis, Auswirkung und Reproduktionsschritten
- priorisierte, umsetzbare Empfehlungen
- Ergebnisbesprechung mit Management und technischem Team
- auf Wunsch ein fokussierter Retest vereinbarter Findings
Einen Eindruck von Aufbau und Detailtiefe gibt die synthetische Beispiel-Management-Summary.
Typischer Ablauf
- Im Erstgespräch klären wir Ziel, Systeme, Testart und relevante Termine.
- Der Scope hält Ziele, Grenzen, Testkonten, erlaubte Verfahren und Notfallkontakte fest.
- Ich prüfe im vereinbarten Zeitfenster und melde kritische Befunde unmittelbar.
- Sie erhalten den Bericht; anschließend ordnen wir Risiken und Maßnahmen gemeinsam ein.
- Ein Retest kann nach der Behebung separat eingeplant werden.
Voraussetzungen
Erforderlich sind eine schriftliche Beauftragung, klar benannte Zielsysteme und Ansprechpartner. Je nach Test benötige ich Testzugänge, Rollenmodelle, API-Dokumentation, Build-Dateien oder einen sicheren Zugang zur Testumgebung. Produktivtests erfolgen nur nach ausdrücklicher Abstimmung und mit definiertem Eskalationsweg.
Typischer Zeitrahmen
Für klar abgegrenzte Anwendungen sind meist fünf bis zehn Prüftage zuzüglich Abstimmung und Bericht realistisch. Komplexe Plattformen, mehrere Rollen, mobile Apps mit Backend oder größere Infrastruktur-Scope benötigen entsprechend mehr Zeit. Eine belastbare Schätzung erhalten Sie nach der Scope-Klärung.
Nicht enthalten
Nicht Bestandteil sind unangekündigte Social-Engineering-Angriffe, Denial-of-Service-Tests, dauerhafte Überwachung, vollständige Quellcode-Audits oder Tests außerhalb des freigegebenen Scopes. Eine Prüfung ist eine zeitbezogene Stichprobe und keine Garantie auf vollständige Schwachstellenfreiheit.
Nächster Schritt
Senden Sie mir über die Projektanfrage kurz Zielsystem, gewünschten Zeitraum und Anlass der Prüfung. Ich antworte mit den offenen Scope-Fragen und einem Vorschlag für das weitere Vorgehen.