Pentests mit Substanz, nicht mit Checkboxen.
Wir prüfen Web-Applikationen, APIs, Netzwerke und Mobile-Apps so, wie ein motivierter Angreifer es tun würde. Mit klarem Bericht, CVSS-Scoring und einer Remediation-Roadmap, die Ihr Team auch ohne Übersetzer versteht.
Was wir testen.
Web-Applikationen
OWASP Top 10, Business-Logic, Auth-Flows, Session-Management, Input-Validierung, Server-Side Request Forgery.
APIs (REST und GraphQL)
OWASP API Top 10, BOLA, BFLA, Rate-Limiting, JWT-Sicherheit, Schema-Validation, Verbose Errors.
Netzwerke (extern und intern)
Port-Scanning, Service-Enumeration, Active Directory Pentest, Lateral Movement, Privilege Escalation, Domain-Compromise-Simulation.
Mobile-Apps
iOS und Android nach OWASP MASVS, Reverse-Engineering, lokaler Datenschutz, Network-Layer, Backend-Anbindung.
Cloud-Konfigurationen
AWS, Azure, Google Cloud nach CIS-Benchmarks. IAM-Policies, Storage-Sicherheit, Logging und Monitoring.
Social Engineering
Phishing-Kampagne, Pretexting-Calls, USB-Drops, Awareness-Bewertung. Optional als Add-on zum technischen Pentest.
Jeder Pentest enthält
- >_Scoping-Workshop (60 bis 90 Min) mit klarem Auftragsumfang
- >_Executive-Summary-Bericht für Geschäftsführung (5 bis 10 Seiten)
- >_Detaillierter Technik-Bericht für IT-Team (30 bis 100 Seiten je nach Scope)
- >_CVSS 3.1-Scoring für jeden Finding mit Reproduktions-Schritten
- >_Priorisierte Remediation-Roadmap mit Aufwandsschätzung
- >_Live-Walkthrough-Call zur Bericht-Übergabe (60 Min)
- >_Retest aller High- und Critical-Findings innerhalb 90 Tagen
- >_Retest-Zertifikat für Auditoren, Versicherer und Kunden
Standards die wir befolgen.
OWASP Top 10 und API Top 10
Die De-facto-Standards für Web- und API-Sicherheit. Wir prüfen jedes Item dokumentiert und nachvollziehbar.
OWASP MASVS
Mobile Application Security Verification Standard für iOS und Android Apps.
PTES Standard
Penetration Testing Execution Standard mit definierten Phasen von Pre-Engagement bis Reporting.
NIST SP 800-115
Technical Guide to Information Security Testing and Assessment, Compliance-relevant für US-Mandanten.
OSSTMM
Open Source Security Testing Methodology Manual für strukturierte Sicherheitsbewertungen.
IEC 62443
Bei ICS- und SCADA-Umgebungen zusätzlich der internationale OT-Sicherheits-Standard.
Was Mandanten typischerweise vorher wissen wollen.
Was kostet ein Penetration Test bei DC INFOSEC?
Vier Festpreis-Stufen: Web-App ab 6.900 EUR, API ab 8.900 EUR, Netzwerk ab 12.900 EUR, Premium-Vollumfang ab 24.900 EUR. Alle Preise verbindlich als Festpreis nach Scoping-Workshop, ohne Tagessätze, ohne Nachträge. Retest und Remediation-Begleitung in den ersten 90 Tagen inklusive.
Wie läuft ein typischer Pentest ab?
Tag 1: Scoping-Workshop. Tag 2 bis 5: Reconnaissance, Vulnerability-Analyse, kontrollierte Exploitation. Tag 6: Executive-Summary und Technik-Bericht. Tag 7 bis 90: Remediation-Begleitung. Tag 90: Retest inklusive.
Was unterscheidet euch von Konzern-Pentestern?
Sie reden direkt mit dem Pentester, nicht mit einem Account-Manager. Keine Junior-Consultant-Vertretung. Festpreise statt Tagessätze. Bericht in Deutsch und Englisch. Persönliche Verfügbarkeit für Rückfragen auch nach dem Engagement.
Welche Standards werden geprüft?
OWASP Top 10, OWASP API Top 10, OWASP MASVS (Mobile), OSSTMM, NIST SP 800-115, PTES. Bei kritischer Infrastruktur zusätzlich IEC 62443. Compliance-relevant für ISO 27001, NIS2, TISAX, PCI-DSS.
Ist der Pentest ohne Disruption für unsere Produktion?
Ja. Wir testen out-of-hours wo nötig, koordinieren mit Ihrem Ops-Team und arbeiten mit Tickets oder Slack-Kanal für Live-Kommunikation. Bei Produktiv-Risiken (z.B. DoS-Tests) stimmen wir Test-Zeiten ab.
Bekommen wir einen Retest nach Behebung?
Ja, in jedem Paket inklusive (bis 90 Tage nach Erstbericht). Wir prüfen jeden Finding einzeln nach und stellen ein finales Retest-Zertifikat aus, das Sie an Kunden, Versicherer oder Auditoren weitergeben können.
30 Minuten Erstberatung, kostenfrei.
Wir besprechen Ihr konkretes Anliegen, schätzen Aufwand und Preisrahmen ein und klären, ob wir der richtige Partner sind. Unverbindlich.