OSCP · CEH · Black Box · Web · Netzwerk · Cloud · Social Engineering

ISO 27001NIS2PCI-DSS

Was ein Hacker findet, finden wir zuerst — bevor der Schaden entsteht

Q: Was kostet ein Penetrationstest?

Ein Web-App-Pentest für eine mittelgroße Applikation startet ab 4.500 Euro Festpreis. Vollständige Infrastruktur-Pentests (Netzwerk + Anwendungen) liegen bei 8.000–25.000 Euro je nach Umfang. Nach dem Scoping-Gespräch erhalten Sie ein verbindliches Angebot.

Q: Was ist der Unterschied zwischen einem Pentest und einem Sicherheitsaudit?

Ein Audit bewertet Konfigurationen, Richtlinien und Schwachstellen — er prüft "gibt es Lücken?". Ein Pentest simuliert einen echten Angriff und zeigt wie weit ein Angreifer kommt — er beantwortet "was kann ein Angreifer mit diesen Lücken tun?". Für vollständige Sicherheit empfehlen wir beides.

Q: Welche Zertifizierungen haben Ihre Tester?

Unsere Tester halten OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) und GPEN (GIAC Penetration Tester) Zertifizierungen. Alle Tests werden von mindestens einem OSCP-zertifizierten Senior-Tester durchgeführt und begleitet.

Q: Muss der Betrieb während des Pentests unterbrochen werden?

Nein. Pentests können im laufenden Betrieb durchgeführt werden — wir koordinieren sensible Tests (z.B. Belastungstests) für Wartungsfenster außerhalb der Kernzeiten. Exploits die Systeme zum Absturz bringen werden immer vorab mit Ihnen abgestimmt.

Q: Was bekomme ich als Ergebnis?

Zwei Berichte: (1) Management-Summary für Geschäftsführung und Vorstand — Risiken in klarer Sprache. (2) Technischer Detailbericht für Ihr IT-Team — alle Findings mit CVSS-Score, Proof-of-Concept, Schritt-für-Schritt-Beschreibung und konkreter Behebungsempfehlung. Beide Berichte sind für BaFin, NIS2 und Versicherungen geeignet.

Q: Wie oft sollte ein Pentest durchgeführt werden?

Empfehlung: mindestens einmal jährlich für Kerninfrastruktur, nach jedem größeren Release für Webanwendungen, nach Infrastrukturänderungen (Cloud-Migration, neue Standorte). NIS2 und PCI-DSS fordern regelmäßige Tests — wir beraten Sie über die für Ihre Branche optimale Frequenz.

Ethisches Hacking für maximale Sicherheit

Kontrollierte Angriffssimulationen durch zertifizierte Ethical Hacker — Web-Apps, Netzwerke, Cloud und Social Engineering.

Kostenlose Beratung +49 895 419 2733

PartnerMicrosoft PartnerGoogle PartnerAWS PartnerIONOS Partner

🔒DSGVO-zertifiziert

✅NIS2-konform

🇩🇪Serverstandort Deutschland

⚡<4h Reaktionszeit

Ø 18

kritische Findings pro Pentest

darunter immer mindestens ein kritisches (CVSS 9+)

5 AT

bis zum fertigen Bericht

Management-Summary + technischer Detailbericht

100%

OSCP-zertifizierte Tester

gerichtsverwertbare Dokumentation aller Findings

Anonymisierter ReferenzfallFinanzdienstleister · Frankfurt, 45 Mitarbeiter

Ausgangslage

Jährlicher Pentest für BaFin-Anforderungen, Web-Applikation mit Kundendaten, kein vorheriger Sicherheitstest.

Lösung & Ergebnis

Black-Box-Pentest der Web-App nach OWASP Testing Guide, interner Netzwerk-Pentest, Social-Engineering-Test mit Phishing-Kampagne.

22 Findings (4 kritisch, 8 hoch, 10 mittel) — inkl. SQL-Injection die Kundendaten exponiert hatte. Alle behoben, BaFin-Nachweis erbracht.

Das Problem

Angreifer kennen Ihre Systeme besser als Sie — bis zum Angriff

Echte Hacker nutzen genau die Lücken die Ihr Team für unwahrscheinlich hält — Pentests zeigen was wirklich angreifbar ist
SQL-Injection, IDOR und fehlkonfigurierte APIs werden von Scannern nicht zuverlässig gefunden — nur manuelles Testing durch erfahrene Tester
NIS2, PCI-DSS und Cyberversicherungen fordern regelmäßige Penetrationstests mit nachgewiesenen Findings und Behebung

Unsere Antwort

Kontrollierter Angriff durch zertifizierte Ethical Hacker — mit vollem Bericht

OSCP-zertifizierte Tester mit echter Angriffserfahrung — kein automatisierter Scanner-Report, sondern manuelles kreatives Testing
Vollständige Kill-Chain-Dokumentation: von der ersten Lücke bis zum potentiellen Datenzugriff — damit Ihr Management das Risiko versteht
Behebungsbegleitung und kostenloser Nachtest nach 60–90 Tagen — wir stellen sicher dass die Lücken wirklich geschlossen sind

Leistungsumfang

Was Penetrationstest (Pentest) für Sie leistet

🕵️

Black-Box-Test

Angriffssimulation ohne Vorinformationen — so wie ein echter Angreifer vorgehen würde.

🌐

Web-App-Pentest

Umfassende Sicherheitsprüfung von Webanwendungen nach OWASP Testing Guide und WSTG.

🔌

Netzwerk-Pentest

Penetrationstests interner und externer Netzwerkinfrastruktur inklusive Lateral Movement.

☁️

Cloud-Pentest

Sicherheitstests Ihrer Azure-, AWS- oder Google-Cloud-Umgebung auf Fehlkonfigurationen.

👥

Social Engineering

Phishing-Kampagnen und Vishing-Tests zur Bewertung des menschlichen Sicherheitsfaktors.

📄

Detaillierter Report

Managementübersicht und technischer Detailbericht mit CVSS-Scores und Proof-of-Concept.

Vorgehen

So gehen wir vor

Scoping & Freigabe

Festlegung des Prüfumfangs, Ziele und Einholung schriftlicher Freigaben für alle Tests.

Angriffssimulation

Durchführung der Penetrationstests durch zertifizierte Ethical Hacker (OSCP, CEH).

Auswertung

Erstellung des Abschlussberichts mit Management-Summary und technischen Details.

Nachtest

Optionaler Nachtest nach Behebung der Schwachstellen zur Verifikation der Maßnahmen.

“

Der Pentest hat eine SQL-Injection in unserem Kundenportal gefunden, die wir seit dem Launch hatten. Ein Angreifer hätte Zugriff auf alle Kundendaten gehabt. Clouderio hat das gefunden und behoben, bevor jemand anderes es getan hat.

Thomas K.

CTO · Finanzdienstleister, Frankfurt, 45 Mitarbeiter

Häufige Fragen

Alles Wichtige zu Penetrationstest (Pentest) auf einen Blick.

Was kostet ein Penetrationstest?+

Ein Web-App-Pentest für eine mittelgroße Applikation startet ab 4.500 Euro Festpreis. Vollständige Infrastruktur-Pentests (Netzwerk + Anwendungen) liegen bei 8.000–25.000 Euro je nach Umfang. Nach dem Scoping-Gespräch erhalten Sie ein verbindliches Angebot.

Was ist der Unterschied zwischen einem Pentest und einem Sicherheitsaudit?+

Ein Audit bewertet Konfigurationen, Richtlinien und Schwachstellen — er prüft "gibt es Lücken?". Ein Pentest simuliert einen echten Angriff und zeigt wie weit ein Angreifer kommt — er beantwortet "was kann ein Angreifer mit diesen Lücken tun?". Für vollständige Sicherheit empfehlen wir beides.

Welche Zertifizierungen haben Ihre Tester?+

Unsere Tester halten OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) und GPEN (GIAC Penetration Tester) Zertifizierungen. Alle Tests werden von mindestens einem OSCP-zertifizierten Senior-Tester durchgeführt und begleitet.

Muss der Betrieb während des Pentests unterbrochen werden?+

Nein. Pentests können im laufenden Betrieb durchgeführt werden — wir koordinieren sensible Tests (z.B. Belastungstests) für Wartungsfenster außerhalb der Kernzeiten. Exploits die Systeme zum Absturz bringen werden immer vorab mit Ihnen abgestimmt.

Was bekomme ich als Ergebnis?+

Zwei Berichte: (1) Management-Summary für Geschäftsführung und Vorstand — Risiken in klarer Sprache. (2) Technischer Detailbericht für Ihr IT-Team — alle Findings mit CVSS-Score, Proof-of-Concept, Schritt-für-Schritt-Beschreibung und konkreter Behebungsempfehlung. Beide Berichte sind für BaFin, NIS2 und Versicherungen geeignet.

Wie oft sollte ein Pentest durchgeführt werden?+

Empfehlung: mindestens einmal jährlich für Kerninfrastruktur, nach jedem größeren Release für Webanwendungen, nach Infrastrukturänderungen (Cloud-Migration, neue Standorte). NIS2 und PCI-DSS fordern regelmäßige Tests — wir beraten Sie über die für Ihre Branche optimale Frequenz.

Ergänzende Leistungen

IT-Sicherheitsaudit

Schwachstellen finden, bevor Angreifer es tun

Firewall & Antivirus

Mehrschichtiger Schutz gegen moderne Cyberbedrohungen

NIS2-Compliance

NIS2-Pflicht erfüllen — ohne Stress

Angriffsmethodik

Wir denken wie ein Angreifer —
um Sie besser zu schützen

Unsere Tester folgen der gleichen Kill Chain wie echte Angreifer. Nur so finden wir Schwachstellen die automatische Scanner übersehen.

Reconnaissance

OSINT, Footprinting, Enumeration — alle öffentlichen Informationen sammeln

Scanning & Enumeration

Ports, Dienste, Versionen, Schwachstellen identifizieren

Exploitation

Aktive Ausnutzung gefundener Schwachstellen — kontrolliert und dokumentiert

Post-Exploitation

Lateral Movement, Privilege Escalation — wie weit kommt ein Angreifer?

Reporting & Remediation

Vollständige Dokumentation, CVSS-Scores, Behebungsanleitung

Durchschnittliche kritische FindingsØ 4 kritisch (CVSS 9+)

Pentest-Varianten

Welcher Pentest passt zu Ihnen?

Im Scoping-Gespräch ermitteln wir welche Variante für Ihre Systeme und Ziele optimal ist.

Black Box

Kein Vorwissen — so wie ein externer Angreifer. Maximaler Realismus, höchster Aufwand.

Dauer: 5–10 Tage

Ideal für: Externe Infrastruktur, Web-Apps

Am häufigsten

Grey Box

Credentials und Strukturwissen bekannt — simuliert kompromittierte Accounts oder Insider.

Dauer: 3–7 Tage

Ideal für: Interne Systeme, Cloud-Umgebungen

White Box

Vollständiger Code- und Architektur-Zugang — maximale Tiefe, Code-Analyse inklusive.

Dauer: 5–15 Tage

Ideal für: Kritische Applikationen, SDLC

Kostenloses Scoping-Gespräch

Report-Lieferobjekte

Zwei Berichte. Zwei Zielgruppen.

Management und IT-Team brauchen unterschiedliche Informationen. Sie erhalten beides — plus kostenlosen Nachtest.

Pentest anfragen

Executive Summary — Risiken in Geschäftssprache

Technischer Detailbericht mit CVSS-Score je Finding

Proof-of-Concept für jede ausgenutzte Schwachstelle

Priorisierter Behebungsplan mit Zeitschätzungen

Gerichtsverwertbare Dokumentation (BaFin, NIS2)

Kostenloser Nachtest nach Behebung (60–90 Tage)

Kostenloser Assessment-Workshop — unverbindlich

In 60 Minuten analysieren wir Ihre aktuelle Situation und zeigen Ihnen konkret, welche Lösung für Ihr Unternehmen sinnvoll ist — mit einem verbindlichen Angebot innerhalb von 5 Werktagen.

Jetzt Beratung anfragen Direkt anrufen