Cybersecurity Sicherheitstests
Kontrollierter Angriff

Finden Sie Ihre Schwachstellen, bevor Angreifer es tun.

Wir simulieren reale Angriffe auf Ihre IT, Anwendungen und physische Sicherheit. Das Ergebnis ist kein generischer Scan, sondern ein priorisierter Maßnahmenplan.

Erstgespräch vereinbaren
Pentest Report
In Bearbeitung
KRITISCH
SQL Injection : /api/users/search
Remote Code Execution · Unauthenticated
KRITISCH
Kerberoasting : Active Directory
Domain User → Domain Admin Eskalation
HOCH
TLS 1.0 aktiv : mail.domain.at
POODLE-Angriff möglich · Veraltetes Protokoll
MITTEL
Serverraum : Tailgating möglich
Physical Access · Keine Zutrittskontrolle
BEHOBEN
Stored XSS : Kommentarfeld
Verifiziert nach Patch · Geschlossen
2
Kritisch
3
Hoch/Mittel
1
Behoben
Penetrationstests Red Teaming Physical Security FAQ
Das Problem

Sie wissen nicht was ein Angreifer in Ihrer IT findet. Wir schon.

Die meisten Unternehmen entdecken Sicherheitslücken erst wenn sie ausgenutzt werden. Bis dahin haben Angreifer oft wochenlang ungehinderten Zugriff auf Systeme, Daten und Zugänge.

Regelmäßige Tests unter kontrollierten Bedingungen zeigen Ihnen genau wo Sie angreifbar sind, bevor ein echter Angreifer diese Lücken findet und ausnutzt.

78%
der getesteten Systeme haben kritische oder hohe Schwachstellen
60%
der KMUs werden nach einem Cyberangriff zahlungsunfähig

Schwachstellen bleiben unentdeckt

Automatische Scanner finden bekannte Lücken. Manuelle Tester denken wie Angreifer und finden was Scanner übersehen.

Berichte ohne Wirkung

Generische Pentest-Berichte listen CVEs auf ohne Priorität. Ein guter Bericht zeigt was zuerst zu tun ist und warum.

Physische Sicherheit vergessen

Firewalls schützen nicht davor dass jemand ins Büro spaziert. Physical Security ist oft der blinde Fleck.

01 Penetrationstests

Systematische Schwachstellensuche. Priorisierter Maßnahmenplan.

Wir testen Ihre Systeme mit denselben Methoden die echte Angreifer einsetzen. Kein automatischer Scanner, sondern erfahrene Tester die manuell denken, kombinieren und eskalieren.

Netzwerk & Infrastruktur
Extern & intern · Firewall · VPN · Dienste
Web Apps & APIs
OWASP Top 10 · REST · GraphQL · Logikfehler
Cloud & M365
Azure · AWS · GCP · Microsoft 365
Active Directory
Kerberoasting · Pass-the-Hash · Eskalation
Was in jedem Pentest enthalten ist
Vorbereitung
Scoping & Zieldefinition mit Ihrem Team
Schriftliche Beauftragung & Freigabe
Notfallkontakt für sofortige Meldungen
Durchführung
Manuelle Tests nach OWASP, PTES & MITRE
Kritische Funde werden sofort gemeldet
Lückenlose Dokumentation aller Schritte
Ergebnis
Priorisierter Bericht mit Proof of Concept
Maßnahmenplan nach Risiko & Aufwand
Nachtest zur Verifikation inklusive

Unser Testablauf: was Sie wann erwarten können

01

Scoping & Beauftragung

Gemeinsam definieren wir Scope, Methodik und Zeitraum. Schriftliche Freigabe vor Testbeginn.

1–2 Tage
02

Reconnaissance & Analyse

Informationssammlung, Angriffsflächenanalyse und initiale Schwachstellenidentifikation.

1–3 Tage
03

Exploitation & Eskalation

Manuelle Ausnutzung der gefundenen Lücken. Kritische Funde sofortige Meldung an Sie.

2–5 Tage
04

Bericht & Präsentation

Priorisierter Bericht mit Proof of Concept, Maßnahmenplan und persönlicher Ergebnispräsentation.

2–3 Tage
05

Nachtest inklusive

Nach der Behebung verifizieren wir ob die Maßnahmen wirksam sind. Kein extra Aufwand für Sie.

inklusive
Automatischer Scan vs. manueller Pentest
Scan läuft
Automatischer Scanner0%
Web App
Wartend
Active Directory
Wartend
Netzwerk
Wartend
Cloud / M365
Wartend
HOCH CVE-2023-44487 (HTTP/2 Rapid Reset) Web App
MITTEL SMBv1 aktiv : bekannte Schwachstelle Netzwerk
Nur manuell gefunden
MANUELL Kerberoasting → Domain Admin in 4 Schritten Active Directory
MANUELL Business Logic Fehler : unbegrenzter Datenzugriff Web App

Was ein automatischer Scanner findet. Was nur ein menschlicher Tester findet.

Wann haben Sie Ihre IT zuletzt wirklich getestet?
In 30 Minuten besprechen wir welcher Test für Ihre Situation sinnvoll ist.
Erstgespräch vereinbaren
02 Red Teaming

Ein echter Angriff. Definiertes Ziel. Mehrere Wochen.

Red Teaming geht weiter als ein Penetrationstest. Unser Red Team agiert mit einem konkreten Ziel, ohne vorher bekannte Systeme und kombiniert technische, soziale und physische Angriffsvektoren über Wochen.

Phishing & Spear-Phishing
CEO Fraud · Credential Harvesting · Payloads
Technische Exploitation
Schwachstellen · Lateral Movement · Eskalation
Physischer Zugriff
Tailgating · Impersonation · Device Dropping
Blue Team Testing
Erkennung · Reaktionszeit · Eskalationsprozesse

Unterschied zum Penetrationstest

PT

Penetrationstest

Bekannter Scope, definierte Systeme, 1–2 Wochen. Findet technische Schwachstellen in abgegrenzten Bereichen.

1–2 Wochen
RT

Red Teaming

Offener Scope, zieldefiniert, mehrere Wochen. Testet Gesamtresilienz, Erkennung und Reaktion des gesamten Teams.

4–8 Wochen
Was ein Red Team Engagement beinhaltet
Angriffsvektoren
Technische Exploits & Schwachstellen
Phishing & Spear-Phishing Kampagnen
Physische Zugriffsversuche
Ziele & Scope
Zugriff auf Finanzdaten oder Produktionssysteme
Domain Admin oder kritische Systeme kompromittieren
Nur Geschäftsführung & White Cell informiert
Wann sinnvoll
Nach mehreren Pentests ohne kritische Funde
Unternehmen mit bestehendem Monitoring & SOC
Kritische Infrastruktur & hochwertige Ziele
Interesse an einem Red Team Engagement?
Wir besprechen ob und wie Red Teaming für Ihre Situation sinnvoll ist.
Erstgespräch vereinbaren
03 Physical Security Tests

Der blinde Fleck in der Sicherheitsstrategie.

Firewalls und EDR schützen nicht davor dass jemand ins Büro spaziert und einen USB-Stick ansteckt. Physische Sicherheit wird unterschätzt und ist deshalb oft das schwächste Glied in der gesamten Sicherheitskette.

Neue Bürostandorte & Umzüge Nach Vorfällen mit physischem Zugang Vor ISO 27001 & NIS2 Audits
Zugangskontrollen
Tailgating · Badge-Systeme · Serverräume
Social Engineering
Techniker · Lieferant · Neuer Mitarbeiter
USB & Device Dropping
Präparierte Sticks · Messung & Auswertung
Überwachungssysteme
Kamera-Totwinkel · Alarm · Sensorik
Was beim Physical Security Test geprüft wird
Zugänge & Perimeter
Eingang, Empfang & Sicherheitsschleusen
Serverräume & gesicherte Bereiche
Tiefgaragen & Nebeneingänge
Mitarbeiterverhalten
Reaktion auf unbekannte Personen
Clean Desk Policy & Bildschirmschutz
USB-Nutzungsverhalten
Wie sicher ist Ihr Büro wirklich?
Physical Security Tests überraschen fast immer. Sprechen Sie mit uns bevor jemand anderes es tut.
Erstgespräch vereinbaren
Warum ITanic

Getestet. Behoben. Nachgetestet.

Ein Pentest der nur einen Bericht liefert ist unvollständig. Wir begleiten von der ersten Lücke bis zur verifizierten Behebung.

Nachtest inklusive. Immer.

Nach der Behebung verifizieren wir ob die Maßnahmen wirksam sind. Kein Extrabudget, kein zusätzlicher Scope.

Kein Standard-Report. Jeder Befund priorisiert.

Risikobewertung, Proof of Concept und konkrete Handlungsempfehlung nach Risiko und Aufwand. Nicht nur eine CVE-Liste.

NDA, Verschlüsselung, EU-Infrastruktur.

Befunde, Zugangsdaten und Systeminformationen werden ausschließlich verschlüsselt über österreichische Infrastruktur übertragen und gespeichert.

Compliance-fähig für NIS2, ISO 27001 und mehr.

Unsere Berichte werden für NIS2, ISO 27001, BSI-Grundschutz und Cyber-Versicherungen anerkannt. Vollständig strukturiert und dokumentiert.

FAQ

Ihre häufigsten Fragen.

Penetrationstests
Was ist der Unterschied zwischen einem Pentest und einem Vulnerability Scan?
+
Ein Vulnerability Scan listet bekannte Schwachstellen automatisch auf. Ein Pentest geht weiter: Unsere Tester versuchen Lücken tatsächlich auszunutzen, zu kombinieren und zu eskalieren. Das findet Angriffspfade die kein Scanner erkennt.
Wie lange dauert ein Penetrationstest?
+
Das hängt vom Scope ab. Ein Web-Application-Test dauert typisch 3–5 Tage, ein interner Infrastrukturtest 5–10 Tage. Red Teaming Engagements dauern 4–8 Wochen. Wir definieren das gemeinsam im Scoping.
Ist der Nachtest wirklich inklusive?
+
Ja. Nach der Behebung der gefundenen Schwachstellen testen wir erneut ob die Maßnahmen wirksam sind. Das ist fester Bestandteil unserer Leistung, kein Extra.
Werden unsere Systeme durch den Test beschädigt?
+
Nein. Wir vereinbaren vorab genau welche Aktionen erlaubt sind. Destruktive Tests wie das tatsächliche Löschen von Daten sind nie Teil des Scope. Bei Unsicherheiten stoppen wir und fragen nach.
Red Teaming & Physical
Weiß unser IT-Team vom Red Team Engagement?
+
Das ist eine strategische Entscheidung die Sie treffen. Typisch wissen nur Geschäftsführung und ein "White Cell" Kontakt davon. Das IT-Team wird absichtlich nicht informiert damit die Erkennung realistisch getestet wird.
Können Physical Security Tests auch ohne Pentest beauftragt werden?
+
Ja. Physical Security Tests sind eigenständig buchbar. Viele Kunden beginnen damit weil es das am meisten vernachlässigte Thema ist und die Ergebnisse oft überraschend sind.
Ablauf & Datenschutz
Wie oft sollten wir Sicherheitstests durchführen?
+
Mindestens jährlich als Standardmaßnahme. Zusätzlich nach größeren Änderungen wie neuen Systemen, Cloud-Migrationen oder M&A sowie als Vorbereitung auf NIS2- und ISO-27001-Audits.
Wo werden Test-Daten und Berichte gespeichert?
+
Ausschließlich in Österreich. ISO 27001 zertifiziertes Rechenzentrum, AES-256 Verschlüsselung, keine US-Anbieter. Berichte werden nach Projektabschluss auf Wunsch vollständig gelöscht.
Nächster Schritt
Schwachstellen gefunden. Jetzt braucht es jemanden der echte Angriffe erkennt.
Detektion & Reaktion ansehen

Bereit für einen kontrollierten Angriff auf Ihre Systeme?

In 30 Minuten besprechen wir welcher Test für Ihre Situation sinnvoll ist und was er kostet.

Erstgespräch vereinbaren +43 664 252 0495
Kostenlos und unverbindlich
30 Minuten, fokussiert
Konkretes Angebot danach