PentestPro INFO

Proaktive Sicherheit statt reaktiver Notfallpläne

Ein PENTEST, der Ihre IT-Systeme gezielt auf die Probe stellt.

 

Ein Penetrationstest – kurz Pentest – ist eine kontrollierte Sicherheitsüberprüfung, bei der die Methoden echter Angreifer simuliert werden. Ziel ist es, die Widerstandsfähigkeit Ihrer IT-Systeme, Anwendungen und Netzwerke unter realistischen Bedingungen zu testen. Anstatt sich auf theoretische Annahmen oder reine Checklisten zu verlassen, werden beim Pentest die gleichen Tools, Techniken und Taktiken eingesetzt, die auch Cyberkriminelle verwenden würden.

Dabei werden Ihre Systeme auf Herz und Nieren geprüft: von extern erreichbaren Servern und Webanwendungen über interne Netzwerke, Arbeitsplätze, WLAN-Infrastrukturen bis hin zu menschlichen Faktoren wie Phishing-Simulationen. Ein Pentest deckt auf, wo Angreifer ansetzen könnten – egal ob durch Schwachstellen in Software, fehlerhafte Konfigurationen oder unzureichend geschulte Mitarbeiter.

Der große Mehrwert liegt nicht nur in der Identifizierung von Schwachstellen, sondern auch in der Bewertung ihres tatsächlichen Risikos. Während klassische Scans lediglich Listen von potenziellen Lücken ausgeben, zeigt ein Pentest praxisnah, welche Angriffe tatsächlich durchführbar sind, wie tief ein Eindringling gelangen könnte und welche Daten oder Systeme gefährdet wären.

Am Ende erhalten Sie einen detaillierten Bericht mit einer Priorisierung der gefundenen Probleme sowie klaren Handlungsempfehlungen. So können Sie gemeinsam mit Ihrer IT-Abteilung oder Ihrem Dienstleister zielgerichtet Maßnahmen ergreifen, um die Sicherheit nachhaltig zu erhöhen.

Warum ein Unternehmen einen PENTEST braucht

Wenn wir in den letzten 20 Jahren eines gesehen haben, dann, dass Unternehmen fast blind ihrem IT-Dienstleister vertrauen, wenn es um die Sicherheit ihrer Systeme geht. Doch was viele nicht wissen oder unterschätzen: Es ist Ihre IT – und nicht die des Dienstleisters. Sie als Unternehmer sind verantwortlich und haftbar für Datenschutzverstöße. Wenn Ihre Daten verschlüsselt werden, Ihr Betrieb stillsteht und Sie gezwungen sind, Ihren Kunden mitzuteilen: „Wir wurden gehackt, Ihre Daten wurden gestohlen und werden im Darknet verkauft“ – dann trifft es nicht den IT-Dienstleister, sondern Sie.

Die Folgen sind verheerend: Lösegeldforderungen, immense Kosten für Wiederherstellung und Desinfektion der Systeme, ein wochenlanger Betriebsstillstand und der Verlust von Vertrauen bei Kunden und Partnern. Viele Unternehmen überleben genau diesen Moment nicht.

Wir wollen IT-Dienstleister nicht schlechtreden – aber die Realität zeigt, dass Inkompetenz und Nachlässigkeit in der Branche weit verbreitet sind. Umso wichtiger ist eine unabhängige Überprüfung. Ihre IT darf nicht ausschließlich von denen geprüft werden, die sie betreuen. Denn wenn derselbe Dienstleister sowohl Ihre Systeme verwaltet als auch Ihre „Sicherheitsprüfung“ durchführt, verdienen sie doppelt an Ihnen – sicherer wird Ihr Unternehmen dadurch aber nicht.

Ein unabhängiger Pentest sorgt für Klarheit. Ohne Interessenkonflikt. Ohne Beschönigung. Sondern mit einem schonungslosen Blick auf Ihre tatsächliche Sicherheit.

Ablauf eines PENTEST

Sie haben sich für PentestPro ONE oder 365 entschieden. Was passiert nun? Wie läuft ein Pentest ab?

1. Kick-off & Zieldefinition

Schon im Pentestvertrag werden gemeinsam mit Ihnen die Ziele definiert und der Rahmen des Pentests festgelegt. Dabei klären wir unter anderem:

  • Welche Systeme, Anwendungen oder Standorte getestet werden sollen

  • Ob externe, interne, physische oder Social-Engineering-Tests durchgeführt werden

  • Welche Systeme kritisch sind und nicht beeinträchtigt werden dürfen

  • Wie die Kommunikation im Ernstfall erfolgt und welche Eskalationswege gelten

  • Welche rechtlichen Freigaben und organisatorischen Vorgaben notwendig sind

2. Informationssammlung & Aufklärung

Wir beginnen mit der systematischen Aufklärung (Reconnaissance), um so viele Informationen wie möglich über Ihr Unternehmen zu sammeln – genauso, wie es ein Angreifer tun würde. Dazu gehören:

  • Analyse von Domains, Subdomains und IP-Adressen

  • Auswertung von DNS-Einträgen und Zertifikaten

  • Recherche nach gestohlenen Zugangsdaten in Datenleaks

  • Sammlung von Metadaten aus frei zugänglichen Dokumenten

  • OSINT-Recherchen in Foren, sozialen Medien und Darknet-Quellen

  • Identifizierung von verwendeten Technologien und Softwareversionen

3. Scans & Analyse

Mit den gesammelten Informationen führen wir umfassende technische Prüfungen durch, um mögliche Schwachstellen sichtbar zu machen. Dazu zählen:

  • Netzwerkscans und Erstellung einer Übersicht aller aktiven Systeme

  • Port- und Dienstanalysen zur Identifikation von offenen Services

  • Schwachstellenscans auf Servern, Endgeräten und Anwendungen

  • Überprüfung auf veraltete Softwarestände und fehlende Sicherheitsupdates

  • Analyse von Fehlkonfigurationen in Netzwerk- und Serversystemen

  • Identifikation unsicherer oder unverschlüsselter Protokolle

4. Gezielte Angriffe (Exploitation)

In dieser Phase prüfen wir, ob die gefundenen Schwachstellen tatsächlich ausnutzbar sind. Wir simulieren gezielt Angriffe, die auch ein Cyberkrimineller durchführen würde:

  • Passwortangriffe (z. B. schwache oder wiederverwendete Passwörter)

  • Webangriffe wie SQL-Injection, Cross-Site-Scripting oder File Inclusion

  • Rechteausweitung vom normalen Benutzer bis zum Domain-Admin

  • Spoofing von E-Mails und Netzwerkprotokollen

  • Phishing-Simulationen per E-Mail oder gefälschten Webseiten

  • WLAN-Angriffe über schwache Verschlüsselungen oder Rogue-Access-Points

  • Physische Tests wie Ausnutzung ungesicherter Netzwerkdosen oder USB-Drops

5. Bericht & Dokumentation

Alle Ergebnisse werden sorgfältig dokumentiert und für verschiedene Zielgruppen aufbereitet:

  • Management-Zusammenfassung mit den wichtigsten Risiken im Klartext

  • Technische Detailauswertung mit Angriffspfaden und Beweisen

  • Einstufung der Schwachstellen nach Kritikalität und Risiko

  • Screenshots, Logauszüge und Proof-of-Concepts als Nachweis

  • Konkrete Handlungsempfehlungen für Sofort- und Langzeitmaßnahmen

  • Bezug auf regulatorische Anforderungen wie DSGVO, NIS2 oder ISO 27001

6. Nachbesprechung & Unterstützung

Zum Abschluss besprechen wir die Ergebnisse gemeinsam mit Ihnen und unterstützen Sie bei der Umsetzung:

  • Präsentation der Ergebnisse im persönlichen Gespräch

  • Priorisierung der dringendsten Maßnahmen nach Risiko und Aufwand

  • Beratung bei der Umsetzung von Patches, Konfigurationen oder Awareness-Maßnahmen

  • Durchführung von Nachtests zur Verifizierung der behobenen Schwachstellen

  • Strategische Empfehlungen für nachhaltige Verbesserungen der IT-Sicherheit

Zusammenfassung

Sie sehen: Hinter jedem Pentest steckt enormer Aufwand. Dieser Aufwand ist es wert – denn es geht um nichts Geringeres als Ihr Unternehmen, Ihre Daten und Ihre Zukunft. Unser Ziel ist es, die österreichische Wirtschaft langfristig widerstandsfähiger gegen Cyberangriffe zu machen. Deshalb bieten wir unsere Leistungen so an, dass jedes Unternehmen – unabhängig vom Budget – Zugang zu echter IT-Sicherheit erhält.

Vergessen Sie nie: Vertrauen ist gut, Kontrolle ist besser.