Penetrationstests
Kontinuierliche externe Sicherheitsprüfung für Website und Infrastruktur — eingebaut. Keine Drittanbieter-Scanner-Konten, kein Datenaustausch, keine Einrichtung. Domain eingeben, scannen, priorisierten Sicherheitsbericht erhalten.
Ein klares Bild Ihrer Sicherheitslage
Wir prüfen Ihre öffentlich erreichbare Infrastruktur wie ein Angreifer und liefern eine klare, priorisierte Liste der Schwachstellen. Jeder Befund mit konkretem Nachweis, Schweregrad und Schritt-für-Schritt-Behebungsanleitung.
Live-Sicherheits-Score
Ein Live-Sicherheits-Score, der mit jedem Scan aktualisiert wird und Ihnen jederzeit den aktuellen Stand Ihrer Angriffsfläche zeigt.
Schweregrad-Einstufung
Befunde nach Critical, High, Medium, Low, Info eingestuft — Sie wissen genau, was zuerst zu beheben ist.
Verständliche Erklärungen
Klare Erklärungen jedes Befunds und der Behebungsschritte — kein Sicherheits-Jargon, kein Rätselraten.
KI-Management-Zusammenfassung
Eine KI-generierte Zusammenfassung für Stakeholder und Vorstandsberichte — technische Befunde in Geschäftssprache übersetzt.
Audit-fähige PDF-Berichte
Exportierbare PDF-Berichte mit Nachweisen und Behebungsstatus — genau das, was Auditoren oder Compliance-Reviews erwarten.
Scan-Vergleiche
Side-by-Side-Vergleiche, mit denen Sie Fortschritte über Zeit belegen — was behoben, was neu, was zurückgekommen ist.
Behebungs-Workflow
Integrierter Behebungs-Workflow, um nachzuverfolgen, wer was wann behoben hat, mit Notizen und Lösungsdaten für den Audit-Trail.
Was wir prüfen
Die Abdeckung wächst mit der Scantiefe — Passiv liest ohne Probing, Aktiv fügt Angriffsflächen-Enumeration hinzu, Deep fügt erschöpfende Cipher- und Injection-Analyse hinzu.
Domain & DNS-Gesundheit
Registrierung, Nameserver, SPF/DKIM/DMARC-E-Mail-Sicherheit und CA-Bindung.
Netzwerk-Exposition
Offene Ports, exponierte Dienste und Banner-Leaks, die Version und Konfiguration an Angreifer verraten.
TLS & Verschlüsselung
Zertifikatsgültigkeit, schwache Protokolle, Cipher-Suite-Schwächen und HSTS-Status an allen Endpunkten.
Security Headers
HSTS, CSP, frame-options, content-type-options und der vollständige Satz an HTTP-Sicherheitsheadern.
Web-Anwendungsschwächen
Exponierte Admin-Pfade, Source-Control-Leaks, Debug-Seiten, offene Redirects und Host-Header-Injection.
JavaScript-Secrets
Fest codierte API-Keys, Cloud-Credentials und interne URLs, die versehentlich im Frontend-Bundle landen. Wir scannen auch historische Snapshots.
CMS-spezifische Probleme
Bekannt verwundbare Plugins und veraltete Cores in WordPress, Drupal, Joomla und Magento.
API-Exposition
Swagger- und GraphQL-Endpunkte in der Produktion, aktivierte Introspektion und unauthentifizierte API-Oberflächen.
Cloud-Storage
Versehentlich öffentliche S3-, GCS- und Azure-Buckets mit Bezug zu Ihrer Marke — eine häufige Ursache von Datenlecks.
Subdomain-Takeover-Risiko
Verwaiste DNS-Einträge zu nicht beanspruchten Diensten — ein Vektor für Markenmissbrauch.
CORS & JWT-Auth-Fehler
Wildcard-CORS-Origins, gefährliche JWT-Algorithmen und Auth-Fehlkonfigurationen.
Bekannte CVEs
Automatisch korreliert mit den erkannten Softwareversionen, abgeglichen mit den aktuellsten Schwachstellen-Datenbanken.
CORS-Fehlkonfiguration
Aktiv und Deep — erkennt beliebige Origin-Reflexion, Null-Origin-Bypass und Credential-Leakage über CORS-Header.
CRLF-Injection
Aktiv und Deep — testet Header-Injection über URL-Pfad- und Query-String-Parameter.
Cache Poisoning
Aktiv und Deep — erkennt ungeschlüsselte Header-Reflexion, bestätigt durch Cache-HIT bei der zweiten Anfrage.
WAF-Erkennung
Aktiv und Deep — identifiziert Cloudflare, Sucuri, F5, Imperva, Akamai oder unbekannte WAF über Angriffsmuster-Probes.
Rate Limiting
Aktiv und Deep — testet Login- und API-Endpunkte auf fehlende Rate-Limit-Durchsetzung.
SSRF-Probe
Aktiv und Deep — injiziert Cloud-IMDS-URLs (AWS, GCP, Azure) und Loopback-Adressen in URL-ähnliche Parameter und Header, um Server-Side Request Forgery zu erkennen.
HTML & Content-Injection
Aktiv und Deep — testet URL-Parameter und Body-Werte auf reflektierte HTML-Injection, Attribut-Injection, CSS-Injection und JavaScript-Kontext-Injection.
TLS-Tiefenanalyse
Nur Deep — vollständige Cipher-Suite-Analyse: SSLv2/DROWN, SSLv3/POODLE, BEAST, SWEET32 (3DES), FREAK/EXPORT, LOGJAM (DHE-EXPORT), NULL-Cipher-Unterstützung und fehlende Perfect Forward Secrecy.
SQL-Injection
Aktiv und Deep — fehlerbasierte, boolesche Blind- und zeitbasierte Blind-SQLi-Probes über URL-Parameter, Formularfelder, Header und JSON-Body-Werte.
Cross-Site-Scripting (XSS)
Aktiv und Deep — reflektiertes XSS-Testing über Script-Tag-, Attribut-Break-, JavaScript-Kontext- und DOM-Sink-Injektionsvektoren.
Template-Injection (SSTI)
Aktiv und Deep — Server-Side-Template-Injection-Probes für Jinja2, Twig, Freemarker, ERB und Pug Template-Engines.
Local File Inclusion (LFI)
Aktiv und Deep — Pfad-Traversal- und LFI-Probes über URL-Parameter und Header; erkennt das Lesen von /etc/passwd, Webserver-Konfigurationen und Anwendungsquellcode.
XML External Entity (XXE)
Aktiv und Deep — XXE-Injection in XML-akzeptierenden Endpunkten, Tests auf Dateiextraktion, SSRF-via-DTD und Out-of-Band-Exfiltration.
File-Upload-Missbrauch
Aktiv und Deep — testet Upload-Endpunkte auf Script-Extension-Bypass, Double-Extension-Upload und MIME-Typ-Bypass; bestätigt den Abruf, um RCE-Risiko ohne False Positives auf SPA-Catch-All-Routen zu verifizieren.
HTTP Request Smuggling
Aktiv und Deep — CL.TE-, TE.CL- und TE.TE-Desync-Probes. Baseline-Vergleich gegen Canary-Anfragen zur Desync-Bestätigung und Minimierung von False Positives.
Standard-Credentials
Nur Deep — testet erkannte Admin-Panels (Jenkins, phpMyAdmin, Grafana, Adminer, Kibana, Tomcat Manager, Airflow, Traefik, RabbitMQ) auf Standard- oder schwache Credential-Akzeptanz.
Session-Management
Nur Deep — analysiert Cookie-Entropie, Secure/HttpOnly/SameSite-Flag-Präsenz, Session-Token-Vorhersagbarkeit und Fixierungsrisiko.
OAuth-Fehlkonfiguration
Nur Deep — testet OAuth-Flows auf fehlenden State-Parameter (CSRF), offenes redirect_uri und unzureichende Redirect-URI-Validierung.
Insecure Direct Object References (IDOR)
Nur Deep — IDOR-Enumeration an API-Endpunkten mit sequenzieller ID-Manipulation, UUID-Raten und horizontalen Privilege-Escalation-Probes.
GraphQL-Tiefenanalyse
Nur Deep — Introspektionsmissbrauch, Batch-Query-Verstärkung, Query-Tiefen- und Komplexitätsausnutzung sowie Feld-Level-Autorisierungsprobes.
WebSocket-Sicherheit
Nur Deep — Origin-Header-Validierung, Cross-Site-WebSocket-Hijacking (CSWSH) und Nachrichten-Injection-Probes an erkannten WebSocket-Endpunkten.
Dependency-Confusion
Nur Deep — erkennt exponierte Paket-Manifest-Dateien und interne Paketnamen, die in öffentlichen Registries besetzt werden könnten, um die Supply-Chain zu kompromittieren.
Prototype-Pollution
Nur Deep — Client-seitige Prototype-Pollution-Probes über Query-Parameter und JSON-Body-Werte, Tests auf Gadget-Chaining zu DOM-basiertem XSS.
Monatlich
1 Scan pro Monat über Ihr gewähltes Profil. Vollständige OWASP-Befunde, CVSS-Scores, PDF-Bericht, Dashboard-Zugang.
Ideal für: Teams mit monatlichem Release-Zyklus
Wöchentlich
1 Scan pro Woche — Regressionen zwischen Releases erkennen. PDF pro Scan, Regressions-Diff-Ansicht, Dashboard-Zugang.
Ideal für: Teams mit wöchentlichen Releases oder CI/CD-Pipelines
Täglich
1 Scan pro Tag für kontinuierliches Monitoring. Prioritäts-Findings-Alerts, Regressions-Diff-Ansicht, PDF pro Scan, Dashboard-Zugang.
Ideal für: Hochgeschwindigkeits-Teams mit mehreren Deployments täglich
Gebaut für Compliance
Jeder Scan erzeugt die Dokumentation, die ein Auditor erwartet — mit Zeitstempel, zurechenbar und exportierbar. Befunde durchlaufen einen dokumentierten Behebungs-Workflow mit Notizen und Lösungsdaten.
ISO/IEC 27001
Vulnerability-Management-Nachweis für Control A.8.8, mit dokumentiertem Behebungs-Workflow und Lösungsdaten.
SOC 2
Vulnerability-Monitoring-Nachweis für CC7.1 und Security-Event-Analyse für CC7.3 — genau das, was Ihr Typ-I- oder Typ-II-Audit braucht.
OWASP ASVS
Unabhängige Verifizierungsnachweise gemäß OWASP-Application-Security-Verification-Standard.
PCI DSS
Regelmäßige externe Scan-Nachweise für kontinuierliches Vulnerability-Management in der Karteninhaberdaten-Umgebung.
Datenschutz zuerst
Scan-Ergebnisse werden ausschließlich auf unserer Plattform gespeichert — niemals über Drittanbieter-Scanner geleitet oder mit ihnen geteilt. Befunde sind verschlüsselt gespeichert und nur für Ihre autorisierten Nutzer sichtbar.
Warum Kunden uns wählen
Keine Einrichtung
Domain eingeben, Scan starten. Keine Agenten, keine API-Keys, keine Proxies, keine Drittanbieter-Konten.
Keine Drittanbieter-Scanner
Scans laufen auf unserer Plattform und Ergebnisse bleiben dort — werden nie an externe Scan-Dienste oder Dritte gesendet.
Immer aktuell
Scannen wann Sie wollen — vor Deployment, nach Deployment, geplant. Kein Warten auf einen Drittanbieter.
Bereit für Stakeholder
Die KI-Management-Zusammenfassung übersetzt technische Befunde in Geschäftssprache, ohne dass Sie schreiben müssen.
Fortschritt verfolgen
Scan-übergreifender Vergleich zeigt, was Sie behoben haben und was neu ist — greifbarer Verbesserungsnachweis über Zeit.
Ein Tool, vollständiges Bild
Ersetzt einen Stapel von Einzeltools — DNS-Scanner, SSL-Checker, Header-Analyzer, Subdomain-Enumerator, Secret-Scanner, CVE-Lookup.
Vollspektrum-Tests mit den Integrationen, die Ihr Team nutzt
Externe Scans sind das Fundament. Darüber hinaus liefern wir die erweiterten Fähigkeiten, die Ihr Sicherheitsprogramm jenseits des automatisierten Oberflächen-Scans benötigt.
Interner Netzwerk-Pentest
Authentifizierte Tests gegen Ihre internen Systeme, Überprüfung der Netzwerksegmentierung, Wireless-Sicherheit und Lateral-Movement-Assessments — die interne Angriffsfläche, die externe Scans unangetastet lassen.
Mobile-App-Pentest
OWASP-MASVS-konforme Tests für iOS- und Android-Apps. Reverse-Engineering-Analyse, Runtime-Instrumentation, Audits von Secure-Storage und Transport, IPC- und Deep-Link-Überprüfung.
Ticketing & Webhook-Integrationen
Befunde werden automatisch in das Ticketing-System Ihres Teams geleitet. Schweregrad-basierte Alerts per Webhook, E-Mail oder On-Call-Tool. Automatisierter Retest, sobald Sie Tickets als behoben markieren.
Manuell verifizierte Befunde
Jeder Befund wird manuell durch einen Menschen verifiziert, bevor er Sie erreicht. Stellt sich ein Befund als False Positive heraus, wird der Bericht korrigiert und Ihr Scan-Guthaben erstattet.
Häufig gestellte Fragen
Was ist Penetrationstesting und was wird abgedeckt?
Penetrationstesting (Pen-Testing) ist die Praxis, Ihre externe Angriffsfläche so zu prüfen, wie es ein echter Angreifer tun würde. Unser Scanner führt je nach gewählter Tiefe eines von drei Profilen aus. Das Passiv-Profil (17 Module) führt schreibgeschützte Aufklärung durch: DNS, TLS-Zertifikate, HTTP-Header, CSP, HSTS, DMARC/SPF/DNSSEC, JavaScript-Inspektion, Clickjacking, CSRF und Offenlegung interner IPs. Das Aktiv-Profil (44 Module) fügt Port-Scanning, Subdomain-Enumeration, CMS-Fingerprinting, CORS-Fehlkonfiguration, WAF-Erkennung, Rate-Limiting und aktive Injection-Tests hinzu: SQL-Injection (fehlerbasiert/boolesches Blind/zeitbasiertes Blind), reflektiertes XSS (Script-/Attribut-/JS-/DOM-Kontexte), SSTI, LFI, XXE, File-Upload-Missbrauch, HTTP Request Smuggling (CL.TE / TE.CL / TE.TE) und SSRF. Das Deep-Profil (53 Module) ergänzt zusätzlich Default-Credential-Testing gegen erkannte Admin-Panels, Session-Management-Analyse, OAuth-Fehlkonfigurationstests, IDOR-Enumeration, GraphQL-Tiefenanalyse, WebSocket-Sicherheit, Dependency-Confusion, Prototype-Pollution-Probes und erweiterte TLS-Analyse (SSLv2/DROWN, POODLE, BEAST, SWEET32, FREAK, LOGJAM).
Was kostet Penetrationstesting?
Unser automatisierter externer Scan-Service beginnt bei €99 / month für monatliche Scans, €250 / month für wöchentliche und €500 / month für tägliche Scans. Jedes Abonnement ermöglicht die Wahl aus drei Scan-Profilen (Passiv, Aktiv oder Deep) vor jedem Scan. Die vollständigen Preise finden Sie auf unserer Preisseite.
Wie unterscheidet sich das von einem manuellen Penetrationstest?
Manuelle Pen-Tests sind projektbasiert (typischerweise €5,000–€20,000+ für einen externen Test) und finden ein- oder zweimal pro Jahr statt. Unser Service ist kontinuierlich — Ihre externe Angriffsfläche wird in einem definierten Rhythmus gescannt, damit neue durch Code-Änderungen eingeführte Schwachstellen innerhalb von Tagen erkannt werden, nicht Monaten. Beide Ansätze ergänzen sich: kontinuierliche automatisierte Abdeckung plus periodische manuelle Tiefe.
Wie oft sollten wir einen Penetrationstest durchführen?
ISO 27001 und SOC 2 erfordern beide regelmäßiges Vulnerability-Management — typischerweise mindestens monatlich interpretiert. Für aktive Entwicklungsteams erkennen wöchentliche Scans Regressionen, bevor sie einen vollen Zyklus lang ungepatcht bleiben. Tägliche Scans eignen sich für regulierte Branchen (PCI DSS, Gesundheitswesen), wo jede neue Exposition in einem veröffentlichten Build schnell identifiziert werden muss.
Bleiben Scan-Ergebnisse auf Ihrer Plattform oder gehen sie an Dritte?
Scan-Ergebnisse werden ausschließlich auf unserer Plattform gespeichert — werden nie über Drittanbieter-Scanner-Dienste geleitet oder mit diesen geteilt. Befunde sind verschlüsselt gespeichert und nur für Ihre autorisierten Nutzer sichtbar. Dies ist eine bewusste Architekturentscheidung, die von Anfang an in das Produkt eingebaut wurde.
Bei welchen Compliance-Frameworks hilft das?
ISO 27001 (A.8.8 Vulnerability-Management), SOC 2 (CC7.1 und CC7.3 für Sicherheitsüberwachung und Event-Analyse), OWASP ASVS (Anwendungssicherheitsverifizierung) und PCI DSS (reguläres externes Vulnerability-Scanning für die Compliance der Karteninhaberdaten-Umgebung). Jeder Scan erzeugt einen zeitgestempelten, exportierbaren PDF-Bericht mit den Nachweisen, die ein Auditor erwartet.
Spezifische Penetrationstest-Leistungen entdecken
Vulnerability-Assessment-Leistungen
Strukturierte Bewertung Ihrer externen Angriffsfläche — priorisierte Befunde, Nachweise und Behebungshinweise.
Ethical-Hacking-Leistungen
Autorisiertes offensives Testing — Netzwerk, Webanwendung und Social Engineering, durchgeführt von zertifizierten Testern.
Pentest as a Service
Kontinuierliches Testing im Abonnementmodell — immer aktuelle Befunde ohne einmalige Engagement-Terminplanung.
Testen Sie es auf Ihrer eigenen Domain
Einloggen, zur Security-Audit-Seite gehen, URL eingeben — die ersten Befunde sind Minuten entfernt.
See plans Anfrage senden