Zurück ISO 27001 / SOC 2 Weiter vCISO

Penetrationstests

Kontinuierliche externe Sicherheitsprüfung für Website und Infrastruktur — eingebaut. Keine Drittanbieter-Scanner-Konten, kein Datenaustausch, keine Einrichtung. Domain eingeben, scannen, priorisierten Sicherheitsbericht erhalten.

Ein klares Bild Ihrer Sicherheitslage

Wir prüfen Ihre öffentlich erreichbare Infrastruktur wie ein Angreifer und liefern eine klare, priorisierte Liste der Schwachstellen. Jeder Befund mit konkretem Nachweis, Schweregrad und Schritt-für-Schritt-Behebungsanleitung.

01

Live-Sicherheits-Score

Ein Live-Sicherheits-Score, der mit jedem Scan aktualisiert wird und Ihnen jederzeit den aktuellen Stand Ihrer Angriffsfläche zeigt.

02

Schweregrad-Einstufung

Befunde nach Critical, High, Medium, Low, Info eingestuft — Sie wissen genau, was zuerst zu beheben ist.

03

Verständliche Erklärungen

Klare Erklärungen jedes Befunds und der Behebungsschritte — kein Sicherheits-Jargon, kein Rätselraten.

04

KI-Management-Zusammenfassung

Eine KI-generierte Zusammenfassung für Stakeholder und Vorstandsberichte — technische Befunde in Geschäftssprache übersetzt.

05

Audit-fähige PDF-Berichte

Exportierbare PDF-Berichte mit Nachweisen und Behebungsstatus — genau das, was Auditoren oder Compliance-Reviews erwarten.

06

Scan-Vergleiche

Side-by-Side-Vergleiche, mit denen Sie Fortschritte über Zeit belegen — was behoben, was neu, was zurückgekommen ist.

07

Behebungs-Workflow

Integrierter Behebungs-Workflow, um nachzuverfolgen, wer was wann behoben hat, mit Notizen und Lösungsdaten für den Audit-Trail.

Was wir prüfen

Die Abdeckung wächst mit der Scantiefe — Passiv liest ohne Probing, Aktiv fügt Angriffsflächen-Enumeration hinzu, Deep fügt erschöpfende Cipher- und Injection-Analyse hinzu.

Domain & DNS-Gesundheit

Registrierung, Nameserver, SPF/DKIM/DMARC-E-Mail-Sicherheit und CA-Bindung.

Netzwerk-Exposition

Offene Ports, exponierte Dienste und Banner-Leaks, die Version und Konfiguration an Angreifer verraten.

TLS & Verschlüsselung

Zertifikatsgültigkeit, schwache Protokolle, Cipher-Suite-Schwächen und HSTS-Status an allen Endpunkten.

Security Headers

HSTS, CSP, frame-options, content-type-options und der vollständige Satz an HTTP-Sicherheitsheadern.

Web-Anwendungsschwächen

Exponierte Admin-Pfade, Source-Control-Leaks, Debug-Seiten, offene Redirects und Host-Header-Injection.

JavaScript-Secrets

Fest codierte API-Keys, Cloud-Credentials und interne URLs, die versehentlich im Frontend-Bundle landen. Wir scannen auch historische Snapshots.

CMS-spezifische Probleme

Bekannt verwundbare Plugins und veraltete Cores in WordPress, Drupal, Joomla und Magento.

API-Exposition

Swagger- und GraphQL-Endpunkte in der Produktion, aktivierte Introspektion und unauthentifizierte API-Oberflächen.

Cloud-Storage

Versehentlich öffentliche S3-, GCS- und Azure-Buckets mit Bezug zu Ihrer Marke — eine häufige Ursache von Datenlecks.

Subdomain-Takeover-Risiko

Verwaiste DNS-Einträge zu nicht beanspruchten Diensten — ein Vektor für Markenmissbrauch.

CORS & JWT-Auth-Fehler

Wildcard-CORS-Origins, gefährliche JWT-Algorithmen und Auth-Fehlkonfigurationen.

Bekannte CVEs

Automatisch korreliert mit den erkannten Softwareversionen, abgeglichen mit den aktuellsten Schwachstellen-Datenbanken.

CORS-Fehlkonfiguration

Aktiv und Deep — erkennt beliebige Origin-Reflexion, Null-Origin-Bypass und Credential-Leakage über CORS-Header.

CRLF-Injection

Aktiv und Deep — testet Header-Injection über URL-Pfad- und Query-String-Parameter.

Cache Poisoning

Aktiv und Deep — erkennt ungeschlüsselte Header-Reflexion, bestätigt durch Cache-HIT bei der zweiten Anfrage.

WAF-Erkennung

Aktiv und Deep — identifiziert Cloudflare, Sucuri, F5, Imperva, Akamai oder unbekannte WAF über Angriffsmuster-Probes.

Rate Limiting

Aktiv und Deep — testet Login- und API-Endpunkte auf fehlende Rate-Limit-Durchsetzung.

SSRF-Probe

Aktiv und Deep — injiziert Cloud-IMDS-URLs (AWS, GCP, Azure) und Loopback-Adressen in URL-ähnliche Parameter und Header, um Server-Side Request Forgery zu erkennen.

HTML & Content-Injection

Aktiv und Deep — testet URL-Parameter und Body-Werte auf reflektierte HTML-Injection, Attribut-Injection, CSS-Injection und JavaScript-Kontext-Injection.

TLS-Tiefenanalyse

Nur Deep — vollständige Cipher-Suite-Analyse: SSLv2/DROWN, SSLv3/POODLE, BEAST, SWEET32 (3DES), FREAK/EXPORT, LOGJAM (DHE-EXPORT), NULL-Cipher-Unterstützung und fehlende Perfect Forward Secrecy.

SQL-Injection

Aktiv und Deep — fehlerbasierte, boolesche Blind- und zeitbasierte Blind-SQLi-Probes über URL-Parameter, Formularfelder, Header und JSON-Body-Werte.

Cross-Site-Scripting (XSS)

Aktiv und Deep — reflektiertes XSS-Testing über Script-Tag-, Attribut-Break-, JavaScript-Kontext- und DOM-Sink-Injektionsvektoren.

Template-Injection (SSTI)

Aktiv und Deep — Server-Side-Template-Injection-Probes für Jinja2, Twig, Freemarker, ERB und Pug Template-Engines.

Local File Inclusion (LFI)

Aktiv und Deep — Pfad-Traversal- und LFI-Probes über URL-Parameter und Header; erkennt das Lesen von /etc/passwd, Webserver-Konfigurationen und Anwendungsquellcode.

XML External Entity (XXE)

Aktiv und Deep — XXE-Injection in XML-akzeptierenden Endpunkten, Tests auf Dateiextraktion, SSRF-via-DTD und Out-of-Band-Exfiltration.

File-Upload-Missbrauch

Aktiv und Deep — testet Upload-Endpunkte auf Script-Extension-Bypass, Double-Extension-Upload und MIME-Typ-Bypass; bestätigt den Abruf, um RCE-Risiko ohne False Positives auf SPA-Catch-All-Routen zu verifizieren.

HTTP Request Smuggling

Aktiv und Deep — CL.TE-, TE.CL- und TE.TE-Desync-Probes. Baseline-Vergleich gegen Canary-Anfragen zur Desync-Bestätigung und Minimierung von False Positives.

Standard-Credentials

Nur Deep — testet erkannte Admin-Panels (Jenkins, phpMyAdmin, Grafana, Adminer, Kibana, Tomcat Manager, Airflow, Traefik, RabbitMQ) auf Standard- oder schwache Credential-Akzeptanz.

Session-Management

Nur Deep — analysiert Cookie-Entropie, Secure/HttpOnly/SameSite-Flag-Präsenz, Session-Token-Vorhersagbarkeit und Fixierungsrisiko.

OAuth-Fehlkonfiguration

Nur Deep — testet OAuth-Flows auf fehlenden State-Parameter (CSRF), offenes redirect_uri und unzureichende Redirect-URI-Validierung.

Insecure Direct Object References (IDOR)

Nur Deep — IDOR-Enumeration an API-Endpunkten mit sequenzieller ID-Manipulation, UUID-Raten und horizontalen Privilege-Escalation-Probes.

GraphQL-Tiefenanalyse

Nur Deep — Introspektionsmissbrauch, Batch-Query-Verstärkung, Query-Tiefen- und Komplexitätsausnutzung sowie Feld-Level-Autorisierungsprobes.

WebSocket-Sicherheit

Nur Deep — Origin-Header-Validierung, Cross-Site-WebSocket-Hijacking (CSWSH) und Nachrichten-Injection-Probes an erkannten WebSocket-Endpunkten.

Dependency-Confusion

Nur Deep — erkennt exponierte Paket-Manifest-Dateien und interne Paketnamen, die in öffentlichen Registries besetzt werden könnten, um die Supply-Chain zu kompromittieren.

Prototype-Pollution

Nur Deep — Client-seitige Prototype-Pollution-Probes über Query-Parameter und JSON-Body-Werte, Tests auf Gadget-Chaining zu DOM-basiertem XSS.

€99 / month

Monatlich

1 Scan pro Monat über Ihr gewähltes Profil. Vollständige OWASP-Befunde, CVSS-Scores, PDF-Bericht, Dashboard-Zugang.

Ideal für: Teams mit monatlichem Release-Zyklus

€500 / month

Täglich

1 Scan pro Tag für kontinuierliches Monitoring. Prioritäts-Findings-Alerts, Regressions-Diff-Ansicht, PDF pro Scan, Dashboard-Zugang.

Ideal für: Hochgeschwindigkeits-Teams mit mehreren Deployments täglich

Gebaut für Compliance

Jeder Scan erzeugt die Dokumentation, die ein Auditor erwartet — mit Zeitstempel, zurechenbar und exportierbar. Befunde durchlaufen einen dokumentierten Behebungs-Workflow mit Notizen und Lösungsdaten.

ISO/IEC 27001

Vulnerability-Management-Nachweis für Control A.8.8, mit dokumentiertem Behebungs-Workflow und Lösungsdaten.

SOC 2

Vulnerability-Monitoring-Nachweis für CC7.1 und Security-Event-Analyse für CC7.3 — genau das, was Ihr Typ-I- oder Typ-II-Audit braucht.

OWASP ASVS

Unabhängige Verifizierungsnachweise gemäß OWASP-Application-Security-Verification-Standard.

PCI DSS

Regelmäßige externe Scan-Nachweise für kontinuierliches Vulnerability-Management in der Karteninhaberdaten-Umgebung.

Datenschutz zuerst

Scan-Ergebnisse werden ausschließlich auf unserer Plattform gespeichert — niemals über Drittanbieter-Scanner geleitet oder mit ihnen geteilt. Befunde sind verschlüsselt gespeichert und nur für Ihre autorisierten Nutzer sichtbar.

Warum Kunden uns wählen

Keine Einrichtung

Domain eingeben, Scan starten. Keine Agenten, keine API-Keys, keine Proxies, keine Drittanbieter-Konten.

Keine Drittanbieter-Scanner

Scans laufen auf unserer Plattform und Ergebnisse bleiben dort — werden nie an externe Scan-Dienste oder Dritte gesendet.

Immer aktuell

Scannen wann Sie wollen — vor Deployment, nach Deployment, geplant. Kein Warten auf einen Drittanbieter.

Bereit für Stakeholder

Die KI-Management-Zusammenfassung übersetzt technische Befunde in Geschäftssprache, ohne dass Sie schreiben müssen.

Fortschritt verfolgen

Scan-übergreifender Vergleich zeigt, was Sie behoben haben und was neu ist — greifbarer Verbesserungsnachweis über Zeit.

Ein Tool, vollständiges Bild

Ersetzt einen Stapel von Einzeltools — DNS-Scanner, SSL-Checker, Header-Analyzer, Subdomain-Enumerator, Secret-Scanner, CVE-Lookup.

Vollspektrum-Tests mit den Integrationen, die Ihr Team nutzt

Externe Scans sind das Fundament. Darüber hinaus liefern wir die erweiterten Fähigkeiten, die Ihr Sicherheitsprogramm jenseits des automatisierten Oberflächen-Scans benötigt.

Interner Netzwerk-Pentest

Authentifizierte Tests gegen Ihre internen Systeme, Überprüfung der Netzwerksegmentierung, Wireless-Sicherheit und Lateral-Movement-Assessments — die interne Angriffsfläche, die externe Scans unangetastet lassen.

Mobile-App-Pentest

OWASP-MASVS-konforme Tests für iOS- und Android-Apps. Reverse-Engineering-Analyse, Runtime-Instrumentation, Audits von Secure-Storage und Transport, IPC- und Deep-Link-Überprüfung.

Ticketing & Webhook-Integrationen

Befunde werden automatisch in das Ticketing-System Ihres Teams geleitet. Schweregrad-basierte Alerts per Webhook, E-Mail oder On-Call-Tool. Automatisierter Retest, sobald Sie Tickets als behoben markieren.

Manuell verifizierte Befunde

Jeder Befund wird manuell durch einen Menschen verifiziert, bevor er Sie erreicht. Stellt sich ein Befund als False Positive heraus, wird der Bericht korrigiert und Ihr Scan-Guthaben erstattet.

Häufig gestellte Fragen

Was ist Penetrationstesting und was wird abgedeckt?

Penetrationstesting (Pen-Testing) ist die Praxis, Ihre externe Angriffsfläche so zu prüfen, wie es ein echter Angreifer tun würde. Unser Scanner führt je nach gewählter Tiefe eines von drei Profilen aus. Das Passiv-Profil (17 Module) führt schreibgeschützte Aufklärung durch: DNS, TLS-Zertifikate, HTTP-Header, CSP, HSTS, DMARC/SPF/DNSSEC, JavaScript-Inspektion, Clickjacking, CSRF und Offenlegung interner IPs. Das Aktiv-Profil (44 Module) fügt Port-Scanning, Subdomain-Enumeration, CMS-Fingerprinting, CORS-Fehlkonfiguration, WAF-Erkennung, Rate-Limiting und aktive Injection-Tests hinzu: SQL-Injection (fehlerbasiert/boolesches Blind/zeitbasiertes Blind), reflektiertes XSS (Script-/Attribut-/JS-/DOM-Kontexte), SSTI, LFI, XXE, File-Upload-Missbrauch, HTTP Request Smuggling (CL.TE / TE.CL / TE.TE) und SSRF. Das Deep-Profil (53 Module) ergänzt zusätzlich Default-Credential-Testing gegen erkannte Admin-Panels, Session-Management-Analyse, OAuth-Fehlkonfigurationstests, IDOR-Enumeration, GraphQL-Tiefenanalyse, WebSocket-Sicherheit, Dependency-Confusion, Prototype-Pollution-Probes und erweiterte TLS-Analyse (SSLv2/DROWN, POODLE, BEAST, SWEET32, FREAK, LOGJAM).

Was kostet Penetrationstesting?

Unser automatisierter externer Scan-Service beginnt bei €99 / month für monatliche Scans, €250 / month für wöchentliche und €500 / month für tägliche Scans. Jedes Abonnement ermöglicht die Wahl aus drei Scan-Profilen (Passiv, Aktiv oder Deep) vor jedem Scan. Die vollständigen Preise finden Sie auf unserer Preisseite.

Wie unterscheidet sich das von einem manuellen Penetrationstest?

Manuelle Pen-Tests sind projektbasiert (typischerweise €5,000–€20,000+ für einen externen Test) und finden ein- oder zweimal pro Jahr statt. Unser Service ist kontinuierlich — Ihre externe Angriffsfläche wird in einem definierten Rhythmus gescannt, damit neue durch Code-Änderungen eingeführte Schwachstellen innerhalb von Tagen erkannt werden, nicht Monaten. Beide Ansätze ergänzen sich: kontinuierliche automatisierte Abdeckung plus periodische manuelle Tiefe.

Wie oft sollten wir einen Penetrationstest durchführen?

ISO 27001 und SOC 2 erfordern beide regelmäßiges Vulnerability-Management — typischerweise mindestens monatlich interpretiert. Für aktive Entwicklungsteams erkennen wöchentliche Scans Regressionen, bevor sie einen vollen Zyklus lang ungepatcht bleiben. Tägliche Scans eignen sich für regulierte Branchen (PCI DSS, Gesundheitswesen), wo jede neue Exposition in einem veröffentlichten Build schnell identifiziert werden muss.

Bleiben Scan-Ergebnisse auf Ihrer Plattform oder gehen sie an Dritte?

Scan-Ergebnisse werden ausschließlich auf unserer Plattform gespeichert — werden nie über Drittanbieter-Scanner-Dienste geleitet oder mit diesen geteilt. Befunde sind verschlüsselt gespeichert und nur für Ihre autorisierten Nutzer sichtbar. Dies ist eine bewusste Architekturentscheidung, die von Anfang an in das Produkt eingebaut wurde.

Bei welchen Compliance-Frameworks hilft das?

ISO 27001 (A.8.8 Vulnerability-Management), SOC 2 (CC7.1 und CC7.3 für Sicherheitsüberwachung und Event-Analyse), OWASP ASVS (Anwendungssicherheitsverifizierung) und PCI DSS (reguläres externes Vulnerability-Scanning für die Compliance der Karteninhaberdaten-Umgebung). Jeder Scan erzeugt einen zeitgestempelten, exportierbaren PDF-Bericht mit den Nachweisen, die ein Auditor erwartet.

Testen Sie es auf Ihrer eigenen Domain

Einloggen, zur Security-Audit-Seite gehen, URL eingeben — die ersten Befunde sind Minuten entfernt.

See plans    Anfrage senden

Info anfragen — Penetrationstests

SCHNELLE ANTWORT · 24-48 STD.

AGENT-CHAT
System: Sichere Verbindung hergestellt. Warte auf Eingabe...