Offensive Security

Penetration Testing

Wir finden die Sicherheitslücken in Ihren Systemen, bevor Angreifer sie ausnutzen. Professionelle Penetrationstests für Web, API, Netzwerk, Cloud und Active Directory – nach BSI, OWASP und PTES, von OSCP-zertifizierten Experten, NIS2-konform dokumentiert.

Warum ein Penetrationstest von NovaCon

Belastbare Ergebnisse durch manuelle Exploitation, zertifizierte Tester und prüffähige Dokumentation für Ihr Compliance-Management

Echte Angreifer-Perspektive

Wir denken wie ein Angreifer und decken Schwachstellen auf, bevor es Kriminelle tun. Manuelle Exploitation statt reinem Scanner-Output liefert belastbare, ausnutzbare Ergebnisse statt False Positives.

NIS2- & DSGVO-konform

Penetrationstests sind ein zentraler Nachweis für das Risikomanagement nach NIS2 (Art. 21) und Stand der Technik nach Art. 32 DSGVO. Unser Bericht dient als prüffähiger Nachweis für Auditoren und Aufsichtsbehörden.

Zertifizierte Pentester

Unsere Tester halten anerkannte Zertifikate wie OSCP, OSWE und CISSP. Sie erhalten geprüfte Expertise nach international etablierten Standards, keine automatisierten Massentests.

Klare Priorisierung

Jeder Fund wird mit CVSS-Score bewertet und nach realem Geschäftsrisiko priorisiert. So wissen Sie genau, welche Schwachstelle Sie zuerst schließen müssen und welche warten kann.

Revisionssicherer Bericht

Sie erhalten einen zweigeteilten Bericht: Management Summary für die Geschäftsführung und detaillierte technische Reproduktionsschritte inklusive Proof-of-Concept für Ihr Entwickler- und IT-Team.

Re-Test inklusive

Nach Behebung der Schwachstellen verifizieren wir im kostenlosen Re-Test, dass alle Findings wirksam geschlossen wurden. Erst dann gilt Ihr System als abgesichert und auditfähig.

EinPenetrationstestsimulierteinenrealenCyberangriffaufIhreSystemekontrolliert,dokumentiertundmitIhrerGenehmigung.Wirdeckenauf,wieweiteinAngreiferwirklichkommt,undzeigenIhnenkonkret,wieSiejedeLückeschließen.

Unsere Pentest-Leistungen im Überblick

Von der Webanwendung bis zum Active Directory – wir prüfen jede Angriffsfläche Ihrer IT-Landschaft

Web Application Pentest

Umfassender Test Ihrer Webanwendungen nach OWASP Top 10 und OWASP ASVS: SQL-Injection, XSS, CSRF, Broken Access Control, unsichere Deserialisierung und Business-Logik-Fehler.

API Pentest

Prüfung von REST-, GraphQL- und SOAP-Schnittstellen nach OWASP API Security Top 10: Broken Object Level Authorization (BOLA), Mass Assignment, fehlende Rate Limits und Authentifizierungslücken.

Netzwerk & Infrastruktur

Externe und interne Netzwerktests: Portscans, Service-Enumeration, Ausnutzung ungepatchter Systeme, schwacher Konfigurationen und Segmentierungsprüfung Ihrer internen Netze.

Cloud Security Assessment

Konfigurationsprüfung von Azure, AWS und Microsoft 365: offene Storage-Buckets, überprivilegierte IAM-Rollen, unsichere Security Groups und fehlerhafte Identitäts- und Zugriffsverwaltung.

Active Directory Pentest

Angriffssimulation auf Ihr AD: Kerberoasting, AS-REP Roasting, Pass-the-Hash, Privilege Escalation und Ausnutzung von Fehlkonfigurationen bis hin zur Domain-Admin-Kompromittierung.

Black / White / Grey Box

Sie wählen den Ansatz: Black Box (ohne Vorwissen, wie ein externer Angreifer), White Box (mit Quellcode und Doku, maximale Tiefe) oder Grey Box (mit Testzugang, bestes Kosten-Nutzen-Verhältnis).

Methodik nach BSI, OWASP & PTES

Strukturiertes Vorgehen entlang anerkannter Standards: BSI-Durchführungskonzept, OWASP Testing Guide (WSTG) und PTES – von Reconnaissance über Exploitation bis Reporting nachvollziehbar dokumentiert.

Social Engineering & Phishing

Optionale Prüfung des Faktors Mensch: kontrollierte Phishing-Kampagnen und OSINT-Analysen decken auf, wie widerstandsfähig Ihre Mitarbeitenden und Prozesse gegen gezielte Angriffe sind.

Bereit für den nächsten Schritt?

Lassen Sie uns in einem kostenlosen Erstgespräch besprechen, wie wir Ihr Unternehmen voranbringen können.