Penetration Testing
Wir finden die Sicherheitslücken in Ihren Systemen, bevor Angreifer sie ausnutzen. Professionelle Penetrationstests für Web, API, Netzwerk, Cloud und Active Directory – nach BSI, OWASP und PTES, von OSCP-zertifizierten Experten, NIS2-konform dokumentiert.
Warum ein Penetrationstest von NovaCon
Belastbare Ergebnisse durch manuelle Exploitation, zertifizierte Tester und prüffähige Dokumentation für Ihr Compliance-Management
Echte Angreifer-Perspektive
Wir denken wie ein Angreifer und decken Schwachstellen auf, bevor es Kriminelle tun. Manuelle Exploitation statt reinem Scanner-Output liefert belastbare, ausnutzbare Ergebnisse statt False Positives.
NIS2- & DSGVO-konform
Penetrationstests sind ein zentraler Nachweis für das Risikomanagement nach NIS2 (Art. 21) und Stand der Technik nach Art. 32 DSGVO. Unser Bericht dient als prüffähiger Nachweis für Auditoren und Aufsichtsbehörden.
Zertifizierte Pentester
Unsere Tester halten anerkannte Zertifikate wie OSCP, OSWE und CISSP. Sie erhalten geprüfte Expertise nach international etablierten Standards, keine automatisierten Massentests.
Klare Priorisierung
Jeder Fund wird mit CVSS-Score bewertet und nach realem Geschäftsrisiko priorisiert. So wissen Sie genau, welche Schwachstelle Sie zuerst schließen müssen und welche warten kann.
Revisionssicherer Bericht
Sie erhalten einen zweigeteilten Bericht: Management Summary für die Geschäftsführung und detaillierte technische Reproduktionsschritte inklusive Proof-of-Concept für Ihr Entwickler- und IT-Team.
Re-Test inklusive
Nach Behebung der Schwachstellen verifizieren wir im kostenlosen Re-Test, dass alle Findings wirksam geschlossen wurden. Erst dann gilt Ihr System als abgesichert und auditfähig.
Unsere Pentest-Leistungen im Überblick
Von der Webanwendung bis zum Active Directory – wir prüfen jede Angriffsfläche Ihrer IT-Landschaft
Web Application Pentest
Umfassender Test Ihrer Webanwendungen nach OWASP Top 10 und OWASP ASVS: SQL-Injection, XSS, CSRF, Broken Access Control, unsichere Deserialisierung und Business-Logik-Fehler.
API Pentest
Prüfung von REST-, GraphQL- und SOAP-Schnittstellen nach OWASP API Security Top 10: Broken Object Level Authorization (BOLA), Mass Assignment, fehlende Rate Limits und Authentifizierungslücken.
Netzwerk & Infrastruktur
Externe und interne Netzwerktests: Portscans, Service-Enumeration, Ausnutzung ungepatchter Systeme, schwacher Konfigurationen und Segmentierungsprüfung Ihrer internen Netze.
Cloud Security Assessment
Konfigurationsprüfung von Azure, AWS und Microsoft 365: offene Storage-Buckets, überprivilegierte IAM-Rollen, unsichere Security Groups und fehlerhafte Identitäts- und Zugriffsverwaltung.
Active Directory Pentest
Angriffssimulation auf Ihr AD: Kerberoasting, AS-REP Roasting, Pass-the-Hash, Privilege Escalation und Ausnutzung von Fehlkonfigurationen bis hin zur Domain-Admin-Kompromittierung.
Black / White / Grey Box
Sie wählen den Ansatz: Black Box (ohne Vorwissen, wie ein externer Angreifer), White Box (mit Quellcode und Doku, maximale Tiefe) oder Grey Box (mit Testzugang, bestes Kosten-Nutzen-Verhältnis).
Methodik nach BSI, OWASP & PTES
Strukturiertes Vorgehen entlang anerkannter Standards: BSI-Durchführungskonzept, OWASP Testing Guide (WSTG) und PTES – von Reconnaissance über Exploitation bis Reporting nachvollziehbar dokumentiert.
Social Engineering & Phishing
Optionale Prüfung des Faktors Mensch: kontrollierte Phishing-Kampagnen und OSINT-Analysen decken auf, wie widerstandsfähig Ihre Mitarbeitenden und Prozesse gegen gezielte Angriffe sind.
Bereit für den nächsten Schritt?
Lassen Sie uns in einem kostenlosen Erstgespräch besprechen, wie wir Ihr Unternehmen voranbringen können.