Penetrationstest für KMU — IT-Sicherheitsaudit von Koreva eG
IT-Sicherheit

Penetrationstest — Sicherheitslücken finden, bevor Angreifer es tun

Manuelle Pentests statt automatisierter Scans. Priorisierte Reports, die Ihr Team versteht — und umsetzen kann. Für Web-Applikationen, Netzwerk und Infrastruktur in Sachsen-Anhalt und DACH.

Manuelle Tests
Priorisierter Report
Web, Netzwerk & Infra
DACH-weit
5,0/5 · 3 Bewertungen
NIS2-Compliance: Viele KMU sind seit Oktober 2024 von der NIS2-Richtlinie betroffen. Regelmäßige Sicherheitsbewertungen sind eine der Kernanforderungen. Ein Penetrationstest kann ein zentraler Baustein Ihrer Compliance sein.

Warum manuelle Pentests für KMU?

Automatisierte Scan-Tools finden die bekannten Signaturen — dieselben, die auch jeder automatisierte Angreifer kennt. Was sie nicht finden: Logikfehler in Ihrer Anwendung, verkettete Schwachstellen, falsch gesetzte Berechtigungen, Business-Logic-Lücken.

Ein manueller Pentest simuliert einen echten Angreifer: mit Kreativität, Kontextwissen und dem echten Ziel, tief ins System zu gelangen. Die Ergebnisqualität ist nicht vergleichbar.

Was im Report steht:

  • Alle Schwachstellen nach Schweregrad priorisiert (Kritisch / Hoch / Mittel / Niedrig)
  • Verständliche Erklärung: Was ist das Problem — und was kann ein Angreifer damit tun?
  • Konkrete Handlungsempfehlungen mit Aufwandsschätzung
  • Executive Summary für die Geschäftsführung (ohne Technik-Jargon)
  • Nachbesprechung und Fragen-Runde inklusive

Verfügbare Pentest-Arten

Web-Applikations-Pentest

OWASP Top 10 und darüber hinaus: SQL Injection, XSS, CSRF, unsichere Authentifizierung, Broken Access Control, Business-Logic-Fehler, Fehlkonfigurationen.

Netzwerk- & Infrastruktur-Pentest

Internes und externes Netzwerk, Firewall-Bewertung, offene Dienste, Lateral Movement, Privilege Escalation, Active Directory.

Sicherheitsaudit (ohne aktiven Pentest)

Konfigurationsreview von Servern, Diensten, Policies und Netzwerkarchitektur. Für Unternehmen, die ihren Sicherheitsstand einschätzen wollen, ohne aktive Angriffssimulation.

Wie ein Pentest abläuft

1

Scope-Gespräch

Wir klären, was getestet werden soll, welche Systeme tabu sind und was das Testziel ist. Das schriftliche Prüfungsmandat schützt beide Seiten rechtlich — ohne es startet kein Test.

2

Reconnaissance & Analyse

Wir sammeln öffentlich zugängliche Informationen über Ihre Systeme — so wie ein echter Angreifer es tun würde, bevor er handelt. Viele kritische Schwachstellen lassen sich bereits in dieser Phase identifizieren.

3

Aktiver Test

Manuelle Prüfung der Angriffsfläche: Authentifizierung, Zugriffsrechte, Datenübertragungen, Konfiguration. Kritische Befunde werden sofort gemeldet, ohne auf den Abschluss-Report zu warten.

4

Report & Nachbesprechung

Alle Befunde priorisiert nach Schweregrad, mit verständlicher Erklärung und konkreten Handlungsempfehlungen. Die Nachbesprechung ist Teil des Pakets — Sie verstehen am Ende, was zu tun ist, nicht nur, was gefunden wurde.

Pentest-Pakete für KMU

Web-Pentest ab 2.500 €

1 Web-Applikation · Manuelle Analyse · OWASP Top 10 · Report + Nachbesprechung

Netzwerk-Pentest KMU ab 4.500 €

Intern + extern · Firewall · Server · bis 50 Hosts · Report + Nachbesprechung

Kombi-Sicherheitsaudit auf Anfrage

Web + Netzwerk + Infrastruktur · Projektspezifisch kalkuliert

Pentest anfragen

Alle Preise netto zzgl. MwSt.

„Kritische Lücken werden sofort und vertraulich kommuniziert — noch vor dem Abschluss-Report. Damit Sie sofort reagieren können."

Häufige Fragen zum Penetrationstest

Kritische Schwachstellen werden sofort und vertraulich gemeldet — noch während des Tests. Sie entscheiden dann über Priorität und Reihenfolge der Behebung. Auf Wunsch unterstützen wir auch beim Schließen der Lücken.
Web-Pentest: 2–5 Tage. Netzwerk-Pentest KMU: 3–8 Tage. Dazu 1–2 Tage für den Report. Die genaue Planung erfolgt nach einem Scope-Gespräch — oft reichen 30 Minuten.
Bei Cloud-gehosteten Systemen (AWS, Azure, Hetzner etc.) benötigen Sie in der Regel eine schriftliche Genehmigung des Hosters. Bei On-Premise-Systemen nicht. Wir klären das gemeinsam im Vorgespräch.
Ein Scan sucht nach bekannten Signaturen — das Tool, das wir dafür nutzen, kennt jeder Angreifer auch. Ein manueller Pentest denkt wie ein echter Angreifer: mit Kontext, Kreativität und dem Ziel, wirklich tief ins System zu kommen. Logikfehler, Verkettungen und Business-Logic-Schwachstellen findet nur ein Mensch.

Wie sicher ist Ihre IT wirklich?

Finden Sie es heraus, bevor ein Angreifer es tut. Angebot innerhalb von 48 Stunden.