Penetrationstests: Schwachstellen aufdecken, bevor es Angreifer tun

Unsere zertifizierten Experten (u.a. OSCP) simulieren realitätsnahe Cyberangriffe auf Ihre IT-Infrastruktur – von Webanwendungen und APIs über Netzwerke bis zu Cloud-Umgebungen und mobilen Apps. Wir identifizieren kritische Sicherheitslücken, bewerten deren Risiko (CVSS-basiert) und liefern Ihnen einen klaren, priorisierten Maßnahmenplan. So stärken Sie Ihre Cyber-Resilienz und erfüllen Compliance-Anforderungen.

Kontakt aufnehmen Zu AI & LLM Pen Testing

Kostenloses Erstgespräch mit Pentest-Experten anfordern

Jetzt anfragen!

Penetrationstest für Unternehmen

Ihre Vorteile mit der PCG auf einen Blick

streamlinehq-team-meeting-work-office-48-ico_9zM6drgVf5CCEl7N

Zertifizierte Experten-Teams

Tests durch Profis (z.B. OSCP, OSCE) mit hunderten erfolgreichen Pentests.

streamlinehq-target-goal-interface-essential-48-ico_OlNIH8L1G81SBl5i

Compliance-Fokus (NIS2, ISO 27001)

Unterstützung bei der Erfüllung von NIS2, ISO 27001 & TISAX®.

streamlinehq-task-list-favourite-star-work-office-48-ico_TFI2LekpXopB432z

Umsetzbare Maßnahmenpläne

Detaillierte Berichte mit klaren, priorisierten Handlungsempfehlungen für Ihre IT.

streamlinehq-android-security-programing-apps-websites-48-ico_Y6PQvl9bWS2F5ahM

Realitätsnahe Angriffssimulationen

Wir denken wie Angreifer und decken auf, was automatisierte Scans übersehen.

Die Bedrohungslage

Proaktive Sicherheit durch Penetration Testing & Red Teaming

Laut BSI Lagebericht 2024 hat die Zahl der Schwachstellen in Softwareprodukten einen neuen Höchststand erreicht, und Ransomware bleibt eine zentrale Bedrohung – gerade für mittelständische Unternehmen. Zwischen der Veröffentlichung neuer Schwachstellen (z.B. CVEs) und deren Ausnutzung durch Angreifer liegen oft nur wenige Tage oder Stunden.

Unsere Sicherheitstests decken diese verborgenen Risiken auf, bevor Angreifer sie ausnutzen können. So schützen Sie sich effektiv vor finanziellen Verlusten, Reputationsschäden und erfüllen gleichzeitig wichtige Compliance-Vorgaben:

Penetrationstests: Fokussieren auf die Identifizierung möglichst vieler technischer Schwachstellen in definierten Systemen oder Anwendungen. Wir bewerten deren Ausnutzbarkeit und das damit verbundene Risiko.
Red Teaming: Simuliert zielgerichtete, tiefgreifende Angriffe (ähnlich Advanced Persistent Threats - APTs) auf Ihr gesamtes Unternehmen. Hierbei testen wir Ihre gesamte Verteidigungsfähigkeit – Technologie, Prozesse und die Reaktion Ihrer Mitarbeiter und Sicherheitssysteme (Blue Team / SOC).

Start now with us

Welcher Sicherheitstest passt zu Ihren Anforderungen

Eine kompakte Matrix hilft Ihnen bei der Orientierung:

Testtyp	Geeignet für	Was wird primär geprüft?
Web-App-Penetrationstest	SaaS-Unternehmen, Online-Shops, Portale, Unternehmen mit Webanwendungen	OWASP Top 10, API-Authentifizierung/-Autorisierung, Business-Logik-Fehler, Konfiguration
Netzwerk-Penetrationstest (Extern/Intern)	Alle Unternehmen mit eigener IT-Infrastruktur	Firewalls, VPNs, Server, Endpunkte, Segmentierung, offene Ports, Fehlkonfigurationen
Cloud-Penetrationstest (AWS, Azure, GCP)	Unternehmen mit Cloud-Workloads	IAM-Konfiguration, Storage-Sicherheit, Container-Sicherheit, Serverless-Funktionen
Mobile-App-Penetrationstest	Unternehmen mit eigenen mobilen Anwendungen (iOS/Android)	Unsichere Datenspeicherung, Übertragungsschwachstellen, Code-Fehler, API-Anbindung
Red Teaming Assessment	KRITIS, Banken, reifere Organisationen mit eigenem SOC/Blue Team	Gesamte Verteidigungsfähigkeit (Technik, Prozesse, Menschen) gegen zielgerichtete Angriffe

Haben Sie den gewünschten Penetrationstest nicht gefunden?

KI & LLM Penetration Testing: Sichern Sie Ihre KI-Anwendungen ab

KI-Anwendungen und Large Language Models (LLMs) bringen neue, einzigartige Risiken. Ein Chatbot kann sensible Daten preisgeben, unerwartete Kosten verursachen oder als Einfallstor dienen. Unser AI Pentest Service identifiziert diese spezifischen Schwachstellen, damit Sie KI sicher nutzen können.

Unser Ansatz: Fokus auf OWASP Top 10 für LLMs

Wir simulieren Angriffe auf Ihre KI-Modelle, um kritische Schwachstellen jenseits des klassischen Pentestings zu finden. Basis ist der OWASP Top 10 für LLM Applications (2025) Standard.

Jetzt KI & LLM Pen Testing anfragen

KI & LLM Penetration Testing

Wir prüfen u.a.

Prompt Injection & System Prompt Leakage

Können Angreifer die KI manipulieren, um Schutzmaßnahmen zu umgehen oder Systemgeheimnisse auszulesen?

Supply Chain Risiken & Data/Model Poisoning

Sind Ihre Trainingsdaten oder zugekaufte Modelle manipuliert, um Backdoors einzuschleusen?

Sensitive Information Disclosure & Improper Output Handling

Gibt das Modell vertrauliche Daten preis? Können seine Ausgaben nachgelagerte Systeme (DBs, Browser) kompromittieren?

Vector and Embedding Weaknesses

Sind Ihre RAG-Systeme (Retrieval-Augmented Generation) anfällig für Data Poisoning oder unbefugten Zugriff?

Excessive Agency & Unbounded Consumption

Hat die KI zu weitreichende Rechte (Agency)? Kann sie für Denial of Service oder Kostenattacken (Denial of Wallet) missbraucht werden?

Misinformation

Wir bewerten das Risiko durch "Hallucinations" (KI-generierte Falschinformationen), die zu reputativen oder rechtlichen Schäden führen.

Unser Ansatz: Methodisch, tiefgreifend und individuell

Wir prüfen eine Vielzahl von Testobjekten, darunter Netzwerke, Webanwendungen, Cloud-Umgebungen (AWS, Azure, GCP), Mobile Apps, APIs und IoT-Systeme. Unsere Testansätze (Black-Box, Grey-Box, White-Box) werden auf Ihre spezifischen Bedürfnisse und den gewünschten Informationsgrad zugeschnitten. Ein wichtiger Bestandteil ist dabei auch die OSINT-Analyse (Open Source Intelligence) zur Aufklärung.

Ein Mann im Anzug geht eine stilisierte Treppe hinauf, jede Stufe symbolisiert einen Arbeitsschritt. Oben erreicht er ein Ziel, dargestellt durch eine Zielscheibe – sinnbildlich für methodisches Vorgehen.

In 5 Schritten zu mehr Sicherheit

Vorbereitung & Scoping: Gemeinsame Definition Ihrer Ziele (z.B. NIS2-Resilienztest), des Testumfangs, der rechtlichen Rahmenbedingungen (NDA) und der "Rules of Engagement".
Informationsbeschaffung & Analyse: OSINT-Analysen und kontrollierte, aktive Scans zur Identifikation Ihrer Systeme, potenzieller Angriffsvektoren und erster Schwachstellen.
Manuelle Verifizierung & Ausnutzung: Unsere zertifizierten Experten versuchen, die identifizierten Schwachstellen manuell und kontrolliert auszunutzen, um deren reales Risiko zu bewerten und False Positives auszuschließen.
Dokumentation & Reporting: Erstellung eines detaillierten Berichts mit Management Summary, technischer Analyse (inkl. CVSS-Scores, CWE-Referenzen, Proof-of-Concept für Exploits) und klaren, priorisierten Handlungsempfehlungen.
Ergebnispräsentation & Maßnahmenplanung: Gemeinsame Besprechung der Ergebnisse und Unterstützung bei der Planung der nächsten Schritte zur Behebung.

Jetzt mehr zur Methodik erfahren

Warum ein Re-Test nach der Behebung entscheidend ist

Viele Schwachstellen werden initial falsch oder nur unvollständig behoben. Ein gezielter Retest durch unsere Experten validiert die Wirksamkeit Ihrer Korrekturmaßnahmen und stellt sicher, dass die Lücken tatsächlich geschlossen sind und keine neuen Probleme eingeführt wurden. Dies ist oft auch ein wichtiger Nachweis im Rahmen von Compliance-Anforderungen.

Jetzt Schwachstellen mit der PCG meistern

PCG Expertise – Wir decken auf, was andere übersehen

So dokumentieren unsere OSCP-Experten eine kritische SQL-Injection.

Eine SQL-Injection (SQLi) ist eine der häufigsten und gefährlichsten Schwachstellen in Webanwendungen. Unsere Experten gehen bei der Identifizierung und Dokumentation methodisch vor:

Systematische Analyse aller Eingabefelder und Parameter (z.B. URL-Parameter, Formularfelder)

Einschleusen spezifisch präparierter SQL-Befehle, um Datenbankfehler oder unerwartetes Systemverhalten zu provozieren und die Anfälligkeit zu bestätigen

Schrittweise Ausweitung der eingeschleusten Befehle, um beispielsweise Zugriff auf sensible Daten zu erlangen oder Befehle auf der Datenbank auszuführen. Jeder Schritt wird dokumentiert.

Schwachstelle: SQL-Injection (CWE-89) Betroffenes System/URL: [Beispiel-URL/Parameter] Risikobewertung: CVSS v3.1 Score (z.B. 9.8 Critical) Exploit-Pfad: Detaillierte Beschreibung der Schritte zur Ausnutzung (z.B. "Zugriff auf interne Kundendatenbank über ungefilterte API-Route /api/user?id=[SQLi-Payload]"). Screenshots & Beweise: Visuelle Belege des erfolgreichen Angriffs. Maßnahmenempfehlung: Konkrete Anleitung zur Behebung (z.B. Einsatz von Prepared Statements, Input Validierung).

Kundenstimmen - Überzeugen Sie sich selbst

So beschreiben unsere Kunden die Qualität unserer Penetrationstests

PCG hat unsere Erwartungen übertroffen. Ihr detaillierter Bericht und die anschließende Beratung haben nicht nur unerwartete Punkte identifiziert, sondern auch konkrete Schritte zur Verbesserung aufgezeigt. Aus meiner Sicht ein unverzichtbarer Service für jedes Unternehmen, das seine Online-Präsenz ernst nimmt.

Bünyamin Ögdüm

CoinTracking GmbH

FAQ

Die Kosten für einen Penetrationstest sind maßgeblich vom definierten Umfang (Scope) und der Komplexität der zu testenden Systeme abhängig. Für ein detailliertes, auf Ihre Bedürfnisse zugeschnittenes Angebot kontaktieren Sie uns bitte für ein kostenfreies Scoping-Gespräch.

Ein Standard-Penetrationstest für eine typische Webanwendung oder ein mittelgroßes Netzwerk dauert bei PCG in der Regel 5-10 Werktage, inklusive der Erstellung des detaillierten Abschlussberichts. Komplexere Szenarien, wie z.B. umfangreiche Cloud-Umgebungen oder tiefgreifende Red Team Assessments, können entsprechend mehr Zeit in Anspruch nehmen. Im Rahmen unseres gemeinsamen Kick-off-Gesprächs erstellen wir einen genauen Zeitplan für Ihr Projekt.

Während automatisierte Schwachstellen-Scans lediglich bekannte Signaturen und Muster abgleichen und eine Liste potenzieller Schwachstellen generieren (oft mit vielen „False Positives“), gehen unsere zertifizierten Experten bei PCG deutlich weiter: Wir simulieren manuelle, kreative Angriffe, identifizieren auch komplexe, logische Fehler und „Zero-Day“-ähnliche Schwachstellen, die automatisierte Tools oft übersehen. Entscheidend ist, dass wir die tatsächliche Ausnutzbarkeit jeder gefundenen Schwachstelle verifizieren und das reale Risiko für Ihr Unternehmen bewerten.

Für einen effizienten und zielführenden Testablauf sind folgende Vorbereitungen Ihrerseits hilfreich: Eine klare Definition Ihrer Ziele und des Testumfangs (Scope), die Benennung eines oder mehrerer technischer Ansprechpartner in Ihrem Unternehmen und – je nach Testart (Grey-Box/White-Box) – die sichere Bereitstellung von Testzugängen oder relevanter Systeminformationen (z.B. Architekturübersichten, API-Dokumentationen). Selbstverständlich erhalten Sie von uns vor Testbeginn eine detaillierte Checkliste und wir besprechen alle notwendigen Schritte gemeinsam im Kick-off-Termin.

PCG führt alle Tests kontrolliert und in enger Absprache mit Ihnen durch, um Beeinträchtigungen Ihrer Produktivsysteme bestmöglich zu minimieren. Kritische Testschritte, die potenziell Auswirkungen haben könnten (z.B. Denial-of-Service-Simulationen im Rahmen eines Red Teamings), werden ausschließlich nach expliziter Freigabe und typischerweise außerhalb Ihrer Hauptgeschäftszeiten oder auf dedizierten Testsystemen durchgeführt. Die Sicherheit und Verfügbarkeit Ihrer Systeme hat für uns oberste Priorität.

Schwachstellen sind Einladungen für Angreifer – Handeln Sie jetzt

Jetzt uns kontaktieren

Ihre Kontaktperson:

Florian Wagner

Squad Lead Pen-Testing

florian.wagner@pcg.io

Kontakt

Vorname

Nachname

Firmenname

Telefon

Preferred language

Land

Nachricht

Ich stimme den AGBs zu

Ich möchte mit dem Newsletter auf dem Laufenden gehalten werden