1Services

2Prüfumfang & Add-Ons

3Projektinformationen

4Ihr Angebot

Prüfobjekt

Wählen Sie bitte die Art des Penetrationstests. Wenn Sie mehr als einen Penetrationstest konfigurieren möchten, müssen Sie den Konfigurator mehrmals ausfüllen. Sollten Sie sich unsicher sein oder einen Penetrationstest benötigen, der im Konfigurator bisher nicht angeboten wird, nehmen Sie bitte Kontakt mit uns auf. Wir beraten Sie gerne und erstellen Ihnen ein individuelles Angebot.

Services(erforderlich)

Web-Applikation

Mobil-Applikation

API-Schnittstelle

Intern erreichbare Infrastruktur

Öffentlich erreichbare Infrastruktur

Workstation Security

Active Directory

Sicherheitsanalyse einer von Ihnen gewählten Webanwendung (HTTP/HTTPS) auf Netzwerk- und Anwendungsebene.

Sicherheitsanalyse einer von Ihnen gewählten Mobilanwendung (iOS/Android) auf Netzwerk- und Anwendungsebene.

Sicherheitsanalyse einer von Ihnen gewählten API-Schnittstelle (REST/SOAP) auf Netzwerk- und Anwendungsebene.

Wir simulieren einen Angreifer mit Zugriff auf Ihr internes Unternehmensnetzwerk (wenig Vorwissen; Black/Grey-Box) und versuchen, Schwachstellen wie bspw. veraltete Softwareversionen, schwache Zugriffskontrollen oder Fehlkonfigurationen für interne IT-Systeme und Dienste zu identifizieren.

Wir simulieren einen externen Angreifer mit Internetzugriff (kein Vorwissen; Black-Box) und versuchen, Schwachstellen wie bspw. veraltete Softwareversionen, schwache Zugriffskontrollen oder Fehlkonfigurationen für extern erreichbare IT-Systeme und Dienste zu identifizieren.

Wir untersuchen die aktive Konfiguration eines beispielhaften Client-Endgeräts (z.B. Windows 11 Workstation). Dabei werden verschiedene Szenarien, wie der Verlust einer Workstation (Bitlocker, BIOS-Schutz etc.) oder eine Rechteausweitung als authentifizierter Nutzer zum lokalen Administrator, betrachtet.

Bei diesem Pentest analysieren wir Ihre Microsoft Active Directory (AD) Umgebung (Onpremise) auf Fehlkonfigurationen und Schwachstellen aus der Perspektive eines internen Angreifers. Ziel ist die vollständige Kompromittierung des ADs und Erhalt von Berechtigungen eines "Domain Admins".

Web-Anwendungen

Der Penetrationstest beinhaltet eine umfassende Sicherheitsanalyse der Zielapplikation auf Netzwerk- und Anwendungsebene. Eine vollständige Leistungsbeschreibung finden Sie hier.

P_Webanwendung(erforderlich)

Paket 1 - Web Penetrationstest Micro

2.800 €

Paket 2 - Web Penetrationstest Standard

7.000 €

Paket 3 - Web Penetrationstest Plus

11.200 €

Statische Webanwendung; oder wenige dynamische Funktionen
Testen ohne valide Zugangsdaten (Black-Box); oder keine Authentifizierung vorhanden
Beispiel: Firmenwebseite auf Basis eines Content-Management-Systems (CMS) wie Joomla, TYPO3 oder WordPress

Dynamische Webanwendung
Testen mit validen Zugangsdaten (Grey-Box) als auch ohne (Black-Box)
Überprüfung eines Berechtigungskonzepts inkl. Rollen (2-4)
Beispiel: Selbst entwickelte React-Webanwendung mit SSO und Rollenkonzept

Dynamische Webanwendung
Testen mit validen Zugangsdaten (Grey-Box) als auch ohne (Black-Box)
Überprüfung eines Berechtigungskonzepts inkl. Rollen (>= 5 Rollen)
Applikationen zur Durchführung von geschäftskritischen Funktionen mit einem hohen Risiko (z.B. finanzielle Transaktionen, Gebäudesicherheit, Medizindaten etc.)
Applikationen, welche spezielle Qualifikationen vom Tester verlangen (Reverse Engineering, SCADA, IoT, Blockchain)

Mobile Application Pentest

Im Rahmen der Sicherheitsanalyse führen wir einen Penetrationstest auf die von Ihnen bereitgestellten Mobilanwendungen durch. Wählen Sie eines der unten aufgelisteten mobilen Betriebssysteme. Eine vollständige Leistungsbeschreibung finden Sie hier.

P_Mobile Application(erforderlich)

Mobile App (iOS)

7.000 €

Mobile App (iOS + Android)

9.900 €

Mobile App (Android)

7.000 €

Mobile Anwendung für iOS
Test beinhaltet eine statische als auch eine dynamische Analyse zur Laufzeit der Anwendung. Inklusive Überprüfung des API-Backends
Anwendung des OWASP MASTG Testkonzepts

Mobile Anwendungen für iOS und Android mit geteilter Code-Basis (z.B. gleiches API-Backend)
Test beinhaltet eine statische als auch eine dynamische Analyse zur Laufzeit der Anwendungen. Inklusive Überprüfung des geteilten API-Backends.
Anwendung des OWASP MASTG Testkonzepts

Mobile Anwendung für Android
Test beinhaltet eine statische als auch eine dynamische Analyse zur Laufzeit der Anwendung. Inklusive Überprüfung des API-Backends
Anwendung des OWASP MASTG Testkonzepts

API-Schnittstelle

Mit der Beauftragung eines API-Penetrationstests führen wir eine Sicherheitsanalyse der von Ihnen im Projektumfang definierten API-Schnittstelle (z.B. SOAP oder REST) auf Netzwerk- und Anwendungsebene durch. Hierbei stellen Sie uns eine API-Schnittstellen-Dokumentation bereit (z.B. Swagger oder OpenAPI). Eine vollständige Leistungsbeschreibung finden Sie hier.

P_API(erforderlich)

Paket 1 - API Penetrationtest Micro

2.800 €

Paket 2 - API Penetrationtest Standard

7.000 €

Paket 2 - API Penetrationtest Plus

14.000 €

Kleine API-Schnittstelle
Geringe Anzahl an API-Endpunkten (weniger als 5)
Einfache oder keine Authentifizierung
Kein Berechtigungskonzept mittels Rollen
Geringe Komplexität

Mittelgroße API-Schnittstelle
Überschaubare Anzahl an API-Endpunkten (weniger als 15)
Erweiterte Authentifizierungsmöglichkeiten
Berechtigungskonzept inkl. Rollen
Mittlere Komplexität

Große API-Schnittstelle
Hohe Anzahl an API-Endpunkten (mehr als 15)
Erweiterte Authentifizierungsmöglichkeiten
API zur Durchführung von geschäftskritischen Funktionen mit einem hohen Risiko (z.B. finanzielle Transaktionen, Gebäudesicherheit, Medizindaten etc.)

Interne IT-Infrastruktur

Dieser Penetrationstest beinhaltet eine Sicherheitsanalyse aller Ihrer erreichbaren Systeme (Server, Drucker, Switche, Router, Access Points) im internen Unternehmensnetzwerk. Im Fokus unserer Analyse steht die Netzwerkebene aus der Perspektive eines internen Angreifers mit wenig Vorwissen (Black/Grey-Box). Im Prüfumfang sind keine Mitarbeiter-Clients wie Workstations enthalten. Replizierte Systeme können als Einzelsystem gewertet werden. Eine vollständige Leistungsbeschreibung finden Sie hier.

Q_Interne Infrastruktur

Bitte geben Sie die Anzahl der zu testenden Systeme an ( ). Wählen Sie den nächsthöheren zutreffenden Wert.

5 System(e)250 System(e)0005101520253035404550556065707580859095100105110115120125130135140145150155160165170175180185190195200205210215220225230235240245250

P_Intern

Preis: 3.200,00 €

Öffentlich erreichbare Infrastruktur

Dieser Penetrationstest beinhaltet eine Sicherheitsanalyse aller Ihrer aus dem Internet erreichbaren Systeme (z.B. Webserver, E-Mail-Server, Datei-Server über FTP/SFTP uvm.). Im Fokus unserer Analyse steht die Netzwerkebene sowie Applikationsebene aus der Perspektive eines externen Angreifers ohne Vorwissen (Black-Box). Eine vollständige Leistungsbeschreibung finden Sie hier.

Q_Öffentliche Infrastruktur

Bitte geben Sie die Anzahl der zu testenden Systeme an ( ). Wählen Sie den nächsthöheren zutreffenden Wert.

5 System(e)250 System(e)0005101520253035404550556065707580859095100105110115120125130135140145150155160165170175180185190195200205210215220225230235240245250

P_Öffentlich

Preis: 3.200,00 €

Workstation Security Assessment

Dieser szenariobasierte Test beinhaltet eine umfassende Sicherheitsanalyse einer von Ihnen bereitgestellten Mitarbeiter-Clients (z.B. Windows 11 Workstation). Die Workstation wird vor unseren Tests neu installiert und auf die gleiche Konfiguration wie ein übliches Endgerät, welches an einen neuen Mitarbeiter Ihres Unternehmens übergeben wird, eingestellt. Der Fokus unserer Sicherheitsanalyse liegt in der Identifikation von Schwachstellen, welche von einem Angreifer zur Erweiterung seiner Rechte ausgenutzt werden könnten. Dabei werden Szenarien wie der Diebstahl oder Verlust eines Notebooks genauso berücksichtigt, wie die Möglichkeit eines Angriffs durch einen internen Nutzer mit einfachen Zugriffsrechten. Eine vollständige Leistungsbeschreibung finden Sie hier.

Q_Workstation

Bitte geben Sie die Anzahl der zu testenden Workstations mit einer unterschiedlichen Konfiguration an.

1 Konfiguration(en)10 Konfiguration(en)00012345678910

P_Workstation

Preis: 0,00 €

Active Directory Sicherheitsanalyse

Mit der Beauftragung einer Microsoft Active Directory (AD) Sicherheitsanalyse analysieren unsere Sicherheitsexperten Ihren on-premise Verzeichnisdienst auf Fehlkonfigurationen und Schwachstellen. Hierbei werden bekannte Schwachstellen wie Kerberoasting, Pass-the-Hash, ADCS, PetitPotam, Unconstrained Delegation und viele Weitere aktiv aufgedeckt. Das Ziel ist die vollständige Kompromittierung der Domäne sowie der Erhalt von hochprivilegierten "Domain Admin" Berechtigungen. Eine vollständige Leistungsbeschreibung finden Sie hier.

Q_AD

Bitte geben Sie die Anzahl der zu testenden Domänen mit einer unterschiedlichen Konfiguration an.

1 Domänen10 Domänen00012345678910

P_AD

Preis: 9.800,00 €

Active Directory Passwort-Audit

Bei einem Active Directory Passwort-Audit extrahieren wir die NT-Passwort-Hashes aller Benutzer Ihres Verzeichnisdienstes ohne Nutzerkontext (anonymer Audit). Anschließend versuchen wir, diese Passwort-Hashes mithilfe von frei verfügbaren Passwortlisten und anderen Cracking-Methoden in ihre Klartextform zu überführen. Durch die folgende Analyse der identifizierten Klartextpasswörter werden messbare Ergebnisse zu der vorhandenen Passwortstärke in Ihrem Unternehmen geliefert. Eine vollständige Leistungsbeschreibung finden Sie hier.

Q_PW

Bitte geben Sie die Anzahl der zu testenden Domänen an.

1 Domäne(n)10 Domäne(n)00012345678910

P_PW

Preis: 4.200,00 €

Add-Ons

Wir empfehlen Ihnen folgende Add-Ons zu Ihrem Pentest. Es werden nur Add-Ons angezeigt, die auch zu Ihrem Pentest passen. Die Add-Ons ergänzen den jeweiligen Pentest um zusätzliche Aspekte.

O_Web

Code-Assisted Pentest +2.800,00 €

CIS Benchmark Review +4.900,00 €

Dedizierte API-Schnittstelle +2.400,00 €

Bei einem "Code-Assisted Pentest" stellen Sie uns zusätzlich den Anwendungs-Quellcode (Source Code) bereit. Gerne unter Zeichnung eines NDAs.

Mittels statischer Code-Analyse (SAST) als auch dynamischen Sicherheitsüberprüfungen (DAST) testen wir Ihre Webanwendung mit einer hohen Detailtiefe und finden ausnutzbare Schwachstellen direkt im Code (White-Box). Weitere Infos hier.

Bei einem Configuration Review nach Center for Internet Security (CIS) überprüfen wir eine Ihrer Backend-Komponenten (z.B. Betriebssystem, Datenbank, Firewall, Webserver oder Load Balancer) auf sicherheitsrelevante Härtungsmaßnahmen. Abschließend erhalten Sie einen Excel-Abschlussbericht mit allen Details bzgl. den relevanten CIS Benchmark Controls (Level 1 und Level 2). Weitere Informationen finden Sie hier.

Mit diesem Add-on analysieren wir zusätzliche API-Endpunkte (max. 5), die nicht direkt von Ihrer Webanwendung genutzt werden. Dazu zählen beispielsweise intern genutzte API-Endpunkte, die nicht öffentlich dokumentiert oder von regulären Anwendungsnutzern verwendet werden. Für diesen erweiterten Test stellen Sie uns eine interne API-Dokumentation (z.B. Swagger oder OpenAPI) zur Verfügung. Wählen Sie dieses Add-on nur, wenn es zusätzliche API-Endpunkte gibt, welche nicht bereits von der Webanwendung und dem Frontend regulär eingesetzt werden.

O_Api

Code-Assisted Pentest +2.800,00 €

CIS Benchmark Review +4.900,00 €

Dedizierte API-Schnittstelle +2.400,00 €

Bei einem "Code-Assisted Pentest" stellen Sie uns zusätzlich den Anwendungs-Quellcode (Source Code) bereit. Gerne unter Zeichnung eines NDAs.

Mittels statischer Code-Analyse (SAST) als auch dynamischen Sicherheitsüberprüfungen (DAST) testen wir Ihre Mobilanwendung/API-Backend mit einer hohen Detailtiefe und finden ausnutzbare Schwachstellen direkt im Code (White-Box). Weitere Infos hier.

Mit diesem Add-on analysieren wir zusätzliche API-Endpunkte (max. 5), die nicht direkt von Ihrer Mobilanwendung genutzt werden. Dazu zählen beispielsweise intern genutzte API-Endpunkte, die nicht öffentlich dokumentiert oder von regulären Anwendungsnutzern verwendet werden. Für diesen erweiterten Test stellen Sie uns eine interne API-Dokumentation (z.B. Swagger oder OpenAPI) zur Verfügung. Wählen Sie dieses Add-on nur, wenn es zusätzliche API-Endpunkte gibt, welche nicht bereits von der Mobilanwendung und dem Frontend regulär eingesetzt werden.

O_Api

Code-Assisted Pentest +2.800,00 €

CIS Benchmark Review +4.900,00 €

Bei einem "Code-Assisted Pentest" stellen Sie uns zusätzlich den Anwendungs-Quellcode (Source Code) bereit. Gerne unter Zeichnung eines NDAs.

Mittels statischer Code-Analyse (SAST) als auch dynamischen Sicherheitsüberprüfungen (DAST) testen wir Ihre Mobilanwendung mit einer hohen Detailtiefe und finden ausnutzbare Schwachstellen direkt im Code (White-Box). Weitere Infos hier.

O_Int

AD Passwort-Audit +2.400,00 €

OSINT Research +2.100,00 €

Workstation Security Assessment +4.200,00 €

Network Share Discovery +1.400,00 €

Active Directory Security Assessment +7.000,00 €

CIS Benchmark Review +4.900,00 €

Phishing Awareness Kampagne +4.200,00 €

Wireless Security Assessment +4.200,00 €

Bei diesem Audit untersuchen wir die Stärke und Qualität von Nutzerpasswörtern in Ihrer Microsoft Active Directory (AD) Umgebung. Im ersten Schritt extrahieren wir die NT-Passwort-Hashes von einem Domain Controller (DC). Anschließend erfolgt die Passwort-Cracking-Phase mittels unseres GPU-Cracking-Servers sowie eine finale Auswertung auf Basis Ihrer Passwortrichtlinie. Die Auswertung kann ohne Nutzerkontext erfolgen und wird mit Ihrem Betriebsrat und Datenschutzteam eng abgestimmt. Weitere Infos hier.

Wie echte Threat Actors nutzen wir eine Open Source Intelligence (OSINT) Phase als Recherche, um alle Informationen über Ihre Unternehmung in Erfahrung zu bringen. Dabei werden aus öffentlich zugänglichen Quellen möglichst viele Informationen gesammelt, die für einen Angreifer nützlich sind. Zum Beispiel Informationen über Ihre IP-Subnetze, verwalteten Domänen, angestellten Mitarbeiter als auch öffentlich geleakte Nutzerpasswörter oder sensitive Dateien. Weitere Informationen finden Sie hier.

Die Analyse Ihrer Netzwerk-Freigaben (SMB) erfolgt aus Sicht eines nicht autorisierten Benutzers bzw. eines standardmäßigen AD-Benutzers. Dadurch können wir feststellen, ob ein Zugriff auf kritische Freigaben und Dateien möglich ist.

Bei einem Configuration Review nach Center for Internet Security (CIS) überprüfen wir eine Ihrer Infrastruktur-Komponenten (z.B. Windows-Server, Linux-Server, Datenbank) auf sicherheitsrelevante Härtungsmaßnahmen. Abschließend erhalten Sie einen Excel-Abschlussbericht mit allen Details bzgl. den relevanten CIS Benchmark Controls (Level 1 und Level 2). Weitere Informationen finden Sie hier.

Bei einer Phishing Awareness Kampagne testen wir die Sensibilisierung Ihrer Mitarbeiter bezüglich realistischer Phishing-Angriffen sowie Ihre E-Mail-Gateways bezüglich einer sicheren Konfiguration. Gemeinsam entwerfen wir eine Kampagne und stimmen uns bzgl. des Inhalts sowie der Komplexität ab. Anschließend definieren wir den Empfängerkreis. Final erhalten Sie einen Abschlussbericht mit allen messbaren Kennzahlen zur Kampagne (z.B. Anzahl geöffneter E-Mails, Hyperlinks und Preisgabe von Daten). Die Kampagne kann mit Nutzerbezug oder anonym ausgewertet werden. Eine Abstimmung erfolgt gerne mit Ihrem Betriebsrat. Weitere Informationen finden Sie hier.

Dieses Add-on prüft Ihre Drahtlosnetzwerke (WPA2/3-Personal/Enterprise) auf bekannte Schwachstellen. Wir analysieren zunächst Ihre interne Dokumentation über bekannte WLANs, identifizieren dann mögliche Rogue Access Points und testen anschließend Ihre WLAN-Infrastruktur gezielt auf Sicherheitslücken (z.B. PSK-Cracking bei WPA2-Personal oder EAP-Fehlkonfigurationen bei WPA2-Enterprise).

O_Öffentlich

OSINT Research +2.800,00 €

CIS Benchmark Review +4.900,00 €

Phishing Awareness Kampagne +4.200,00 €

Bei einem Configuration Review nach Center for Internet Security (CIS) überprüfen wir eine Ihrer Backend-Komponenten (z.B. Betriebssystem, Datenbank, Firewall, Webserver, Load Balancer, Kubernetes) auf sicherheitsrelevante Härtungsmaßnahmen. Abschließend erhalten Sie einen Excel-Abschlussbericht mit allen Details bzgl. den relevanten CIS Benchmark Controls (Level 1 und Level 2). Weitere Informationen finden Sie hier.

O_Workstation

Active Directory Security Assessment +7.000,00 €

Network Share Discovery +1.400,00 €

CIS Benchmark Review +4.900,00 €

Bei diesem Pentest analysieren wir Ihre Active Directory-Umgebung auf Fehlkonfigurationen und Schwachstellen aus der Perspektive eines internen Angreifers. Weitere Infos hier.

Bei einem Configuration Review nach Center for Internet Security (CIS) überprüfen wir Ihre Client-Workstation (z.B. Windows 11) auf sicherheitsrelevante Härtungsmaßnahmen. Abschließend erhalten Sie einen Excel-Abschlussbericht mit allen Details bzgl. den relevanten CIS Benchmark Controls (Level 1 und Level 2). Weitere Informationen finden Sie hier.

O_AD

AD Passwort-Audit +2.100,00 €

Workstation Security Assessment +4.200,00 €

Network Share Discovery +1.400,00 €

Phishing Awareness Kampagne +4.200,00 €

O_PW

OSINT Research +2.800,00 €

Active Directory Security Assessment +7.000,00 €

Bei diesem Pentest analysieren wir Ihre Microsoft Active Directory (AD) Umgebung (Onpremise) auf Fehlkonfigurationen und Schwachstellen aus der Perspektive eines internen Angreifers.

In diesem Teil können Sie wichtige Vorabinformationen eingeben, welche wir vor dem Start unserer Tests benötigen. Falls Sie noch keine Details festlegen können oder wollen, wählen Sie einfach die wahrscheinlichste Antwort.

Testzeiten

In welchem täglichen Zeitfenster sollen unsere aktiven Tests durchgeführt werden? Falls Tests außerhalb unserer Geschäftszeiten (Mo-Fr 7:00 – 18:00) gewünscht sind, erhöhen sich die Kosten für unsere Tests. Unsere Tests beabsichtigten nicht den allgemeinen Geschäftsprozess zu stören oder Verfügbarkeitsprobleme zu verursachen.