Häufig gestellte Fragen:

Ein Penetrationstest (kurz: Pentest) ist ein kontrollierter, gezielter Sicherheitsangriff auf Ihre IT-Systeme, natürlich mit Ihrer Zustimmung. Ziel ist es, Schwachstellen zu finden, bevor es echte Angreifer tun. Dabei werden reale Angriffsszenarien simuliert, um zu überprüfen, wie gut Ihre Systeme geschützt sind. Am Ende erhalten Sie einen Bericht mit den gefundenen Schwachstellen und konkreten Empfehlungen, wie Sie Ihre IT sicherer machen können. Zusätzlich biete ich eine Abschlusspräsentation des Berichts an, um offene Fragen zu klären. Auf Wunsch unterstütze ich Ihre IT-Administratoren oder Dienstleister bei der Schließung der Schwachstellen und führe, wenn gewünscht, einen Retest durch, um sicherzustellen, dass die Lücken wirklich geschlossen wurden.

Ein Schwachstellen-Scan ist ein automatisierter Vorgang, bei dem ein Programm Ihre Systeme nach bekannten Sicherheitslücken durchsucht. Dabei werden beispielsweise Softwareversionen erfasst und mit einer Schwachstellen-Datenbank abgeglichen, um festzustellen, ob es bereits öffentlich bekannte Sicherheitslücken gibt. Allerdings bedeutet eine gefundene Schwachstelle nicht automatisch, dass sie auch wirklich ausnutzbar ist. Viele Faktoren wie Systemkonfiguration oder Zugriffsrechte spielen dabei eine Rolle.

Ein Penetrationstest geht einen großen Schritt weiter. Ich prüfe sowohl automatisiert als auch manuell, ob und wie sich erkannte Schwachstellen tatsächlich ausnutzen lassen. Also ganz so, wie es ein echter Angreifer tun würde. Dabei kommen neben Tools auch gezielte Analyse, Erfahrung und kreative Ansätze zum Einsatz. Ein Beispiel: Ein Schwachstellenscanner kann erkennen, dass ein Benutzer auf einen Dateiserver zugreifen kann, ob das aber tatsächlich ein Sicherheitsrisiko darstellt, kann nur eine gezielte Betrachtung aufdecken, welche auch in betracht zieht, ob die Dateien vertraulich sind oder nicht. Genau hier setzt der Pentest an.

Ein Penetrationstest hilft Ihnen, IT-Schwachstellen frühzeitig zu erkennen, bevor sie von Angreifern ausgenutzt werden. So vermeiden Sie mögliche Schäden wie Datenverlust, Systemausfälle oder Reputationsschäden.

Gleichzeitig zeigt ein Pentest, ob Ihre aktuellen Sicherheitsmaßnahmen wirklich greifen und wo es noch Verbesserungspotenzial gibt. Besonders in Zeiten wachsender Cyberbedrohungen und steigender Anforderungen durch Normen wie ISO 27001 oder NIS-2 ist ein regelmäßiger Test ein wichtiger Baustein für eine sichere IT-Strategie.

Ein Pentest folgt bei mir einem klar strukturierten Ablauf, damit alles reibungslos und transparent abläuft:

1. Scoping
   Zunächst klären wir gemeinsam, was genau getestet werden soll z. B. externe Systeme, interne Firmennetzwerke oder Ihre WLAN-Infrastruktur. Dabei legen wir den Umfang, die Ziele und die Art des Tests fest.

2. Kick-off
   In einem kurzen Abstimmungsgespräch besprechen wir alle organisatorischen Details: Ansprechpartner, gewünschter Zeitraum, Testzeiten sowie Kommunikationswege bei kritischen Schwachstellen befunden.

3. Vorbereitung des Starts
   Für den Test benötige ich je nach Szenario verschiedene Informationen: Beim externen Pentest die zu prüfenden IP-Adressen oder Domains, beim internen Pentest Zugang per VPN, ein Testsystem und passende Nutzerkonten und beim WLAN-Pentest die SSID’s der zu testenden Access Points.

4. Durchführung des Pentests
   Jetzt beginnt das eigentliche Testing: Ich prüfe Ihre Systeme gezielt auf Schwachstellen automatisiert, aber vor allem auch manuell. Dabei simuliere ich reale Angriffsszenarien, um Sicherheitslücken zu identifizieren und ihre Ausnutzbarkeit zu bewerten.

5. Abschlussbericht & Maßnahmenempfehlung
   Nach dem Test erhalten Sie einen ausführlichen Bericht. Dieser enthält alle gefundenen Schwachstellen, eine Risikobewertung sowie klare Empfehlungen zur Behebung, priorisiert und verständlich erklärt.

6. Abschlussbesprechung
   In einem gemeinsamen Termin gehen wir den Bericht durch und klären offene Fragen oder technische Details. Ziel ist, dass Sie alle Punkte nachvollziehen und sofort mit der Behebung starten können.

7. Re-Test (optional)
   Auf Wunsch prüfe ich nach der Umsetzung Ihrer Maßnahmen, ob die Schwachstellen tatsächlich geschlossen wurden, so haben Sie volle Sicherheit und Nachweisbarkeit. Aus Erfahrung empfehle ich diesen Re-Test ausdrücklich, da ich bereits mehrfach erlebt habe, dass Schwachstellen von Administratoren oder externen Dienstleistern nicht korrekt behoben wurden und die vermeintlich geschlossene Lücke weiterhin offen blieb.

Die Dauer eines Pentests hängt von der Art und dem Umfang des Tests ab. Bei einem externen Pentest ist die Dauer vor allem von der Anzahl der zu testenden IP-Adressen und Ports abhängig. Je mehr Systeme und laufende Services überprüft werden müssen, desto länger wird der Test in der Regel dauern.

Bei einem internen Pentest richtet sich die Dauer nach der Anzahl der Systeme und Nutzer im Netzwerk. Für weniger als 30 Systeme dauert der Test grob bis zu 2-4 Tagen. Wenn zwischen 30 und 100 Systeme geprüft werden, kann der Test 5 bis 10 Tage in Anspruch nehmen. Bei mehr als 100 Systemen sind meist über 10 Tage erforderlich, wobei der genaue Zeitraum von der Anzahl und der Komplexität der Systeme, Dienste und Benutzern abhängt.

In jedem Fall werde ich im Vorfeld den Zeitrahmen und die genauen Testziele mit Ihnen abstimmen, sodass Sie einen klaren Überblick über den Ablauf erhalten.

Die Kosten für einen Pentest hängen von der Größe und Komplexität Ihrer IT-Landschaft ab, da diese den Umfang und die Anzahl der benötigten Testtage bestimmen. Faktoren wie die Anzahl der zu testenden Systeme, Netzwerke und Anwendungen spielen dabei eine Rolle.

Durch meine Tätigkeit als Freelancer kann ich Ihnen eine kosteneffiziente Lösung anbieten, die in der Regel günstiger ist als die Angebote größerer Pentesting-Firmen, deren Tagessätze oft zwischen 1.400 € und 2.000 € liegen. Mein Tagessatz liegt bei 1.040 €, wodurch ich Ihnen eine qualitativ hochwertige und gleichzeitig preiswerte Lösung bieten kann.

Um Ihnen ein individuelles Angebot zu erstellen, besprechen wir gemeinsam den Umfang des Tests und die benötigten Ressourcen.

Nach Abschluss des Pentests erhalten Sie einen detaillierten Bericht, der alle entdeckten Schwachstellen und Sicherheitslücken in Ihrem System aufzeigt. Der Bericht enthält eine klare Beschreibung der gefundenen Sicherheitsprobleme, eine Einschätzung ihrer Schwere und mögliche Risiken sowie konkrete Handlungsempfehlungen zur Behebung der Schwachstellen.

Zusätzlich erhalten Sie eine Priorisierung der Schwachstellen, sodass Sie wissen, welche Risiken sofort behoben werden sollten und welche weniger dringlich sind. Der Bericht ist so strukturiert, dass er sowohl für IT-Administratoren als auch für das Management verständlich ist.

Zuletzt gibt es eine Abschlussbesprechung, in der wir gemeinsam den Bericht durchgehen und offene Fragen klären können. Dies hilft Ihnen, die empfohlenen Maßnahmen effektiv umzusetzen.

Auf Wunsch unterstütze ich Ihre IT-Administratoren oder Dienstleister bei der Schließung der Schwachstellen und führe, wenn gewünscht, einen Re-Test durch, um sicherzustellen, dass die Lücken wirklich geschlossen wurden.

Ja, nach dem Pentest erhalten Sie konkrete und praxisnahe Handlungsempfehlungen, die Ihnen dabei helfen, die gefundenen Schwachstellen effektiv zu schließen. Die Empfehlungen sind auf Ihre spezifische IT-Landschaft abgestimmt und berücksichtigen sowohl technische als auch organisatorische Aspekte.

Jede Schwachstelle wird mit einer detaillierten Beschreibung und einer klaren Priorisierung versehen, sodass Sie wissen, welche Sicherheitslücken am dringendsten behoben werden müssen. Die Empfehlungen beinhalten sowohl kurzfristige Maßnahmen zur schnellen Absicherung als auch langfristige Strategien zur Verbesserung der gesamten Sicherheitsstruktur.

Mein Ziel ist es, Ihnen nicht nur die Schwachstellen aufzuzeigen, sondern Ihnen auch zu helfen, diese nachhaltig zu schließen, damit Ihr Unternehmen bestmöglich gegen potenzielle Angriffe geschützt ist.

Ja, ich unterstütze Sie gerne bei der Behebung der identifizierten Schwachstellen. Gemeinsam mit Ihrem IT-Dienstleister, Ihren IT-Administratoren oder Softwareentwicklern setze ich die empfohlenen Sicherheitsmaßnahmen um, um sicherzustellen, dass alle Lücken ordnungsgemäß geschlossen werden.

Ich arbeite eng mit Ihrem Team zusammen, um eine effiziente und effektive Umsetzung der Maßnahmen zu gewährleisten und dabei den laufenden Betrieb nicht zu stören. Mein Ziel ist es, Ihnen nicht nur die Schwachstellen aufzuzeigen, sondern auch aktiv dazu beizutragen, damit die gefundenen Lücken schnellstmöglich geschlossen werden.

Nein, ein Pentest wird so durchgeführt, dass der laufende Betrieb nicht gestört wird. Es wird kein Denial-of-Service (DoS) versucht, das bedeutet, dass ich Ihre Systeme nicht lahmlegen. Auch werden keine Änderungen an den Systemen vorgenommen, die den Betrieb beeinträchtigen könnten. Lediglich gezielte Änderungen werden, wenn unbedingt notwendig, vorgenommen, um eine Schwachstelle ausnutzen zu können. Diese Änderungen werden nach dem Test selbstverständlich rückgängig gemacht.

Als professioneller Dienstleister im Bereich Pentesting bin ich selbstverständlich durch eine Berufshaftpflichtversicherung abgesichert, die Vermögensschäden bis zu einer Höhe von 3.000.000 € abdeckt. So können Sie sicher sein, dass Sie bei etwaigen Unvorhergesehenheiten geschützt sind, während ich mich um die Sicherheit Ihrer IT-Infrastruktur kümmere.

Ja, ein Penetrationstest (Pentest) ist vollkommen legal, solange er mit ausdrücklicher Genehmigung des Unternehmens oder der Organisation durchgeführt wird, deren Systeme getestet werden. Der Pentest wird auf Grundlage eines vorher vereinbarten Vertrags durchgeführt, in dem genau festgelegt wird, welche Systeme getestet werden dürfen und welche Methoden dabei zum Einsatz kommen. Ohne eine solche Genehmigung würde der Test jedoch als unbefugter Zugriff gelten und somit illegal sein.

Besonders wichtig ist, dass bei Systemen, die bei einem IT-Dienstleister oder in der Cloud (z. B. bei Microsoft, AWS, IONOS oder ähnlichen Anbietern) gehostet werden, zusätzlich die Zustimmung des jeweiligen Dienstleisters erforderlich ist. Diese Anbieter haben oft eigene Richtlinien und Regeln, die vor einem Pentest beachtet werden müssen. Daher ist es notwendig, deren Zustimmung einzuholen, bevor ein Test durchgeführt werden kann.

Es ist also essenziell, dass der Pentest im Vorfeld klar abgesprochen wird und alle notwendigen rechtlichen Rahmenbedingungen beachtet werden, um sicherzustellen, dass der Test innerhalb der rechtlichen Grenzen stattfindet.

Der Schutz sensibler Daten hat während eines Penetrationstests oberste Priorität. Alle gesammelten Daten werden streng vertraulich behandelt und ausschließlich für den Testzweck verwendet. Während des gesamten Prozesses wird sicherstellt, dass keine personenbezogenen oder sensiblen Informationen ungesichert gespeichert oder weitergegeben werden.

Ich halte mich an die geltenden Datenschutzbestimmungen und arbeite mit sicheren Methoden, um Daten zu schützen. Zudem werden alle Testergebnisse und Berichte nach Abschluss des Pentests entweder verschlüsselt oder auf sichere Weise übermittelt, sodass nur autorisierte Personen Zugriff darauf haben. Sollten sensible Daten während des Tests zugänglich sein, werden diese selbstverständlich nicht weiterverwendet oder weitergegeben.

Darüber hinaus kann auf Wunsch eine Geheimhaltungsvereinbarung (NDA) unterzeichnet werden, um zusätzlichen Schutz für die vertraulichen Informationen Ihres Unternehmens zu gewährleisten.