Was ist der Unterschied zwischen Vulnerability Assessment und Penetration Test?

Ein Vulnerability Assessment identifiziert und katalogisiert Schwachstellen automatisiert. Ein Penetration Test geht darüber hinaus: unsere Experten versuchen aktiv, die gefundenen Schwachstellen auszunutzen, um die tatsächliche Auswirkung zu bewerten. Wir empfehlen eine Kombination beider Ansätze für maximale Abdeckung.

Wie lange dauert eine IT-Schwachstellenprüfung?

Die Dauer hängt vom Umfang ab. Ein fokussiertes Assessment einer Webanwendung dauert wenige Tage. Eine umfassende Prüfung der gesamten Infrastruktur (extern + intern) kann mehrere Wochen in Anspruch nehmen. Den detaillierten Report erhalten Sie zeitnah nach Abschluss.

Besteht die Gefahr, dass unsere Systeme während des Tests ausfallen?

Wir stimmen alle Testaktivitäten vorab mit Ihnen ab und nutzen sichere Testmethoden, die produktive Systeme nicht beeinträchtigen. Besonders sensible Tests (z.B. DoS-Simulation) werden nur nach ausdrücklicher Genehmigung und in Wartungsfenstern durchgeführt.

Nach welchen Standards wird geprüft?

Unsere Prüfungen orientieren sich an anerkannten Standards: OWASP Testing Guide, PTES (Penetration Testing Execution Standard), BSI IT-Grundschutz und NIST SP 800-115. Die genauen Standards werden im Scoping-Termin auf Ihre Anforderungen abgestimmt.

IT-Schwachstellenprüfung

Schwachstellen erkennen, bevor Angreifer es tun

Unsere IT-Schwachstellenprüfung kombiniert automatisierte Scans mit manueller Expertenbewertung. Wir analysieren Ihre gesamte Angriffsoberfläche — von externen Webapplikationen über interne Netzwerke bis hin zu Cloud-Umgebungen. Das Ergebnis ist ein priorisierter Maßnahmenplan mit klaren Handlungsempfehlungen, der Ihnen hilft, die kritischsten Risiken zuerst zu adressieren.

Penetration TestingOWASPCVE ScanningRed TeamingWeb Application Security

Assessment anfragen Häufige Fragen

Manuell

+ Automatisiert

KMU

Fokus Mittelstand

Zeitnah

Report-Lieferung

BSI

Zertifizierte Methodik

Leistungen

Was wir leisten

Externe Angriffsoberfläche

Alles, was aus dem Internet erreichbar ist, wird geprüft: Ihre Website, Online-Dienste, Schnittstellen, VPN-Zugänge und Mail-Server.

Ihr internes Netzwerk

Auch innen schauen wir genau hin: Wir prüfen Server, Dienste und Konfigurationen auf Schwachstellen, die ein Eindringling ausnutzen könnte.

Manuelle Penetrationstests

Unsere erfahrenen Tester simulieren echte Angriffe und finden so Schwachstellen, die automatisierte Werkzeuge übersehen.

Verständlicher Bericht mit Prioritäten

Sie erfahren klar, welche Lücken zuerst geschlossen werden sollten, wie gefährlich jede einzelne ist und welche Schritte konkret nötig sind.

Zielgruppe

Für wen dieser Service gedacht ist

Nicht jedes Unternehmen braucht sofort das volle Programm. Diese Ausgangslagen sind typisch für Projekte, in denen wir den größten Unterschied machen — wenn Sie sich hier wiederfinden, lohnt sich ein Gespräch.

Unternehmen, deren letzte externe Sicherheitsprüfung länger zurückliegt — oder die noch nie eine hatten
IT-Verantwortliche, deren Cyberversicherung oder Kunden regelmäßige Schwachstellenprüfungen fordern
Mittelständler nach größeren Veränderungen: Cloud-Migration, neue Standorte, Zukäufe oder neue Webapplikationen
Organisationen, die für ISO 27001, TISAX oder NIS2 technische Prüfnachweise benötigen

Methodik

Unser Vorgehen

Auftakt & Planung

Gemeinsam legen wir fest, was geprüft wird, wie tief die Tests gehen und wann sie stattfinden — abgestimmt auf Ihren Betrieb, ohne Überraschungen.

Blick von außen

Wir verschaffen uns denselben Überblick, den auch ein Angreifer hätte: Welche Systeme und Dienste sind erreichbar, wo gibt es mögliche Einfallstore?

Schwachstellen aufspüren

Automatisierte Scans kombiniert mit manueller Prüfung durch unsere Experten — so finden wir auch Lücken, die Tools allein übersehen.

Funde bewerten

Nicht jede Schwachstelle ist kritisch. Wir bewerten jeden Fund danach, wie leicht er ausnutzbar ist und was er für Ihr Geschäft bedeuten würde.

Ergebnisse & Empfehlungen

Sie erhalten einen verständlichen Bericht: Zusammenfassung für die Geschäftsführung, technische Details für Ihr IT-Team und priorisierte nächste Schritte.

Ergebnisse

Was Sie erhalten

Am Ende des Projekts stehen konkrete, nutzbare Arbeitsergebnisse — keine Folien, sondern Berichte, Konfigurationen und Unterlagen, mit denen Ihr Team direkt weiterarbeitet.

Executive Summary

Management-taugliche Zusammenfassung der Risikolage — verständlich ohne Security-Vorwissen, geeignet für Geschäftsführung und Gremien.

Technischer Befundbericht

Jede Schwachstelle mit CVSS-Bewertung, Nachweis und Reproduktionsschritten — direkt verwertbar für Ihre Administratoren.

Priorisierter Maßnahmenplan

Konkrete Remediations-Schritte, sortiert nach Risiko und Umsetzungsaufwand, damit Ihr Team die kritischsten Lücken zuerst schließt.

Ergebnispräsentation

Durchsprache der Befunde mit Ihrem Team — technische Detailfragen und Priorisierung klären wir direkt im Termin.

Nachweis für Dritte

Dokumentation in einer Form, die Sie gegenüber Versicherern, Auditoren und Kunden als Prüfnachweis verwenden können.

FAQ

Häufig gestellte Fragen

Weiterführend

Vertiefen Sie das Thema

Sie möchten erst tiefer einsteigen, bevor Sie mit uns sprechen? Diese Artikel aus unserem Blog liefern Hintergrund und Praxiswissen — und mit unseren kostenlosen Tools führen Sie erste Checks direkt selbst durch.

Die 10 größten Cyber-Risiken für Unternehmen in 2026

Von Ransomware über Supply-Chain-Angriffe bis zu KI-gestütztem Social Engineering — welche Bedrohungen 2026 die größte Gefahr für den Mittelstand darstellen und wie Sie sich schützen.

15 minArtikel lesen

Exchange-Server-OWA wird aktiv angegriffen — CVE-2026-42897, Mitigation jetzt, Patch nur für ESU-Kunden

Microsoft hat am 14. Mai 2026 die aktiv ausgenutzte Schwachstelle CVE-2026-42897 in Outlook Web Access bestätigt. Das Lesen einer präparierten E-Mail in OWA reicht für die Code-Ausführung im Browser-Kontext des Empfängers. Wir erklären Angriffsmechanik, EEMS- und EOMT-Mitigation, den ESU-Paywall-Effekt beim permanenten Patch und welche Konsequenzen das für Mittelstands-IT mit On-Prem-Exchange hat.

12 minArtikel lesen

Ransomware-Evasion durch Virtualisierung — Wenn Angreifer Ihre EDR-Lösung umgehen

Von QEMU-basierten Stealth-VMs über BYOVD-Kernel-Angriffe bis hin zu LOLBin-Ketten — moderne Ransomware-Gruppen operieren innerhalb von Stunden nach dem Initial Access und machen klassische Endpoint Security wirkungslos. Warum EDR allein nicht reicht und welche Defense-in-Depth-Strategie tatsächlich schützt.

13 minArtikel lesen

Prüfen Sie selbst — kostenlose Tools

SSL/TLS-Zertifikat CheckZertifikat & Verschlüsselung prüfen TLS-Cipher-CheckTLS-Protokolle & Cipher-Suites prüfen Security Headers CheckHTTP-Sicherheitsheader analysieren

Weitere Security Services

Cloud Security

Microsoft 365, Azure und Multi-Cloud absichern

Mehr erfahren

Identity & Access Hardening

AD-Härtung, PAM und Angriffspfad-Sanierung

Mehr erfahren

Netzwerksicherheit

Zero Trust, maximale Sicherheit

Mehr erfahren

IT-Schwachstellenprüfung anfragen

Im unverbindlichen Erstgespräch klären wir Ihre Ausgangslage — Sie erhalten eine erste Einschätzung, welche Maßnahmen bei Ihnen die größte Wirkung haben, und einen konkreten Vorschlag für den Einstieg.

Erstgespräch vereinbaren

BSI-konforme Sicherheitslösungen

Weiter

Cloud Security