Externe Tests sind meist störungsarm; interne Tests stimmen wir eng mit Ihnen ab.

Der definierte Scope: Domains, Apps, APIs, Netzsegmente – nach OWASP/PTES‑Methodik.

Penetrationstest (Pentest), auditfähig und praxisnah – Web, API, Cloud

Wir prüfen Ihre Anwendungen, APIs, Cloud‑Ressourcen und Netzwerke nach OWASP/PTES und liefern einen klaren, priorisierten Maßnahmenplan – inklusive schnellem Re‑Test.

Leistungen

Web

Wir prüfen Authentisierung, Session‑Management, Injection‑Risiken, Zugriffskontrollen und Geschäftslogik – praxisnah und mit klaren Empfehlungen.

APIs

REST und GraphQL testen wir auf Authentifizierung/Autorisierung, Rate‑Limiting, Eingabevalidierung und fehlerhafte Berechtigungen entlang typischer Angriffswege.

Mobile Apps

Wir bewerten API‑Kommunikation, lokale Speicherung und Schutzmechanismen gegen Reverse Engineering sowie Missbrauch typischer Plattform‑Features.

Hardware

Wir prüfen Geräte und Komponenten auf Sicherheitslücken: Firmware, Schnittstellen (UART/JTAG), IoT und physische Manipulation – mit reproduzierbaren Nachweisen.

Netzwerk

Wir testen externe und interne Angriffsflächen wie DMZ, VPN, SSO und Active Directory, um Schwachstellen mit realem Risiko aufzuzeigen.

Vorgehen

Scoping & Ziele – Wir grenzen gemeinsam Assets, Risiken und Rahmenbedingungen ab, um einen sinnvollen, machbaren Scope zu definieren.
Testdurchführung – Die Tests folgen OWASP/PTES, sind überwiegend manuell und werden punktuell durch Tools unterstützt.
Reporting – Sie erhalten Management‑Summary, Risiko‑Matrix sowie nachvollziehbare Nachweise und Belege.
Maßnahmenplan – Wir priorisieren konkrete Handlungsempfehlungen und heben Quick Wins klar hervor.
Re‑Test – Fixes verifizieren wir im Re‑Test und bestätigen diese auditfähig.
Dokumente & Nachweise – Auditfähiger Report mit Befunden inkl. Evidenzen und Schweregraden, Management‑Summary, Risiko‑Matrix, priorisierter Maßnahmenplan sowie Re‑Test‑Bestätigung.

Warum ein Pentest?

Compliance‑Druck

ISO 27001, TISAX, BSI IT‑Grundschutz, KRITIS, DSGVO Art. 32 – ein auditfähiger Pentest schafft belastbare Nachweise und verkürzt Audits.

Go‑Live‑Sicherheit

Vor dem Launch von Webshop, App, API oder Cloud‑Workloads identifizieren wir kritische Schwachstellen rechtzeitig und praxisnah.

Kunden & Audits

Ausschreibungen und Audits fordern oft einen nachweisbaren Pentest. Unsere Ergebnisse sind reproduzierbar und auditfähig.

Sicherheitsvorfall

Bei Auffälligkeiten, Datenpannen oder Bug‑Reports liefern wir schnelle Transparenz und priorisierte Maßnahmen.

DevSecOps‑Gate

Als Release‑Gate erhöht ein Pentest kontinuierlich das Sicherheitsniveau – mit umsetzbaren Empfehlungen für Sprints.

Häufige Fragen

Wie lange dauert ein Pentest?

Die Dauer hängt von Umfang und Komplexität des Scopes ab. Typisch sind 3–7 Testtage pro Scope, in denen wir manuell entlang OWASP prüfen und Befunde belegen. Für den Re‑Test, also die Verifikation der umgesetzten Maßnahmen, planen wir meist 1–2 weitere Tage ein.

Was ist der Unterschied zum Schwachstellenscan?

Ein automatisierter Scan meldet potenzielle Schwachstellen – oft mit False Positives. Ein Pentest bewertet die tatsächliche Ausnutzbarkeit, kombiniert Befunde zu realistischen Angriffspfaden und liefert eine klare Priorisierung mit konkreten Maßnahmen. Das Ergebnis ist auditfähig und praxisnah.

Stört der Betrieb?

Externe Tests sind in der Regel störungsarm und erfolgen außerhalb produktkritischer Zeitfenster. Interne Tests stimmen wir eng mit Ihnen ab (Freigaben, Fallbacks, Kommunikationswege), damit es zu keinen unerwünschten Betriebsbeeinträchtigungen kommt.

Was wird geprüft?

Geprüft wird ausschließlich der gemeinsam definierte Scope, zum Beispiel konkrete Domains, Apps, APIs oder Netzsegmente. Das Vorgehen richtet sich nach OWASP/PTES und umfasst Authentisierung, Berechtigungen, Eingabevalidierung, Geschäftslogik, Fehlkonfigurationen und mehr.

Welche Nachweise erhalte ich?

Sie erhalten einen auditfähigen Bericht mit Management‑Summary, Risiko‑Matrix, detaillierten Befunden inkl. Evidenzen und Schweregraden sowie einen priorisierten Maßnahmenplan. Nach Umsetzung verifizieren wir die Fixes im Re‑Test und bestätigen die Ergebnisse.

Was kostet ein Pentest?

Die Kosten richten sich nach Umfang, Komplexität und gewünschter Testtiefe (Black/Grey/White‑Box). Nach einem kurzen Scoping erhalten Sie einen transparenten Preisrahmen und eine klare Beschreibung der enthaltenen Leistungen.

Warum LEV3L

Stärke in der Vielfalt: neurodivergentes Team mit komplementären Stärken.
Faktor Mensch im Fokus: Social‑Engineering‑Expertise und gelebte Security‑Awareness.
Verwurzelt in der Hacker‑Kultur (CCC), gelebte Hackerethik und starkes Expertennetzwerk.
Erfahrene Pentester, Projektleiter, Social Engineers und Blue Teamer.
Methodenkompetenz: OWASP Top 10, PTES, NIST 800‑115; Black/Grey/White‑Box.
Breite Qualifikationen: Web, APIs, Mobile, Cloud (AWS/Azure/GCP), Netzwerk/AD/SSO/VPN.
Compliance‑Know‑how: ISO 27001, TISAX, BSI IT‑Grundschutz; auditfähige Nachweise.
Praxisnah: priorisierter Maßnahmenplan und schneller Re‑Test.

Bereit, Sicherheit messbar zu machen?

Angebot anfordern Zum Hauptangebot