Die meisten Unternehmen, die regelmäßig Penetrationstests durchführen, setzen auf einen jährlichen Rhythmus. Einerseits verlangen verschiedene Standards eine jährliche Durchführung, andererseits lässt sich ein jährlicher Penetrationstest gut in die Budgetplanung integrieren. Einen Pentest alle neun Monate durchzuführen, wäre beispielsweise schwer in die Finanzplanung zu intregieren. Ein halbjährlicher Rhythmus – also zwei Tests pro Jahr – ist oft aus finanzieller Sicht nicht möglich.
Es gibt jedoch Unternehmen, die zweimal jährlich einen Penetrationstest durchführen und dabei unterschiedliche Schwerpunkte setzen. Aus Sicherheits- und Risikoperspektive wäre es ideal, nach jeder signifikanten Änderung im System einen neuen Penetrationstest durchzuführen. In der Praxis scheitert dies jedoch häufig an begrenzten personellen und finanziellen Ressourcen.
Eine mögliche Lösung kann die Vereinbarung eines Rahmenvertrags für Penetrationstests sein. Oft auch mit dem Buzzwort als Pentesting as a Service bezeichnet. Dabei werden in festgelegten Intervallen – etwa quartalsweise oder halbjährlich – wiederkehrende Tests durchgeführt, deren Scope jeweils an aktuelle Änderungen oder Schwerpunkte angepasst wird. So lassen sich sicherheitsrelevante Entwicklungen regelmäßig überprüfen, ohne jedes Mal einen neuen Einzelauftrag über einen kompletten Pentest auszulösen.
Ein Penetrationstest liefert mehr als nur technische Details. Er schafft eine belastbare Grundlage, um IT-Sicherheit als Teil der Unternehmenssteuerung zu verstehen und weiterzuentwickeln. Unternehmen profitieren dabei auf mehreren Ebenen.
- Transparenz: Klare Sicht auf vorhandene Schwachstellen, die Angriffsfläche und den tatsächlichen Sicherheitsstatus.
- Priorisierung: Strukturierte Einordnung nach Risiko und Auswirkung, um Ressourcen gezielt einzusetzen.
- Wirksamkeitsprüfung: Nachweis, ob bestehende Schutzmaßnahmen wie Firewalls, WAFs oder Endpoint-Security ihre Aufgabe erfüllen.
- Strategische Planung: Grundlage für Investitionsentscheidungen und die Weiterentwicklung der Sicherheitsstrategie.
- Compliance und Nachweise: Unterstützung bei regulatorischen Anforderungen (z. B. ISO 27001, TISAX, NIS2, PCI DSS) und objektiver Nachweis gegenüber Kunden, Partnern oder Auditoren.
- Reaktionsfähigkeit: Erkenntnisse darüber, wie schnell und effektiv interne Teams auf simulierte Angriffe reagieren.
Der wesentliche Vorteil liegt darin, dass Unternehmen ihre Sicherheitslage nicht nur theoretisch, sondern praktisch und überprüfbar bewerten können. So lassen sich Risiken realistisch einschätzen und Maßnahmen fundiert priorisieren.
Eine häufige Frage von Kunden lautet: Warum entdeckt die binsec GmbH in Penetrationstests regelmäßig Schwachstellen, die zuvor von anderen Anbietern übersehen wurden?
Die Antwort ist PTDoc – unser internes Tool für die strukturierte Durchführung und Dokumentation von Penetrationstests. Entwickelt von der binsec systems GmbH und gepflegt innerhalb der binsec group, entstand es aus einer zentralen Herausforderung: Wie lässt sich die Qualität konstant hochhalten, wenn das Team wächst und unterschiedliche Tester eigene Schwerpunkte haben? Und wie kann sichergestellt werden, dass Ergebnisse unabhängig vom ausführenden Senior Penetration Tester identisch und reproduzierbar bleiben?
PTDoc liefert die Lösung: standardisierte Vorgehensweisen für unterschiedliche Zielsysteme – von Active Directory über mobile Anwendungen bis hin zu Netzwerken. Dabei fließen kontinuierlich etablierte Standards wie der OWASP Testing Guide, MASVS und OSSTMM ein. Ebenso spiegeln sich in den Prüfschritten die gesammelten Erfahrungen unserer Pentester wider: Regelmäßig werden neue Prüfpunkte ergänzt, die sofort dem gesamten Team zur Verfügung stehen.
In der Praxis bedeutet das:
- binsec deckt Schwachstellen auf, die andere übersehen. In den letzten Jahren konnten wir immer wieder Findings identifizieren, die bei früheren Tests nicht entdeckt wurden.
- PTDoc entlastet die Pentester von binsec: Sie können sich voll auf die Durchführung konzentrieren, während die Dokumentation, die Verwaltung von Evidences und die Berichtsgenerierung effizient im Hintergrund ablaufen.
- Berichte sind schnell verfügbar und mehrsprachig: PTDoc unterstützt die Erstellung von deutschen und englischen Reports – auf Wunsch auch in beiden Sprachen.
Das ist das Geheimnis hinter den Pentest der binsec: ein systematischer Ansatz, der Standards und Erfahrung verbindet, Qualität und Wiederholbarkeit sicherstellt – und damit für die Kunden den entscheidenden Unterschied macht. Ein Kunde brachte es auf den Punkt: „Seit wir mit binsec arbeiten, bezeichne ich die Tests davor eigentlich nicht mehr als richtige Penetrationstests.“
Vor einem Penetrationstest können datenschutzrechtliche und vertragliche Vereinbarungen notwendig sein, um sowohl die rechtlichen Anforderungen (z. B. DSGVO) zu erfüllen als auch die Verantwortlichkeiten und Pflichten zwischen Auftraggeber und Penetrationstester eindeutig zu regeln. Der Umfang der Verarbeitung personenbezogener Daten hängt bei einem Penetrationstest stark von der Zielstellung des eigentlichen Tests ab. Bei der Durchführung eines Penetrationstests können folgende personenbezogene Daten verarbeitet werden:
Personenbezogene Daten eines oder mehrerer Ansprechpartner des Auftraggebers
Das sind in der Regel der Vorname, der Nachname, die berufliche E-Mail-Adresse, die berufliche Telefonnummer sowie die Position innerhalb des Unternehmens. Diese personenbezogenen Daten werden üblicherweise im E-Mail-Programm, auf dem Mailserver, in der Telefonanlage, in Kalendereinträgen sowie im abschließenden Bericht zum Penetrationstest gespeichert bzw. verarbeitet. Klingt banal – ist es in diesem Fall auch – und ist einfach für die Kommunikation zwischen Auftraggeber und Auftragnehmer notwendig. Diese Daten werden immer verarbeitet, sind jedoch oftmals ohnehin öffentlich verfügbar.
-
Personenbezogene Daten weiterer Mitarbeiter des Auftraggebers
Ist das Ziel des Penetrationstests eher das Unternehmensnetzwerk, wird man den Kontakt zu personenbezogenen Daten von Mitarbeitern oft nicht vermeiden können. Bei externen Penetrationstests ist dies seltener der Fall, spätestens bei internen Tests mit einem Active Directory jedoch nahezu unvermeidlich. Dabei erhält man oftmals mindestens die Namen der Mitarbeiter. Häufig gehört es zum internen Test, dass versucht wird, Privilegien zu erweitern oder weitere Accounts bzw. Zugänge zu erhalten. Gelingt dies – was mit steigender Mitarbeiterzahl wahrscheinlicher wird –, erhält man Zugriff auf valide Passwörter oder zumindest Passwort-Hashes. Um den Pentest durchzuführen, müssen zumindest diese Daten lokal auf dem Endgerät des Penetrationstesters verarbeitet werden. Durch die Kompromittierung von Accounts oder Umgehung von Zugriffsbeschränkungen können noch mehr Informationen zugänglich werden. Im schlimmsten Fall, etwa bei vollständiger Übernahme des Active Directory, kann der Zugriff auf sehr viele personenbezogene Daten erfolgen. Allerdings ist es nicht notwendig, diese Daten auf IT-Systeme des Auftragnehmers zu kopieren – im Gegenteil, dies sollte unbedingt vermieden werden. Eine Notwendigkeit dazu besteht nicht.
Personenbezogene Daten von Kunden des Auftraggebers
Mit personenbezogenen Daten von Kunden des Auftraggebers kommt man oft in Berührung, wenn Produktionssysteme getestet werden. Ein einfaches Beispiel ist ein Online-Shop. Das Absichern der Kundendaten im Shop ist ein zentrales Ziel des Penetrationstests. Es soll geprüft werden, ob es möglich ist, unberechtigt auf andere Datensätze zuzugreifen. Falls dies gelingt, werden beim Test zumindest kurzfristig einzelne Datensätze lokal auf dem Arbeitsgerät angezeigt und damit verarbeitet.
In den letzten beiden Fällen kann es ratsam sein, eine Vereinbarung zur Auftragsdatenverarbeitung zu schließen. Dabei sollte der Fokus auf dem Prinzip der Datenvermeidung liegen. Ein Penetrationstester ist – offensichtlich – kein böswilliger Angreifer, und es besteht keine Notwendigkeit, nennenswerte Datensätze des Unternehmens zu verarbeiten. Nur bei der Erstellung des Berichts muss ein sinnvoller Kompromiss zwischen Anonymisierung und Pseudonymisierung gefunden werden. Wurden beispielsweise beim Penetrationstest erfolgreich Zugangsdaten gefunden, müssen diese im Bericht dokumentiert werden, damit der Auftraggeber die nötigen Informationen erhält. Es ist jedoch nicht zwingend erforderlich, diese Zugangsdaten einzelnen Personen zuzuordnen.
Penetrationstests erzeugen sensible Informationen: technische Details zu Systemen, Konfigurationen, Schwachstellen, Benutzerkonten oder internen Strukturen. Entscheidend ist daher nicht nur wo, sondern auch wie diese Daten verarbeitet werden.
Die gesamte Verarbeitung erfolgt innerhalb einer eigenen, kontrollierten Infrastruktur in Deutschland. Der Betrieb findet in einem Rechenzentrum in Frankfurt am Main statt und wird durch eine räumlich getrennte Hot Standby Location zur Sicherstellung von Redundanz und Ausfallsicherheit ergänzt. Projektdaten werden weder in Public Cloud Umgebungen noch in unspezifizierte Drittstaaten ausgelagert.
Es werden eigene IPv4 und IPv6 Adressräume betrieben. Als Local Internet Registry wird eine unabhängige Netz und Routing Infrastruktur unterhalten, basierend auf Enterprise Hardware mit Juniper Netzwerkkomponenten. Auch Hypervisor und Storage Systeme befinden sich vollständig in technischer Eigenkontrolle.
Projektdaten werden ausschließlich in dedizierten, segmentierten Systemen verarbeitet. Der Zugriff ist strikt rollenbasiert und auf die jeweils beteiligten Senior Penetration Tester beschränkt. Erfasste Daten umfassen beispielsweise:
- technische Testnotizen und Analysen
- Screenshots und Evidences
- Berichtsentwürfe und finale Reports
Alle eingesetzten Laptops sind vollständig verschlüsselt. Projektdaten werden nach Abschluss lokal von den Systemen der Tester gelöscht. Die zentrale Dokumentation und Verwaltung sämtlicher Findings erfolgt ausschließlich in PTDoc als kontrolliertes Kernsystem. Durch diese Kombination aus eigener Infrastruktur, klarer Zugriffstrennung, verschlüsselten Endgeräten und strukturiertem Dokumentationsprozess bleibt die Verarbeitung jederzeit nachvollziehbar und kontrolliert.
Penetrationstest
FAQ
Unsere FAQ liefert klare Antworten auf häufige Fragen – direkt von Pentesting-Experten und komplett werbefrei.
Was ist ein Penetrationstest? Welche Arten von Penetrationstests gibt es? Was ist der Unterschied zwischen einem Schwachstellenscan und einem Penetrationstest?
Wie oft sollte man einen Penetrationstest durchführen? Was ist beim Thema Datenschutz im Rahmen eines Penetrationstests zu berücksichtigen?
Sollte ich Kali Linux lernen, um Penetration Tester zu werden? Sollte ich Kali Linux lernen, um Penetration Tester zu werden?
Welche Tools setzt die binsec GmbH bei einem Pentest einer Web-Anwendung ein?
Was ist Red Teaming? Wie unterscheiden sich Red Teaming und Pentesting? Für wen ist Red Teaming gedacht?
Manuelle Penetrationtests durch zertifizierte, festangestellte Senior Penetration Tester
Wer testet
Seit mehr als zehn Jahren steht binsec für technisch fundierte, konsequent manuelle Penetrationstests. Die Durchführung erfolgt ausschließlich durch festangestellte Senior Penetration Tester. Freelancer oder Subunternehmer kommen nicht zum Einsatz. Unsere Kunden arbeiten direkt mit dem verantwortlichen Senior Tester zusammen, der den Test persönlich durchführt und fachlich verantwortet. Die Kommunikation erfolgt auf Deutsch und Englisch; internationale Projekte sind fester Bestandteil unserer Tätigkeit. Unsere Experten verfügen über anerkannte Offensive-Security-Zertifizierungen wie OSCP, OSCE, CRTO und BACPP.
Was wir testen
Unsere Projekterfahrung umfasst komplexe Enterprise-Netzwerke, moderne Web- und API-Architekturen sowie hybride Infrastrukturen. Wir arbeiten für Unternehmen aus Industrie und Fertigung, dem Finanz- und Versicherungswesen, dem Gesundheitssektor, für IT- und Softwareanbieter sowie öffentliche Institutionen. Technische, regulatorische und organisatorische Rahmenbedingungen werden systematisch berücksichtigt.
Wie wir vorgehen
Die Tests basieren auf einer strukturierten und reproduzierbaren Methodik. Sie orientiert sich an etablierten Standards wie OWASP und OSSTMM und wird projektspezifisch angepasst. Jeder Test folgt klar definierten Phasen: strukturierte Informationsgewinnung, manuelle Analyse, gezielte Exploitation und belastbare Impact-Bewertung. Automatisierte Werkzeuge unterstützen den Prozess; Identifikation, Verifikation und Bewertung der Schwachstellen erfolgen manuell.
Wo wir testen und dokumentieren
Die Durchführung erfolgt nicht über Cloud-Infrastrukturen. Wir betreiben eine eigene Infrastruktur in einem Rechenzentrum in Frankfurt. Von dort aus werden die Tests zentral durchgeführt und in unserem internen System PTDoc dokumentiert. PTDoc dient als zentrale Dokumentationsplattform für sämtliche Projektdaten, Nachweise und Bewertungen. Alle Befunde werden strukturiert erfasst, technisch beschrieben, risikobewertet und mit reproduzierbaren Proof-of-Concept-Informationen hinterlegt.
Was Sie erhalten
Wir identifizieren technische Schwachstellen und bewerten deren geschäftliche Auswirkungen. Die Bewertung erfolgt risikoorientiert oder nach CVSS. Das Ergebnis ist ein klar strukturierter Bericht mit Management-Übersicht und technischer Detaildokumentation. Die Nachprüfung identifizierter Schwachstellen ist integraler Bestandteil unserer Leistung.
+49 692475607-0