Pentest von Außen
Die binsec GmbH führt externe Penetrationstests bzw externe Pentests über das Internet durch, um Angriffsflächen und Sicherheitslücken in öffentlich erreichbaren Systemen, Diensten und Schnittstellen zu identifizieren und zu bewerten. Ein externer Penetrationstest simuliert die Perspektive eines Angreifers, der über das Internet versucht, in Ihre Infrastruktur einzudringen, zum Beispiel über Webanwendungen, APIs oder schwache Passwörter.
Die Durchführung externer Penetrationstests orientiert sich an etablierten Standards und folgt einer strukturierten Methodik, die sich in mehrere aufeinander aufbauende Phasen gliedert.
Im Folgenden finden Sie die typischen Testphasen externer Penetrationstests, die wir je nach Kundenanforderung und vereinbartem Prüfumfang durchführen.
Reconnaissance & OSINT (Identifikation der Angriffsfläche)
- Auswertung öffentlich zugänglicher Daten, z. B. Domains, Subdomains, DNS-Einträge und Zertifikate
- Identifikation externer IP-Adressbereiche und erreichbarer Systeme, insbesondere in Black-Box-Szenarien ohne vorgegebene Zielsysteme
- Analyse öffentlich verfügbarer Informationen und möglicher Datenlecks
Scanning & Enumeration
- Identifikation erreichbarer Dienste anhand offener Ports über TCP und UDP
- Erkennung von Diensten, z. B. Webanwendungen, VPN-Gateways oder Mailservern, einschließlich Versionen und eingesetzter Technologien
- Analyse von Schnittstellen, Endpunkten und Authentifizierungsmechanismen
Prüfung auf Sicherheitslücken (Vulnerability Assessment)
- Überprüfung der Patchstände und eingesetzten Softwareversionen auf Aktualität
- Analyse von Zugangsbeschränkungen und Authentifizierungsmechanismen
- Identifikation von Fehlkonfigurationen und Abweichungen von Security Best Practices
Exploitation & Proof-of-Concept (sofern zutreffend)
- Entwicklung von Proof-of-Concepts zur Ausnutzung identifizierter Schwachstellen
- Validierung der tatsächlichen Ausnutzbarkeit im definierten Prüfumfang
Post-Exploitation / Privilege Escalation (sofern zutreffend)
- Untersuchung möglicher Rechteausweitung
- Analyse von Seitwärtsbewegungen innerhalb der Infrastruktur
- Bewertung möglicher weiterführender Angriffsvektoren, z. B. Datenzugriff
Social Engineering / Phishing (optional)
Die Durchführung von Social Engineering oder Phishing erfolgt ausschließlich, wenn diese Dienstleistungen ausdrücklich in Auftrag gegeben werden.
- Durchführung simulierter Phishing-Kampagnen zur Überprüfung der Sensibilisierung von Mitarbeitenden
- Analyse von Reaktionsverhalten und möglicher Preisgabe von Zugangsdaten
- Bewertung organisatorischer und technischer Schutzmaßnahmen gegen Social-Engineering-Angriffe
Beispiel Pentestbericht
Ihre Vorteile bei der
binsec GmbH
Als inhabergeführte Pentest-Boutique – besetzt mit einem schlagkräftigen Team aus rund 10 erfahrenen Senior-Experten – hat sich die binsec GmbH seit über einem Jahrzehnt auf anspruchsvolle Penetrationstests spezialisiert. Unsere tiefe Verwurzelung in der Community beweisen wir täglich durch eigene Plattformen wie binsec.tools, binsec.wiki und die binsec.academy. Fundierte Hochschulabschlüsse, hochkarätige Branchen-Zertifikate und jahrelange praktische Projekterfahrung sind das, was für uns zählt – und womit wir bei jeder Prüfung eine präzise, manuelle Analyse garantieren.
Kontaktieren Sie unsMehr als 10 Jahre praktische Erfahrung im Bereich Penetration Testing
Keine Subunternehmer oder externen Freelancer
Direkter Kontakt zum verantwortlichen Senior Penetration Tester
Strukturierte, dokumentierte und reproduzierbare Testmethodik auf Basis von PTDoc®
Vollständig kontrollierte, eigene Pentesting-Infrastruktur, keine Cloud-Nutzung
Identifizierung technischer und geschäftsrelevanter Sicherheitsrisiken
Risikogewichtete Bewertung von Schwachstellen oder CVSS Bewertung
Bericht mit Management-Übersicht und technischem Detailteil
Nachprüfung der identifizierten Schwachstellen inkludiert
Ihre Vorteile bei
binsec GmbH
Als inhabergeführte Pentest-Boutique – besetzt mit einem schlagkräftigen Team aus rund 10 erfahrenen Senior-Experten – hat sich die binsec GmbH seit über einem Jahrzehnt auf anspruchsvolle Penetrationstests spezialisiert. Unsere tiefe Verwurzelung in der Community beweisen wir täglich durch eigene Plattformen wie binsec.tools, binsec.wiki und die binsec.academy. Fundierte Hochschulabschlüsse, hochkarätige Branchen-Zertifikate und jahrelange praktische Projekterfahrung sind das, was für uns zählt – und womit wir bei jeder Prüfung eine präzise, manuelle Analyse garantieren.
Mehr als 10 Jahre praktische Erfahrung im Bereich Penetration Testing
Keine Subunternehmer oder externen Freelancer
Direkter Kontakt zum verantwortlichen Senior Penetration Tester
Strukturierte, dokumentierte und reproduzierbare Testmethodik auf Basis von PTDoc®
Vollständig kontrollierte, eigene Pentesting-Infrastruktur, keine Cloud-Nutzung
Identifizierung technischer und geschäftsrelevanter Sicherheitsrisiken
Risikogewichtete Bewertung von Schwachstellen oder CVSS Bewertung
Bericht mit Management-Übersicht und technischem Detailteil
Nachprüfung der identifizierten Schwachstellen inkludiert
Vorgehensweise: Standardkonform & reproduzierbar
Ein Penetrationstest ist ein strukturiert durchgeführter Angriff auf IT-Systeme oder IT-Anwendungen, um mögliche Schwachstellen zu identifizieren. Dabei werden die gleichen Werkzeuge und Techniken eingesetzt, die auch reale Angreifer anwenden, um in Systeme einzubrechen. Somit ist ein Penetrationstest kein automatischer Schwachstellen-Scan. Im Gegenteil, ein Penetrationstest als Dienstleistung ist immer eine Kombination aus der Anwendung von Security-Tools und der Durchführung manueller Tests, die der Aufdeckung von Schwachstellen dienen. Während ein realer Angreifer nur eine einzige Schwachstelle finden und ausnutzen muss, wird ein Penetrationstester alle relevanten Angriffsvektoren prüfen.
Eine strukturierte Vorgehensweise ist einer der wichtigsten Erfolgsfaktoren als Pentest-Dienstleister, um dies erreichen zu können. Hierfür nutzen wir unsere eigene Plattform PTDoc®, ein spezialisiertes Pentest-Dokumentationstool, das alle manuellen Prüfschritte auf Basis aller relevanten Sicherheitsstandards erfasst und für Sie in einen klaren, reproduzierbaren Bericht übersetzt. Da uns dieses Tool einen Großteil des Aufwands bei der Berichtserstellung abnimmt, können wir uns voll und ganz auf die wesentliche Arbeit als Pentester konzentrieren: das Aufspüren kritischer Sicherheitslücken. Das ist besonders relevant bei der Durchführung eines externen Pentests. Unsere Vorgehensweise basiert auf allen relevanten Standards und Veröffentlichungen.
Ablauf eines externen Pentests
Von der Vorbereitung bis zum Nachtest
Vorbereitung
Wir stimmen die technischen und organisatorischen Rahmenbedingungen des Penetrationstests ab, einschließlich Kommunikationswegen, Ansprechpartnern und Zeitfenstern. Je nach Projekt erfolgt dies in einem Kick-off-Termin oder durch einen kurzen Austausch per E-Mail. Sofern erforderlich, stellt der Auftraggeber relevante technische Dokumentationen und Zugänge zu den Prüfsystemen bereit.
Durchführung
Der Penetrationstest erfolgt anhand eines strukturierten und risikoorientierten Prüfungsansatzes, der automatisierte Analyseverfahren mit umfangreichen manuellen Prüfungen kombiniert. Die konkreten Prüfpunkte und Prüfmaßnahmen richten sich dabei nach den tatsächlich vorgefundenen Gegebenheiten, Technologien und Angriffsflächen innerhalb der Zielumgebung.
Berichterstellung
Nach Abschluss der Prüfung erstellen wir einen detaillierten Bericht mit Management-Zusammenfassung, Risikobewertung, technischen Details und Handlungsempfehlungen. Findings werden nachvollziehbar dokumentiert und kritische Schwachstellen bei Bedarf bereits während der laufenden Prüfung kommuniziert.
Nachbesprechung
Gerne besprechen wir die Findings und Empfehlungen gemeinsam mit Ihrem Team. In der Nachbesprechung erläutern wir technische Hintergründe, mögliche Auswirkungen und Prioritäten bei der Behebung und beantworten offene Fragen.
Nachprüfung
Nach der Behebung prüfen wir, ob die identifizierten Schwachstellen erfolgreich geschlossen wurden, und aktualisieren den Bericht entsprechend. Die Nachprüfung ist bei Remote-Prüfungen grundsätzlich enthalten und schafft Sicherheit über die Wirksamkeit der umgesetzten Maßnahmen.
Angebot für einen externen Pentest
Die Planung eines Penetrationstests erfordert immer eine sorgfältige Abwägung zwischen dem zeitlichen Prüfaufwand und den wirtschaftlichen Rahmenbedingungen, um ein angemessenes Preis-Leistungs-Verhältnis zu erzielen. Erfolgreiche Pentests zeichnen sich durch eine präzise Balance zwischen diesen Faktoren aus, da nur so die zuverlässige Überprüfung aller relevanten Angriffsvektoren garantiert werden kann. Der zeitliche Aufwand hängt dabei von der Größe und Komplexität des Scopes ab. Während die Überprüfung kleinerer Infrastrukturen oft in wenigen Tagen realisiert werden kann, erfordert die Prüfung umfangreicher oder global verteilter Unternehmensnetzwerke einen Zeitraum von mehreren Wochen.
Für ein Pentest-Angebot benötigen wir vorab grundlegende Informationen über die zu untersuchenden Systeme und Anwendungen, um die Zielarchitektur präzise einschätzen zu können. Planen Sie einen Penetrationstest für ein IT-System oder Netzwerk, benötigen wir vorab die relevanten IP-Adressen oder Netzbereiche. In diesem Fall führen wir zunächst einen non-invasiven Netzwerkscan durch, um eine initiale Aufwandsschätzung vorzunehmen, auf deren Basis Sie Ihr detailliertes Angebot erhalten.
binsec GmbH ist ein deutsches Pentest Unternehmen für professionelle Penetrationstests. Kontaktieren Sie uns für ein Angebot für einen externen Pentest, veranlassen Sie Ihren Pentest noch heute!
Kontaktieren Sie uns
Pentesting
für bestimmte Standards und Anforderungen
Weltweit gibt es zahlreiche Normen oder gesetzliche Vorgaben, die die Durchführung eines Penetrationstests vorschreiben.
binsec GmbH: Professionelle Penetrationstests
Externer Pentest
Als spezialisierter Anbieter für Penetrationstests fokussiert sich das Team der binsec GmbH gezielt auf Ihren externen Pentest.
Bei uns sprechen Sie direkt mit den ausführenden Analysten statt mit Vertriebsmitarbeitern. Better pentesting. No nonsense. Als spezialisierter Pentest-Anbieter grenzen wir uns klar von automatisierten Scan-Verfahren ab: Wir verkaufen keine einfachen Schwachstellenscans als Pentest, sondern prüfen tiefe logische Sicherheitsrisiken manuell. Sie suchen ein eingespieltes Team für Ihren Penetrationstest? Kontaktieren Sie uns für Ihr Projekt.
Kontaktieren Sie uns
Häufig gestellte Fragen
Die Antwort auf diese Frage lässt sich schwer pauschalisieren, da das eingesetzte Toolset grundsätzlich vom jeweiligen Prüfobjekt abhängt. So setzen wir selbstverständlich Tools wie nmap bei der Überprüfung von IT-Infrastrukturen oder die Burp Suite Professional im Fall von Webanwendungen ein.
Jedoch sind wir der Meinung, dass die Veröffentlichung einer Tool-Liste reine Augenwischerei ist, da jedes Zielsystem individuell betrachtet werden sollte. Sie können uns aber gerne am Ende der Durchführung nach den eingesetzten Tools fragen.
Das Hosten einer kritischen Geschäftsanwendung bei einem Cloud-Anbieter wie Amazon AWS, Microsoft Azure, Google Cloud oder Hetzner Cloud ist immer verbreiteter.
Selbstverständlich führen wir Penetrationstests für Anwendungen durch, die in der Cloud betrieben werden. Dies gilt auch für Penetrationstests von IT-Infrastrukturen in der Cloud, sofern die virtuellen Maschinen nicht vom Cloud-Anbieter selbst verwaltet werden.
Wir führen Penetrationstests für praktisch jede IT-Umgebung, jedes IT-System, jede Anwendung oder jedes Netzwerk durch – bis hin zu Protokoll-Fuzzing. Lediglich die Analyse von Hardwarechips unter dem Mikroskop überlassen wir anderen.
Typische Prüfobjekte unserer Penetrationstests sind unter anderem:
Webanwendungen und APIs
Mobile Anwendungen
Server, Plattformen und Infrastruktur
- Webserver Penetrationstest
- Netzwerk Penetrationstest
- Firewall Penetrationstest
- WiFi / WLAN Penetrationstest
- Active Directory (AD) Penetrationstest
- RDP Server / Remote Desktop Penetrationstest
- OT Pentesting
Container und DevOps
Identität und Authentifizierung