Für einen internationalen Aktienbroker wurde eine Handelsplattform mit Echtzeitdaten über WebSockets untersucht. Neben der Mobile-App wurde auch eine separate TAN-App geprüft, die Transaktionen zusätzlich absichert. Der Schwerpunkt lag auf Authentifizierung, Transaktionsintegrität und dem Schutz sensibler Kundendaten.

An mehreren Schulen wurden die IT-Infrastrukturen remote über PenPis untersucht. Dabei standen getrennte Netzbereiche und unterschiedliche Active-Directory-Domänen für Schüler und Angestellte im Mittelpunkt. Ziel war die Überprüfung der Segmentierung und des Schutzes sensibler Daten.

Untersucht wurden kommunale Anwendungen wie Verwaltungssoftware, Bürger-Apps, Impfkoordination und KFZ-Zulassungssysteme. Die Tests konzentrierten sich auf Manipulationssicherheit, Berechtigungsmodelle und Schnittstellen. Ziel war die Absicherung sensibler Bürger- und Verwaltungsdaten.

Geprüft wurden Business-Intelligence-Lösungen im Immobilienbereich und Microsoft PowerBI-Integrationen. Die Tests stellten sicher, dass BI-Daten nicht manipuliert oder unbefugt abgegriffen werden können. Ziel war der Schutz unternehmenskritischer Analysen und Entscheidungsgrundlagen.

Geprüft wurden APIs zur Ausgabe und Verifikation digitaler Identitätsnachweise. Fokus lag auf den Standards OIDC4VCI, OIDC4VP und SD-JWT. Ziel war die Sicherstellung fälschungssicherer Credentials.

Eine Plattform zur Verarbeitung von Lidar-Sensordaten für KI-Training im Bereich autonomes Fahren wurde geprüft. Die Tests orientierten sich an TISAX-Anforderungen. Der Schwerpunkt lag auf Schutz sensibler Entwicklungsdaten.

Eine Online-Apotheke mit Nutzer-, Arzt- und Admin-Rollen wurde geprüft. Verschreibung und Bestellungen erfolgen über ein Workflow-Framework. Getestet wurden Rollenmodelle, Workflows und Datensicherheit.

Untersucht wurden DiGA-Apps im Bereich Psychotherapie. Die Tests umfassten Quellcode und Datenhaltung auf mobilen Endgeräten. Ziel war der Schutz sensibler Patientendaten.

Eine Plattform mit Chatbots, Voicebots und LLM-Anbindung wurde geprüft. Die Tests betrachteten Kommunikation und Workflow-Übergaben. Ziel war die sichere Verarbeitung von Kundendaten.

Geprüft wurden APIs zur Verwaltung von KFZ-Versicherungen und Schadensmeldungen. Im Fokus standen Authentifizierung, Eingabevalidierung und Datenvertraulichkeit. Ziel war der Schutz sensibler Kundendaten.

Geprüft wurden mehrere Webanwendungen, die mit dem Google Web Toolkit (GWT) entwickelt wurden. Diese Systeme finden sich häufig in Verwaltungsumgebungen. GWT-Pentests sind technisch anspruchsvoll, da Kommunikation und Datenstrukturen proprietär und nicht klassisch über REST- oder JSON-Schnittstellen realisiert sind.

Geprüft wurden HR-Lösungen für Recruiting, Mitarbeiterverwaltung und betriebliche Vorsorge. Untersucht wurden u. a. virtuelle Assessment-Center, Umfrage-Workflows mit KI-basierter Auswertung sowie On-/Offboarding und Zeugniserstellung.

Untersucht wurden eine P2C-Plattform zur zentralen Produktpflege, ein Shop mit Members-Area für physische und digitale Produkte (inkl. passwordlosem Login) sowie eine Versandlösung mit Multi-Carrier-Anbindung und automatischer Labelerstellung.

Geprüft wurde eine Open-Source-Vektordatenbank, die als SaaS angeboten wird. Der vollständige Zugriff auf den Quellcode ermöglichte eine detaillierte Analyse. Ziel war die Identifizierung von Schwachstellen in komplexen APIs und Datenstrukturen.

Geprüft wurden Single-Sign-On-Lösungen auf Basis von OAuth und OIDC. Dabei kamen sowohl Standardprodukte wie Keycloak als auch Eigenentwicklungen zum Einsatz. Ziel war die Absicherung der Authentifizierung und Zugriffskontrolle.

Geprüft wurden eine Affiliate-Marketing-Plattform und eine Social-Media-Management-Lösung. Untersucht wurden vor allem Schnittstellen zur Einbindung externer Inhalte. Ziel war es, Manipulationen und Schadcode einzuschränken.

Ein CRM-System für die Logistikbranche wurde geprüft. Schwerpunkte waren Funktionsumfang, Mandantentrennung und Datensicherheit. Ziel war die Verhinderung unbefugter Zugriffe zwischen Kunden.

Eine SaaS-Lösung für Flottenmanagement und Routenoptimierung wurde geprüft. Besonderheit war ein proprietäres Binärformat für Kommunikation und Datenhaltung. Ziel war die Analyse von Autorisierung und Eingabevalidierung.

Geprüft wurden verschiedene MedTech-Lösungen wie KI-gestützte Diagnostik, Implantate mit RF-Kommunikation und Apps für Schlafdiagnostik. Im Fokus standen Daten- und Gerätesicherheit. Ziel war die Absicherung sensibler Patientendaten.

Eine Immobilienverwaltungssoftware mit Mehrmandantenfähigkeit wurde geprüft. Die Tests konzentrierten sich auf Mandantentrennung und Kommunikationsfunktionen. Ziel war die Sicherung vertraulicher Daten zwischen Verwaltung, Mietern und Dienstleistern.

Ein Klinikverbund mit mehreren Standorten wurde geprüft. Analysiert wurden Patientendaten, Gebäudesteuerung und Notfallsysteme. Ziel war die Absicherung kritischer Infrastrukturen im Gesundheitswesen.

Ein Chemiekonzern wurde hinsichtlich IT- und physischer Sicherheit geprüft. Neben internen und externen IT-Tests wurden auch reale Einbruchsszenarien nachgestellt. Ziel war ein umfassendes Bild möglicher Angriffsvektoren.

binsec testet regelmäßig die extern erreichbaren Dienste und internen Netzwerke von Hochschulen und Universitäten. Ein besonderer Schwerpunkt liegt auf dem Schutz der Daten von Studierenden und Mitarbeitenden. Die Überprüfung von Moodle-Instanzen und angebundenen Systemen ist ebenfalls oftmals Bestandteil der Penetrationstests.

Penetrationstests in Finanzumgebungen sind komplex. Sie erfordern umfassende Prüfungen von Online-Banking, mobilen Apps und APIs. Die hohe Softwarequalität macht Sicherheitslücken selten. Werden Schwachstellen gefunden, unterstreicht das den Wert von Erfahrung und einem strukturierten Vorgehen.

DICOM definiert als internationaler Standard für medizische Bildgebung die Formate für medizinische Bilder und stellt sicher, dass diese mit den erforderlichen Daten und in der erforderlichen Qualität für den klinischen Einsatz ausgetauscht werden können.

Bei dem Pentest eines Buchungsportals für einen internationalen Reiseveranstalter mussten wir während des Tests besonderen Augenmerk auf die dazugehörigen Rahmenbedingungen legen.

Lizensierte Online-Sportwettanbieter unterliegen speziellen regulatorischen Anforderungen, die auch einen Penetrationstest betreffen können.

Das Pentesten von Zahlungs-APIs ist eine typische Aufgabe, die wir unzählige Male durchgeführt haben. Auch wenn die Basis die Prüfung gegen OWASP Top 10 ist, werfen wir auch einen Blick auf logischere Sicherheitsthemen.

Regelmäßig erhalten wir Kundenanfragen, welche ihre öffentlich erreichbare IT auf Schwachstellen hin überprüfen lassen möchten. Bei sehr großen IP-Netzen kann das zeitlich schwierig werden.

Pentest Wissen und Tools

Kostenlose Pentest-Tools für Ihre Sicherheitsanalyse.

Pentest Tools

Besuchen Sie unsere Wiki-Seite zum Thema Pentesting.

Pentest WIKI

Klare Antworten auf häufige Fragen zum Thema Pentesting.

Pentest FAQ

Neuigkeiten zu Pentesting und dem binsec-Universum.

Pentest News

Unternehmen

binsec GmbH
Solmsstraße 41
60486 Frankfurt am Main
Germany

Impressum

Geschäftsführer: Patrick Sauer
Prokura: Florian Zavatzki, Dominik Sauer
Handelsregister: Frankfurt am Main, HRB97277
USt-ID: DE290966808

© 2025 Alle Rechte vorbehalten binsec GmbH.

© 2025 Alle Rechte vorbehalten binsec GmbH.