Offensive Security
OWASP Top 10 2025: Die kritischsten Web-Schwachstellen und ihre Behebung
Vincent Heinen12 Min.
Penetrationstest
Ihr Pentest-Anbieter.
500+ Tests.
Jedes Finding verifiziert.
Der durchschnittliche Datenverlust kostet deutsche Unternehmen 4,9 Mio. EUR. Ein Penetrationstest von AWARE7 findet die Lücken, die Scanner übersehen - mit OSCP-zertifizierten Experten, Festpreis in 24h (werktags) und kostenlosem Nachtest.
ISO 27001 zertifiziert 500+ Pentests durchgeführt Nachtest inklusive
aware7-pentest
Diese Unternehmen vertrauen AWARE7
- Pentests durchgeführt
-
- Jahre Erfahrung
-
- Festpreis-Angebot (werktags)
-
- manuell verifizierte Findings
-
Das unterschätzte Risiko
Warum Ihr Unternehmen verwundbarer ist, als Sie denken
Die meisten Unternehmen verlassen sich auf Firewalls und Virenscanner. Was sie nicht sehen: die Schwachstellen, die kein automatisierter Scan findet.
4,9 Mio. EUR
Durchschnittliche Kosten eines Datenlecks in Deutschland
IBM Cost of a Data Breach Report 2024. Inkl. Betriebsunterbrechung, Bußgelder, Reputationsverlust und Kundenabwanderung.
95%
aller Websites nutzen Software mit bekannten Schwachstellen
Demir, Urban, Wittek, Pohlmann: "Our (in)Secure Web", PAM 2021. Analyse von 5,6 Mio. Websites über 18 Monate.
NIS-2
Penetrationstests sind jetzt Pflicht für betroffene Unternehmen
§ 30 BSIG verpflichtet betroffene Unternehmen zur Wirksamkeitsbewertung ihrer Sicherheitsmaßnahmen - Penetrationstests sind anerkannter Stand der Technik.
Das finden wir - in fast jedem Unternehmen:
Critical CVSS 9.8 Remote Code Execution via unsicherer Deserialisierung
High CVSS 8.6 SQL Injection ermöglicht komplette Datenexfiltration
Medium CVSS 5.3 Veraltete TLS-Konfiguration erlaubt Downgrade-Angriff
Die Lösung
Penetrationstest Ablauf: 5 Phasen nach BSI-Leitfaden
Unser Vorgehen orientiert sich am BSI-Praxis-Leitfaden, dem OWASP Testing Guide und dem PTES-Standard. Transparent, reproduzierbar und als Compliance-Nachweis nutzbar.
01
VorbereitungScoping & Vertragsgestaltung
- Prüfobjekt und Prüfumfang gemeinsam festlegen
- Testmethodik definieren: Black-, Grey- oder White-Box
- Rules of Engagement und Zeitfenster vereinbaren
- Verbindliches Festpreisangebot in 24 Stunden
Ablauf nach BSI-Praxis-Leitfaden · Festpreisangebot in 24h
Management Summary
1-2 Seiten für die GF
Technische Findings
CVSS + Proof-of-Concept
Priorisierte Roadmap
Konkrete Maßnahmen
Kostenloser Nachtest
Fixes verifizieren
Referenzen aus der Praxis
Pentesting & Schwachstellenscans
Sill Optics GmbH
Feststellung der Angriffsfläche bei Sill Optics GmbH
Pentesting & SchwachstellenscansXignSys GmbH
Whitebox-Penetrationstests eines Authentifizierungsdienstes als Mobile- und Web-Anwendung
Pentesting & SchwachstellenscansTWINSOFT GmbH & Co. KG
Externer Penetrationstest einer iOS-Applikation
Pentest-Leistungen: Von der Web-App bis zur Cloud
Wir decken alle Angriffsvektoren ab - mit derselben Methodik, denselben OSCP-zertifizierten Experten und derselben Berichtsqualität.
Web-Applikationen
OWASP Top 10, API Security, Business Logic Flaws, Authentication Bypass.
DetailsNetzwerk & Infrastruktur
Active Directory, Firewall-Bypass, Lateral Movement, Privilege Escalation.
DetailsMobile Apps
iOS und Android. OWASP Mobile Top 10, API-Kommunikation, Reverse Engineering.
DetailsCloud Security
AWS, Azure, GCP. IAM Review, Container Security, Serverless Functions.
DetailsIoT & OT Security
Industriesteuerungen, SCADA, Hardware-Analyse, Firmware-Reverse-Engineering.
DetailsRed Teaming & Social Engineering
Phishing, Physical Access, Hybrid-Angriffe - den realen Ernstfall simulieren.
Scope besprechenPentest-Methoden: Black Box, Grey Box & White Box
Je nach Informationsstand des Testers unterscheiden sich Tiefe und Realitätsnähe des IT-Sicherheitstests.
Black-Box-Pentest
Der Pentester erhält keinerlei Vorwissen - nur den Scope. Simuliert einen externen Angreifer. Ideal für realistische Bedrohungsszenarien und Perimeter-Tests.
Typisch: Externe Netzwerktests, Webanwendungen
Grey-Box-Pentest
EmpfohlenEingeschränkte Informationen - z. B. Zugangsdaten oder Dokumentation. Beste Balance aus Tiefe und Realitätsnähe. Unser Standard-Ansatz.
Typisch: Web-Apps, APIs, interne Netzwerke
White-Box-Pentest
Vollständiger Zugang zu Quellcode, Architektur und Dokumentation. Maximale Testtiefe, findet auch versteckte Business-Logik-Schwachstellen.
Typisch: Sicherheitskritische Applikationen, Code Review
Warum AWARE7 als Penetrationstest-Dienstleister wählen
Was uns von anderen Anbietern unterscheidet
Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter - mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.
Forschung und Lehre als Fundament
Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI und BMBF. Unsere Studien analysieren Millionen von Websites und Zehntausende Phishing-E-Mails - publiziert auf ACM- und Springer-Konferenzen. Zwei unserer Führungskräfte sind gleichzeitig Professoren an deutschen Hochschulen.
Digitale Souveränität - keine Kompromisse
Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.
Festpreis in 24h - planbare Projektzeiträume
Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.
Ihr fester Ansprechpartner - jederzeit erreichbar
Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.
Für wen sind wir der richtige Partner?
Mittelstand mit 50–2.000 MA
Unternehmen, die echte Security brauchen - ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.
IT-Verantwortliche & CISOs
Die intern überzeugend argumentieren müssen - und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.
Regulierte Branchen
KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA - wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.
Mitwirkung an Industriestandards
LLM
OWASP · 2023
OWASP Top 10 for Large Language Models
Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des international anerkannten OWASP LLM-Sicherheitsstandards.
BSI
BSI · Allianz für Cyber-Sicherheit
Management von Cyber-Risiken
Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).
Pentest Box
AWARE7 EigenentwicklungInterner Penetrationstest. Remote statt vor Ort.
Unsere Pentest Box wird einmalig vor Ort ins Netzwerk eingebunden - danach übernehmen unsere Experten remote. Ohne VPN-Zugang oder Firewall-Öffnung. Gleiche Qualität, deutlich günstiger.
Keine Reise- & Übernachtungskosten
Volle Leistung zum reduzierten Preis. Interne Pentests werden damit für KMU deutlich günstiger.
Verschlüsselter Mobilfunk
Kein VPN, keine geöffneten Firewallports. Das Gerät verbindet sich ausschließlich über verschlüsselten Mobilfunk.
Gleichwertige Analyse
Dieselbe Methodik, dieselben Tools, dieselben OSCP-zertifizierten Experten - nur remote-gesteuert.
Peer-Reviewed Research
Unsere Forschung. Ihre Sicherheit.
Unsere Experten forschen an Universitäten und veröffentlichen in internationalen Fachkonferenzen. Das Ergebnis: Methoden, die kein anderer Anbieter hat.
5,6 Mio.
Websites analysiert
Unsere Forschung zeigt: 95% aller Websites nutzen Software mit bekannten Schwachstellen. Wir wissen, wo die blinden Flecken sind.
Demir, Urban, Wittek, Pohlmann: "Our (in)Secure Web", PAM 2021
30/30
Hosting-Provider verwundbar
In einer Studie unserer Forschungsgruppe wiesen alle 30 analysierten Shared-Hosting-Anbieter Schwachstellen auf, durch die Angreifer sensible Daten anderer Nutzer auslesen konnten.
Hörnemann, Pohlmann, Urban, Große-Kampmann: "Sharing is Caring", GI Sicherheit 2024
250.000+
Dokumente und Social-Media-Profile analysiert
Die Dissertation unseres Gründers Prof. Dr. Matteo Große-Kampmann zeigt: Angreifer nutzen öffentliche Daten systematisch zur Angriffsvorbereitung. Wir denken wie Angreifer - weil wir es erforscht haben.
Große-Kampmann: Dissertation, Ruhr-Universität Bochum, 2022
Penetrationstest Kosten: Transparent & planbar
Was kostet ein Pentest? Keine versteckten Kosten - verbindliches Festpreisangebot in 24 Stunden (werktags).
Pentest-Kosten
ab 5.400 EUR
einmalig, Festpreis, netto
vs.
Durchschnittliche Breach-Kosten
4,9 Mio. EUR
IBM CODB Report 2024
Ein Pentest kostet weniger als 0,1% eines durchschnittlichen Sicherheitsvorfalls - und verhindert ihn.
Web-Applikation
ab 6.750 EUR
ab 8.032,50 EUR brutto
ab 5 Werktage
Netzwerk (extern)
ab 5.400 EUR
ab 6.426,00 EUR brutto
ab 4 Werktage
Netzwerk (intern)
ab 8.100 EUR
ab 9.639,00 EUR brutto
ab 6 Werktage
Individuell
Auf Anfrage
Mobile, Cloud, IoT, Red Team
Inkl. Management Summary, CVSS-Bewertung und kostenlosem Nachtest.
Pentest-Retainer - planbar, regelmäßig, günstiger
Quartalsweise Tests zu reduzierten Konditionen. Ideal für NIS-2-Compliance und kontinuierliche Sicherheit.
Pentest-Kosten online berechnen
Kostenloser Pentest-Konfigurator - Festpreisangebot in unter 5 Minuten
Penetrationstest rechtssicher durchführen
Pentests bewegen sich im Spannungsfeld zwischen IT-Sicherheit und Strafrecht. Wir sorgen für eine solide rechtliche Grundlage.
Rechtlich legitimiert
Pentests sind TOMs gem. Art. 32 DSGVO, § 165 TKG und § 31 BSIG. Das BSI empfiehlt sie als „bewährtes Mittel".
Vertraglich fixiert
Einwilligungen, Bestimmungserklärungen und Rules of Engagement - vor Testbeginn schriftlich vereinbart.
NIS-2 & DORA-konform
§ 31 BSIG und DORA Art. 26/27 fordern Penetrationsanalysen. Unsere Berichte sind als Compliance-Nachweis konzipiert.
Zertifizierter Pentest-Anbieter aus Deutschland
Unabhängig geprüft - auf Unternehmens- und auf Personenebene.
Organisation
AWARE7 GmbH
ISO 27001:2022
Informationssicherheit - jährlich auditiert
ISO 9001:2015
Qualitätsmanagement - standardisierte Prozesse
AZAV-Zulassung
Zertifizierter Bildungsträger
Statische IP-Adressen
RIPE-registriert - 250 Mbit/s synchrone Glasfaseranbindung
Personen
Unsere Pentester
Offensive Security Certified Professional
OSCP
Offensive Security Web Assessor
OSWA
Offensive Security Wireless Professional
OSWP
Alle Pentester sind festangestellt bei AWARE7. Kein Freelancer, kein Subunternehmer. Alle Zertifizierungen ansehen
Beispiel-Dokument
Pentest-Bericht
Sehen Sie anhand eines anonymisierten Muster-Berichts, wie wir Schwachstellen dokumentieren.
01 Management Summary
02 Technische Findings mit CVSS
03 Proof-of-Concept & Screenshots
04 Handlungsempfehlungen & Roadmap
Muster-Bericht anfordern
Überzeugen Sie sich von unserer Berichtsqualität - anonymisiert, mit CVSS-Bewertung und Handlungsempfehlungen. Kostenlos und unverbindlich.
Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu. Kein Spam - nur der angeforderte Bericht.
Häufige Fragen zu Penetrationstest, Kosten & Ablauf
Was ist ein Penetrationstest?
Ein Penetrationstest (kurz: Pentest) ist ein autorisierter, kontrollierter Sicherheitstest, bei dem zertifizierte IT-Sicherheitsexperten die Vorgehensweise realer Angreifer simulieren. Ziel ist es, Schwachstellen in IT-Systemen, Netzwerken und Applikationen zu identifizieren und zu verifizieren - bevor Cyberkriminelle sie ausnutzen können. Anders als automatisierte Vulnerability Scans liefern manuelle Pentests validierte Ergebnisse ohne False Positives, reale Angriffspfade und eine priorisierte Handlungsempfehlung.
Was ist die AWARE7 Pentest Box?
Die AWARE7 Pentest Box ist ein physisches Gerät, das wir einmalig bei Ihnen vor Ort ins Netzwerk einbinden. Danach führen unsere Experten den internen Penetrationstest vollständig remote durch. Das Gerät verbindet sich ausschließlich über verschlüsselten Mobilfunk zurück zu uns - ohne VPN-Zugang oder Firewall-Anpassungen Ihrerseits. Das Ergebnis ist eine gleichwertige interne Analyse wie bei einem klassischen Vor-Ort-Einsatz, jedoch ohne Reise- und Übernachtungskosten.
Wie unterscheidet sich ein Pentest von einem Vulnerability Scan?
Ein Vulnerability Scan ist ein automatisiertes Tool, das bekannte Schwachstellen auflistet - oft mit einer hohen Rate an False Positives. Unsere eigene Forschung an 5,6 Mio. Websites zeigt: 95% aller Websites nutzen Software mit bekannten Schwachstellen - Scanner erkennen nur die Spitze des Eisbergs (Demir et al., PAM 2021). Ein Penetration Test geht deutlich weiter: Unsere Experten verifizieren jede Schwachstelle manuell, verketten sie zu Angriffspfaden, testen Business-Logic-Fehler und finden Schwachstellen, die kein Scanner erkennt. Sie erhalten verifizierte, reproduzierbare Findings mit konkreten Handlungsempfehlungen.
Wie lange dauert ein Penetration Test?
Die Dauer richtet sich nach Scope und Komplexität. Ein Web-Applikationstest dauert typischerweise 5-10 Werktage, ein umfassender Infrastrukturtest 10-20 Werktage. Im kostenlosen Erstgespräch klären wir den genauen Zeitrahmen und Sie erhalten innerhalb von 24 Stunden (werktags) ein Festpreisangebot.
Können unsere Systeme dabei beschädigt werden?
Nein. Wir arbeiten nach anerkannten Standards (OWASP, PTES, OSSTMM) und stimmen alle Tests vorab ab. Destruktive Tests wie DoS führen wir nur in isolierten Testumgebungen durch. Vor Tests in der operativen Umgebung wird ein aktuelles Back-Up erstellt. Unsere Tester sind ISO 27001 Lead Auditoren und halten sich an vertraglich fixierte Rules of Engagement.
Welche Arten von Pentests bieten Sie an?
Wir decken alle Bereiche ab: Web-Applikationen (OWASP Top 10, API Security), Netzwerk-Infrastruktur (intern/extern, Active Directory), Mobile Apps (iOS/Android), Cloud-Umgebungen (AWS, Azure, GCP) und IoT/OT-Systeme. Sowohl Black-Box (ohne Vorwissen), Grey-Box (mit Zugangsdaten) als auch White-Box (mit Quellcode) Tests.
Ist ein Pentest für die NIS-2-Compliance erforderlich?
Ja. § 30 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen zur Bewertung der Wirksamkeit ihrer Sicherheitsmaßnahmen (Abs. 2 Nr. 6) - Penetrationstests gelten als anerkannter Stand der Technik. Auch die DORA-Verordnung fordert seit dem 17. Januar 2025 „bedrohungsorientierte Penetrationstests" für Finanzunternehmen (Art. 26, 27 DORA). Unsere Berichte sind als Compliance-Nachweis für Auditoren und Behörden konzipiert.
Was kostet ein Penetration Test?
Die Kosten richten sich nach Umfang und Komplexität. Ein Web-App-Penetrationstest beginnt ab 6.750 EUR, ein externer Netzwerk-Penetrationstest ab 5.400 EUR und ein interner Netzwerk-Penetrationstest ab 8.100 EUR. Sie erhalten innerhalb von 24 Stunden (werktags) ein verbindliches Festpreisangebot - keine Stundensätze, keine Nachforderungen, keine Überraschungen.
Wie oft sollte ein Pentest durchgeführt werden?
Mindestens jährlich, bei kritischen Systemen oder nach größeren Änderungen (neue Releases, Infrastruktur-Umbau, M&A) häufiger. NIS-2-betroffene Unternehmen sollten vierteljährlich testen. Viele unserer Kunden nutzen unser Retainer-Modell für regelmäßige, planbare Tests zu reduzierten Konditionen.
Wie sieht der Pentest-Bericht aus?
Unser Bericht enthält: Management Summary für die Geschäftsführung (1-2 Seiten), detaillierte technische Findings mit CVSS-Score, Screenshots, reproduzierbaren Proof-of-Concepts und konkreten Handlungsempfehlungen, eine Risiko-Matrix und eine priorisierte Roadmap. Auf Anfrage erhalten Sie vorab einen Muster-Bericht.
Ist ein Penetrationstest legal?
Ja - wenn er professionell durchgeführt wird. Penetration Tests sind als technische und organisatorische Maßnahmen (TOMs) nach Art. 32 Abs. 1 DSGVO, § 165 TKG und § 31 BSIG rechtlich legitimiert. Das BSI empfiehlt sie als „bewährtes Mittel" zur Absicherung. Entscheidend ist die vertragliche Absicherung: Wir fixieren vor Testbeginn Einwilligungen, Bestimmungserklärungen und den Prüfumfang schriftlich. So stellen wir sicher, dass keine Straftatbestände (§§ 202a-c, 303a StGB) verwirklicht werden und unsere Tester befugt handeln.
Arbeiten Sie mit Freelancern oder Subunternehmern?
Nein, grundsätzlich nicht. Alle Pentester sind festangestellt bei AWARE7 und unterliegen strengen Vertraulichkeitsvereinbarungen. Kein Freelancer, kein Subunternehmer hat Zugriff auf Ihre Systeme oder Ergebnisse. Der Einsatz einheitlicher Teams in der Durchführungs- und Auswertungsphase reduziert zudem strafrechtliche Risiken, wie auch in der juristischen Fachliteratur empfohlen. Alle Daten werden in Deutschland verarbeitet - auf unserer eigenen Infrastruktur, nicht in der Cloud.
Was ist der Unterschied zwischen Black-Box, Grey-Box und White-Box Pentest?
Beim Black-Box-Pentest simulieren wir einen externen Angreifer ohne Vorwissen - wir erhalten nur den Scope (z. B. eine Domain oder IP-Range). Beim Grey-Box-Test arbeiten wir mit eingeschränktem Vorwissen, etwa Zugangsdaten oder Architektur-Dokumentation. Der White-Box-Pentest (auch Code Review) ist die umfassendste Variante: wir erhalten vollständigen Quellcode-Zugang und Architektur-Details. Die Wahl hängt vom Schutzbedarf ab - für maximale Abdeckung empfehlen wir Grey-Box als Standard.
Was ist der Unterschied zwischen Penetrationstest und Schwachstellenanalyse?
Eine Schwachstellenanalyse (Vulnerability Assessment) nutzt automatisierte Scanner, um bekannte Schwachstellen aufzulisten - oft mit einer hohen Rate an False Positives. Unsere Forschung zeigt: 95% aller Websites nutzen Software mit bekannten Schwachstellen, doch Scanner erkennen nur einen Bruchteil der tatsächlichen Angriffsvektoren (Demir et al., PAM 2021). Ein Penetrationstest geht deutlich weiter: Unsere OSCP-zertifizierten Experten verifizieren jede Schwachstelle manuell, verketten sie zu realistischen Angriffspfaden und bewerten das tatsächliche Geschäftsrisiko. Das Ergebnis: keine False Positives, reproduzierbare Proof-of-Concepts und konkrete Handlungsempfehlungen mit CVSS-Bewertung.
Was unterscheidet einen Penetrationstest von Red Teaming?
Ein Penetrationstest hat einen definierten Scope (z. B. eine Web-App oder ein Netzwerksegment) und das Ziel, möglichst alle Schwachstellen zu finden. Red Teaming simuliert dagegen einen realen Angreifer über alle Vektoren hinweg - Technik, Phishing, Social Engineering, physischer Zugang - mit dem Ziel, ein konkretes Angriffsziel zu erreichen (z. B. Domain Admin oder Zugriff auf Kundendaten). Red Teaming testet primär Ihre Erkennung und Reaktion (Blue Team), während ein Pentest Ihre technische Angriffsfläche abdeckt.
Welche Standards und Methoden nutzt AWARE7 beim Penetrationstest?
Wir orientieren uns am BSI-Praxis-Leitfaden für IS-Penetrationstests, dem OWASP Testing Guide (für Web-Applikationen und APIs), dem PTES (Penetration Testing Execution Standard) und dem MITRE ATT&CK Framework (für Red Teaming). Unser Vorgehen folgt einem 5-Phasen-Modell: Vorbereitung, Informationsbeschaffung, Analyse & Bewertung, Aktive Eindringversuche und Abschlussanalyse mit Berichterstellung. Alle Tests werden nach anerkannten IT-Sicherheitsstandards dokumentiert und sind als Compliance-Nachweis nutzbar.
ISO 27001:2022
ISO 9001:2015
BSI Allianz für Cyber-Sicherheit
OSCP · OSWA · OSWP
100% Deutschland
NIS-2-Pflichten gelten seit Dez. 2025
Jede Woche ohne Pentest ist eine Woche,
in der Angreifer den Vorteil haben.
NIS-2 verpflichtet betroffene Unternehmen zu Penetrationsanalysen. Warten Sie nicht auf den Vorfall - oder den Auditor.
1
Erstgespräch
30 Min., kostenlos
2
Festpreis in 24h (werktags)
Verbindlich, transparent
3
Pentest startet
Bericht + Debrief inkl.
Mein kostenloses Erstgespräch sichern
Kein Risiko. Kein Spam. Nur ein 30-Minuten-Gespräch mit Ihrem Pentest-Experten.
