„Ein IT-Systemhaus oder ein interner Systemadministrator sorgt für den Betrieb – nicht aber automatisch für IT-Sicherheit. Angriffe erkennen, Risiken bewerten und Schwachstellen absichern erfordert spezialisierte Expertise. Wir sind ihr ganzheitlicher Partner für alle Fragen rund um die IT-Sicherheit. “
Bekannt aus
Ein erfolgreicher Cyberangriff birgt schwere Konsequenzen
Ein erfolgreicher Cyberangriff
birgt schwere Konsequenzen
Ein erfolgreicher Cyberangriff kann für KMUs weitreichende Folgen haben. Neben direkten finanziellen Verlusten durch Datendiebstahl oder Erpressung drohen oft langfristige Schäden. Betriebsunterbrechungen führen zu Umsatzeinbußen, während Reputationsschäden das Kundenvertrauen nachhaltig erschüttern können. Rechtliche Konsequenzen bei Verletzung von Datenschutzbestimmungen, hohe Kosten für die Wiederherstellung von Systemen und mögliche Haftungsansprüche betroffener Kunden oder Geschäftspartner belasten zusätzlich.
Kontrolle gewinnen. Haftung minimieren.
Viele Geschäftsführer haben ein Bauchgefühl, wenn es um ihre IT-Sicherheit geht – aber kein belastbares Lagebild. Sie wissen nicht, ob ihre Schutzmaßnahmen ausreichen, welche Risiken bestehen oder wo konkrete Schwachstellen liegen. Genau hier setzt ein Penetrationstest an: Er macht sichtbar, was im Alltag oft verborgen bleibt.
Unsere Sicherheitsexperten simulieren gezielte Angriffe auf Ihre IT-Systeme – so, wie es ein echter Angreifer tun würde. Dabei prüfen wir Netzwerke, Anwendungen und Zugriffsrechte auf Schwachstellen, die unbefugten Zugriff oder Datenverlust ermöglichen könnten. Am Ende wissen Sie nicht nur, wo Sie angreifbar sind – sondern auch, was zu tun ist.
Alle Schwachstellen aufdecken. Klar priorisiert.
Frischer Wind
Wir sind überzeugt: IT-Sicherheit muss heute anders gedacht werden. Sie ist kein Produkt, sondern ein fortlaufender Prozess – und beginnt mit Vertrauen in unabhängige Lösungen. Wir beraten ganzheitlich, unabhängig und immer aus Sicht eines potenziellen Angreifers – technisch, organisatorisch und strategisch.
Klare Übersicht über betroffene Systeme
Unsere Experten sind ausschließlich auf Penetrationstests spezialisiert – mit nachgewiesenen Qualifikationen wie GPEN (vergleichbar mit OSCP) und akademischem Hintergrund in IT-Sicherheit. Keine Generalisten, keine Sub-Contractor – nur tiefgehende technische Expertise.
Geprüftes Vorgehen. Vollständig abgesichert.
Unsere Penetrationstests basieren auf anerkannten Standards wie PTES, NIST, OWASP Testing Guide, PCI-DSS, der Cyber Kill Chain sowie dem BSI-Durchführungskonzept für Penetrationstests. Alle Projekte sind umfassend versichert – gegen Vermögens-, Sach- und Personenschäden.
Tiefenspezialisiert auf Penetrationstests
Als unabhängige Beratung mit Fokus auf IT-Sicherheit zählen manuelle, methodisch saubere Penetrationstests zu unserem Kern. Wir arbeiten transparent, nachvollziehbar und erfüllen auch branchenspezifische Anforderungen – etwa in regulierten Sektoren wie Banken oder Gesundheitswesen.
Wie profitieren Sie von einem Pentest?
Klare Übersicht über betroffene Systeme
Identifikation sicherheitskritischer Systeme – klar, strukturiert, nachvollziehbar.
Angreiferperspektive auf Ihr Unternehmen
Echte Angriffsszenarien aus externer Sicht – Risiken greifbar gemacht.
Priorisierte Schwachstellen mit Risikoanalyse
Bewertung nach Kritikalität – fundierte Basis für Entscheidungen.
Konkrete Handlungsempfehlungen
Maßnahmen auf den Punkt – priorisiert, umsetzbar, prozessorientiert.
Pentest-Pakete - passend zu Ihren Anforderungen
Externer Penetrationstest mit Phishing-Simulation & Darknet-Check
9.900 € Pauschalpreis zzgl. MwSt.
Ziel: Prüfung der öffentlich erreichbaren Systeme & Angriffsflächen aus Sicht eines externen Angreifers.
- Prüfung von Webanwendungen, Firewalls, VPNs, Mailservern etc.
- Identifikation von Remote-Schwachstellen (z. B. RCE, SQLi, XSS, etc.)
- Analyse der Passwortpolitik und Konfigurationen
- Reporting mit Risikobewertung und Handlungsempfehlungen
- Phishing-Simulation (1 Welle, 1 Szenario) Zielgerichtete Phishing-Kampagne mit realistischem Szenario Tracking von Klicks, Eingaben & Ausführung potenzieller Payloads Auswertung zur Awareness und Risikolage
- Darknet-Screening (oberflächlich) Grobe Durchsicht einschlägiger Quellen auf Hinweise zu geleakten Zugangsdaten, Domains oder Benutzernamen Einschätzung möglicher Angriffsvektoren aus geleakten Daten
- Abschlussgespräch & Management Summary
Interner Penetrationstest mit Phishing & Netzwerkangriffen
14.900 € Pauschalpreis zzgl. MwSt.
Ziel: Simulation eines kompromittierten Arbeitsplatzes oder Innentäters im Unternehmensnetzwerk.
- Interner Pentest (White-Box oder Assumed Breach) Analyse der Netzwerksegmentierung & interner Dienste Exploitation-Test von Servern & Clients Lateral Movement, Rechteausweitung, Passworthygiene Zugriffstests auf sensible Daten & Systeme
- Phishing-Simulation (1 Welle, 1 Szenario) Durchführung wie in Paket 1 Option zur Verbindung mit Initial Access im internen Test
- Darknet-Screening (oberflächlich) Durchführung wie in Paket 1
- Abschlussworkshop (technisch + nichttechnisch) Vorstellung der Ergebnisse & Maßnahmenempfehlungen Optional: Awareness-Kurzbriefing für Führungskräfte
Jede IT-Sicherheitsanforderung aus einer Hand.
Variierend
Als Ihr externer Sicherheitsbeauftragter (vCISO) übernehmen wir auf Wunsch die komplette Verantwortung für Ihre IT-Sicherheit. Ob Schwachstellenmanagement, Mitarbeiterschulung, DSGVO-Beratung, Phishing-Simulation, Compliance-Unterstützung oder regelmäßige Penetrationstests – wir sorgen dafür, dass Ihre Sicherheitsanforderungen zuverlässig, effizient und auf hohem Niveau erfüllt werden.
Die genannten Preise sind Richtwerte und können je nach Größe und Komplexität der IT-Infrastruktur variieren.
Schwachstellen, die Prüfungen regelmäßig aufdecken
Veraltete oder unzureichend gepatchte Systeme
Nicht eingespielte Sicherheitsupdates in Betriebssystemen, Servern, Anwendungen oder Netzwerkgeräten sind ein Dauerbrenner – oft verbunden mit bekannten Schwachstellen (CVEs), die öffentlich dokumentiert und ausnutzbar sind.
Fehlkonfigurationen in IT-Systemen und Cloud-Diensten
Offene Ports, zu weit gefasste Berechtigungen, Standardpasswörter oder ungesicherte Cloud-Buckets (z. B. bei Microsoft 365 oder AWS) bieten Angreifern einfache Einstiegspunkte.
Schwache oder kompromittierte Zugangsdaten
Wiederverwendete, schwache oder bereits geleakte Passwörter (z. B. aus früheren Datenlecks) ermöglichen Brute-Force- oder Credential-Stuffing-Angriffe – oft mit Erfolg.
Mangelhafte Zugriffskontrolle & Berechtigungskonzepte
„Jeder darf alles“ – dieses Prinzip trifft man leider häufiger, als man denkt. Fehlende Segmentierung, Adminrechte für Standardnutzer oder unprotokollierter Zugriff auf sensible Daten sind typische Findings.
Webanwendungen mit Sicherheitslücken
Gerade individuell entwickelte Portale, Shops oder interne Tools enthalten häufig Schwächen wie Cross-Site Scripting (XSS), SQL-Injections oder unzureichende Session-Handling-Mechanismen.
Fehlende oder unzureichende Logging- und Monitoring-Maßnahmen
Oft fehlt ein grundlegendes Sicherheitsmonitoring – Angriffe bleiben dadurch unbemerkt. Logs werden nicht ausgewertet oder können im Ernstfall nicht zur Analyse herangezogen werden.
Ihre Ansprechpartner
Sicherheit ist Vertrauenssache. Bei uns sprechen Sie nicht mit einem Ticketsystem – sondern direkt mit erfahrenen Experten.
Philipp Kalweit ist Director Strategy & Consulting mit Fokus auf Security Awareness und offensive IT-Revision. Seit sechs Jahren berät er Mittelständler und Konzerne, darunter EZB- und BaFin-regulierte Unternehmen. 2019 wurde er von DIE ZEIT als „Hamburger des Monats“ geehrt und in die Forbes 30 under 30 DACH-Liste aufgenommen.
Philipp Kalweit
Geschäftsführender Gesellschafter
Seit Mai 2024 ist Dipl.-Wirtsch.-Ing. Günther Paprocki geschäftsführender Gesellschafter der KALWEIT ITS. Als Director HR & Operations verantwortet er das operative Geschäft und Personal. Mit Erfahrung bei Sharp, Philips und Cisco bringt er frischen Wind in die Beratung. Sein Fokus: Cybersecurity in Deutschland stärken.
Günther Paprocki
Geschäftsführender Gesellschafter