Was ist ein Pentest?
Ein Pentest zeigt, wo Ihr Unternehmen wirklich angreifbar ist – aus Sicht eines echten Hackers, nicht einer Checkliste. So erkennen Sie Risiken, bevor es andere tun.
Relevante Schwachstellen erkennen. Klares Handeln ermöglichen.
Unsere Pentests simulieren reale Angriffsszenarien – aus Sicht eines Angreifers. Der Fokus liegt auf manuellen Penetrationstests mit individuell erstellter Abschlussdokumentation. Ihre IT gewinnt an Reife, der Fortschritt wird messbar – wie ein kontinuierlicher Security-Score.
Mehr Überblick. Mehr Kontrolle. Mehr Sicherheit.
Schwachstellen frühzeitig erkennen
Ein Pentest deckt Sicherheitslücken auf, bevor sie von Angreifern ausgenutzt werden – systematisch, priorisiert und nachvollziehbar.
Risiken richtig bewerten
Alle Findings werden nach Kritikalität eingestuft – mit CVSS-Score, Impact-Bewertung und konkretem Bezug zu Ihrer Infrastruktur.
Maßnahmen klar definieren
Sie erhalten konkrete Handlungsempfehlungen, die direkt in Ihre Prozesse überführt werden können – verständlich für IT, Management und externe Partner.
Sicherheit nachweisbar machen
Unsere Tests werden nach anerkannten Standards wie OWASP Testing Guide und dem Durchführungskonzept für Penetrationstests des BSI erstellt. Sie erhalten ein Zertifikat über die erfolgreiche Durchführung eines Penetrationstests.
Pentests - Ablauf mit System. Ergebnisse mit Substanz.
01
Zieldefinition & Scope-Analyse
Gemeinsam priorisieren wir die kritischen Systeme – mit klarem Fokus auf Angriffsflächen und regulatorische Anforderungen.
02
Koordination mit Stakeholdern
Minimale Betriebsrisiken durch abgestimmte Prozesse, transparente Kommunikation und präzise Testplanung.
03
Simulation realer Angriffsszenarien
Tests auf höchstem technischen Niveau: orientiert an PTES, NIST und OWASP – mit echtem Angreiferdenken.
04
Dokumentation & Management-Reporting
Keine Standard-Handlungsempfehlungen, sondern immer an Branche, Ansprechpartner und Gesamtsituation abgestimmt.
05
Risikobewertung & Validierung
Technische Schwachstellen werden in geschäftlichen Kontext gesetzt – nachvollziehbar, priorisiert, handlungsorientiert.
06
Review & Maßnahmenplanung
Die Testergebnisse werden präsentiert, konkrete Maßnahmen zur Behebung erläutert und auf Wunsch in einem Nachtest überprüft.
Bewährte Standards für nachvollziehbare Sicherheit
PTES
Der Penetration Testing Execution Standard (PTES) ist ein strukturierter Leitfaden zur Durchführung professioneller Penetrationstests – von der Planung bis zur Nachbereitung.
NIST
Das NIST Cybersecurity Framework bietet standardisierte Richtlinien zur Identifikation, Bewertung und Behandlung von IT-Sicherheitsrisiken.
OWASP Testing Guide
Der OWASP Testing Guide enthält anerkannte Methoden zur Sicherheitsprüfung von Webanwendungen, insbesondere gegen häufige Schwachstellen.
PCI-DSS
PCI-DSS ist ein Sicherheitsstandard für Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übertragen – mit klaren technischen und organisatorischen Vorgaben.
Cyber Kill Chain
Die Cyber Kill Chain beschreibt typische Phasen eines zielgerichteten Angriffs – von der Aufklärung bis zur Datenexfiltration – und dient zur Strukturierung von Abwehrstrategien.
Ein Ziel Sicherheit
Ein Ziel
Sicherheit
Unterschiedliche Testarten. Abgestimmt auf Ziel und Kontext.
Je nach Zielsetzung, Ausgangslage und Systemlandschaft unterscheiden sich Pentests deutlich in Methodik und Tiefe. Von technischen Prüfungen einzelner Systeme bis hin zu realistischen Angriffssimulationen auf Organisationsebene – der Rahmen entscheidet über Ansatz und Aussagekraft.
Alle Pentests auf einen Blick
Starke Expertise in der Durchführung von Penetrationtests im Banken- und Finanzwesen, Gesundheitswesen, Kritischer Infrastrukturen sowie Einzelhandelsunternehmen.
Prüfen öffentlich erreichbarer Systeme wie Firewalls, VPNs oder externe Server auf Angriffsflächen.
Analysieren die Sicherheit von Arbeitsplatzsystemen und internen Endpunkten im Unternehmensnetzwerk.
Simulation eines Angriffs mit internem Zugang – z. B. durch kompromittierte Mitarbeitende oder Dienstleister.
Manuelle Prüfung von webbasierten Anwendungen auf Schwachstellen wie Injection, Authentifizierungsfehler oder Zugriffskontrollen.
Sicherheitsanalyse nativer oder hybrider Anwendungen – inklusive iOS, Android und Flutter-basierten Lösungen.
Spezialisierte Pentests für hochregulierte Infrastrukturen – z. B. Banken, Payment-Systeme oder POS-Netzwerke.
Codebasierte Analyse von Software-Komponenten oder Infrastruktur-Konfigurationen mit Fokus auf Sicherheitsstandards.
Sicherheitsbewertung von embedded Automotive-Komponenten – z. B. ECUs und deren Kommunikation.
Ganzheitliche Analyse von vernetzten Geräten – inkl. Firmware, Kommunikation, Schnittstellen und physischem Zugriff.
Sicherheitsüberprüfung Ihrer Cloud-Infrastruktur und -Konfigurationen gemäß Best Practices der jeweiligen Plattform.
Pentesting in komplexen SAP-Landschaften – inkl. Zugriffskontrollen, RFC-Kommunikation und Benutzerrollen.
Analyse drahtloser Netzwerke auf Schwachstellen in Authentifizierung, Verschlüsselung und Segmentierung.
Klare Einblicke. Reale Szenarien. Greifbare Maßnahmen.
Betroffene Systeme und Anwendungen
Sie erfahren genau, welche Ihrer Systeme potenzielle Einfallstore für Angreifer bieten – vom Webserver bis zum internen Netzwerk.
Angreiferperspektive auf Ihr Unternehmen
Wir zeigen realistische Angriffsszenarien auf, wie ein Angreifer konkret vorgehen würde – inklusive aller gefundenen Schwachstellen.
Priorisierte Schwachstellen mit Risikoanalyse
Alle Findings werden nach Kritikalität bewertet: Was ist kritisch, was mittelfristig – und was kann erstmal ignoriert werden?
Konkrete Handlungsempfehlungen
Sie erhalten eine klare, umsetzbare To-do-Liste für Ihre IT – verständlich formuliert, priorisiert und sofort einsatzbereit.
Ihre Ansprechpartner
Sicherheit ist Vertrauenssache. Bei uns sprechen Sie nicht mit einem Ticketsystem – sondern direkt mit erfahrenen Experten.
Philipp Kalweit ist Director Strategy & Consulting mit Fokus auf Security Awareness und offensive IT-Revision. Seit sechs Jahren berät er Mittelständler und Konzerne, darunter EZB- und BaFin-regulierte Unternehmen. 2019 wurde er von DIE ZEIT als „Hamburger des Monats“ geehrt und in die Forbes 30 under 30 DACH-Liste aufgenommen.
Philipp Kalweit
Geschäftsführender Gesellschafter
Seit Mai 2024 ist Dipl.-Wirtsch.-Ing. Günther Paprocki geschäftsführender Gesellschafter der KALWEIT ITS. Als Director HR & Operations verantwortet er das operative Geschäft und Personal. Mit Erfahrung bei Sharp, Philips und Cisco bringt er frischen Wind in die Beratung. Sein Fokus: Cybersecurity in Deutschland stärken.
Günther Paprocki
Geschäftsführender Gesellschafter