▸ wbsec / pentests
// Leistungen · Pentesting
Pentesting,
maßgeschneidert.
Modular, skalierbar, auf Ihre Anforderungen zugeschnitten — ob extern, intern, OT, Cloud oder Web-Application. Realistische Tests mit verständlichen Berichten, die IT und Führung direkt verwerten können.
// Ihre Vorteile

Für alle Pentest-Module: audit-ready, nachvollziehbar, sofort umsetzbar.

Jeder Report liefert zwei Ebenen gleichzeitig: eine Management-Sicht mit klaren Empfehlungen und eine Technik-Sicht mit belastbaren Nachweisen.
REPORTING
Verständlich, strukturiert und auditorengerecht aufgebaut
PDF + Excel
Für Dokumentation und direkt überführbare Tasks in Ihren Tracking-Systemen.
Management Summary
Die wesentlichen Risiken zusammengefasst, als Grundlage für Entscheidungen auf Führungsebene.
Technische Details
Dokumentation auf Fachebene, damit IT-Teams das Problem sofort einordnen und beheben können.
Nachweisbarkeit
Screenshots, Code, Responses, dokumentierte False-Positive-Analysen.
Demo-Report auf Anfrage — anonymisiertes Musterdokument.
NIS-2 / CRA
NIS‑2 & CRA – technische Sicher­heits­anfor­derungen praxisnah umsetzen
Regel­mäßige Tests
Periodische Schwach­stellen­analysen einschließlich Delta-Reports.
Secure by Design
Sicherheit von Anfang an — mit Security-by-Default.
Schwach­stellen­management
Re-Tests und Fix-Verifikation für jeden behobenen Befund.
Kritische Infra­struk­turen
Technische Absicherung betriebs­relevanter Systeme in KRITIS-nahen Umgebungen.
KI-Plattform für auto­matisierte Folge­tests.
Mehr zur KI-Plattform →
// Module

Sechs Pentest-Module. Einzeln oder kombiniert.

Jedes Modul steht für sich — kombiniert decken sie ein vollständiges Sicherheitsbild ab. Für Einzelprojekte, Jahresprogramme oder regelmäßige Re-Tests.
01 · EXTERN
▸ module.extern
·······
Externe Netzwerk-Pentests
IHRE HERAUSFORDERUNG
Unklare Angriffs­vektoren auf öffentlich erreichbare Systeme — wie sicher sind Firewalls, VPNs und Web-Interfaces wirklich?
UNSERE LÖSUNG
OSINT-Analysen (Datenlecks, Domains, Subdomains)
Prüfung exponierter Systeme: Firewalls, VPNs, Web-Interfaces, APIs
Realistische Supply-Chain-Attacken (über Drittanbieter)
Compliance-Checks: NIS-2, CRA, KRITIS
Modul anfragen → 01/06
02 · INTERN
▸ module.intern
·······
Interne Schwachstellen­analysen
IHRE HERAUSFORDERUNG
Wie lassen sich Lateral Movement und Privilege Escalation in Active Directory oder Netzwerk-Infra­struktur verhindern?
UNSERE LÖSUNG
Active Directory (Kerberos-Attacken, Golden/Silver Tickets)
Netzwerk-Infrastruktur (Switches, Router, VLAN-Misconfig)
IoT / Embedded (Haustechnik, Video­kon­ferenz­systeme)
Simulation von Insider-Threats
Modul anfragen → 02/06
03 · OT / ICS
▸ module.otics
·······
OT-Sicherheits­analysen
IHRE HERAUSFORDERUNG
Sicherheitstests für SCADA/PLC-Systeme ohne Betriebs­unter­brechung — wie geht das?
UNSERE LÖSUNG
OT-Pentests für SCADA / PLC
Protokoll-Prüfungen: Modbus, Profibus, OPC UA, EtherCAT
IT/OT-Schnittstellen — saubere Trennung und Datenflüsse
Compliance mit IEC 62443
Modul anfragen → 03/06
04 · WEB-APP
▸ module.webapp
·······
Web-Application-Tests
IHRE HERAUSFORDERUNG
Wie werden Webportale und APIs gegen OWASP Top 10 und moderne Angriffs­vektoren abgesichert?
UNSERE LÖSUNG
Vollständige Tests gemäß OWASP Testing Guide v4.2
Fokus auf komplexe Webportale, APIs, Microservices
Feste Preise pro Anwendung
Auth-Flows, Session-Handling, Business-Logic
Modul anfragen → 04/06
05 · FIREWALL
▸ module.firewall
·······
Firewall-Audit & Perimeter
IHRE HERAUSFORDERUNG
Wie können Firewall-Regelwerke optimiert und redundante oder unsichere Freigaben identifiziert werden?
UNSERE LÖSUNG
Regelwerks-Review: Redundanzen, Shadowing, unnötige Freigaben
DMZ, Partner-Anbindungen und Netztrennung
Automatisierung von Logging & Alerting
Optimierungs­vorschläge mit Priorisierung
Modul anfragen → 05/06
06 · CLOUD
▸ module.cloud
·······
Cloud-Sicherheits­bewertung
IHRE HERAUSFORDERUNG
Wie bleibt die Übersicht über IAM, Container und Daten­souveränität in Multi-Cloud- und On-Prem-Umgebungen?
UNSERE LÖSUNG
IAM / Berechtigungsprüfungen (AWS, Azure, GCP)
Container-Sicherheit (Docker, Kubernetes)
Bewertung On-Premise-Alternativen
Multi-Cloud-Verflechtung und Datenflüsse
Modul anfragen → 06/06
// Der Report

Strategisch & technisch – Ihr Sicherheitsreport.

Strate­gische Schwach­stellen für die Führungs­ebene und tech­nische Details für die IT – individuell und präzise, ohne generische Text­bausteine
REPORT.pdf · PAGE 1
// MANAGEMENT SUMMARY
Sicher­heits­bewertung · Q2/2024
0
KRI­TISCH
0
HOCH
0
MITTEL
01
Patch-Zyklus: Linux Server einbeziehen
02
Zugriffskonzept Perimeter überarbeiten
03
OT-Segmentierung langfristig härten
BSI · NIS-2 · CRA konform wbsec.de/report
REPORT.pdf · PAGE 42 · EVIDENCE
// FINDING F-017 · AD / KERBEROS
Kerberos Roasting — offenes SPN-Konto
CVSS 4.0 8.9
CVE
NIS-2 §30.2
ISO 27001 A.5.17
→ FIX: aktiviere AES-only auf svc_app · rotiere Passwort · MSDS-ManagedAccount
evidence · screenshots · logs F-017/112
// Ablauf

Der Pentest-Prozess: Schritt für Schritt

01
Anfor­derungs­analyse
Ihre Umgebung, Ihre Ziele. Wir hören zu, bevor wir ein indivi­duelles Angebot erstellen.
02
Vertrag & Zeit­fenster
Scope, Testfenster, Notfall­kontakte, Zeit­plan — verbind­lich vereinbart.
03
Test­durch­führung
OSINT-Analysen, Manuelle Tests, KI-gestützte Vor-Analyse, enger Austausch mit Ihrem Team.
04
Review & Report
Ausführ­licher Bericht mit klaren Empfehlungen. Auf Wunsch Nach­besprechung per Video­konferenz.
05
Re-Test & Monitoring
Nach Umsetzung: gezielter Re-Test.
▸ NEXT STEP
Erstes Gespräch vereinbaren?
Ein 30-Minuten-Gespräch zur Abstimmung. Danach erhalten Sie ein individuelles Angebot, inklusive Aufwandsschätzung und Lieferzeiten.
Demo-Report anfordern