Web-Anwendungen sind digitale Plattformen, die über einen Browser erreichbar sind – beispielsweise Kundenportale, Verwaltungsoberflächen, Online-Shops oder interne Anwendungen. Sie bilden häufig das sichtbare Fundament der digitalen Geschäftsprozesse.

Unsichere Web-Anwendungen können Angreifern ermöglichen, auf vertrauliche Daten zuzugreifen, Benutzerkonten zu übernehmen oder Geschäftsprozesse zu manipulieren. Typische Gefahren sind unzureichende Zugriffskontrollen, fehlerhafte Authentifizierungsmechanismen, ungesicherte Eingabeverarbeitung oder das Umgehen von Berechtigungen. Besonders kritisch sind Schwachstellen, bei denen ein Benutzer auf Daten anderer Benutzer zugreifen kann oder administrative Funktionen erreichbar werden.

Ein Web-Penetrationstest untersucht die Anwendung systematisch aus Angreiferperspektive. Dabei wird überprüft, ob Zugriffsbeschränkungen korrekt umgesetzt sind, ob Daten ausreichend geschützt werden und ob Geschäftslogiken missbraucht werden können. Das Ergebnis ist eine nachvollziehbare Risikobewertung mit konkreten Handlungsempfehlungen zur nachhaltigen Absicherung.

Schnittstellen – häufig als "API" (Application Programming Interface) bezeichnet – ermöglichen die automatisierte Kommunikation zwischen verschiedenen Systemen. Sie verbinden beispielsweise mobile Anwendungen mit Backend-Systemen oder erlauben externen Partnern den Datenaustausch.

Da Schnittstellen nicht sichtbar sind, werden Sicherheitsprüfungen häufig vernachlässigt. Fehlende oder unzureichende Zugriffskontrollen können dazu führen, dass Unbefugte Daten abrufen oder verändern. Weitere Risiken sind manipulierte Anfragen, unzureichende Identitätsprüfung oder fehlende Begrenzung von Zugriffsversuchen. Gerade bei sensiblen Geschäftsdaten kann dies erhebliche wirtschaftliche und rechtliche Folgen haben.

Ein API-Penetrationstest simuliert gezielte Angriffe auf diese Kommunikationskanäle. Dabei wird überprüft, ob Berechtigungen korrekt umgesetzt sind, ob nur autorisierte Systeme Zugriff erhalten und ob Manipulationsversuche erkannt oder verhindert werden. Das Unternehmen erhält klare Empfehlungen zur Härtung der Schnittstellenarchitektur.

Die technische Infrastruktur eines Unternehmens besteht aus Servern, Netzwerkkomponenten, Firewalls und weiteren Systemen, die miteinander verbunden sind. Diese bilden das Rückgrat der digitalen Geschäftsprozesse.

Offene Dienste, veraltete Software oder falsch konfigurierte Systeme können Angreifern einen Einstieg ermöglichen. Besonders kritisch ist die sogenannte "laterale Bewegung": Hat ein Angreifer einmal Zugang zu einem System, kann er sich innerhalb des Netzwerks weiter ausbreiten und zunehmend höhere Berechtigungen erlangen.

Ein Infrastruktur-Penetrationstest analysiert sowohl externe als auch interne Angriffsflächen. Er zeigt auf, welche Systeme aus dem Internet erreichbar sind, wie robust interne Segmentierungen sind und wie sich Angriffe potenziell ausweiten könnten. Die Ergebnisse helfen, strukturelle Sicherheitslücken systematisch zu schliessen.

Zentrale Verzeichnisdienste wie Microsoft Active Directory verwalten Benutzerkonten, Gruppen und Zugriffsrechte innerhalb der IT-Landschaft. Sie entscheiden darüber, wer welche Systeme und Daten nutzen darf.

Fehlkonfigurationen oder übermässige Berechtigungen können dazu führen, dass Angreifer nach einem ersten Zugriff schnell weitreichende Rechte erlangen. Besonders kritisch sind Szenarien, in denen privilegierte Konten kompromittiert werden oder Passwörter unzureichend geschützt sind.

Ein Test des Identitäts- und Berechtigungsmanagements untersucht, wie effektiv die Zugriffskontrollen tatsächlich sind. Er zeigt auf, ob Rechte sauber getrennt sind, ob privilegierte Konten ausreichend geschützt werden und wie gross das Risiko einer vollständigen Domänenübernahme ist. Dadurch entsteht Transparenz über das tatsächliche Sicherheitsniveau der gesamten IT-Umgebung.

Technische Schutzmechanismen allein reichen nicht aus, wenn Angreifer gezielt Menschen manipulieren. Social Engineering bezeichnet Angriffe, bei denen Mitarbeitende durch Täuschung dazu gebracht werden, vertrauliche Informationen preiszugeben oder sicherheitskritische Handlungen auszuführen. Typische Formen sind:

• Phishing (täuschend echte E-Mails)
• Smishing (Angriffe per SMS oder Messenger-Dienste)
• Quishing (Manipulation über QR-Codes)

Ziel ist es meist, Zugangsdaten zu stehlen, Schadsoftware einzuschleusen oder interne Prozesse zu umgehen.

Angreifer nutzen gezielt Stress, Autoritätsdruck oder Zeitdruck aus, um Mitarbeitende zu unüberlegten Handlungen zu bewegen. Bereits ein einzelner kompromittierter Account kann ausreichen, um interne Systeme zu übernehmen, Zahlungsanweisungen zu manipulieren oder sensible Daten exfiltrieren.

Besonders kritisch ist, dass Social-Engineering-Angriffe oft keine technischen Sicherheitslücken ausnutzen, sondern menschliche Verhaltensmuster.

Ein Social-Engineering-Test simuliert realistische Angriffsversuche unter kontrollierten Bedingungen. Dabei wird geprüft, wie Mitarbeitende auf täuschend echte Szenarien reagieren und wo organisatorische Schwachstellen bestehen.

Das Ziel ist nicht die Blossstellung einzelner Personen, sondern die Identifikation struktureller Schwächen in Prozessen, Sensibilisierung und internen Kontrollmechanismen. Unternehmen erhalten konkrete Handlungsempfehlungen zur Verbesserung von Schulungen, Richtlinien und technischen Schutzmassnahmen.

Neben digitalen Angriffen existieren physische Risiken: Unbefugte Personen können versuchen, sich Zutritt zu Gebäuden, Serverräumen oder geschützten Bereichen zu verschaffen. Ein physischer Penetrationstest prüft, wie gut Zugangskontrollen, Besuchermanagement und Sicherheitsprozesse tatsächlich funktionieren.

Unzureichend gesicherte Gebäudezugänge, fehlende Identitätskontrollen oder ungeschützte Serverräume können dazu führen, dass Angreifer direkt auf Hardware zugreifen. Dadurch lassen sich beispielsweise Datenträger kopieren, Schadsoftware installieren oder Netzwerkzugänge manipulieren.

Physische Sicherheitslücken umgehen sämtliche Firewalls und Software-Schutzmechanismen, da der Angreifer sich unmittelbar im geschützten Bereich befindet.

Ein physischer Test simuliert realistische Zutrittsversuche unter definierten Rahmenbedingungen. Dabei wird geprüft, ob Sicherheitsmechanismen, Mitarbeitersensibilisierung und Zugangskontrollen ausreichend funktionieren.

Das Unternehmen erhält eine objektive Einschätzung, ob organisatorische und bauliche Schutzmassnahmen ausreichend sind oder ob konkrete Anpassungen erforderlich sind.

Drahtlose Netzwerke ermöglichen flexible Arbeitsweisen, stellen jedoch eine zusätzliche Angriffsfläche dar. Anders als kabelgebundene Netzwerke können Funksignale auch ausserhalb des Gebäudes empfangen werden.

Unsichere Verschlüsselung, schwache Zugangspasswörter oder falsch konfigurierte Gastnetzwerke können es Angreifern ermöglichen, sich unbefugt mit dem Unternehmensnetzwerk zu verbinden. Ebenso besteht das Risiko sogenannter "Evil Twin"-Angriffe, bei denen ein gefälschtes WLAN bereitgestellt wird, um Anmeldedaten abzufangen.

Ein kompromittiertes WLAN kann als Einstiegspunkt dienen, um interne Systeme anzugreifen oder Datenverkehr mitzuschneiden.

Ein WLAN-Assessment prüft die eingesetzten Verschlüsselungsverfahren, Authentifizierungsmechanismen und Netzwerksegmentierungen. Es wird bewertet, ob sich das Netzwerk aus angrenzenden Bereichen angreifen lässt und ob Schutzmassnahmen korrekt umgesetzt wurden.

Das Ergebnis ist eine klare Aussage darüber, ob das drahtlose Netzwerk den aktuellen Sicherheitsanforderungen entspricht und wie sich identifizierte Schwachstellen gezielt beheben lassen.

Ein Schwachstellenscan ist ein automatisierter Prozess, der IT-Assets analysiert und bekannte Schwachstellen, fehlende Updates oder Konfigurationsprobleme identifiziert. Das Ergebnis ist eine Liste potenzieller Risiken, die meist mit standardisierten Tools erstellt werden.

Ein Penetrationstest geht einen Schritt weiter: er simuliert aktiv Angriffe unter Einsatz von Fachwissen und manuellem Testen, um zu sehen, ob und wie Schwachstellen tatsächlich ausgenutzt werden könnten. Ein Penetrationstest liefert daher nicht nur eine Liste, sondern Validierung, Kontext und Auswirkungen auf Geschäftsprozesse, inklusive konkreter Beweisführung (Proof-of-Concept) und Handlungsempfehlungen.

Kurz gesagt:

• Ein Schwachstellenscan zeigt welche Schwachstellen vorhanden sein könnten,
• Ein Penetrationstest zeigt welche Schwachstellen unter realen Bedingungen ausnutzbar sind.

Ein professioneller Penetrationstest folgt einer strukturierten Methodik.

Zunächst wird der Umfang definiert. Es wird festgelegt, welche Systeme geprüft werden, welche Szenarien simuliert werden sollen und welche Grenzen einzuhalten sind. Diese Phase ist entscheidend, um Risiken zielgerichtet zu analysieren und unerwünschte Handlungen zu vermeiden.

Anschliessend erfolgt die technische Analyse. Hier werden Systeme untersucht, potenzielle Angriffsvektoren identifiziert und unter realistischen Bedingungen geprüft. Automatisierte Werkzeuge kommen unterstützend zum Einsatz, der Schwerpunkt liegt jedoch auf manueller Analyse und fachlicher Bewertung.

Danach werden die Ergebnisse evaluiert, priorisiert und dokumentiert. Dabei wird nicht nur die technische Schwachstelle beschrieben, sondern auch ihre geschäftliche Relevanz eingeordnet. Wichtig: Sollte im Laufe der Sicherheitsüberprüfung eine kritische Schwachstelle identifiziert werden, werden Sie umgehend informiert und müssen nicht erst bis zum Erhalt des Berichts warten. Bei kritischen Schwachstellen gilt es keine Zeit zu verlieren.

Abschliessend findet bei Bedarf eine Nachbesprechung des Berichts oder eine vollständige Präsentation der Ergebnisse auf Managment-Ebene statt, bei der die Schwachstellen nochmlas erläutert weden und eventuell offene Fragen geklärt werden können.

Die Dauer eines Penetrationstests hängt stark vom Umfang ab:

• Webanwendung: Ein typischer Test einer mittelgrossen webbasierten Anwendung dauert in der Regel 1–2 Wochen, inklusive Analyse, Tests und Reporting.

• Interne Infrastruktur mit Active Directory: Komplexere Unternehmensnetzwerke mit Identitäts- und Berechtigungsdiensten (z. B. Microsoft Active Directory) erfordern meist 2–4 Wochen oder mehr (je nach Unternehmensgrösse), da hier neben oberflächlichen Schwachstellen auch laterale Bewegungen, Rechteausweitungen und detaillierte Berechtigungsanalysen geprüft werden.

Ein gründlicher Test beinhaltet nicht nur das aktive "Hacking", sondern auch Vorbereitung, Abstimmung, Auswertung und eine verständliche und detaillierte Berichtsertattung.

Ein professionell geplanter Penetrationstest erfolgt kontrolliert und abgestimmt. Kritische Tests werden vorab definiert, empfindliche Systeme werden nur innerhalb vereinbarter Grenzen geprüft.

In der Regel kommt es zu keinerlei Betriebsausfällen. Bei besonders sensiblen Umgebungen kann der Test ausserhalb der Geschäftszeiten durchgeführt werden.

Nein. In der Regel werden alle nötigen Details bereits im Vorfeld geklärt, daher sollte es nur in Notfällen oder bei kritischen Schwachstellen zu Rückfragen kommen. Es wird dennoch empfohlen im Testzeitraum zumindest nicht vollständig abwesend zu sein.

Ein Penetrationstest findet meist gänzlich unbegleitet statt, nachdem das initiale Setup und die Zugangsdaten geprüft wurden, es sei denn Sie möchten bestimmte Tests begleiten, um zu sehen, wie verschieden Angriffe durchgeführt werden.

Das hängt von der Veränderungsgeschwindigkeit der IT-Umgebung ab. Typischerweise empfiehlt sich:

• mindestens einmal jährlich
• zusätzlich nach grösseren Systemänderungen
• vor der Veröffentlichung neuer Anwendungen
• bei strukturellen Änderungen im Netzwerk oder Berechtigungsmanagement

Sicherheitsrisiken entstehen oft nicht durch einzelne Fehler, sondern durch kontinuierliche Veränderungen im System.

Nein. Der Abschlussbericht ist wesentlich detaillierter und enthält:

• eine nicht-technische Management-Zusammenfassung
• die vereinbarten Rahmenbedingungen
• detaillierte technische Informationen über die Identifizierten Schwachstellen, unter anderem:
  • Beschreibung der Schwachstelle
  • Proof-of-Concept (Beweis und Reproduktionsschritte)
  • konkrete Empfehlungen zur Behebung der Schwachstellen
  • Risikoeinschätzung
• Übersicht über die durchgeführten Testklassen

Ziel ist es, dass sowohl die Geschäftsführung als auch technische Fachabteilungen den Bericht sinnvoll nutzen können.

Auf Anfrage kann Ihnen ein Beispielbericht (Sample Report) bereitgestellt werden, der die Qualität des Berichts anhand eines fiktiven Unternehmens verdeutlicht.

Ja, auf Anfrage kann Ihnen ein Beispielbericht (Sample Report) bereitgestellt werden, der die Qualität des Berichts anhand eines fiktiven Unternehmens verdeutlicht. Nehmen Sie dazu einfach Kontakt zu mir auf.

Nach Abschluss der Tests wird der Bericht in der Regel innerhalb weniger Arbeitstage bereitgestellt. Bei umfangreicheren Prüfungen kann dies je nach Komplexität und Anzahl der Schwachstellen etwas länger dauern. Qualität und Nachvollziehbarkeit stehen im Vordergrund.