Schwachstellen finden, bevor Angreifer es tun.
Wir simulieren echte Angriffe vom ersten Foothold bis zur vollständigen Domänen-Kompromittierung. Security Engineering für Mittelstand in Willich und Rhein-Kreis Neuss heißt bei uns: Web- und API-Pentests, Red-Team-Engagements gegen Active Directory und Infrastruktur, priorisierte Befunde nach CVSS, Nachprüfung inklusive. Kein 24/7-SOC, kein Standard-Scan. Ein belastbares Audit mit Reproduktionsschritten und konkreten Behebungen. Dazu DSGVO-Beratung auf technischer Ebene: Cookies, Drittland-Übermittlung, Auftragsverarbeitung, technische und organisatorische Maßnahmen.
Vier Phasen, ein Ziel: belastbare Ergebnisse mit konkreten Behebungen. Kein Marketing-PDF mit Ampelgrafiken.
Abstimmungsgespräch: Anwendungs-Architektur, Prüfumfang, Test-Konten, Verantwortlichkeiten, Bereiche außerhalb des Prüfumfangs. Am Ende steht ein Festpreis-Angebot, kein offenes Stundenbudget.
Manuelle Prüfung mit Angreifer-Mindset. Automatisierte Scanner als Ergänzung, nicht als Ersatz. Tägliche Statusmeldungen bei kritischen Befunden über den direkten Draht, kein Ticketsystem.
Markdown-Bericht: Kurzfassung für die Geschäftsleitung, technische Findings für das Entwicklungsteam. Jeder Befund mit CVSS-Score, geschäftlicher Auswirkung, Reproduktionsschritten und konkretem Behebungsvorschlag.
Nach der Behebungsphase prüfen wir alle hohen und kritischen Befunde erneut. Teil des Festpreises, kein Aufpreis. Der Nachtest bestätigt, dass die Schwachstellen geschlossen sind, oder zeigt, wo nachgebessert werden muss.
Ein Schwachstellenscan ist kein Pentest. Automatisierte Scanner finden Konfigurationsfehler. Die Geschäftslogik-Schwachstellen, die wirklich Schaden anrichten, findet nur manuelle Analyse. Sie bekommen einen klaren Bericht: jeder Befund priorisiert, mit Auswirkung und konkretem Behebungsschritt.
Den Bericht erstellen wir im vereinbarten Format. Üblich sind eine Präsentation als PDF für die Geschäftsleitung und ein Markdown-Bericht mit den technischen Findings für Ihr Entwicklungsteam.
OWASP Top 10 plus Geschäftslogik. Authentifizierung, Autorisierung, Session-Management, Eingabevalidierung, Server-Konfiguration.
REST und GraphQL. Broken Object Level Authorization, Mass Assignment, Rate Limiting, JWT-Schwächen. Auch undokumentierte Schatten-APIs.
Netzwerk, Server, Active Directory. Von der Erstaufklärung über Privilege Escalation bis zur Domain-Kompromittierung. Reale Angriffspfade.
Red Teaming simuliert einen echten Angreifer ohne feste Grenzen. Ziel ist die vollständige Kompromittierung, vom Initial Access über Lateral Movement bis Domain Admin. Ein Pentest prüft einen Scope, Red Teaming prüft Ihre Verteidigung.
Geschäftsführer, Software-Entwickler, Red Teamer. M.Sc. Cyber Security Management, Hochschule Niederrhein. Red-Team-Erfahrung bei thyssenkrupp, Pentesting bei KPMG.
Mythic (C2), BloodHound (AD-Analyse), Burp Suite (Web), Nmap, Nuclei. Eigene Offensive-Security-Tools in Rust. Kein Scanner-Report als Pentest verkauft.
AMSI-Bypass (referenziert in der Community), CAPTCHA-Sicherheitsanalyse deutscher Anbieter, Offensive-Security-Tools: Zetsu, Tenten, Phantom-Proxy. Mehr auf der Über-uns-Seite.
Ein Pentest prüft einen definierten Scope in einem festgelegten Zeitfenster, sinnvoll vor jedem Launch, nach jedem Vorfall oder wenn TISAX, ISO 27001 oder DSGVO Art. 32 es fordern. Red Teaming simuliert einen echten Angreifer ohne feste Grenzen. Ziel ist die vollständige Kompromittierung. Beide Ansätze sind sinnvoll, je nach Reifegrad. Wir empfehlen im Abstimmungsgespräch das Passende und sagen ehrlich, wenn keins von beidem verhältnismäßig wäre.
OWASP Top 10 plus Geschäftslogik-Schwachstellen: Authentifizierung, Autorisierung, Session-Management, Eingabevalidierung, Server-Konfiguration. Webanwendung und API getrennt geprüft. Befunde mit Reproduktions-Schritten, Code-Beleg und konkretem Behebungsvorschlag.
Cookie- und Tracker-Inventar, Drittland-Transfer-Analyse (Schrems II), Auftragsverarbeitungs-Verträge, Beurteilung der TOMs nach Art. 32. Praxisnah, mit Maßnahmenliste, nicht nur juristisch.
Leon Weinmann, M.Sc. Cyber Security Management, mit Red-Team-Erfahrung. Ein Tester pro Engagement, ein Ansprechpartner. Kein Junior-Outsourcing, kein Standard-Scan-Bericht.
Wenn Ihre Frage hier nicht steht, schreiben Sie uns. Wir melden uns zeitnah bei Ihnen.
Beim Pentest gibt es einen definierten Scope und ein Zeitfenster. Red Teaming simuliert einen echten Angreifer ohne feste Grenzen mit dem Ziel der vollständigen Kompromittierung, z.B. Domain Admin. Wir bieten beides und empfehlen im ersten Gespräch, was für Ihren Reifegrad sinnvoll ist.
Branchenübliche Frameworks wie Mythic als C2, Bloodhound für Active-Directory-Analyse, Burp Suite für Webanwendungen, Nmap und Nuclei als Ergänzung zur manuellen Prüfung. Automatisierte Scans ersetzen keine echte Analyse.
Ein Schwachstellenscan ist ein automatisierter Werkzeug-Lauf, meist Nessus, Burp oder OpenVAS. Ein Pentest ist manuelle Analyse mit Angreifer-Mindset, inklusive Geschäftslogik-Schwachstellen, die kein Scanner findet. Wir liefern beides, aber der Wert steckt in der manuellen Prüfung.
Sie können den Bericht Ihrer Entwicklung übergeben oder uns mit der Behebungsphase beauftragen. Die Nachprüfung der gefundenen hohen und kritischen Befunde ist Bestandteil des Festpreises.
Nein. Wir liefern Audits, Härtung und technische DSGVO-Beratung. Für laufendes Monitoring oder Incident Response empfehlen wir spezialisierte Partner aus dem Rhein-Kreis Neuss und Düsseldorf.
Technisch, nicht juristisch. Wir prüfen Cookies, Tracker, Drittland-Transfers, Auftragsverarbeitungsverträge und TOMs nach Art. 32. Bei Rechtsfragen empfehlen wir Datenschutzanwälte.
Leon Weinmann, Geschäftsführer und Software-Entwickler, M.Sc. Cyber Security Management mit Red-Team-Forschungshintergrund. Ein Tester pro Engagement, ein Ansprechpartner über die gesamte Laufzeit.
Etwas Passendes entdeckt oder noch nicht ganz fündig geworden? Wir haben noch mehr auf dem Kasten. Schreiben Sie uns kurz, worum es geht. Innerhalb von 24 Stunden melden wir uns bei Ihnen.