Was Sie erhalten

Cyberkriminelle machen keinen Unterschied zwischen Netzwerk, Cloud oder dem Faktor Mensch – sie suchen den Weg des geringsten Widerstands. Deshalb verfolgen wir einen ganzheitlichen Ansatz, um Ihre Infrastruktur abzuhärten.

Hier ist unser Vorgehen im Detail:

  • Netzwerk-Penetrationstest: Wir simulieren realistische Angriffe auf Ihre „digitale Festung“. Ob externe Firewalls, VPN-Zugänge oder das interne WLAN – wir prüfen Ihre gesamte Infrastruktur auf Einfallstore

  • Web- & API-Security: Ihre Applikationen sind ständig dem Internet ausgesetzt. Wir testen nach strengen OWASP Top 10 Standards, decken Injection-Lücken auf und prüfen, ob Authentifizierung und Session-Management wirklich sicher sind.

  • Cloud & SaaS Audit: Eine falsche Einstellung genügt für ein Datenleck. Wir überprüfen Ihre Konfigurationen in M365, AWS, Google Cloud und Azure, um sicherzustellen, dass Ihre Cloud dicht hält.

  • KI-Security & Prompt Injection: Nutzen Sie LLMs oder Chatbots? Wir sind spezialisiert auf die Risiken von morgen. Wir testen Ihre KI-Systeme auf Manipulation (Prompt Injection) und Datenschutzverstöße – ein Service, den klassische Anbieter oft übersehen.

  • Social Engineering: Die beste Technik schützt nicht vor menschlichen Fehlern. Mit gezielten Phishing-Kampagnen testen wir die Wachsamkeit Ihres Teams und stärken die Security Awareness nachhaltig.

Das Ergebnis: Kein unverständliches Fachchinesisch. Sie erhalten einen klaren Abschlussbericht mit einer Management Summary, einer detaillierten Risikoanalyse und priorisierten Handlungsempfehlungen, die Sie sofort umsetzen können.

Typische Einsatzszenarien

– Überprüfung der IT-Sicherheitsmassnahmen nach ISO 27001 oder NIST CSF
– Vorbereitung auf Audits, Compliance oder Kundenanforderungen
– Test vor Inbetriebnahme neuer Systeme oder Webapplikationen
– Simulation realistischer Angriffe (Red Team / Adversary Simulation)
– Risikoabschätzung bei Einsatz von KI- oder Cloud-Technologien

Standards, Qualität

  • ISO/IEC 27037

  • NIST SP 800-101

  • BSI-Standard

  • OWASP Testing Guide

Penetrationstest für KMU in der Schweiz – Web Application Security gemäss OWASP Top 10

Penetrationstest Schweiz | Web Security | IT-Sicherheit für KMU

Cyberangriffe treffen zunehmend auch kleine und mittlere Unternehmen in der Schweiz. Besonders Webapplikationen, Kundenportale, SaaS-Plattformen und APIs stehen im Fokus von Angreifern. Ein professioneller Penetrationstest identifiziert Schwachstellen, bevor sie ausgenutzt werden, und stärkt nachhaltig Ihre Cyber-Resilienz.

Was ist ein Penetrationstest?

Ein Penetrationstest ist eine strukturierte Sicherheitsprüfung, bei der reale Angriffsszenarien simuliert werden. Ziel ist es, Sicherheitslücken in Ihrer Webanwendung sichtbar zu machen und konkrete Massnahmen zur Verbesserung der IT-Sicherheit abzuleiten.

Warum ist ein Penetrationstest für KMU wichtig?

  • Früherkennung von Sicherheitslücken
  • Transparente Risikobewertung
  • Priorisierte Handlungsempfehlungen
  • Unterstützung bei Compliance und Audits

Prüfung gemäss OWASP Top 10

Der Test erfolgt gemäss OWASP Top 10, dem internationalen Referenzstandard für Web Application Security.

Typische Prüfbereiche

  • Broken Access Control – IDOR, Privilege Escalation, fehlende Mandantentrennung
  • Cryptographic Failures – Schwache TLS-Konfiguration, veraltete Hashverfahren
  • Injection – SQL Injection, Command Injection, LDAP/NoSQL Injection
  • Insecure Design – Unsichere Geschäftslogik, fehlende Sicherheitskonzepte
  • Security Misconfiguration – Offene Admin-Interfaces, Standardpasswörter
  • Vulnerable Components – Veraltete Libraries, bekannte CVEs
  • Authentication Failures – Schwache Passwort-Policies, fehlende MFA
  • Logging & Monitoring – Fehlende Protokollierung sicherheitsrelevanter Ereignisse
  • SSRF – Server Side Request Forgery und interne Systemzugriffe

Methodik

  • Whitebox oder Greybox Ansatz
  • Manuelle Verifikation aller Findings
  • Keine rein automatisierten Reports
  • Risikominimiertes Vorgehen ohne Betriebsunterbruch

Ihr Abschlussbericht

  • Management Summary
  • Technischer Detailbericht
  • Proof of Concept Dokumentation
  • CVSS Risikobewertung
  • Priorisierte Handlungsempfehlungen

Pauschalpreis

Web Application Penetrationstest gemäss OWASP Top 10: CHF 3’200 exkl. MwSt.

Kontakt

Guido Marsch
Cybersecurity Experte Schweiz
www.guido-marsch.com

Jetzt Penetrationstest konfigurieren

Sehen Sie im Penetrationstest-Konfigurator schnell was Sie
ein Penetrationstest kosten würde. Wir beraten Sie gerne zur
IT-Sicherheit für Schweizer Unternehmen.

Kontakt

Häufige Fragen zum Penetrationstest

Was ist ein Penetrationstest?

Ein Penetrationstest auch Pentest genannt ist eine kontrollierte Sicherheitsüberprüfung, bei der IT-Spezialisten gezielt Angriffe simulieren, um Schwachstellen in Systemen, Netzwerken oder Webanwendungen zu identifizieren, bevor reale Angreifer sie ausnutzen können.

Wie läuft ein Penetrationstest ab?

Ein Pentest folgt einem strukturierten Prozess: Nach der Zieldefinition erfolgt die Informationssammlung, anschliessend die Schwachstellenanalyse und – falls erlaubt – ein kontrollierter Exploit-Versuch. Am Ende erhalten Sie einen Bericht mit Risiko- und Handlungsempfehlungen.

Welche Systeme können getestet werden?

Geprüft werden können nahezu alle Systeme und Anwendungen, darunter:

  • Netzwerke, Firewalls und VPN-Infrastrukturen
  • Web- und API-Applikationen (nach OWASP Top 10)
  • Cloud-Umgebungen (z. B. Microsoft 365, AWS, Google Cloud, Azure)
  • KI-Systeme und LLM-Integrationen
  • Mobile Apps und interne Anwendungen

Wie oft sollte ein Penetrationstest durchgeführt werden?

Empfohlen ist mindestens ein Test pro Jahr oder nach grösseren Änderungen an Infrastruktur, Applikationen oder Cloud-Diensten. Bei stark exponierten Systemen (z. B. Webshops, APIs, KI-Integrationen) ist eine regelmässige Überprüfung sinnvoll.

Ist ein Penetrationstest gefährlich für mein System?

Nein. Seriöse Tests erfolgen unter klar definierten Bedingungen und in enger Abstimmung mit dem Auftraggeber. Produktionssysteme werden dabei nicht beeinträchtigt; alle Tests sind dokumentiert und rückverfolgbar.

Wie lange dauert ein Penetrationstest?

Die Dauer hängt von Umfang und Komplexität ab. Ein kompakter Web- oder Netzwerktest dauert in der Regel 1 – 3 Tage, umfangreiche Projekte (z. B. Red-Team-Simulationen) können mehrere Wochen beanspruchen.

Was kostet ein Penetrationstest?

Der Preis richtet sich nach Systemumfang und Prüfmethodik. Ein einfacher Einstiegstest beginnt ab CHF 1500.– (exkl. MwSt.). Nach einer kurzen Analyse erstellen wir ein verbindliches Angebot mit Leistungsumfang und Zeitaufwand.

Was passiert nach dem Test?

Sie erhalten einen detaillierten Bericht mit allen gefundenen Schwachstellen, Prioritäten, technischen Details und Handlungsempfehlungen. Auf Wunsch unterstützen wir bei der Behebung oder führen einen Retest zur Verifikation durch.

Frameworks & Standards für Penetrationstests und Audits

Unsere Security-Experten orientieren sich an international anerkannten Standards, um Ihnen objektive und nachvollziehbare Ergebnisse zu liefern. Dazu gehören:

  • MITRE ATT&CK® – Die öffentlich zugängliche Wissensdatenbank listet Angriffs­techniken und Taktiken realer Gegner, sodass wir Tests auf aktuelle Bedrohungen ausrichten.
  • NIST SP 800‑115 – Der Leitfaden des US‑National Institute of Standards and Technology beschreibt Methoden für die Planung und Durchführung technischer Sicherheits­tests.
  • NIST SP 800‑53 – Dieses Standardwerk enthält einen Katalog von Sicherheits‑ und Datenschutz­kontrollen zur Risiko­behandlung und ist Grundlage vieler Compliance‑Programme.
  • ISO/IEC 19011 – Diese Norm regelt das Auditieren von Management­systemen. Sie definiert die sieben Grundsätze für Auditoren: Integrität, sachliche Darstellung, berufliche Sorgfalt, Vertraulichkeit, Unabhängigkeit, evidenz‑basierter sowie risiko‑basierter Ansatz.

Durch die Kombination dieser Frameworks gewährleisten wir maximale Transparenz und Nachvollziehbarkeit bei Penetrationstests und Audits.

Mehr erfahren

Sie wünschen einen Test nach anerkannten Standards? Kontaktieren Sie uns, um ein unverbindliches Angebot zu erhalten.