OWASP & CREST-zertifiziert
Penetrationstest für Infrastruktur, Web und API
Kennen Sie die Schwachstellen in Ihren Systemen, bevor Angreifer sie finden? Unsere CREST-zertifizierten Experten identifizieren Sicherheitslücken in Ihrer Infrastruktur, Ihren Webanwendungen und APIs nach OWASP-Standards mit detaillierter Remediation.
Häufige Fragen zum Penetrationstest
Antworten auf die Fragen, die Schweizer Sicherheitsverantwortliche im Scoping-Gespräch am häufigsten stellen.
Was kostet ein Penetrationstest in der Schweiz?
Ein professioneller Penetrationstest in der Schweiz kostet zwischen CHF 6'000 und CHF 25'000, je nach Testtyp und Scope. Web Application Pentests liegen bei CHF 8'000 bis CHF 15'000, externe Infrastruktur-Tests bei CHF 10'000 bis CHF 20'000, interne Infrastruktur-Tests bei CHF 12'000 bis CHF 25'000. Mobile App Pentests und API Security Assessments bewegen sich im Bereich CHF 8'000 bis CHF 18'000.
Welche Arten von Penetrationstests bieten Sie an?
Wir bieten Infrastruktur-Penetrationstests (extern und intern), Web Application Penetrationstests, API Security Assessments, Mobile App Security Tests und Wireless Security Assessments an. Der Scope wird im 30-minütigen Scoping-Gespräch gemeinsam definiert.
Nach welchen Standards testen Sie?
Unsere Tests orientieren sich an OWASP Testing Guide, OWASP Top 10, OWASP ASVS, PTES (Penetration Testing Execution Standard), NIST SP 800-115 und CREST-Methodik. Für Cloud-Workloads ergänzen wir CIS Benchmarks und Cloud-Provider-spezifische Best Practices.
Wie lange dauert ein Penetrationstest?
Die Dauer hängt vom Scope ab. Ein fokussierter Web Application Test dauert typischerweise 1 bis 2 Wochen. Umfassende Infrastruktur-Tests benötigen 2 bis 3 Wochen. Mobile- und API-Tests liegen meist bei 1 bis 2 Wochen. Die exakte Dauer wird im Scoping festgelegt.
Können Sie auch laufende Anwendungen testen, ohne den Betrieb zu stören?
Ja. Wir stimmen Testzeitfenster und Intensität vorab mit Ihnen ab. Kritische Produktionssysteme können wir schonend testen oder auf einer Staging-Umgebung prüfen. Destruktive Tests (z.B. DoS-Verifikation) führen wir ausschliesslich nach ausdrücklicher Genehmigung und in abgestimmten Wartungsfenstern durch.
Was enthält der Abschlussbericht?
Der Bericht enthält eine Management Summary, eine detaillierte technische Beschreibung jeder Schwachstelle mit CVSS-Bewertung, Proof-of-Concept-Nachweise, Business-Impact-Analyse und priorisierte Remediation-Empfehlungen. Auf Wunsch erstellen wir eine separate Zusammenfassung für nicht-technische Stakeholder und einen Audit-Anhang für FINMA- oder ISO-27001-Prüfer.
Bieten Sie auch einen Retest nach der Behebung an?
Ja. Nach der Behebung der gefundenen Schwachstellen führen wir einen Retest durch, um die Wirksamkeit der Massnahmen zu verifizieren. Der Retest ist im Standard-Engagement enthalten und stellt sicher, dass die Schwachstellen tatsächlich geschlossen sind. Das Retest-Ergebnis wird im Abschlussbericht oder als separates Attestat dokumentiert.
Erfüllt ein Penetrationstest die nDSG- und FINMA-Anforderungen?
Ja. Das nDSG verlangt seit September 2023 angemessene technische und organisatorische Massnahmen, dokumentiert durch Penetrationstests. Das FINMA-Rundschreiben 2023/1 schreibt regelmässige Vulnerability-Scans und Penetrationstests für kritische Systeme vor. Unsere Berichte enthalten den Audit-Anhang in der Form, die FINMA-Prüfer und ISO-27001-Auditoren typischerweise einsehen.
Du weisst nicht, was Angreifer in deinem Netzwerk sehen. Wir schon.
30 Minuten. Ein CREST-zertifizierter Offensive-Experte zeigt dir, wo dein grösstes Risiko liegt. Kostenlos. Ohne Verpflichtung. Nur Fakten.
Kein Verkaufsgespräch — nur Erkenntnisse, die du morgen umsetzen kannst
30-Minuten-Videocall mit einem CREST-zertifizierten Offensive-Experten
Analyse basierend auf deiner tatsächlichen Infrastruktur, kein generisches Template
Kostenlose Analyse buchen
Drei kurze Fragen. Dann zeigen wir dir, wo du verwundbar bist.
Erhalten.
Wir melden uns innerhalb von 24 Stunden.