Kostenloser Penetrationstest
Qualifizierte Unternehmen erhalten einen vollständigen Cloud- und Webanwendungs-Penetrationstest kostenfrei. Von erfahrenen Sicherheitsingenieuren durchgeführt, mit BSI- und NIS2-konformem Bericht. 30-minütiges Scoping-Gespräch, 7 Werktage bis zum Bericht.
Wer qualifiziert sich
Etablierte Unternehmen im DACH-Raum mit 50+ Mitarbeitenden, die produktive Workloads auf AWS, Azure oder GCP betreiben. Vorrang für Unternehmen, die unter NIS2 fallen (wesentliche oder wichtige Einrichtungen) oder eine BSI-IT-Grundschutz-Zertifizierung anstreben. Ein kostenloser Pentest pro Unternehmen und Kalenderjahr.
Tag 1-3
1. Antrag & Scoping-Gespräch
Antrag einreichen. Wir prüfen innerhalb von 2 Werktagen und vereinbaren ein 30-minütiges Scoping-Gespräch. Dort bestätigen wir die Eignung, definieren den Umfang und unterzeichnen gegenseitige NDA sowie Letter of Authorisation (LoA).
Tag 4-9
2. Penetrationstest
Unser Team führt den vereinbarten Scope gegen Ihre Cloud-Umgebung durch: IAM-Review, S3/Blob-Exposition-Audit, CIS Benchmark, OWASP Top 10 auf einer öffentlichen Webanwendung, externer Perimeter-Test. Alle Tests sind schriftlich autorisiert.
Tag 10-12
3. Bericht & Debriefing
PDF-Bericht nach BSI-IT-Grundschutz-Baustein-Mapping, NIS2 Art. 21 Risikomaßnahmen und Ihrem Compliance-Framework. 45-minütiges Debriefing mit einem Senior-Ingenieur. Remediation ist separat und optional.
Was ist enthalten
- AWS- oder Azure-Cloud-Konfigurationsprüfung (IAM, S3/Blob, KMS, Security Groups)
- Externe Perimeter-Prüfung öffentlicher Dienste
- OWASP Top 10 Scan einer Webanwendung (bis zu 20 Seiten)
- Exposed-Secrets-Prüfung (GitHub, öffentliche Endpoints)
- CIS Benchmark Gap-Analyse
- PDF-Bericht mit Mapping auf BSI-IT-Grundschutz, NIS2 Art. 21, DSGVO Art. 32
- 45-min Debriefing mit Senior-Ingenieur (OSCP / CEH / AWS Security)
Was nicht enthalten ist
- Social Engineering oder physische Sicherheitsprüfung
- On-Premise-Infrastruktur (nur Cloud-Workloads)
- Mobile-App-Binäranalyse
- Vollumfänglicher Red-Team-Einsatz
- Remediation (separat und kostenpflichtig nach dem kostenlosen Pentest)
- BSI-Grundschutz-Zertifizierung (das ist ein separater Prozess)
Bericht abgestimmt auf Ihre Compliance
BSI IT-Grundschutz
Mapping auf Bausteine SYS.1.5 Virtuelle IT-Systeme, APP.3.1 Webanwendungen, CON.8 Software-Entwicklung.
NIS2 (§ 30 BSIG)
Risikomanagement-Maßnahmen nach Art. 21 — technische Evidenz für wesentliche und wichtige Einrichtungen.
DSGVO Art. 32
Technische und organisatorische Maßnahmen — Pentest als Standardverfahren für regelmäßige Überprüfung.
ISO/IEC 27001:2022
A.8.29 Sicherheitstests während Entwicklung und Abnahme.
KRITIS (BSIG § 8a)
Für Betreiber kritischer Infrastrukturen — alle zwei Jahre Nachweispflicht.
PCI DSS 4.0
Anforderung 11.4.1-3 interner und externer Penetrationstest.
Wer den Test durchführt
Häufig gestellte Fragen
Ist das wirklich kostenlos? Was ist der Haken?
Wirklich kostenlos. Der Pentest ist unsere Art, qualifizierten Interessenten unsere Kompetenz zu demonstrieren. Wir investieren 40-60 Ingenieurstunden pro Einsatz in der Erwartung, dass ein Teil der Kunden uns für bezahlte Remediation oder laufende Managed Services engagiert. Rund 35% der Free-Pentest-Empfänger werden innerhalb von 12 Monaten zu zahlenden Kunden. Keine versteckten Kosten.
Warum verlangen Sie einen Antrag statt eines einfachen Formulars?
Weil ein Einsatz von 40-60 Senior-Engineer-Stunden reale Kosten verursacht. Wir filtern auf Unternehmen, die tatsächlich profitieren würden und die wir plausibel bedienen könnten — typischerweise 50+ Mitarbeitende mit produktiven Cloud-Workloads und aktiver Compliance- oder Sicherheitsanforderung.
Ist das Testing legal autorisiert?
Ja, immer. Nach dem Scoping-Gespräch unterzeichnen wir eine gegenseitige Vertraulichkeitsvereinbarung und einen Letter of Authorisation (LoA), der Scope, Zeitpunkt, Ziele und zulässige Techniken dokumentiert. Ihre Rechtsabteilung erhält den LoA vor Beginn aller Tests. Unautorisiertes Testing ist nach § 202a-202c StGB (Ausspähen/Abfangen von Daten) strafbar — wir halten uns strikt daran.
Wie lange dauert der gesamte Prozess?
Etwa 12 Werktage. Tag 1-3: Antragsprüfung und Scoping-Gespräch. Tag 4-9: aktives Testing. Tag 10-12: Berichtserstellung und Debriefing. Für zeitkritische Audit-Deadlines können wir komprimieren — besprechen Sie das im Scoping-Gespräch.
Wird der Bericht von meinem BSI-Auditor oder NIS2-Aufsichtsbehörde akzeptiert?
In den meisten Fällen ja. Unsere Berichte sind auf die BSI-IT-Grundschutz-Bausteine und NIS2 Art. 21 Maßnahmen gemappt. Für BSI-Zertifizierung benötigen Sie zusätzlich einen BSI-zertifizierten Auditor — unser Bericht liefert die technische Evidenz, die dieser Auditor prüft. Bei NIS2-Aufsichtsprüfungen ist unser Bericht Teil Ihrer Nachweisdokumentation.
Was passiert, wenn Sie eine kritische Schwachstelle finden?
Wir informieren Sie innerhalb von 4 Werkstunden, wenn wir etwas aktiv Ausnutzbares oder eine laufende Kompromittierung finden. Der schriftliche Bericht kommt am Ende des Einsatzes, kritische Funde werden taggleich offengelegt.
Machen Sie das auch für Startups unter 50 Mitarbeitenden?
Selten. Ausnahmen für Series B+ Scaleups mit bevorstehendem ISO 27001 oder NIS2-Registrierung. Für frühere Stages empfehlen wir zunächst einen automatisierten Scan und einen späteren manuellen Pentest, wenn die Produktionsoberfläche es rechtfertigt.
Wem gehören die Funde und der Bericht?
Ihnen. Der Bericht ist Ihr Eigentum; wir behalten eine anonymisierte Kopie in unserer internen Case-Library zur Prozessverbesserung. Wir veröffentlichen oder teilen keine Funde. NDA gilt beidseitig.