Marco Achhammer – IT Security Consulting

Marco Achhammer - IT Security Consulting
Menü
Linkedin

Penetrationstests - Ich finde Lücken, bevor Angreifer es tun

Ein Penetrationstest ist keine akademische Übung, sondern eine realistische Simulation echter Angriffe. Ich analysiere Ihre Systeme gezielt, nachvollziehbar und unter kontrollierten Bedingungen. Mein Ziel: Schwachstellen aufdecken, erklären und konkrete Maßnahmen ableiten, damit Sie Ihr Risiko messbar senken.

Ich simuliere reale Angriffe, dokumentiere Schwachstellen und zeige Ihnen, wie Sie diese zuverlässig schließen. Dabei geht es nicht um Angstmacherei, sondern um handfeste Prioritäten und umsetzbare Maßnahmen — sowohl für technische Teams als auch für Entscheider.

Diese Pentestmodule biete ich an

External Pentest

Ich teste Systeme und Dienste, die aus dem Internet erreichbar sind – etwa Websites, VPNs, E-Mail-Gateways oder Management-Interfaces.
Das ist sinnvoll, wenn Sie wissen möchten, wie ein externer Angreifer Ihre Angriffsfläche wahrnimmt und welche Einstiegspunkte in Ihr internes Netz existieren.

Internal Pentest

Hier simuliere ich einen Angriff aus dem internen Netzwerk – z. B. durch einen kompromittierten Laptop oder einen internen Benutzer.
Ziel ist es, zu sehen, wie weit sich ein Angreifer innerhalb Ihrer Umgebung bewegen kann und welche Schutzmechanismen tatsächlich greifen.

Active Directory Pentest

Ich analysiere Berechtigungen, Passwörter, Delegationen und Angriffswege innerhalb Ihrer Windows-Domäne.
Fehlkonfigurationen im AD sind einer der häufigsten Gründe für vollständige Kompromittierungen – und bleiben oft jahrelang unentdeckt.

OSINT (Open Source Intelligence)

Ich zeige, welche Informationen über Ihr Unternehmen öffentlich zugänglich sind: Metadaten, technische Details, Mitarbeiterinformationen, DNS-Einträge oder alte Backups.
Diese Analysen sind oft der erste Schritt für gezielte Angriffe – und liefern wertvolle Hinweise auf versehentlich preisgegebene Daten.

Webapplikationen & APIs

Ich überprüfe Webanwendungen und Schnittstellen auf gängige und komplexe Schwachstellen – von klassischen Fehlern wie SQL-Injection und Cross-Site Scripting bis hin zu Logikfehlern, fehlender Authentifizierung oder unsauberer Autorisierung.
Gerade APIs werden häufig unterschätzt, obwohl sie direkten Zugriff auf sensible Daten ermöglichen.

Cloud Security (Azure, AWS usw.)

Ich prüfe Cloud-Umgebungen auf Fehlkonfigurationen, Berechtigungsprobleme, ungesicherte Ressourcen und fehlendes Logging.
Fehler in der Cloud entstehen meist durch Standardkonfigurationen oder unklare Zuständigkeiten – und können große Auswirkungen haben.

Was Sie im Report bekommen

  • Management-Übersicht: Kurzbewertung mit Business-Impact.

  • Technischer Teil: Reproduzierbare Schritte, PoC und relevante Logs.

  • Priorisierte Maßnahmen: Sofortmaßnahmen, mittelfristige und strategische Empfehlungen.

Kurz und knapp - so starten wir

  • Senden Sie mir eine E-Mail oder buchen Sie ein Erstgespräch mit folgende Angaben (ein bis zwei Sätze reichen):

    • Welche Pentestmodule interessieren Sie?

    • Grober Scope (z. B. wie viele IPs, Anzahl der AD-Domänen, Webapp-URL usw.)

    • Kontaktperson / E-Mail für Abstimmung

    Ich erstelle Ihnen anschließend ein konkretes Angebot mit klarer Leistungsbeschreibung und Preis.

Jetzt Erstgespräch buchen
E-Mail senden

FAQ

  • Wie lange dauert ein Pentest?

    • Das hängt vom Scope ab. Ein klar definierter External-Scan kann in wenigen Tagen erledigt sein; komplexe AD-/Cloud-Tests benötigen entsprechend länger. Ich nenne Ihnen konkrete Zeitfenster im Angebot.

  • Bekomme ich Support bei Behebung?

    • Auf Wunsch unterstütze ich bei der Umsetzung der Maßnahmen oder biete einen Retest an.

  • Werden Systeme durch einen Test zerstört?

    • Nein – ich vermeide zerstörerische Tests. Exploits werden nur so weit wie nötig ausgeführt, um Impact nachzuweisen. Es kann aber vorkommen, dass ein Service beendet wird und Systeme neugestartet werden müssen.