Ein automatisierter Scanner ist wie eine Taschenlampe: Er leuchtet nur dort, wo man ihn hinhält. Wir sind eher wie ein Ermittlerteam. Während Scanner nur bekannte Signaturen (wie veraltete Bibliotheken) finden, graben wir uns tief in die Business-Logik deiner App.

Wir prüfen manuelle Angriffsvektoren, die kein Tool versteht: Können wir den Bestellprozess manipulieren? Lassen sich Rabattcodes kombinieren, die sich ausschließen sollten? Können wir über IDOR-Schwachstellen Daten anderer User einsehen? Wir testen nicht nur die Oberfläche, sondern die gesamte Architektur, inklusive Session-Management, Token-Handling und Header-Sicherheit. Ein Scan ist ein guter Anfang, aber unser manueller Pentest ist die echte Feuerprobe.

Moderne Apps (React, Vue, Angular) verlagern die Logik oft ins Frontend, während das Backend nur noch Daten über APIs liefert. Das ist eine Goldgrube für Angreifer. Wir fokussieren uns hier extrem auf BOLA (Broken Object Level Authorization) und BFLA (Broken Function Level Authorization).

Wir prüfen: Sind die API-Endpunkte ausreichend geschützt, oder können wir durch Manipulation von IDs oder Parametern Daten abgreifen? Wie sicher sind eure JWT-Tokens? Gibt es ungeschützte Dokumentations-Schnittstellen wie Swagger-Files, die sensible Informationen preisgeben? Da APIs oft das Rückgrat deines Unternehmens bilden, testen wir diese Schnittstellen so isoliert und gründlich wie möglich.

Absolut. Ein Finding ohne Proof-of-Concept (PoC) ist für einen Entwickler wertlos. Du erhältst von uns exakte Payloads, die wir genutzt haben (z. B. den speziellen XSS-String oder den manipulierten SQL-Befehl), sowie Screenshots oder Video-Demos des Angriffs.

Wir beschreiben den Angriffspfad Schritt für Schritt. Dein Team muss nicht raten, sondern kann den Fehler direkt in der lokalen Umgebung nachstellen. Das spart massiv Zeit bei der Fehlerbehebung und stellt sicher, dass der Fix auch wirklich funktioniert. Wir liefern keine Textwüsten, sondern technische Handlungsanweisungen.

Ein seriöser Test dauert in der Regel zwischen 5 und 14 Tagen. Der Aufwand hängt massiv von der 'Angriffsfläche' ab: Wie viele verschiedene Benutzerrollen gibt es (Admin, User, Gast)? Wie viele dynamische Eingabemöglichkeiten existieren? Gibt es komplexe Workflows wie Zahlungsabwicklungen oder Datei-Uploads?

Ein weiterer Faktor ist die API-Tiefe. Wenn wir eine monolithische PHP-Seite testen, ist das ein anderer Aufwand als eine Microservice-Architektur mit 50 Endpunkten. Nach einem ersten Scoping-Call kann aber eine exakte Aufwandsschätzung gegeben werden, die genau zu deiner Anwendung passt.

Ja, der OWASP Top 10 Standard ist unsere Baseline – aber wir bleiben dort nicht stehen. Wir nutzen den OWASP ASVS (Application Security Verification Standard), um eine systematische Tiefe zu erreichen.

Das bedeutet, wir prüfen nicht nur auf 'SQL Injection', sondern gehen durch alle Kategorien: Authentifizierung, Session-Management, Zugriffskontrolle, Validierung von Eingaben, Kryptografie und Fehlermanagement. Wenn dein Unternehmen Compliance-Anforderungen für Audits erfüllen muss, ist unser Bericht genau das Dokument, das du vorlegen kannst, um den 'State of the Art' der Anwendungssicherheit nachzuweisen.

Bei kritischen Funden (z. B. wir haben vollen Zugriff auf die Datenbank oder können beliebigen Code ausführen) warten wir nicht bis zum Abschlussbericht. Wir informieren dich umgehend per Kurznachricht oder Telefon.

Das nennen wir 'Instant Alerting'. So kann dein Team sofort mit dem Patching beginnen, noch während wir die restliche Anwendung weiter unter die Lupe nehmen. Sicherheit ist ein Wettlauf gegen die Zeit, und wir sorgen dafür, dass du den Vorsprung behältst.

Technisch ja, aber wir empfehlen – wenn möglich – ein Staging- oder QA-System, das identisch zur Produktion ist. Warum? Weil wir bei einem Pentest auch destruktive Payloads testen, um die Grenzen der App zu finden.

Solltest du nur ein Live-System haben, passen wir unsere Testmethodik an: Wir meiden Aktionen, die Daten löschen oder den Betrieb stören könnten. Wir stimmen uns eng mit deinen Admins ab, damit wir zum Beispiel nicht versehentlich tausende Test-E-Mails an deine echten Kunden versenden. Wir sind Profis – wir hinterlassen keine Trümmerhaufen.

Bei uns bekommst du keine 'Berichts-Fabrik'. Du arbeitest direkt mit den Leuten, die auch den Code knacken. Wir haben kein Interesse daran, standardisierte PDF-Berichte zu verkaufen, sondern wollen deine App wirklich sicherer machen.

Wir denken logisch mit: Wenn wir deine App testen, verstehen wir auch dein Geschäftsmodell. Wir finden Fehler in der Logik, die eine KI oder eine 'Massen-Agentur' übersieht, weil wir uns die Zeit nehmen, die Anwendung wirklich zu verstehen. Nach dem Test stehen wir dir für einen Debriefing-Call zur Verfügung, in dem wir mit deinen Entwicklern auf Augenhöhe über die Fixes sprechen.