Automated Security Validation mit indevis Pentest as a Service
Sicherheitslücken entdecken und beheben, bevor sie von Hackern ausgenutzt werden können
Mit einer autonomen Plattform für Cybersicherheitsvalidierung lässt sich die interne und externe Angriffsfläche von Unternehmen kontinuierlich überprüfen und auf sichere Weise deren Widerstandsfähigkeit gegen neueste Bedrohungen validieren. Dabei werden die potenziellen Auswirkungen einer Ausnutzung der jeweiligen Sicherheitslücke ermittelt und die Problembehandlung entsprechend nach Priorität geordnet. Gänzlich komfortabel und skalierbar wird Automated Security Validation als Managed Service: indevis Pentest as a Service.

- Home
- Detection
- Risk Assessment and Vulnerability Analysis
- indevis Pentest as a Service | Automated Security Validation
Was ist
Penetration Testing?
Penetrationstests oder kurz „Pentests“ sind Sicherheitstest, bei denen Cyberangriffe realitätsnah simuliert werden, um Schwachstellen in IT-Infrastrukturen und Computersystemen aufzuspüren.

Was unterscheidet Penetration Testing, Intrusion Testing und Automated Security Validation (ASV)?
-
Penetration Testing
Beim Penetration Testing beauftragen Unternehmen sogenannte Pentester damit, real mögliche Angriffe auf ihre Programme, Netz-Infrastrukturen und andere Assets durchzuführen. Auf diese Weise können kritische Sicherheitslücken aufgedeckt, gezielt behoben und so der allgemeine Schutz verbessert werden. Die Tests laufen dabei manuell oder automatisiert ab und finden in definierten Zeiträumen statt. Unternehmen erhalten im Rahmen des Pentesting eine Momentaufnahme der Bedrohungssituation, die sie nutzen können, um ihre Sicherheit gezielt zu verbessern.
-
Intrusion Testing
Intrusion Testing ist eng mit Penetration Testing verwandt. Doch während Penetration Testing eher auf die allgemeine Angriffsfläche abzielt, fokussiert sich Intrusion Testing, wie der Name bereits andeutet, mehr auf die Qualität des Angriffs. Ziel ist es konkret zu testen, wie tief ein Angreifer nach einem erfolgreichen Einbruch vordringen kann. Intrusion Testing ist dabei oftmals Teil eines umfassenden Pentests oder Red-Team-Assessments.
-
Automated Security Validation (ASV)
Automated Security Validation (ASV) wiederum ist ein relativ neuer automatisierter Ansatz zur Sicherheitsprüfung. Hier wird Künstliche Intelligenz (KI) und Automatisierung eingesetzt, um kontinuierlich – wenn gewünscht rund um die Uhr – Bedrohungen zu simulieren und Sicherheitslücken zu testen. Damit stellt ein Unternehmen sicher, dass Abwehrmechanismen in Echtzeit funktionieren, anstatt nur periodische Tests durchzuführen. Mit Diensten wie indevis Pentest as a Service (PtaaS) können so auch kleinere und mittelständische Unternehmen mit überschaubarem Aufwand kontinuierliche Sicherheitsüberprüfungen durchführen, ohne unverhältnismäßig Ressourcen zu binden. Idealerweise kommt Automated Security Validation in Kombination mit Penetration Testing und Intrusion Testing zum Einsatz.
Zusammenfassen lassen sich die Konzepte folgendermaßen:
Penetration Testing ist ein gezielter, meist manueller Test zur Identifikation von Schwachstellen.
Intrusion Testing ist eine spezialisierte Form des Pentestings, die untersucht, wie weit Angreifer nach einem Einbruch kommen.
Automated Security Validation ist ein kontinuierlicher, automatisierter und KI-gestützter Sicherheitscheck, der das System vordefiniert auf Schwachstellen testet. Mit spezialisierten Dienstleistern wie indevis ist Automated Security Validation und Pentesting auch als Managed Services verfügbar.
Warum lohnt sich das Investment in regelmäßiges, kontinuierliches Automated Pentesting?

SCHWACHSTELLEN IDENTIFIZIEREN
Kritische Sicherheitslücken in der Unternehmens-Infrastruktur mit einem Pentest Service frühzeitig aufdecken, um sie zu beheben.

BESSERES RISIKOMANAGEMENT
Durch kontinuierliche Bewertung der Sicherheitslage lassen sich Risiken besser erkennen und mindern.

GESAMTE ANGRIFFSFLÄCHE IM BLICK
Mit Automated Pentesting interne als auch externe Angriffsflächen erkennen und bewerten, um echte Sicherheitslücken zu ermitteln.

REGELMÄSSIGE ÜBERPRÜFUNG
Mit regelmäßig durgeführten Penetrationstests die Wirksamkeit der Sicherheitsmaßnahmen kontinuierlich prüfen.

RESILIENZ ERHÖHEN
Widerstandsfähigkeit gegen Cyberangriffe durch kontinuierliches Testing verbessern.

ZEIT UND KOSTEN SPAREN
Automatisierte Penetrationstests laufen schneller und können häufiger durchgeführt werden als manuelle Prüfungen.

KONSISTENZ UND GENAUIGKEIT
Automatisierung reduziert menschliche Fehler und stellt sicher, dass Sicherheitsprüfungen stets nach denselben Standards durchgeführt werden.

TIEFE EINBLICKE
Mithilfe eines Pentest Service erhalten IT-Verantwortliche nützliche Daten, um die Bedrohungslage einzuschätzen und IT-Security-Investitionen zu planen.

ERFÜLLUNG VON COMPLIANCE-ANFORDERUNGEN
Sicherheitslücken erkennen und bewerten und dies nachvollziehbar belegen.

EFFIZIENZSTEIGERUNG UND ENTLASTUNG
Sicherheitsteams konzentrieren sich auf strategische Aufgaben, während Routineprüfungen automatisiert ablaufen.
Compliance Anforderungen bzgl. KRITIS, NIS-2, DORA, TIBER & Co. erfüllen
Bewerten Sie das IKT-Risiko (IKT=Informations- und Kommunikationstechnologien) präzise gemäß Ihrer Compliance Anforderungen mit automatisierten Tests realer Cyberangriffe in Ihren Produktivsystemen. Mit einer Plattform für Automated Security Validation können Sie Ihre IKT-Werkzeuge, -Systeme und -Prozesse in großem Maßstab Stresstests unterziehen, indem diese die Taktiken von Angreifern emuliert und die Sicherheitskontrollen kontinuierlich herausfordert. Mit automatisierten Tests in der Produktivumgebung werden Sicherheitslücken über die gesamte Angriffsoberfläche hinweg identifiziert und nach Kritikalität priorisiert, die ein Risiko für kritische Geschäftsbereiche darstellen.
-
KRITIS
KRITIS bezeichnet kritische Infrastrukturen, d.h. Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Konkret geht es um Anlagen, Systeme oder Teile davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind. Bei einer Störung oder Ausfall dieser kritischen Infrastrukturen hätte dies erhebliche Auswirkungen und dramatische Folgen, da ihre Funktionen nicht aufrechterhalten und anderweitig kompensiert werden könnten.
-
NIS-2
NIS-2 (Netzwerk- und Informationssicherheit) ist eine Gesetzesinitiative der EU zur Regelung und Verbesserung der Cyber- und Informationssicherheit von Unternehmen und Institutionen, die als kritisch für die Gesellschaft eingestuft werden. Damit soll die Widerstandsfähigkeit gegenüber Cyberangriffen im öffentlichen und privaten Sektor verstärkt und die Reaktionsfähigkeit auf Sicherheitsvorfälle verbessert werden. NIS-2 verlangt, dass alle relevanten Sicherheitsmaßnahmen nach dem Stand der Technik umgesetzt wurden. Darunter sind alle Maßnahmen zusammengefasst wie Cyberrisikomanagement, Sicherheit in der Lieferkette, Business Continuity Management (BCM), Sicherheitsvalidierung und Penetrationstests oder die Reaktion auf Vorfälle.
-
DORADas Gesetz zur digitalen operativen Resilienz (DORA) legt eine Reihe obligatorischer Praktiken für das Risikomanagement und die Cyber-Resilienz von Informations- und Kommunikationstechnologien (IKT) für den Finanzsektor fest. DORA ist eine Verordnung der Europäischen Union und wurde geschaffen, um die Stabilität des EU-Finanzsystems gegen digitale Bedrohungen zu gewährleisten. Die Verordnung trat Anfang 2023 in Kraft und wird ab Anfang 2025 in allen EU-Mitgliedstaaten verbindlich.
-
TIBERIm Rahmen von DORA sind bestimmte Unternehmen verpflichtet, fortschrittliche Tests basierend auf bedrohungsgesteuerten Penetrationstests (TLPT=Threat-Led Penetration Testing) durchzuführen. Dies erfordert die Emulation von Angriffstaktiken, -techniken und -verfahren in Produktivsystemen, um die Resilienz gegen reale Cyberbedrohungen zu validieren. Die technischen Regulierungsstandards für TLPT werden gemäß dem TIBER-EU-Rahmen definiert (TIBER=Threat Intelligence-based Ethical Red Teaming), mit dem Ziel, die Cyber-Resilienz des Finanzsektors zu verbessern, indem es nicht nur ermöglicht wird, Cyberangriffe zu verhindern, sondern auch sich von ihnen zu erholen.
Welche verschiedenen Arten von Pentesting gibt es?
Penetration Tests lassen sich auf verschiedene Arten klassifizieren. (1) Red Teaming oder Purple Teaming, (2) Nach dem Kenntnisstand des Testers, (3) nach der Art der Durchführung sowie nach dem Testzeitpunkt.
-
Red Team Assessment versus Purple Teaming:
Ein Red Team Assessment ist ein umfassender Sicherheitstest, bei dem ein Team aus Sicherheitsexperten, das sogenannte "Red Team", die Verteidigungsmechanismen eines Unternehmens herausfordert. Dabei simuliert das Red Team realistische Angriffe, um Schwachstellen in der IT-Infrastruktur, den Prozessen, den Mitarbeiterkenntnissen und der Reaktionsfähigkeit des Unternehmens aufzudecken. Das Ziel ist es, Sicherheitslücken zu identifizieren und Maßnahmen zur Verbesserung der Abwehrstrategien zu empfehlen. Dies hilft Unternehmen, ihre Resilienz gegenüber tatsächlichen Bedrohungen zu stärken und ihre Sicherheitskultur zu fördern.
Purple Teaming ist eine moderne Sicherheitspraxis, die die Zusammenarbeit zwischen dem Red Team (Angreifer) und dem Blue Team (Verteidiger) fördert. Im Gegensatz zu traditionellen Ansätzen arbeiten beide Teams gemeinsam, um die Sicherheitsabwehr eines Unternehmens zu stärken. Das Red Team führt gezielte Angriffe durch, während das Blue Team diese abwehrt. Durch die enge Zusammenarbeit und den Wissensaustausch werden Schwachstellen schneller identifiziert und behoben, was zu einer robusteren und effektiveren Sicherheitsstrategie führt.
-
Nach dem Kenntnisstand des Pentesters:
- Black Box Testing: Der Pentester hat keine Vorkenntnisse über die Zielumgebung. Er agiert wie ein externer Angreifer, der sich erst Zugang verschaffen muss.
- Gray Box Testing: Der Pentester hat begrenzte Kenntnisse, zum Beispiel Zugangsdaten oder interne Informationen, die ein Insider oder ein ehemaliger Mitarbeiter haben könnte.
- White Box Testing: Der Pentester kennt die gesamte Systemarchitektur, hat vollständige Zugangsdaten und untersucht gezielt Schwachstellen im Quellcode und in der Infrastruktur.
-
Nach Art der Durchführung – manuelles Pentesting versus Pentest as a Service:
Manuelles Pentesting indevis Pentest as a Service Qualität ist abhängig von Kompetenz und Erfahrung des Pentesters. Konsistente Testverfahren und keine Abhängigkeit von individuellem Know-how von Drittanbietern. Manuelle Durchführung nach einiger Zeit wieder überholt. Stetige Anpassung an aktuelle Angriffstechniken und neue Schwachstellen. Einmalige sowie zeit- und kostenintensive Durchführung und Auswertung. Automatisiertes und wiederholbares Pentesting mit präziser Darstellung der Attack Chain und Auswirkungen. Die Umsetzung von Gegenmaßnahmen erfordert ein hohes Skill-Level. Die Umsetzung von Gegenmaßnahmen kann schnell und ohne hohes Skil-Level erfolgen – bei Bedarf auch mit der Unterstützung von indevis. Manuell erstellte Berichte mit befristeter Aussagekraft. Automatisiertes Reporting mit konkreten Handlungsempfehlungen.
Wie läuft Penetration
Testing ab?
Penetration Tests sind autorisierte und systematische Angriffe auf ein Computersystem, Netzwerk oder eine Webanwendung, um Sicherheitslücken zu identifizieren und in einem sicheren Rahmen auszunutzen, bevor böswillige Akteure sie entdecken. Pentesting umfasst dabei fünf verschiedene Phasen:
-
Reconnaissance (Informationsbeschaffung)
In dieser Phase sammeln die Tester möglichst viele Informationen über das Zielsystem. Ziel ist es, potenzielle Schwachstellen bereits vor dem eigentlichen Angriff zu identifizieren.
- Aktive Reconnaissance: Direkte Interaktion mit dem Ziel, z. B. durch Scans oder Social Engineering.
- Passive Reconnaissance: Nutzung öffentlicher Quellen (OSINT – Open Source Intelligence), wie Unternehmenswebsites, Social Media oder DNS-Abfragen.
-
Scanning & Enumeration (Analyse der Angriffsfläche)
Hier wird die IT-Umgebung auf verwundbare Systeme, Dienste und Netzwerke überprüft.
- Netzwerkscans: Identifikation offener Ports, laufender Dienste und verwendeter Softwareversionen (zum Beispiel mit Nmap).
- Schwachstellenscans: Identifikation von potenziellen Exploits in Software und Konfigurationen (zum Beispiel mit Nessus oder OpenVAS).
- Benutzer- und Systemenumeration: Analyse von Benutzerkonten und internen Netzwerkstrukturen.
-
Exploitation (Angriff auf Schwachstellen)In dieser Phase versuchen die Tester, Schwachstellen gezielt auszunutzen, um Zugang zu Systemen oder Daten zu erhalten.
- Manuelle und automatisierte Exploits: Nutzung von Tools wie Metasploit zur gezielten Angriffsführung.
- Privilege Escalation: Erhöhung der Rechte, um tieferen Zugriff auf das System zu erhalten.
- Pivoting: Nutzung eines kompromittierten Systems als Ausgangspunkt für weitere Angriffe im Netzwerk.
-
Post-Exploitation (Auswirkungen und Persistenz bewerten)Nachdem das System kompromittiert wurde, analysieren die Tester, welche weiteren Angriffe oder Datendiebstähle möglich wären.
- Datenextraktion und -manipulation: Identifikation sensibler Daten und potenzieller Geschäftsrisiken.
- Hintertüren einrichten (Persistenz): Überprüfung, ob ein Angreifer unbemerkt dauerhaft Zugang behalten könnte.
- Seitliche Bewegungen (Lateral Movement): Überprüfung, wie sich ein Angreifer weiter im Netzwerk ausbreiten könnte.
-
Reporting & Remediation (Dokumentation und Absicherung)
Abschließend werden die Ergebnisse zusammengetragen und konkrete Maßnahmen zur Absicherung vorgeschlagen.
- Detaillierter Bericht: Beschreibung der gefundenen Schwachstellen, verwendeten Exploits und Risiken.
- Risikobewertung: Priorisierung der Schwachstellen nach Kritikalität.
- Empfohlene Gegenmaßnahmen: Vorschläge zur Behebung der Sicherheitslücken.
- Re-Testing: Optional wird nach der Umsetzung der Maßnahmen erneut getestet, um die Wirksamkeit der Absicherung zu bestätigen.
Darum sollten Unternehmen auf indevis Pentest as a Service setzen
Mit indevis Pentest as a Service können die Ursachen von Angriffspfaden ermittelt und kritischen Sicherheitslücken präzise Prioritäten zugewiesen werden. Die Besonderheit daran: Die Priorisierung der Handlungsempfehlungen erfolgt nicht rein auf Basis des CVE-Scores, sondern gemäß einer speziellen „Remediation Priority“. Anhand einer Attack-Chain wird aufgezeigt, wie verschiedene Schwachstellen in der Unternehmensinfrastruktur miteinander verbunden sind, was bei ihrer Behebung die Fokussierung auf wirklich ausnutzbare, geschäftsschädigende Sicherheitslücken sowie effektive Gegenmaßnahmen ermöglicht. Mit indevis PtaaS können Unternehmen ihre Sicherheitslage somit automatisiert, regelmäßig und wiederkehrend validieren, ihre Fortschritte mithilfe anschaulicher Reports nachverfolgen und den Sicherheitsstatus ihrer IT-Infrastruktur mithilfe wichtiger Kennzahlen und eines umfassenden Security-Dashboards jederzeit im Blick behalten.
Suchfunktion powered by
Google Chronicle
Die indevis Logmanagement Plattform bietet eine herausragende Suchfunktion, die es erlaubt, mehrere Abfragen gleichzeitig durchzuführen und Daten mühelos zu filtern und zu kategorisieren. Durch diesen Ansatz wird das Auffinden relevanter Informationen erleichtert und das Potenzial für Erkenntnisse aus den gesammelten Daten maximiert. Die gesammelten Protokollinformationen werden mittels umfangreicher Dashboard- und Berichtsfunktionen in ansprechenden Visualisierungen präsentiert, die Einblicke in die Systemgesundheit und potenzielle Bedrohungen bieten.
indevis Logmanagement – powered by Google Chronicle
Sollten auch Sie für Ihr Unternehmen auf der Suche nach einem kostengünstigen und effektiven Logdatenspeicher sein, so setzen Sie sich bitte gerne mit Ihrem Vertriebsbetreuer in Verbindung: Sprechen Sie uns an! +49 (89) 45 24 24-100.
indevis Pentest as a Service Leistungsumfang und Proof of Value (PoV)
indevis Pentest as a Service gibt es in verschiedenen Staffelungen und Laufzeiten. Die monatlichen Kosten richten sich nach der Anzahl der zu scannenden Assets. indevis PtaaS bietet bis zu 12 automatisierte Pentests und 6 Targeted Tests im Jahr inklusive. Darin ist ein monatliches Servicemeeting mit Besprechung der Reports, Anpassung von Szenarien und Beratung (1 Stunde pro Monat) enthalten. Das Feature Pentera RansomwareReadyTM zur Ransomware-Validierung ist überall inkludiert.
Testen Sie indevis PtaaS und erhalten Sie einen ersten Einblick in das Sicherheitslevel Ihrer Infrastruktur mithilfe eines Proof of Value (PoV) zum Sonderpreis von 1.999 EUR!
Testen Sie die Möglichkeiten von indevis Pentest as a Service auf Basis von Pentera live in Ihrem Netzwerk mit einem kostengünstigen Proof of Value! Ein indevis-Consultant führt hierbei einen Termin bei Ihnen vor Ort zum Spezialpreis von 1.999 EUR (zzgl. Reisekosten/-Zeiten) durch. Er bringt eine lokale Pentera-Installation auf einem leistungsstarken Notebook zu Ihnen und führt automatisierte Blackbox- und Greybox-Pentests sowie ein Passwort Assessment mit Ihnen durch. Sie erhalten im Anschluss einen detaillierten Report der ausgenutzten Schwachstellen und danach werden sämtliche Daten sicher gelöscht. Die vorherige Abstimmung zu den notwendigen Vorbereitungen erfolgt remote in einem einstündigen Vorab-Call.
Unsere Hersteller-Technologien














Kontakt
Jetzt unverbindliche
Beratung anfordern

Business Development
Dazu passende
Lösungen
Ressourcen passend zum Thema
Pentest as a Service

Cybersecurity-Versicherungen – auf Sand gebaute Sicherheit
- Blog

NIS-2 & die Geschäftsführerhaftung: Warum Cybersecurity jetzt Chefsache sein muss
- Blog

Der Nutzen und ROI einer Investition in Sicherheitsvalidierung
- Blog

Die Werkzeuge der Hacker: Wie kommerzielle Malware-Frameworks Unternehmen bedrohen
- Blog

NIS2-Umsetzung gescheitert: 10 von 10 Cyberkriminellen würden die deutsche Politik weiterempfehlen
- Blog

Über Kollateralschäden Einfluss nehmen – wie Cyberangriffe auf die Bundestagswahl und Unternehmen zusammenhängen
- Blog
.png)
Webinar-Aufzeichnung Threat Briefing Bundestagswahl: Schutzstrategien für Organisationen
- Webinar-Aufzeichnung

Automatisierte Sicherheitsvalidierung mit indevis Pentest as a Service
- Blog

Datenblatt: indevis Pentest as a Service
- Datenblatt

Cybersicherheit im Mittelstand: Die Trends in der IT-Security 2025
- Blog

„Manuelles“ oder „Automatisiertes“ Pentesting? Am besten als Managed Service!
- Blog

Webinar-Aufzeichnung: Erhöhte IT-Sicherheit mit automatisierten Pentests und Security Validation
- Webinar-Aufzeichnung

NIS-2, KRITIS, DORA, TIBER und TISAX: Cyber-Resilienz steigern und Compliance Anforderungen erfüllen
- Blog

Schwachstellen aufdecken: Warum Penetration Testing, Red Team Assessment und Automated Security Validation heute unverzichtbar sind
- Blog

25 Jahre Cybersicherheit: indevis insights Hausmesse und Jubiläumsfeier
- Blog

Partnerschaft mit Pentera: Automatisierte Pentesting-Lösung für erhöhte Cybersicherheit
- News
Sie haben Fragen?
Wir beraten Sie gerne - kontaktieren Sie uns: