Jens Hagel – Ihr Pentest- und IT-Security-Experte bei frag.hugo
Bundesweit · Zertifizierte Pentest-Experten

Penetrationstest & Pentest — Schwachstellen finden, bevor Angreifer es tun

Professionelle Penetrationstests durch zertifizierte Experten — bundesweit, nach BSI- und OWASP-Standard.

Penetrationstest für Unternehmen jeder Größe — vor dem Angriff handeln statt nach dem Schaden reagieren

Erstgespräch buchen Website kostenlos prüfen

Lieber erstmal schreiben? Kontaktformular

Das Risiko

Warum ein Vulnerability Scan allein nicht reicht — Penetrationstest professionell durchführen

62 %
ANGRIFFE AUF KMU

62 % der Angriffe treffen kleine und mittlere Unternehmen

Cyberkriminelle wissen: Bei KMU sind die Schutzmaßnahmen oft schwächer als in Großkonzernen. Durchschnittlicher Schaden pro Vorfall: 200.000 Euro — Betriebsausfall, Datenverlust und Reputationsschaden inklusive.

200.000 €
DURCHSCHN. SCHADEN

Automatisierte Scans finden nur Bekanntes

Vulnerability Scanner identifizieren bekannte CVEs aus Datenbanken. Logikfehler, Konfigurationsschwächen und Angriffsketten über mehrere Systeme deckt nur eine manuelle Prüfung durch erfahrene Experten auf.

Art. 21
NIS2 PFLICHT

NIS2 verlangt regelmäßige Tests der IT-Sicherheit

Die NIS2-Richtlinie fordert seit Oktober 2024 regelmäßige Überprüfungen der Wirksamkeit von Sicherheitsmaßnahmen. Penetrationstests sind die anerkannte Methode dafür — und Pflicht für Lieferanten kritischer Infrastrukturen.

Nils Oehmichen & Jens Hagel – Ihr Datenschutz-Team bei frag.hugo
Die Lösung

Persönliche Beratung + digitale Plattform

Sie sprechen direkt mit Nils — TÜV-zertifizierter Datenschutzbeauftragter. Die digitale Plattform übernimmt Verzeichnis, AVVs, Schulungen und Doku, damit Sie nicht in Word-Dokumenten ertrinken.

Unabhängig — wir verkaufen keine Software, die wir später prüfen müssen
Aktuell gehalten — AI Act, NIS2 und neue Rechtsprechung sofort eingearbeitet
Plattform inklusive — VVT, AVV, TOMs, Schulungen an einem Ort
Vor Ort in Deutschland — wir kommen zu Ihnen, kein Webinar-only
Ihre Vorteile

Warum Unternehmen in Deutschland sich für frag.hugo entscheiden

Externer Test

Alle aus dem Internet erreichbaren Systeme: Webanwendungen, APIs, Mail-Server, VPN, Cloud-Infrastruktur. Was Angreifer von außen sehen — und nutzen können.

Interne Sicherheitsprüfung

Simulation eines Angreifers im Netzwerk: Active-Directory-Sicherheit, Lateral Movement, Privilege Escalation, Zugriff auf sensible Daten.

Webapp-Test nach OWASP

OWASP-Top-10-konformer Test Ihrer Webanwendungen: SQL-Injection, Cross-Site-Scripting (XSS), Authentifizierung, Session-Management, API-Sicherheit.

Verständlicher Praxisbericht

Detaillierter Bericht mit Executive Summary, technischer Analyse, Risikobewertung und priorisierten Handlungsempfehlungen für IT und Geschäftsführung.

NIS2- und ISO-27001-Nachweis

Bericht als Nachweis für NIS2-Compliance, ISO 27001 Audit, Cyber-Versicherung und Lieferantenanforderungen.

Zertifizierte Spezialisten

Penetration Tester mit anerkannten Offensive-Security-Zertifizierungen (OSCP, CEH, GPEN). Über 25 Jahre IT-Sicherheits-Expertise im Mittelstand.

So starten Sie

Wie läuft ein Pentest ab — Penetration Testing in 5 Phasen

01

Scoping

Scope definieren: Welche Systeme werden getestet? Blackbox, Greybox oder Whitebox? Erlaubte Methoden, Zeitfenster und Eskalationswege werden vor Testbeginn schriftlich vereinbart.

02

Reconnaissance

Informationsgewinnung: Angriffsfläche kartieren, Technologien identifizieren, öffentlich verfügbare Daten auswerten. Der Pentester sieht, was auch ein echter Angreifer sieht.

03

Schwachstellenanalyse

Automatisierte Scans (Nessus, Burp Suite, Nmap) kombiniert mit manueller Analyse durch erfahrene Spezialisten. So finden wir auch Sicherheitslücken, die kein Tool aufdeckt.

04

Exploitation

Kontrollierte Angriffe: Schwachstellen verifizieren, Angriffsketten testen, Lateral Movement und Privilege Escalation prüfen. Bei kritischen Funden informieren wir Sie sofort.

05

Reporting & Re-Test

Detaillierter Bericht mit Risikobewertung und Empfehlungen. Auf Wunsch begleiten wir die Behebung und prüfen die Wirksamkeit der Maßnahmen mit einem Nachtest.

Preise

Klare Preise. Monatlich kündbar.

Keine Setup-Gebühr, kein Kleingedrucktes. Onboarding macht Nils oder Jens persönlich.

Web-App Basic

ab 4.500 €
  • Externer Webapplikations-Test
  • OWASP Top 10 Methodik
  • Automatisierte und manuelle Analyse
  • Detaillierter Bericht
  • Executive Summary für Geschäftsführung
  • Re-Test inklusive
Jetzt starten
Empfohlen

Network & External

ab 9.900 €
  • Externe Prüfung gesamte Angriffsfläche
  • Webapps, APIs, Mail, VPN, Cloud
  • Greybox-Methodik (empfohlen)
  • Manuelle Analyse durch OSCP-zertifizierte Tester
  • NIS2- und ISO-27001-tauglicher Report
  • Re-Test nach Behebung
Jetzt starten

Compliance Komplett

ab 19.500 €
  • Externer + interner Test
  • Active-Directory-Security-Audit
  • Lateral Movement & Privilege Escalation
  • Cloud-Sicherheitstest (Azure, AWS, M365)
  • Optional: Social Engineering / Phishing-Test
  • Begleitung der Maßnahmenumsetzung
Jetzt starten
Flexibel buchbar

Individueller Scope

Sie haben besondere Anforderungen? Spezielle Branchenregularien, OT/SCADA-Umgebungen oder eine konkrete kritische Anwendung? Wir definieren den Scope gemeinsam und bieten einen Festpreis nach klarer Aufwandsschätzung.

  • Festpreis nach Scoping
  • Tagessatz Senior-Tester ab 1.490 €
  • OT/SCADA-Sicherheitsprüfung nach Absprache
  • Red-Teaming und Purple-Teaming verfügbar
Unverbindliches Erstgespräch
Kundenstimmen

Das sagen unsere Mandanten

„Unsere M365-Umgebung wurde gehackt — Phishing trotz MFA. Die Sicherheitsprüfung hat aufgedeckt, wo die Angreifer sonst noch reingekommen wären. Heute sind wir deutlich besser abgesichert und haben die Lücken systematisch geschlossen.“

IT
IT-Leiter
IT-Dienstleister · 35 MA

„Ein Großkunde hat uns ein NIS2-Lieferantenaudit geschickt — 38 Fragen, aktueller Prüfbericht verlangt. Dank frag.hugo hatten wir den Bericht einer aktuellen Webapp-Prüfung parat. Auftrag gerettet, Folgeaufträge gesichert.“

GF
Geschäftsführer
Industriezulieferer · 150 MA

„Vor unserer ISO-27001-Zertifizierung haben wir eine externe Sicherheitsprüfung beauftragt. Der Auditor war beeindruckt von der Tiefe und dem Reporting. Die priorisierten Empfehlungen haben wir Schritt für Schritt umgesetzt — und seit zwei Jahren keine Sicherheitsvorfälle.“

IS
ISMS-Verantwortlicher
Banking-Software · 80 MA
Nils Oehmichen

„Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen — ohne dabei den Geschäftsbetrieb einzustellen.“

Nils Oehmichen — Geschäftsführer & Datenschutzberater, frag.hugo

Inhalt in Kürze

  • Ein Penetrationstest (Pentest) ist ein kontrollierter, manueller Angriff auf Ihre IT-Systeme durch ausgebildete Sicherheitsexperten — er deckt Schwachstellen auf, die kein automatisierter Vulnerability Scanner findet.
  • Professionelle Penetrationstests folgen anerkannten Standards (BSI-Leitfaden, OWASP Top 10, NIST SP 800-115) und kombinieren automatisierte Tools mit manueller Analyse durch erfahrene Spezialisten (OSCP, CEH, GPEN).
  • NIS2 (seit Oktober 2024) und ISO 27001 fordern regelmäßige Tests der Wirksamkeit von IT-Sicherheitsmaßnahmen — Pentests sind die anerkannte Methode dafür.
  • frag.hugo koordiniert Penetrationstests bundesweit für Unternehmen jeder Größe — mit verständlichem Reporting, priorisierten Handlungsempfehlungen und Begleitung der Maßnahmenumsetzung.

Was ist ein Penetrationstest?

Penetrationstest: zertifizierte Experten prüfen Schwachstellen in Ihrer IT-Infrastruktur und schützen sensible Daten

Ein Penetrationstest — kurz Pentest — ist ein kontrollierter Angriff auf Ihre IT-Systeme, durchgeführt von spezialisierten IT-Sicherheits-Experten. Das Ziel: Schwachstellen aufdecken, bevor echte Angreifer sie ausnutzen und auf sensible Daten zugreifen.

Tester versetzen sich in die Rolle eines Angreifers und analysieren Ihre Systeme systematisch. Sie nutzen dieselben Werkzeuge und Techniken wie ein Hacker — aber in kontrollierter, dokumentierter Form und mit Ihrem schriftlichen Einverständnis. Das Ergebnis: ein realistisches Bild Ihrer Sicherheitslage und konkrete Empfehlungen.

Für Unternehmen wird das Verfahren immer wichtiger — nicht nur wegen der steigenden Bedrohungslage, sondern auch wegen regulatorischer Anforderungen wie NIS2, ISO 27001, DORA und der zunehmenden Lieferantenanforderungen großer Konzerne.

Penetrationstest, Pentest oder Penetration Testing — Synonyme im Pentesting

Pentest, Penetrationstest und Penetration Testing bezeichnen dasselbe Verfahren — die Begriffe werden synonym verwendet. Penetrationstest ist die deutsche Bezeichnung, Penetration Testing der internationale Fachbegriff aus dem Englischen, Pentest die etablierte Kurzform aus dem Alltag der IT-Security-Branche. Auch Pentesting beschreibt denselben Prozess: die systematische, kontrollierte Prüfung von IT-Systemen auf Sicherheitslücken durch einen erfahrenen Tester.

Vulnerability Scan vs. manueller Test — der Unterschied

Ein verbreitetes Missverständnis: „Wir machen regelmäßig Vulnerability Scans — das reicht.” Das stimmt leider nicht.

KriteriumVulnerability ScanManueller Test
MethodeAutomatisiertManuell + automatisiert
TiefeBekannte CVEsAuch unbekannte Lücken und Logikfehler
AngriffskettenNeinJa — Lücken werden kombiniert
GeschäftslogikNeinJa — branchenspezifische Risiken
Falsch-PositiveHochNiedrig (manuell verifiziert)
AufwandStundenTage bis Wochen
AussagekraftBestandsaufnahmeTatsächliche Angreifbarkeit

Ein Vulnerability Scan ist ein sinnvoller Baustein der IT-Sicherheit und sollte regelmäßig als Bestandteil eines IT-Sicherheitsaudits durchgeführt werden. Er ersetzt aber keine manuelle Sicherheitsprüfung, die die tatsächliche Angreifbarkeit Ihrer Systeme zeigt — und damit die Frage beantwortet: „Würde ein echter Angreifer reinkommen?”

Pentesting Services: Welche Arten von Penetrationstests gibt es?

Externer Pentest

Der externe Penetrationstest prüft alle aus dem Internet erreichbaren Systeme und Dienste:

  • Webanwendungen und APIs
  • E-Mail-Server (Exchange, Microsoft 365)
  • VPN-Zugänge und Remote-Access-Lösungen
  • Cloud-Infrastruktur (Azure, AWS, Google Cloud)
  • DNS-Konfiguration und Subdomain-Sicherheit
  • Öffentlich erreichbare Managementinterfaces

Der externe Test beantwortet die Frage: Kann ein Angreifer aus dem Internet in Ihre Systeme eindringen?

Interner Pentest

Der interne Penetrationstest simuliert einen Angreifer, der bereits Zugang zum internen Netzwerk hat — etwa durch einen kompromittierten Mitarbeiter-Account, einen erfolgreichen Phishing-Angriff oder physischen Zugang zum Büro.

Geprüft werden:

  • Netzwerksegmentierung und Firewall-Regeln
  • Active-Directory-Sicherheit (Kerberoasting, AS-REP-Roasting)
  • Rechteerweiterung (Privilege Escalation)
  • Zugriff auf kritische Systeme und sensible Daten
  • Lateral Movement (Ausbreitung im Netzwerk)
  • Ausleitung von Daten (Data Exfiltration)

Webapp-Pentest nach OWASP

Ein spezialisierter Pentest Ihrer Webanwendungen nach OWASP Top 10:

  • SQL-Injection und andere Injection-Angriffe
  • Cross-Site-Scripting (XSS)
  • Authentifizierung und Session-Management
  • Zugriffskontrollen und Berechtigungen
  • Geschäftslogik-Schwachstellen
  • API-Sicherheit (REST, GraphQL, SOAP)
  • Server-Side Request Forgery (SSRF)
  • Insecure Deserialization

Cloud Security: Penetrationstests in Azure, AWS und M365

Cloud-Tests erfordern besondere Expertise. Die Sicherheitsverantwortung teilt sich zwischen Cloud-Anbieter und Unternehmen (Shared Responsibility Model). Häufige Schwächen: falsch konfigurierte S3-Buckets, offene Datenbanken, zu weit gefasste IAM-Rollen, ungeschützte API-Endpoints. Wichtig: Voranmeldung bei AWS und Azure ist Pflicht, sonst verstößt der Test gegen die AGB.

Social Engineering simulieren und Awareness Training kombinieren

Neben technischen Verfahren ist Social Engineering ein zunehmend relevanter Testbereich. Tester versuchen, Mitarbeitende durch Phishing-E-Mails, Telefonanrufe oder persönliche Kontaktaufnahme zur Preisgabe von Zugangsdaten oder sensiblen Informationen zu bewegen — wir simulieren professionelle Angriffsszenarien dieser Art realistisch und ohne echten Schaden. Technische Prüfungen kombiniert mit einem Awareness Training für Mitarbeitende bilden die wirksamste Strategie.

Blackbox, Greybox oder Whitebox?

Pentest-Methodik: Blackbox, Greybox und Whitebox Penetrationstests durch zertifizierte Penetration Tester

Die Pentest-Methodik bestimmt, wie viel Vorwissen der Tester über Ihre IT-Infrastruktur erhält:

  • Blackbox: Der Penetration Tester hat keine Vorinformationen — simuliert einen externen Hacker, der nichts über das Ziel weiß. Realistisch, aber zeitintensiv.
  • Greybox: Teilwissen (z. B. Benutzerkonten, Netzwerkpläne) — simuliert einen Angreifer mit Insiderwissen oder einen kompromittierten Mitarbeiter. Bestes Aufwand-Nutzen-Verhältnis.
  • Whitebox: Vollständiger Zugang zu Quellcode, Konfigurationen und Dokumentation — tiefgehende Analyse, ideal für sicherheitskritische Anwendungen vor dem Go-Live.

Für die meisten Unternehmen empfehlen wir einen Greybox-Ansatz mit klar definiertem Scope. Er bietet das beste Verhältnis von Aufwand und Aussagekraft und deckt die realistischsten Bedrohungsszenarien ab.

Standards & Methodik: BSI, OWASP, NIST und PTES

Professionelle Penetrationstests folgen anerkannten Standards. Wir kombinieren die wichtigsten Frameworks:

  • BSI-Praxis-Leitfaden für IS-Penetrationstests: Risikoklassifizierung und Vorgehensmodell des Bundesamts für Sicherheit in der Informationstechnik
  • OWASP Testing Guide & Top 10: Gold-Standard für Webapplikations-Pentests
  • NIST SP 800-115: Internationale Methodik für Sicherheitsprüfungen
  • OSSTMM (Open Source Security Testing Methodology Manual): Wissenschaftliche Methodik
  • PTES (Penetration Testing Execution Standard): Branchenstandard für die Durchführung

Diese Standards sichern Reproduzierbarkeit, Vollständigkeit und Vergleichbarkeit der Ergebnisse — und sind anerkannte Nachweise für NIS2, ISO 27001 und Cyber-Versicherer.

Was kostet ein Penetrationstest?

Ein seriöser Pentest-Anbieter gibt Ihnen vor Testbeginn einen festen Preis auf Basis des definierten Scopes. Orientierungswerte:

  • Webanwendung (einzelne App): 4.500 – 8.000 Euro
  • Externer Pentest (gesamte Angriffsfläche): 8.000 – 15.000 Euro
  • Interner Pentest: 10.000 – 25.000 Euro
  • Kombinierter Test (extern + intern): 15.000 – 35.000 Euro
  • Cloud-Pentest (Azure / AWS / M365): 6.000 – 18.000 Euro
  • Red-Teaming-Engagement: ab 30.000 Euro

Die Kosten stehen in keinem Verhältnis zu den potenziellen Schäden eines erfolgreichen Cyberangriffs: Betriebsausfall (durchschnittlich 23 Tage bei Ransomware), Datenverlust, Reputationsschaden, DSGVO-Bußgelder und mögliche persönliche Geschäftsführerhaftung.

Häufige Fragen aus der Praxis: Professionelle IT-Sicherheit und Schwachstellen-Behebung

Bevor wir zu den Detail-FAQs kommen: In der Praxis tauchen vor jedem Pentest dieselben Sorgen auf — „Beeinträchtigt das den Betrieb?”, „Bekommen wir wirklich alle sensible Schwachstellen erklärt?”, „Können wir Schwachstellen anschließend wirklich erkennen und beheben?”. Unsere Antwort: Ja, mit klarem Scope, technische Expertise vor Ort und einem Re-Test ist ein Penetrationstest gut planbar und liefert Schritt für Schritt nachvollziehbare Ergebnisse. Sensibel mit den Befunden umzugehen, ist Teil unserer Methodik — der Bericht bleibt vertraulich, die Kommunikation läuft über verschlüsselte Kanäle.

Branchen mit besonderem Bedarf

Sicherheitsprüfungen sind in fast jeder Branche sinnvoll, in einigen aber faktisch Pflicht:

  • Banken & Finanzdienstleister: DORA, BAIT, MaRisk fordern regelmäßige Sicherheitsprüfungen
  • Versicherungen: VAIT verlangt klare Konzepte und regelmäßige Tests
  • KRITIS & Energieversorger: NIS2 und BSI-Kritisverordnung verpflichten zu Sicherheitstests
  • Gesundheitswesen: KRITIS-Schwellen, MDR und Patientendatenschutz
  • Öffentliche Verwaltung: BSI-Grundschutz mit Sicherheitsprüfungen als Pflichtbaustein
  • IT-Dienstleister & SaaS: Lieferantenaudits durch Großkunden, ISO-27001-Anforderung
  • E-Commerce: PCI DSS für Kreditkartenverarbeitung, sensible Kundendaten
  • Industrie & Automotive: TISAX-Audit, NIS2-Lieferkette, OT-Sicherheit
  • Anwaltskanzleien & Steuerberater: Berufsgeheimnis, sensible Mandantendaten

Für NIS2-Beratung und die Einordnung Ihres Unternehmens unterstützen wir Sie ebenfalls — und definieren auf dieser Basis das Prüfprogramm.

Anbieter für Pentests und maßgeschneiderte IT-Security Analysen

Als Anbieter für professionelle Penetrationstests und Sicherheitsanalysen liefern wir massgeschneiderte Lösungen für Ihre IT — vom ersten Scoping bis zum Re-Test. Tester mit Offensive Security Expertise (Offensive Security Certified Professional, CEH, GPEN) helfen Ihnen, mögliche Schwachstellen zu identifizieren, zu erkennen und zu beheben. Wir simulieren reale Angriffe auf Ihre Systeme, dokumentieren jede Sicherheitslücke nachvollziehbar und liefern priorisierte Handlungsempfehlungen für IT und Geschäftsführung — ohne sensible Informationen, sensible Daten und Systeme weiterzugeben.

Die Durchführung eines Penetrationstests planen wir gemeinsam: kontinuierlich begleitete Tests statt Einmal-Aktion, klare Eskalationswege und ein vertraulicher Bericht. Mandanten wie der IT-Dienstleister mioso – IT bestätigen, dass dieses Vorgehen Ergebnisse liefert, die im Audit halten. Häufig gestellte Fragen klären wir vorab im Workshop, sodass Sie kritische Lücken identifizieren und zu schließen können, bevor ein Angreifer sie ausnutzt.

Unser Hauptsitz liegt in Hamburg — von dort betreuen wir Unternehmen in Hamburg sowie bundesweit. Penetrationstests in Hamburg führen wir vor Ort durch, für Mandanten außerhalb der Region remote oder mit kurzem Anfahrtsweg. Ob Pentest Hamburg oder Pentests in Hamburg: Wir koordinieren das Projekt persönlich.

DIN SPEC 27076 und der Cyber-Risiko-Check für KMU

Die DIN SPEC 27076 ist der IT-Sicherheitscheck speziell für kleine und mittlere Unternehmen — entwickelt vom BSI und Bitkom. Sie empfiehlt regelmäßige technische Sicherheitsprüfungen als Bestandteil eines wirksamen IT-Sicherheits-Managements. Professionelle Penetrationstests sind die umfassendste Methode, um Schwachstellen in der IT-Infrastruktur systematisch zu identifizieren. In Kombination mit einem Vulnerability Scan und regelmäßigen Pentests durch zertifizierte Experten erhalten Unternehmen ein realistisches Bild ihrer Sicherheitslage und können gezielt Maßnahmen ableiten.

Pentest Anbieter auswählen: Worauf Sie achten sollten

Bei der Auswahl sollten Sie folgende Kriterien prüfen:

  • Zertifizierte Experten: Achten Sie auf anerkannte Offensive-Security-Zertifizierungen wie OSCP, CEH, GPEN oder GWAPT
  • Referenzen in Ihrer Branche: Wer Ihre Branche kennt, erkennt branchenspezifische Risiken
  • Klare Methodik: Strukturierter Ansatz nach BSI, OWASP, NIST oder PTES — schriftlich dokumentiert
  • Haftpflichtversicherung: Seriöse Anbieter sind gegen Schäden ausreichend versichert (mind. 5 Mio. €)
  • Verständliches Reporting: Der Bericht muss für IT-Abteilung und Geschäftsführung gleichermaßen verständlich sein
  • Re-Test inklusive: Nachtest nach Behebung der Lücken sollte zum Standardumfang gehören
  • Datenschutz: AVV-Vertrag nach DSGVO, deutsche Server, deutscher Gerichtsstand

Pentest und NIS2: Was Geschäftsführer wissen müssen

NIS2 bringt seit Oktober 2024 weitreichende Pflichten für Unternehmen — auch für mittelständische Betriebe. Die EU-Richtlinie zur Netz- und Informationssicherheit betrifft nicht nur kritische Infrastrukturen, sondern auch deren Zulieferer und Dienstleister.

NIS2 fordert in Artikel 21 ausdrücklich „Strategien für die Risikoanalyse und Sicherheit der Informationssysteme” sowie „Maßnahmen zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen”. In der Praxis: regelmäßige Penetrationstests sind die anerkannte Methode dafür.

Hugo Shield hilft Ihnen, Ihre NIS2-Compliance zu bewerten und die notwendigen Sicherheitsmaßnahmen — einschließlich regelmäßiger Pentests — zu planen. Für eine ganzheitliche Strategie kombinieren wir Pentest mit externem CISO und BSI-Grundschutz-Beratung.

IT Security Services in der Lieferkette: Wenn Großkunden den Pentest fordern

Immer mehr Großkonzerne verlangen von ihren Lieferanten konkrete Sicherheitsnachweise — darunter aktuelle Pentest-Berichte. Hintergrund: NIS2 verpflichtet wesentliche Einrichtungen, die Sicherheit ihrer Lieferkette zu steuern. Wer als Zulieferer keinen aktuellen Pentest vorweisen kann, verliert Aufträge.

Unser Vorgehen: kompakter externer Pentest als „Eintrittskarte”, Report im Format des Großkunden, gezielte Behebung kritischer Funde und Re-Test innerhalb von 30 Tagen. So bleiben Sie lieferfähig und sichern Folgeaufträge.

Cyber-Versicherung: Pentest als Voraussetzung

Cyber-Versicherer verlangen zunehmend regelmäßige Pentests als Voraussetzung für den Versicherungsschutz oder als Bedingung für günstigere Prämien. Der Pentest-Report dient als Nachweis der „angemessenen Sicherheitsmaßnahmen” — eine Pflicht, die in den meisten Policen verankert ist. Im Schadensfall prüfen Versicherer genau, ob solche Nachweise vorliegen. Ohne aktuellen Pentest droht die Leistungsverweigerung.

Wie läuft ein Pentest bei frag.hugo? Ablauf vom Erstgespräch zum Report

Ablauf eines Penetrationstests: zertifizierte Pentest-Experten, klare Methodik, verständlicher Report

  1. Kostenfreies Erstgespräch (15 Minuten): Wir klären Ihre Anforderungen, Compliance-Vorgaben und das passende Pentest-Format
  2. Scoping-Workshop: Welche Systeme werden getestet? Blackbox, Greybox oder Whitebox? Eskalationswege, Zeitfenster, rechtliche Rahmenbedingungen
  3. Festpreis-Angebot: Klarer Festpreis nach Scoping — keine versteckten Kosten, kein Tagessatz-Risiko
  4. Durchführung des Pentests: Reconnaissance, Schwachstellenanalyse, Exploitation — durch zertifizierte Pentest-Experten (OSCP, CEH)
  5. Reporting: Detaillierter Pentest-Bericht mit Executive Summary, technischer Analyse und priorisierten Empfehlungen
  6. Ergebnisbesprechung: Wir präsentieren die Ergebnisse Ihrer IT und Geschäftsführung — verständlich, ohne Fachjargon
  7. Begleitung der Behebung: Auf Wunsch unterstützen wir bei der Umsetzung der Empfehlungen
  8. Re-Test: Nachtest zur Verifizierung, dass alle kritischen Schwachstellen geschlossen sind

Warum frag.hugo?

frag.hugo ist Ihr Partner für professionelle Penetrationstests bundesweit. Wir vermitteln zertifizierte Pentest-Experten mit Offensive-Security-Hintergrund (OSCP, CEH, GPEN) und über 25 Jahren IT-Sicherheits-Erfahrung im Mittelstand.

Unsere Stärken:

  • Bundesweite Durchführung von Penetrationstests, persönliche Ansprechpartner aus Hamburg
  • Kombinierte Expertise: Datenschutz (TÜV-zertifiziert) und IT-Security aus einer Hand
  • Verständliche Reports — für IT und Geschäftsführung gleichermaßen
  • Festpreise nach Scoping, keine versteckten Kosten
  • Re-Test inklusive bis Mängelbehebung verifiziert ist
  • Begleitung der NIS2- und ISO-27001-Vorbereitung als Komplettpaket

Nächste Schritte

Lassen Sie Ihre IT-Sicherheit professionell prüfen, bevor ein Angreifer es tut. Ein Pentest mit klarem Scope deckt Sicherheitslücken auf, die automatisierte Scans nicht erkennen — und schützt Ihr Unternehmen vor Cyberangriffen, dem Verlust sensibler Daten und Reputationsschäden.

Buchen Sie ein kostenloses Erstgespräch — wir besprechen Ihre Anforderungen, klären den passenden Pentest-Umfang und erstellen ein Festpreis-Angebot. Ergänzend empfehlen wir den kostenlosen Hugo Check, der Ihre Website automatisiert auf DSGVO-Verstöße prüft — ein erster Schritt zur Identifikation Ihrer öffentlich erreichbaren Angriffsfläche.

Für eine umfassende IT-Security-Strategie beraten wir Sie in unserer IT-Sicherheitsberatung und unterstützen Sie als externer CISO bei der strategischen Steuerung Ihrer Informationssicherheit. Standortgebundene Pentests bieten wir in Hamburg, Bremen, Hannover, Kiel und weiteren Städten Norddeutschlands an.

Ihr technischer Ansprechpartner

Wer am Telefon sitzt, wenn Sie anrufen.

Jens Hagel – Mitgründer & IT-Unternehmer
Hamburg · persönlich · seit 2024

Jens Hagel

Mitgründer & IT-Unternehmer

Jens führt seit 2004 die hagel IT-Services GmbH (35 Mitarbeitende) und ist Mitgründer von frag.hugo. Bei Penetrationstests und Schwachstellen-Scans reden Sie mit jemandem, der das Tagesgeschäft seit über 20 Jahren selbst macht — keine Theorie, keine PowerPoint-Beratung.

21 Jahre IT-Unternehmerstatista / brand einshagel IT GründerSYNAPSE KI
Vollständiges Profil 15-Min-Gespräch buchen Nachricht schreiben LinkedIn
FAQ

Häufige Fragen zum Penetrationstest, Pentest und Penetration Testing

Ein Penetrationstest ist ein kontrollierter, manueller Angriff auf Ihre IT-Systeme durch ausgebildete Sicherheitsexperten. Während ein Vulnerability Scan automatisiert nach bekannten Schwachstellen sucht, deckt die Prüfung auch Logikfehler, Konfigurationsschwächen und Angriffsketten über mehrere Systeme auf. Der Tester nutzt dieselben Werkzeuge und Techniken wie ein echter Angreifer — aber dokumentiert, kontrolliert und mit Ihrem schriftlichen Einverständnis.

Die Kosten hängen vom Umfang ab. Ein Webapp-Test beginnt bei ca. 4.500 Euro, ein externer Test der gesamten Angriffsfläche kostet 8.000 bis 15.000 Euro, ein interner Test 10.000 bis 25.000 Euro. Für KMU empfehlen wir einen fokussierten Einstieg auf die kritischsten Systeme — bei uns ab 4.500 Euro mit OWASP-Top-10-Methodik und Re-Test inklusive. Den Festpreis legen wir nach dem Scoping fest.

Ein Webapp-Test dauert typischerweise 5 bis 10 Arbeitstage, ein umfassender externer Test 10 bis 15 Tage, ein kombinierter externer und interner Test 15 bis 25 Tage. Hinzu kommen 5 bis 10 Tage für Reporting und Nachbesprechung. Vom Erstgespräch bis zum fertigen Bericht sollten Sie 4 bis 8 Wochen einplanen — bei kritischen Anforderungen organisieren wir einen Express-Termin in 2 bis 3 Wochen.

Mindestens einmal jährlich und zusätzlich nach wesentlichen Änderungen an der IT-Infrastruktur — neue Systeme, größere Updates, Cloud-Migration oder Releases von Webanwendungen. Für Unternehmen unter NIS2 oder mit ISO-27001-Zertifizierung kann eine höhere Frequenz erforderlich sein. Nach einem Sicherheitsvorfall ist eine erneute Prüfung der Gegenmaßnahmen dringend empfohlen.

Beim Blackbox-Ansatz hat der Tester keine Vorinformationen — er simuliert einen externen Hacker. Greybox bedeutet Teilwissen (z. B. Benutzerkonten, grobe Netzwerkpläne) und simuliert einen Angreifer mit Insiderwissen oder einen kompromittierten Mitarbeiter. Whitebox bedeutet vollständigen Zugang zu Quellcode, Konfigurationen und Dokumentation. Für die meisten Unternehmen empfehlen wir Greybox: bestes Verhältnis von Aufwand und Aussagekraft, da realistische Bedrohungsszenarien abgedeckt werden.

Etablierte Sicherheitsprüfungen folgen anerkannten Standards: dem BSI-Praxis-Leitfaden für IS-Sicherheitsprüfungen, OWASP Testing Guide und OWASP Top 10 für Webanwendungen, NIST SP 800-115 sowie OSSTMM und PTES. Unser Vorgehen kombiniert diese Standards: BSI-Risikoklassifizierung im Scoping, OWASP-Methodik für Webapps, manuelle Analyse durch OSCP-zertifizierte Tester. Damit erfüllen Sie regulatorische Anforderungen und erhalten gleichzeitig praktischen Mehrwert.

NIS2 schreibt keine Sicherheitsprüfung namentlich vor, verlangt aber regelmäßige Überprüfungen und Tests der Wirksamkeit von Sicherheitsmaßnahmen (Art. 21). In der Praxis sind manuelle Sicherheitsprüfungen die anerkannte Methode, um diese Anforderung zu erfüllen. Auch Cyber-Versicherer und Großkunden verlangen entsprechende Nachweise. Wer unter NIS2 fällt — direkt als wesentliche/wichtige Einrichtung oder indirekt als Lieferant — kommt faktisch nicht daran vorbei.

Eine professionelle Prüfung wird so durchgeführt, dass der laufende Betrieb Ihrer IT-Infrastruktur nicht beeinträchtigt wird. Vor Testbeginn definieren wir Scope, erlaubte Methoden und Eskalationswege schriftlich. Tests, die den Betrieb gefährden könnten (z. B. Denial-of-Service-Versuche), führen wir nur außerhalb der Geschäftszeiten oder in Testumgebungen durch. Bei kritischen Funden informiert der Tester Sie sofort, damit Sie reagieren können.

Sie erhalten einen detaillierten Bericht: Executive Summary für die Geschäftsführung, technischer Teil für Ihre IT mit Beschreibung jeder Lücke, Proof of Concept, CVSS-Risikobewertung und konkreten Empfehlungen. Wir besprechen die Ergebnisse mit Ihrem IT-Team und begleiten auf Wunsch die Behebung. Ein Re-Test stellt sicher, dass alle kritischen Lücken geschlossen sind und keine neuen entstanden sind.

Stark reguliert sind Banken und Finanzdienstleister (DORA, BAIT), Versicherungen (VAIT), Energieversorger und KRITIS-Betreiber (NIS2), Gesundheitswesen (KRITIS, MDR), öffentliche Verwaltung (BSI-Grundschutz). Hohen Bedarf haben außerdem IT-Dienstleister und SaaS-Anbieter (Lieferantenaudits), E-Commerce (PCI DSS), Industrie und Automotive (TISAX, NIS2-Lieferkette) sowie Anwaltskanzleien und Steuerberater (Berufsgeheimnis). Generell: Wer sensible Daten verarbeitet oder Lieferant kritischer Kunden ist, sollte regelmäßig testen lassen.

62 %

der Cyberangriffe treffen KMU

200k €

durchschnittlicher Schaden pro Vorfall

0 €

Bußgelder bei unseren Mandanten

Cyberangriffe auf Unternehmen nehmen weiter zu. NIS2 fordert regelmäßige Penetrationstests. Cyber-Versicherer verlangen Pentests als Voraussetzung für den Versicherungsschutz. Großkunden prüfen die Sicherheit ihrer Lieferanten. Finden Sie Schwachstellen, bevor es Angreifer tun.

Jetzt absichern — Erstgespräch buchen

Oder senden Sie uns eine Nachricht

Vor Ort in Hamburg

Informations­sicherheit & Datenschutz in Hamburg

Logistik, Hafen, Medien, E-Commerce, Finanzdienstleister — jede Hamburger Branche hat ihre eigene Datenschutz-Baustelle. Wir kennen sie aus über 200 Mandaten.

Wir sitzen selbst in Hamburg und arbeiten regelmäßig mit der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) zusammen. Wir wissen, was die Behörde bei Prüfungen sehen will und was nicht.

Unser Büro in der Spaldingstraße 64-68, 20097 Hamburg ist gut mit dem ÖPNV erreichbar — Sie können vorbeikommen, statt nur zu telefonieren.

Kontakt

frag.hugo Informationssicherheit GmbH
Spaldingstr. 64-68
20097 Hamburg
040 57308220-0
info@fraghugo.de
Erstgespräch buchen

Oder schreiben Sie uns

Einzugsgebiet

Persönlich vor Ort in Deutschland

Wir betreuen Deutschland von Hamburg aus persönlich. Erstgespräche, Audits und Schulungen finden bei Ihnen vor Ort statt — Sie wissen, mit wem Sie sprechen.

  • Vor-Ort-Termine in Deutschland und Umgebung
  • Kurze Reaktionszeiten durch regionale Präsenz
  • Kenntnis der zuständigen Landes­datenschutzbehörde

Karte: Deutschland

Wir laden Google Maps erst nach Ihrer aktiven Zustimmung.

Karte von Deutschland

Beim Laden der Karte werden Daten an Google übertragen (u. a. Ihre IP-Adresse). Details in unserer Datenschutzerklärung.

Alternativ: In Google Maps öffnen ↗
Kostenloses E-Book

CYBER-SICHER — Der IT-Sicherheits-Guide für den Mittelstand (2026)

47 Seiten Praxiswissen: So schützen Sie Ihr Unternehmen vor Cyberangriffen — verständlich, pragmatisch und sofort umsetzbar. Von Jens Hagel.

E-Book herunterladen
Weitere Leistungen

Passend dazu

IT-Sicherheitsberatung und IT-Security für Unternehmen
Empfohlen

IT-Sicherheitsberatung

Ganzheitliche IT-Security-Beratung — Pentest plus Strategie und Umsetzung.

Mehr erfahren
ISO 27001 Beratung und Zertifizierung mit Penetrationstest
Kombi

ISO 27001 Beratung

ISMS systematisch aufbauen — Pentest als zentraler Baustein der Zertifizierung.

Mehr erfahren
Externer CISO und Pentest-Steuerung für Unternehmen
Strategie

Externer CISO

CISO as a Service — Strategie, Pentest-Steuerung und Risikomanagement aus einer Hand.

Mehr erfahren
Nils Oehmichen und Jens Hagel — Ihre Ansprechpartner bei frag.hugo

Nils Oehmichen & Jens Hagel — Ihre Ansprechpartner

Jetzt Erstgespräch zum Penetrationstest vereinbaren

Oder: Lassen Sie zuerst Ihre Website kostenlos prüfen — in 60 Sekunden wissen Sie, wo Sie stehen.

Unverbindlich, persönlich, ohne versteckte Kosten.

100 % Datenverarbeitung in Deutschland · Hetzner · ISO 27001

Erstgespräch buchen Website kostenlos prüfen

Lieber erstmal schreiben? Kontaktformular