Dienstleister für Penetrationstests und Security Audits – weit über Standard-Checklisten hinaus

Mit unserem gezielten Ansatz zur Auswahl und Förderung unseres Pentest-Teams identifizieren wir selbst die komplexesten Sicherheitslücken – in jeder Firma. Sowohl kleine Unternehmen als auch Fortune-500-Konzerne vertrauen auf unsere Fähigkeit, Risiken aufzudecken, die oft unentdeckt bleiben.

Kontaktieren Sie uns

Zahlen & Fakten

Wir sind spezialisiert auf Security Tests mit hoher Wirkung und großer technischer Tiefe – von Web- und Mobile-Anwendungen über komplexe Softwarelösungen und Infrastrukturen bis hin zu IoT-, Automotive-, Netzwerk- und Cloud-Umgebungen. 

Bei Iterasec führen wir nicht einfach nur Penetrationstests durch – wir denken weiter, gehen über branchenübliche Checklisten hinaus und schaffen echten Sicherheitsmehrwert, selbst bei Compliance-getriebenen Prüfungen.

30
Spezialist:innen
60+
Projekte pro Jahr
Mehrwert durch tiefgehende Sicherheits- analysen
2020
Gegründet
20+
Mehrwert durch tiefgehende Sicherheits- analysen

Services und Schwerpunkte

Wir sind eine rein offensiv ausgerichtete Security-Firma – spezialisiert auf fundiertes, praxisnahes Security Testing für Kundensegmente, die Substanz statt Standardtests erwarten. 

Durchführung von High-End Penetrationstests
Ob Web, Mobile, API, Cloud, Embedded/Hardware, Netzwerke, Desktop-Anwendungen und mehr – unsere besondere Stärke liegt in tiefgehenden Analysen, insbesondere im Bereich Cloud- und Container-Sicherheit.

Penetrationstests für Webanwendungen

Wir prüfen Webanwendungen auf Sicherheitslücken, indem wir Schwachstellen aufdecken und realistische, anspruchsvolle Cyberangriffe simulieren. Dabei orientieren wir uns am OWASP Application Security Verification Standard (ASVS) – und gehen bewusst darüber hinaus. 

Unser Fokus liegt auf dem Erkennen und Bewerten kritischer Schwachstellen wie Injection-Angriffe, XSS, DoS, Backend-Exploits, komplexe Fehler in der Business-Logik und viele weitere. 

Unser Ziel ist es, neuartige Angriffsketten zu identifizieren, die automatisierte Tools oft übersehen. Als Firma für Penetrationstests stellen wir auf diese Weise sicher, dass jede Prüfung gründlich und lückenlos erfolgt. Mit diesem Ansatz decken wir tief verborgene Schwachstellen auf, die reale Angreifer ausnutzen könnten – und schaffen damit eine solide Verteidigung gegen moderne, hochentwickelte Cyberbedrohungen.

Penetration Testing für mobile Anwendungen

Wir analysieren mobile Anwendungen für iOS und Android im Detail – mit besonderem Augenmerk auf mögliche Risiken für angebundene Backend-Systeme.

Unsere Tests umfassen die Sicherheit von Daten im Ruhezustand und bei der Übertragung, eingesetzte Verschlüsselungsmechanismen sowie die Bewertung von Authentifizierungsprozessen. Darüber hinaus legen wir besonderen Wert auf den Schutz der Binärdateien und bewerten die Widerstandsfähigkeit mobiler Anwendungen gegen Reverse Engineering und Manipulation. 

Die Grundlage bildet der OWASP Mobile Application Security Verification Standard (ASVS) – den wir durch eigene, erweiterte Prüfverfahren ergänzen.

Penetration Testing für APIs

In der heutigen vernetzten digitalen Landschaft sind APIs allgegenwärtig und häufig Angriffspunkte für Datenlecks sowie Authentifizierungs- und Autorisierungsfehler. Unsere Penetrationstests für APIs prüfen REST-, GraphQL-, SOAP- und weitere API-Typen umfassend auf unsichere Endpunkte und unberechtigte Zugriffsmöglichkeiten.

Dazu gehören auch detaillierte Analysen möglicher Datenexpositionen, um sicherzustellen, dass vertrauliche Informationen geschützt bleiben.

Durch realistische Angriffssimulationen erhöhen wir die Widerstandsfähigkeit Ihrer API gegen eine breite Palette moderner Cyberbedrohungen.

Internal Network Penetration Testing

Hierbei identifizieren wir Schwachstellen innerhalb des internen Unternehmensnetzwerks Wir simulieren Insider-Bedrohungen, um Risiken wie ungeschützte Assets, ungepatchte Systeme oder unzureichende Zugriffsrechte aufzudecken. 

Ziel ist es, potenzielle Angriffe aus dem Inneren – etwa durch Mitarbeitende oder Dienstleister – frühzeitig zu erkennen und abzusichern.

External Network Penetration Testing

Wir analysieren die Sicherheit Ihrer nach außen gerichteten Netzwerk-Infrastruktur und simulieren Angriffe, wie sie externe Hacker einsetzen. Der Fokus liegt auf Schwachstellen in exponierten Services, Firewall-Konfigurationen und Perimeterschutzmechanismen. 

So identifizieren wir gezielt Angriffspunkte, die über das Internet ausnutzbar sind Das Ziel ist es, die externen Netzwerkschutzmechanismen zu stärken, unbefugten Zugriff zu verhindern und das Netzwerk gegen externe Cyberbedrohungen abzusichern.

Cloud Security-Tests

Unsere Cloud-Sicherheitsprüfungen gehen weit über klassische Schwachstellenanalysen hinaus. Wir simulieren gezielte externe Angriffe auf Cloud-Umgebungen wie AWS, Azure und GCP. 

Wir prüfen sorgfältig auf mögliche Fehlkonfigurationen, unzureichende Zugriffskontrollen und Compliance-Verstöße. Unser Team analysiert jeden Aspekt der Cloud-Infrastruktur – von Speicherlösungen und Anwendungen bis hin zu einzelnen Diensten – und stellt sicher, dass höchste Sicherheitsstandards eingehalten werden. 

Zudem identifizieren wir spezifische Schwachstellen, die in unterschiedlichen Cloud-Umgebungen auftreten können. So sorgen wir dafür, dass Ihre Cloud-Ressourcen nicht nur den Compliance-Anforderungen entsprechen, sondern auch gegenüber hochentwickelten Cyberbedrohungen widerstandsfähig sind.

Sicherheitstests für Container-Umgebungen

Wir prüfen die Sicherheit containerisierter Anwendungen – mit Fokus auf Orchestrierung, Image-Sicherheit und Laufzeitkonfigurationen. 

Unsere Analysen umfassen Cluster-Setups, Sicherheits-Standards und bekannte Angriffsmethoden, um die Auswirkungen einer Kompromittierung einzelner Microservices zu verstehen. Besonders im Blick: Kubernetes und OpenShift. 

Unser Ziel ist es, Schwachstellen zu identifizieren, die Integrität und Vertraulichkeit Ihrer Container-Umgebungen gefährden könnten – und diese nachhaltig gegen gängige als auch gegen hochentwickelte Sicherheitsbedrohungen abzusichern.

Penetrationstests für Embedded-Systeme

Unsere Penetrationstests für Embedded-Systeme sind darauf ausgelegt, Schwachstellen in Embedded-Systemen und Geräten zu identifizieren und zu beheben. Dies umfasst eine detaillierte Analyse der Firmware auf potenzielle Exploits wie beispielsweise Buffer-Overflow-Schwachstellen. 

Wir untersuchen zudem UEFI, Bootloader, BIOS und BMC gezielt auf sicherheitsrelevante Schwachstellen. Indem wir diese Bereiche verstehen und mögliche Exploits simulieren, erhöhen wir die Widerstandsfähigkeit Ihrer Embedded-Systeme gegen gezielte Cyberangriffe und Hardware-Exploitation-Techniken.

Penetrationstests für IoT-Geräte

Wir sind spezialisiert auf die Sicherheitsprüfung von IoT-Geräten und -Ökosystemen. Im Fokus stehen dabei unsichere Kommunikation, schwache Authentifizierung und Software-Schwachstellen. 

Im Rahmen verschiedener Testansätze legen wir besonderen Wert auf die Sicherheit von Over-the-Air-(OTA)-Update-Mechanismen und stellen sicher, dass diese ordnungsgemäß signiert und validiert werden. Wir bewerten zudem gängige Netzwerkangriffe und bieten eine umfassende Sicherheitsüberprüfung von IoT-Geräten und deren vernetzten Umgebungen. 

Dieser ganzheitliche Ansatz stellt sicher, dass die IoT-Geräte Ihres Unternehmens vor einer Vielzahl potenzieller Sicherheitsverletzungen geschützt sind.

Attack-Surface-Analyse

Unsere Attack-Surface-Analyse bietet eine vollständige Bewertung sämtlicher potenzieller Angriffsvektoren auf Ihre Systeme. Dazu gehört die Identifizierung von exponierten und verwundbaren Bereichen, die von externen Angreifern ausgenutzt werden könnten. 

Wir helfen Ihnen, die riskantesten Angriffsvektoren zu identifizieren und beraten Sie zu geeigneten Schutzmaßnahmen. Es wird empfohlen, diese Analyse kontinuierlich durchzuführen, um neuen Bedrohungen stets einen Schritt voraus zu sein und eine starke Sicherheitslage aufrechtzuerhalten.

Red Teaming

Unsere Red-Teaming-Übungen simulieren realistische Angriffsszenarien – einschließlich Social-Engineering-Tests und umfassender Angriffssimulationen. 

Dieser Service dient dazu, die gesamte Sicherheitslage und Abwehrbereitschaft Ihres Unternehmens zu prüfen und gezielt zu stärken. Indem wir Ihr Blue Team mit realitätsnahen Bedrohungen herausfordern, decken wir Schwachstellen auf und unterstützen Sie dabei, diese gezielt zu schließen – für eine robuste Abwehr gegenüber echten Cyberangriffen.

Anwendungsfälle

Wenn vorherige Penetrationstest-Dienstleister nur wenige oder irrelevante Schwachstellen gefunden haben: Unser Ansatz bietet eine neue Perspektive. Damit die IT-Sicherheit in Ihrem Unternehmen gewährleistet ist.

Ein Startup möchte mit einem sehr kosteneffizienten Pentest kritische Schwachstellen identifizieren.

Partner oder Kund:innen verlangen einen Penetration-Testing-Bericht oder einen Nachweis über erfolgreich bestandene Tests.

Bestehen des Penetrationstests zur Einhaltung von Compliance-Anforderungen (ISO 27001, SOC 2 etc.).

Aufdecken von Schwachstellen in der Anwendung oder im technischen Produkt, die von Angreifern ausgenutzt werden könnten.

Test der Effizienz des SOC-Teams und seiner Prozesse.

Überprüfung der Angriffsfläche im Netzwerk oder in der Cloud.

Verstehen, wie Angreifer eine Organisation „sehen“, und nicht offensichtliche Angriffspfade erkennen.

Nach der Migration in die Cloud- bzw. Container-Infrastruktur: Überprüfung der Konfiguration.

Pentest-Gates vor der Freigabe für die Produktion oder vor größeren Produktupdates

Methodik/Vorgehensweise

Standards und Methoden

  • OWASP, OSSTM, MITRE, NIST
  • CWE/SANS Top 25
  • CIS Benchmarks
  • Cloud-Sicherheitsrichtlinien von AWS, GCP und Azure

Manuelles Vorgehen

  • In unserem Unternehmen werden Penetration Tests durch Menschen durchgeführt, nicht durch Scanner
  • Mehr als Checklisten abhaken
  • Tiefgehende Einblicke in Security-Design und Architektur

Transparente Kommunikation

  • Meldung kritischer Findings unmittelbar nach Entdeckung
  • Wöchentliche Statusberichte

Hochwertige Reports

  • Detaillierte Abschlussberichte
  • Wöchentliche Statusberichte
  • Bestätigungsschreiben
  • CSV-Exporte

Retests

  • Retest identifizierter Schwachstellen
  • Bereitstellung eines aktualisierten Berichts

KI-gestützter Prozess

  • Steigerung der Effizienz
  • Sicherer und verantwortungsvoller Umgang mit KI/LLM

Zertifiziertes und praxiserprobtes Team

Zertifizierungen sind als Grundlage notwendig, doch wir gehen deutlich weiter, wenn es um den Aufbau unserer Expertise geht:

Ein strenger Auswahlprozess, bei dem Bewerber*innen selbst aus großen Cybersecurity-Beratungsunternehmen scheitern können

Kontinuierliche fachliche Weiterentwicklung und Wissensaustausch

Unsere Expertise bildet die Grundlage – Zertifizierungen bestätigen sie lediglich, nicht umgekehrt.

Branchen, unter anderem:

Automobilindustrie
Softwareentwicklungsunternehmen
Start-ups und Produktunternehmen
Beratungsunternehmen
FinTech
Healthcare
Edutech
IoT
Retail & E-Commerce
Medizin und Pharmazie

Über uns

Iterasec wurde 2020 von einem führenden Ethical Hacker und einem ehemaligen CTO gegründet und zählt heute zu den führenden Pentest-Anbietern in der Ukraine und Polen – mit einer Niederlassung in Deutschland.

Igor Kantor

Mitbegründer, CEO

Vadym Soroka

Mitbegründer, CTO

Snizhana Demchyk

Leiter Cloud-Sicherheit

Daniil Tyslytskyi

Leiter Anwendungstests

Iryna Rybak

Partnerschaftsmanager

Was unsere Kunden sagen

„Iterasec lieferte einen detaillierten Bericht, der Schwachstellen identifizierte und für jede einzelne Maßnahmen zur Minderung enthielt. Das Team erleichterte einen reibungslosen Arbeitsablauf durch häufige Kommunikation. Das Team zeigte ein großes Interesse daran, unser Geschäft zu verstehen.“

Seccurency Sicherheitsdirektor

Zu viele Unternehmen sehen Pentesting nur als Pflichtübung. Beim Pentest Anbieter Iterasec legen wir Wert auf echten Mehrwert – wir identifizieren relevante Schwachstellen, nicht nur das, was einfach zu entdecken ist.“ Für unsere Kund:innen soll Pentesting keine lästige Pflicht sein, sondern ihre Produkte und Services nachhaltig sicherer machen.

Igor Kantor Mitgründer, CEO

Viele Security-Auditoren begnügen sich mit Scans und ein bisschen Herumprobieren. Wir betreiben Forschung. Für uns ist jedes Projekt ein neues Forschungsvorhaben mit eigenen Hypothesen, die überprüft werden. Diese investigative Herangehensweise, kombiniert mit kreativem Denken, bringt Risiken ans Licht, die sonst verborgen bleiben.

Vadym Soroka Mitgründer, CTO

Kontakt

Teilen Sie uns einfach mit, was Sie benötigen – wir unterstützen Sie gerne.

Nutzen Sie unser Kontaktformular oder nehmen Sie direkt mit uns Verbindung auf.