Pentesting für Ihre IT-Sicherheit

Wir hacken Ihr
Unternehmen. Wetten?

Sie gewinnen, egal wie die Wette ausgeht: Schaffen wir's nicht, zahlen Sie nichts. Schaffen wir's, erhalten Sie konkrete Maßnahmenempfehlungen zur Absicherung.

Szenario wählen

Jetzt Pentesting-Demo ansehen

100 %

volle Kontrolle über jeden Schritt der Angriffskette

bei >90%

der internen Pentests erreichen wir volle Netzwerkkontrolle.

Nur 5 Min

brauchte die schnellste Übernahme eines Systems

~/engagement — pentest.sh

    $ recon --target acme-corp.de
    [+] 47 öffentliche Hosts entdeckt
    [+] Citrix Web Access → MFA aktiv
    $ phishing --campaign "Sitzung abgelaufen"
    [!] 12 / 84 Klicks · 4 Credentials erfasst
    $ auth --bypass-mfa --user j.mueller
    [✓] Token gestohlen · Session aktiv
    $ lateral --to dc01.intern
    [!] AD-Schwachstelle: Kerberoasting
    $ escalate --target Domain-Admin
    [✓] DOMAIN ADMIN erreicht · 5d 14h
  

Drei Szenarien

Drei Szenarien. Drei Wetten.
Ein Ergebnis: Klarheit.

Wählen Sie das Szenario, das zu Ihrem Risikoprofil passt. In jedem Fall gilt: Schaffen wir’s nicht, zahlen Sie nichts.

Szenario 01 | 2 Wochen

Reale Angriffssimulation

Initial Access + Privilege Escalation + Lateral Movement.

Wir versuchen über sämtliche Wege, die ein realer Angreifer auch gehen würde, in Ihr Unternehmen einzudringen – und uns von dort bis zu den höchsten Berechtigungen vorzuarbeiten. Im Scope: Angriffe auf Ihre im Internet erreichbaren Systeme, Phishing und Social Engineering, gezielte Schadsoftware, physisches Eindringen in Ihre Standorte zur Installation einer Command-&-Control-Backdoor sowie alle internen Angriffspfade nach erfolgreichem Zugriff.

Ihr Ergebnis

Faktenbasierte Risikoanalyse mit allen genutzten Angriffspfaden, Management Summary und konkreter Roadmap zur Härtung Ihrer digitalen Infrastruktur.

Unsere Wette

Zwei Wochen. Offener Scope. Wir schaffen es, Zugriff auf Ihr internes Netzwerk oder Ihre Cloud zu erhalten und anschließend die höchstmöglichen Berechtigungen zu erhalten.

Schaffen wir's nicht, zahlen Sie nichts.

Angriff anfragen

Szenario 02 | 1 Woche

Kompromittierung von außen

Initial Access über Internet/Cloud

Externe Systeme sind oft der erste Hebel für Angriffe. Wir versuchen über sämtliche Wege, die auch ein realer Angreifer gehen würde, von außen Zugriff auf Ihr internes Netzwerk oder Ihre Cloud-Umgebung zu erhalten: Angriffe auf Ihre im Internet erreichbaren Systeme, Phishing zum Abgriff von Zugangsdaten, gezielte Schadsoftware über Kontakt-/Bewerbungsformulare, E-Mail oder Teams sowie physisches Eindringen in Ihre Standorte zur Installation einer Command-&-Control-Backdoor.

Ihr Ergebnis

Klare Antworten auf drei Fragen: Wo kommen wir rein? Wie kritisch ist der Weg? Was muss sofort geschlossen werden?

Unsere Wette

Eine Woche. Offener Scope. Wir verschaffen uns Zugriff auf Ihr internes Netzwerk oder Ihre Cloud-Umgebung.

Schaffen wir's nicht, zahlen Sie nichts.

Angriff anfragen

Szenario 03 | 1 Woche

Kompromittierung von Innen

Assumed Breach: Privilege Escalation & Lateral Movement im internen Netzwerk.

Wir starten dort, wo viele reale Angriffe beginnen: Sie stellen uns ein Notebook mit einem Standard-Benutzerkonto ohne Privilegien bereit – im Szenario gilt es als von einem Angreifer kompromittiert. Von dort arbeiten wir uns durch Ihr Netzwerk: Ausnutzung von Active-Directory-Schwachstellen und Fehlkonfigurationen, Angriffe auf beliebige Server und Clients, Netzwerk-Angriffe zur Rechteerhöhung, Abgriff von Zugangsdaten, Lateral Movement und bei Bedarf Social Engineering zur Übernahme weiterer Systeme.

Ihr Ergebnis

Ein präzises Bild, wo interne Schwachstellen Rechteerhöhung ermöglichen, plus vollständiger Bericht mit Maßnahmenplan zur Härtung Ihres Active Directory.

Unsere Wette

Eine Woche. Offener Scope. Wir werden über mindestens einen Weg Domänen-Admin in Ihrem Active Directory.

Schaffen wir's nicht, zahlen Sie nichts.

Angriff anfragen

Disclaimer: Unsere Wette gilt für einen vollständig offenen Scope – das heißt, alle oben beschriebenen Angriffswege (z. B. Phishing, Social Engineering, Netzwerk-Angriffe, physisches Eindringen) sind erlaubt. Werden einzelne dieser Wege ausgeschlossen, sprechen wir die Bedingungen der Wette individuell mit Ihnen ab. Während des Tests darf zudem nicht aktiv eingegriffen werden – also keine gezielte Sperrung von Konten oder Systemen, mit denen wir arbeiten. Die Wette bezieht sich ausschließlich auf das jeweils definierte Ziel (z. B. Initial Access oder Domänen-Admin). Aufgrund des Zeitrahmens ist keine vollständige Überprüfung aller Systeme, Ihres Active Directory oder Ihres Perimeters möglich – ein klassischer, vollständiger Pentest wird durch diese Arbeitspakete nicht ersetzt.

Detection and Response prüfen

Für alle, die sich wirklich sicher sind: Red Teaming.

Für Unternehmen, die bereits in Detection und Response investiert haben.

Wenn Sie glauben, dass Ihre Detection und Response Prozesse funktionieren, wird es Zeit für den Test der Extraklasse: Unser Red Team greift an wie echte Täter und prüft Ihr Blue Team, Ihr SOC und Ihre Incident-Response-Abläufe auf Geschwindigkeit, Wirkung und blinde Flecken. Das Ergebnis ist ein klarer Report, der zeigt, wie effizient Ihr Team, Ihre Prozesse und Ihre Technologien wirklich sind.

Angriff anfragen

Red Team

Angriff · Stealth · Realismus

Blue Team

Detection · Response · SOC

▸Initial Access — erkannt nach 3h 42m

▸Lateral Movement — verzögerte Reaktion

▸Persistence — unentdeckt

▸Exfiltration — geblockt

Exemplarische Timeline der Angriffserkennung

Was passiert nach der Wette?

Sie gewinnen - egal wie die Wette ausgeht.

Alle Pentests beinhalten einen Bericht mit Management-Summary, faktenbasierten Risikoanalysen und konkreten Maßnahmenempfehlungen, mit deren Hilfe Schwachstellen geschlossen und der Cyber-Security-Reifegrad erhöht werden kann.

Gemeinsam priorisieren wir mit Ihnen Maßnahmen nach Risiko, Aufwand und Wirkung. Auf Wunsch begleiten wir die Umsetzung, damit bekannte Einfallstore auch wirklich zuverlässig geschlossen werden.

Schaffen wir's nicht, zahlen Sie nichts: Sollten wir die in den Szenarien angegebenen Ziele im gegebenen Rahmen nicht erreichen, zahlen Sie nichts.

Management Summary

Risiko-Verteilung

Kritisch

Hoch

Mittel

Niedrig

Maßnahmen-Roadmap

Endpunkte ohne MFA absichernSofort

Implementierung eines Tiering-ModellsQ4/2026

Awareness-TrainingQ1/2027

Beispielhafter Report – Bericht individuell pro Engagement

Unsere Expertise

Pentests mit den Erfahrungen aus mehr als 100 realen Angriffen pro Jahr

Unsere Erfolgsquote

>90 %

der Pentests erreichen wir volle Netzwerkkontrolle.

50-95 %

der Passwörter liegen bei Audits im Klartext vor.

5 Min

schnellste Übernahme eines Systems im Pentest.

Unsere Expertise

Wir nutzen das Know-how und die Erfahrung aus unzähligen Einsätzen unseres Security Operations Centers sowie unseres Cyber Defense Centers.

Das heißt: Wir wissen genau, wie echte Angriffe ablaufen — und welche Maßnahmen in der Realität auch tatsächlich funktionieren.

SOC

CDC

Unser Versprechen

Reale Angriffssimulationen statt Oberflächen-Scan
Individuelle Szenarien statt Standardliste.
Berichte mit Management-Summary, Risikoanalyse und konkreten Maßnahmen statt reiner Fundstellen.
Wir kombinieren Angriffsvektoren, decken logische Schwachstellen auf und machen Ihre Angriffsfläche sichtbar.

Video

Sehen Sie zu, wie ein echter Angreifer vorgeht

Aufzeichnung ansehen: Next Generation Pentesting – Reale Angriffssimulation in der Praxis

In diesem Video durchläuft unser Pentesting-Experte eine vollständige Angriffskette – aus der Perspektive eines echten Angreifers: vom ersten Scan der exponierten Angriffsflächen über Phishing, MFA-Bypass und laterale Bewegung im Netzwerk bis zur vollständigen Übernahme des Domain Controllers. Darüber hinaus stellen wir die empfohlenen Next Generation Pentesting Szenarien im Detail vor.

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Anrede(erforderlich)

Vorname

Nachname(erforderlich)

Unternehmensname(erforderlich)

E-Mail(erforderlich)

Ihre Unternehmensgröße(erforderlich)

Dieses Feld wird bei der Anzeige des Formulars ausgeblendet

Formular Kategorie

Dieses Feld wird bei der Anzeige des Formulars ausgeblendet

Form Submission ID

Dieses Feld wird bei der Anzeige des Formulars ausgeblendet

WordPress Post ID

Dieses Feld wird bei der Anzeige des Formulars ausgeblendet

Website URL

Dieses Feld wird bei der Anzeige des Formulars ausgeblendet

Website Seiten-Titel

Um Ihnen den Screencast zustellen zu können, benötigen wir Ihre Einwilligung. Darüber hinaus möchten wir Sie regelmäßig über Neuigkeiten, Veranstaltungen sowie Lösungen, Services und Produkte der accompio-Gruppe informieren. Dafür benötigen wir Ihre Einwilligung. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen – über den Abmeldelink am Ende jeder E-Mail oder per E-Mail an info@accompio.com.

Wir verarbeiten und speichern Ihre Daten. Weitere Informationen finden Sie unter Datenschutz.

Bereit für die Wette?

Szenario wählen, Angriff starten, Sicherheit verbessern.

Wählen Sie Ihr Szenario. Wir melden uns innerhalb von 24 Stunden mit einem konkreten Vorschlag für Scope, Ablauf und Startpunkt Ihrer Wette.

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Anrede(erforderlich)

Vorname

Nachname(erforderlich)

Unternehmensname(erforderlich)

Funktion

E-Mail(erforderlich)

Telefon(erforderlich)

Dieses Feld wird bei der Anzeige des Formulars ausgeblendet

Formular Kategorie

Dieses Feld wird bei der Anzeige des Formulars ausgeblendet

Form Submission ID

Welches Szenario interessiert Sie?(erforderlich)

Ihre Unternehmensgröße(erforderlich)

Möchten Sie uns noch etwas mitgeben?

Dieses Feld wird bei der Anzeige des Formulars ausgeblendet

Wordpress Post ID

Zur Bearbeitung ihrer Anfrage verarbeiten wir ihre Daten und kontaktieren Sie. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen – über den Abmeldelink am Ende jeder E-Mail oder per E-Mail an info@accompio.com.

Wir verarbeiten und speichern Ihre Daten. Weitere Informationen finden Sie unter Datenschutz.