AEGYS Pentest zeigt autonom, welche Angriffspfade in Ihrer Umgebung tatsächlich begehbar sind — nicht als theoretische Schwachstellen-Liste, sondern als bewiesene Demonstration. Schnell, sicher in Produktion, mit Bericht für NIS2 und Geschäftsleitung.
Diese Seite beschreibt AEGYS Pentest. Den kontinuierlichen Monitor erklären wir auf der eigenen Seite → AEGYS Monitor.
15 Minuten. Festpreis, sobald der Scope geklärt ist.
Pentest ist nicht „nice to have“. In drei Situationen wird er zur belastbaren Grundlage für Entscheidungen — und für die rechtliche Absicherung der Geschäftsleitung.
Seit dem 6. Dezember 2025 verpflichtet das NIS2-Umsetzungsgesetz über 30.000 Unternehmen in Deutschland zu nachweisbaren Cybersicherheitsmaßnahmen. Penetrationstests sind das anerkannte Instrument, um die Anforderungen aus § 30 BSIG zu erfüllen — insbesondere zur Bewertung der Wirksamkeit der Schutzmaßnahmen (Art. 21 Abs. 2 Buchst. f).
AEGYS Pentest liefert einen BSI-tauglichen Abschlussbericht mit direktem Mapping auf die NIS2-Anforderungsartikel.
Cyberversicherer fordern zunehmend Penetrationstests als Voraussetzung oder Vergünstigung für die Police. Größere Kunden verlangen entsprechende Nachweise von Lieferanten, gerade in regulierten Branchen.
Ein AEGYS-Pentest-Bericht ist als Compliance-Nachweis im Versicherungs- und Lieferketten-Kontext einsetzbar — strukturiert für Versicherer, Auditoren und Geschäftsleitung.
Neue Systeme, Migrationen, Cloud-Anbindungen, M&A-Integration — solche Veränderungen brauchen mehr als einen jährlichen Pentest. Das BSI-Gesetz fordert ausdrücklich Tests „nach wesentlichen IT-Änderungen“, nicht nur kalendarisch.
AEGYS Pentest läuft punktuell oder kontinuierlich — und prüft genau dort, wo sich seit dem letzten Test etwas verändert hat.
Eine wichtige Entwicklung: Mehrere führende Compliance-Berater warnen, dass ein einmal jährlicher Pentest in vielen NIS2-Konstellationen nicht mehr genügt. AEGYS Pentest ist daher als Subscription mit kontinuierlichen Tests konzipiert — bei Bedarf auch als einmaliger Einsatz möglich.
Vom Erstgespräch bis zum Bericht. Was technisch passiert, ist transparent — was Sie in den Bericht bekommen, ist es ebenfalls.
Scope-Definition
Internes Netzwerk, externe Angriffsfläche, Cloud-Umgebung (AWS / Azure / Microsoft 365), Active Directory, oder mehrere davon kombiniert. Sie definieren, was erfasst werden soll — wir definieren, was technisch sinnvoll ist. Aus beiden ergibt sich der Scope.
Sie bekommen einen Festpreis vor jeder Beauftragung — keine versteckten Kosten, keine Tagessätze, die hochlaufen.
Autonomer Test
Die Pentest-Engine wird im definierten Scope freigegeben — bei internem Test als virtuelle Komponente in Ihrem Netzwerk, bei externem Test aus unserer Auswertungsumgebung in Deutschland. Sie folgen den Test-Fortschritt im Real-Time-Dashboard mit, müssen aber nicht aktiv mitwirken.
Die Engine kettet Schwachstellen wie ein echter Angreifer: kompromittierte Credentials, Misskonfigurationen, exposed Services, laterale Bewegung, Privilege Escalation, Datenzugriff. Bewiesene Pfade — keine theoretische CVE-Liste. Erste Ergebnisse häufig innerhalb weniger Stunden.
Sicher in Produktion: bewährte Pentest-Engine-Technologie mit über 100.000 dokumentierten produktiven Tests und Null Downtime-Vorfällen.
Auswertung und Bericht
Der Bericht ist nicht eine 200-seitige Schwachstellen-Liste. Er konzentriert sich typischerweise auf 2–5 kritische Angriffspfade — die Wege, auf denen ein Angreifer in Ihre Umgebung kommen würde. Mit konkreten Behebungsempfehlungen, priorisiert nach Risiko.
Auf Wunsch besprechen wir die Ergebnisse gemeinsam mit Ihrem Team — strukturiert, klar, ohne Interpretationsspielraum. Nach Behebung führen wir einen Re-Test durch, der bestätigt, dass die Pfade tatsächlich geschlossen sind.
Sie bekommen mehr als technische Findings. Sie bekommen einen Bericht, mit dem Sie vor BSI, Versicherung, Auditor und Geschäftsleitung argumentieren können.
Beweise, nicht Annahmen. Pfade, nicht Listen. Klarheit, nicht Rauschen.
Aus den NIS2-Anforderungen und der Realität moderner Bedrohungslagen ergeben sich zwei sinnvolle Einsatzformen.
Ein definierter Pentest-Einsatz mit klarem Scope, Festpreis und Abschlussbericht. Auf Wunsch mit Re-Test nach Behebung. Ohne Subscription, ohne Vertragsbindung.
Typisch als Einstieg, vor einem ersten NIS2-Audit, vor einer Versicherungs-Verlängerung oder nach einer größeren IT-Änderung.
Kontinuierliche autonome Tests in einem mit Ihnen vereinbarten Rhythmus — wöchentlich, monatlich oder nach jeder größeren Änderung. Asset-basiertes Subscription-Modell, jederzeit beendbar.
Geeignet für Organisationen, die NIS2 ernst nehmen — und verstehen, dass „einmal im Jahr“ als Nachweis nicht mehr ausreicht.
Häufiger Verlauf in der Praxis: einmaliger Pentest als Einstieg → Auswertung zeigt offene Pfade → Übergang in die kontinuierliche Subscription. Welche Variante passt, klären wir im Erstgespräch.
Der Pentest erzeugt sensitive Daten: Schwachstellen Ihrer Umgebung, kompromittierte Credentials, ausgenutzte Pfade. Wo diese Daten verarbeitet werden, ist nicht egal.
Pentest-Engine und Auswertung laufen in unserer Umgebung in Deutschland. Keine Hyperscaler-Cloud außerhalb Deutschlands für Pentest-Daten. Ergebnisse, Berichte und Verlauf bleiben in deutschem Recht.
Auftragsverarbeitungsvertrag (AVV) als Standard. Klar definierter Scope, dokumentierte Löschprozesse nach Ende des Engagements, NDA-Standard für jeden Test.
Die Pentest-Engine basiert auf einer bewährten Plattform mit über 100.000 produktiven Tests und Null Downtime-Vorfällen. Eingriffsregeln und Blast-Radius sind vor jedem Test konfiguriert.
AEGYS Pentest ist eine spezifische Antwort auf eine spezifische Frage.
Was er nicht ist, sagen wir genauso klar wie das, was er ist.
AEGYS Pentest läuft autonom — keine Wochen Wartezeit auf einen freien Pentester, keine Tagessätze, die hochlaufen. Wer einen Red-Team-Engagement mit Social Engineering und mehreren Pentestern für ein Großunternehmen sucht, ist bei spezialisierten Boutique-Anbietern besser aufgehoben.
Vulnerability-Scanner produzieren CVE-Listen ohne Beweis der Ausnutzbarkeit. AEGYS Pentest beweist Pfade — Sie wissen, welche der 5.000 theoretischen Schwachstellen tatsächlich gefährlich sind.
Was zwischen den Pentests passiert, sieht der Pentest nicht. Für die kontinuierliche Sicht auf laufende Aktivität gibt es den → AEGYS Monitor.
Der Pentest findet Pfade, blockiert aber keine Angriffe. Schutzmaßnahmen erfordern Firewall, EDR, IPS und Härtungs-Maßnahmen — die der Pentest aufdeckt.
Diese Grenzen sind nicht Schwächen — sie sind die scharfe Definition dessen, was der Pentest leistet. Wer eine andere Aufgabe lösen will, braucht ein anderes Werkzeug.
Bevor wir sprechen: Der NIS2-Check gibt Ihnen in 2 Minuten eine erste Orientierung, ob Ihr Unternehmen betroffen sein dürfte und ob ein Wirksamkeitsnachweis fehlt — anonym, ohne Dateneingabe. Keine Rechtsberatung.
NIS2-Check startenEin 15-minütiges Erstgespräch genügt, um zu klären, was zu Ihrer Situation passt. Wenn wir helfen können, gehen wir den nächsten Schritt gemeinsam. Wenn nicht, sagen wir das ehrlich.
Begleitet von einem Aufsichtsrat aus NATO Digital Capability, KIT-Forschung und Symantec-Threat-Research. Über uns →