Pentest ONE — verfügbar
Pentest 365 — verfügbar
Pentest AI  — verfügbare Geräte ab Q3 2026

Echte Pentests.
Von einem echten
Ethical Hacker.

Wie sicher ist Ihre IT wirklich? Ich prüfe Ihre Systeme so, wie ein echter Angreifer es tun würde — methodisch, dokumentiert, persönlich.

Pentest-Pakete ansehen Kostenloses Erstgespräch
0+
Jahre IT-Security
0%
Persönlich, Kein Outsourcing
AT
Daten bleiben in Österreich
01 · Über mich

Kein Konzern.
Kein Sales-Team.
Eine Person, der die Zukunft Ihres Unternehmens am Herzen liegt.

  • NameGregor Franz Graf
  • Tätig seitüber 20 Jahre in der IT
  • SitzHüttendorf, Niederösterreich
  • KundenKMU, Industrie, Verwaltung
  • SprachenDeutsch · Englisch

Mein Name ist Gregor Graf — und seit über zwanzig Jahren ist die IT mein tägliches Handwerk. Vom Helpdesk über Systemadministration bis zum Ethical Hacking.

In jungen Jahren haben wir den Schulserver gehackt, um nicht für Tests lernen zu müssen. Heute setze ich mein Wissen ein, um genau solche Angriffe zu verhindern.

In zwei Jahrzehnten habe ich Netzwerke geplant, installiert und gehärtet, Server und Arbeitsplätze eingerichtet und laufend betreut. Ich habe Mitarbeiter geschult, wie sie Angriffe erkennen und abwehren, in akuten Cyberattacken mit der Exekutive zusammengearbeitet und mir eine Reputation aufgebaut, auf die ich stolz bin. Diese jahrzehntelange Erfahrung ist es, was den Unterschied macht.

Mein Anspruch ist einfach: jedes Unternehmen in Österreich — vom Ein-Personen-Betrieb bis zum gewachsenen Mittelständler — verdient denselben sicherheitstechnischen Standard wie ein Großkonzern. Ohne den Preis eines Großkonzerns. Denn am Ende geht es nicht um Compliance-Häkchen, sondern um Ihre Daten, Ihre Mitarbeiter und Ihre Existenz.

Das ist es, was mich antreibt. Nicht der nächste Quartalsabschluss, sondern die simple Tatsache, dass IT-Sicherheit in Österreich kein Privileg der Großen sein darf. Wenn ich mir Ihre IT ansehe, bekommen Sie keinen Account-Manager oder jemanden, der Ihnen etwas verkaufen will. Sie bekommen einen Ethical Hacker, der seine Leidenschaft zum Beruf gemacht hat.

Ich verkaufe Ihnen keine Sicherheit, nur die Wahrheit.

— Gregor Graf Inhaber · GrafG IT Security
02 · Wer hier wirklich testet

Ein Ansprechpartner —
vom ersten Anruf bis zum letzten Bericht.

Bei großen IT-Unternehmen bekommen Sie ein Angebot vom Verkauf, den Bericht von einem Techniker — und getestet hat ein Berufseinsteiger, den Sie nie sehen werden. Dort geht es um Quantität: möglichst viele Aufträge in möglichst kurzer Zeit, und die Genauigkeit bleibt auf der Strecke. Mein Modell ist das genaue Gegenteil.

Ich teste Ihr Unternehmen selbst. Vom ersten Telefonat über den Test bis zum Reporting und der Übergabe an Ihre IT — eine Person, ein Ansprechpartner, volle Verantwortung. Über 20 Jahre IT-Security, keine Marketingtricks, kein Outsourcing aus Indien.

Das ist nicht nur ehrlicher, es ist auch besser: eine Person, der Sie vertrauen, die mehr Verständnis für Ihre tatsächlichen Risiken hat, ein Bericht den Ihre Techniker auch wirklich umsetzen können — und ein Preis ohne den Overhead-Aufschlag großer Häuser, fair kalkuliert auch für kleinere Betriebe.

  • P/01
    Hands-on statt Hands-off

    Ich klicke mich nicht durch Scanner-Reports. Manuelle Verifikation jeder kritischen Schwachstelle ist Pflicht.

  • P/02
    Berichte, die man lesen kann

    Klartext für die Geschäftsführung, technische Tiefe für die IT — beides im selben Dokument.

  • P/03
    Diskretion, technisch abgesichert

    Verschwiegenheit und Datenschutz stehen an oberster Stelle. Kommunikation und Daten sind verschlüsselt — und werden nur so lange aufbewahrt wie nötig.

  • P/04
    Faire, transparente Preise

    Jedes Unternehmen soll die Möglichkeit haben, sich vor Cyberkriminellen zu schützen — auch mit kleinem Budget.

03 · Drei Wege zur Sicherheit

Vom einmaligen Pentest
bis zur 24/7-KI-Überwachung.

Keine versteckten Kosten, keine endlosen Optionen, die mehr kosten und wenig bringen.
Zusammen finden wir das richtige Maß an Sicherheit für Ihr Unternehmen.

Einmalig

Pentest ONE

2.500 – 10.000 €
Richtpreis für KMU · individuell auf Ihr Unternehmen zugeschnitten

Der klassische Penetrationstest. Einmal sauber durchgeführt, mit priorisiertem Endbericht und persönlicher Ergebnisbesprechung. Ideal vor einem Audit, einer Zertifizierung oder nach einer größeren Umstellung.

  • Scoping-Gespräch & schriftlicher Auftrag
  • Manuelle Tests + automatisiertes Recon
  • Endbericht: Executive Summary + technische Tiefe
  • Persönliche Ergebnisbesprechung
  • Größere Umgebungen auf Anfrage
Pentest ONE anfragen
Beliebt
24/7 vor Ort

Pentest AI

199 € / Monat

Ein kompakter, gehärteter Mini-PC wird bei Ihnen ans Netzwerk angeschlossen. Eine KI-gesteuerte Pentest-Engine prüft Ihre interne Infrastruktur rund um die Uhr — und ich validiere die kritischen Funde manuell.

  • Eigene Hardware, gehärtet & versiegelt
  • 24/7 interne Schwachstellenprüfung
  • KI-gestützte Priorisierung, manuelle Validierung
  • Daten verlassen Ihr Netz nicht unverschlüsselt
  • Monatlicher Statusbericht inklusive
  • Jederzeit monatlich kündbar
Pentest AI anfragen
Monatlich kündbar

Pentest 365

250 – 800 € / Monat
Richtpreis · individuell auf Ihr Unternehmen zugeschnitten

Der Pentest auf das ganze Jahr verteilt — kontinuierlich, mit monatlichem Kurzbericht. Sicherheit wird zur Routine, nicht zum Einzelereignis. Sie sehen, wie sich Ihre Angriffsfläche tatsächlich entwickelt.

  • 12 Monate kontinuierliches Testen
  • Monatlicher Statusbericht & Trendansicht
  • Sofortmeldung bei kritischen Funden
  • Quartalsweise Strategiegespräche
  • Jederzeit monatlich kündbar
  • Skaliert mit Ihrer Umgebung
Pentest 365 anfragen

Sie zahlen nur, was Sie wirklich brauchen.

Pentest ONE und Pentest 365 werden individuell auf Ihr Unternehmen zugeschnitten — auf Ihre Systeme, Ihre Risiken, Ihre Compliance-Anforderungen. Die angegebenen Beträge sind Richtpreise; der endgültige Preis ergibt sich aus dem gemeinsam definierten Scope, nicht aus einem fixen Paket. Größere Umgebungen, Konzerne und Spezial-Scopes auf Anfrage.

Alle Preise zzgl. USt.

04 · Pentest AI

Ein KI-Sicherheits­mit­arbeiter.
Für 199 € im Monat.

Pentest AI ist die Antwort für Unternehmen, die kein Budget für einen herkömmlichen Pentest haben. Die KI übernimmt das, was am längsten dauert — das stundenlange Suchen nach Schwachstellen. Ich prüfe jeden ernst zu nehmenden Befund persönlich, bevor er bei Ihnen als Alarm ankommt. Sicherheitsniveau, das früher nur Konzerne hatten.
Endlich auch für KMU leistbar.

01 KI-Agent vor Ort, speziell trainiert

Ein gehärteter Mini-PC kommt zu Ihnen ins Netzwerk. Darauf läuft ein KI-Agent, der speziell für Pentesting trainiert wurde — und exakt die Tools und Methoden verwendet, die auch ein menschlicher Pentester einsetzt. Rund um die Uhr.

02 Pseudonymisierte Gegenprüfung in der EU

Findet der Agent etwas, wird der Befund pseudonymisiert und an eine zweite, unabhängige KI auf Servern in der EU geschickt. Die bewertet den Fund unabhängig und filtert False-Positives heraus — bevor Sie überhaupt etwas davon hören.

03 Ich prüfe jeden ernst zu nehmenden Befund

Was die zweite KI als ernst einstuft, landet bei mir zur manuellen Verifikation. Bei kritischen Funden melde ich mich sofort persönlich — kein automatischer Alarm-Spam, kein Dashboard, das mitten in der Nacht piept.

04 Monatlicher Klartext-Bericht

Einmal pro Monat erhalten Sie einen verständlichen Bericht: was gescannt wurde, was gefunden, was eingestuft wurde, was zu tun ist. Ein Dokument, das auch die Geschäftsführung versteht.

Warum eine KI für IT-Sicherheit

  • Pentest 24/7

    Während Mitarbeiter Feierabend haben, läuft der Agent weiter. Genau dann, wenn auch die Angreifer scannen.

  • Minuten statt Monate

    Neue CVEs treffen Sie nicht erst beim nächsten Audit. Sobald ein Exploit veröffentlicht wird, beginnt der Agent zu prüfen.

  • DSGVO-konform & lokal

    Der Agent verarbeitet Ihre Schwachstellen lokal in Ihrem Netzwerk. Die pseudonymisierte KI-Gegenprüfung läuft auf Servern in der EU — keine US-Cloud, keine Daten verlassen die EU.

  • Endlich auch für KMU leistbar

    Für 199 €/Monat kann jedes Unternehmen etwas für seine IT-Sicherheit tun. Monatlich kündbar.

Kapazitätshinweis

Pro Quartal sind die Hardware-Stückzahlen begrenzt. Bei Interesse jetzt unverbindlich melden, um Ihren Mini-PC zu sichern.

Komplettpaket 199 € / Monat inkl. Hardware und Installation vor Ort · monatlich kündbar · keine Mindestlaufzeit
Pentest AI anfragen
05 · Mitarbeiterschulungen

Ihre stärkste Sicherheitsmaßnahme
sitzt vor dem Bildschirm.

Ihre Mitarbeiter sind das beste Frühwarnsystem, das Sie haben — wenn sie wissen, wonach sie schauen sollen.

Gruppen-Workshop

Workshop für alle Mitarbeiter

99 € / Mitarbeiter
  • 3 Stunden Workshop, Theorie + Live-Beispiele
  • Vor Ort in Ihrem Meeting- oder Seminarraum
  • Oder externer Seminarraum (Miete trägt der Kunde)
  • Beispiel: 20 Mitarbeiter = 1.980 €
Persönliche Schulung

Direkt am Arbeitsplatz

199 € / Mitarbeiter
  • 1–2 Stunden pro Person
  • Am echten Gerät des Mitarbeiters
  • Intensiver Lerneffekt, persönliche Fragen
  • Alle Mitarbeiter oder gestaffelt nach Rolle

Mengenrabatt für größere Gruppen und Wiederholungsschulungen.

Was vermittelt wird

  • Phishing-Mails erkennen — die perfiden Tricks, die Cyberkriminelle wirklich anwenden
  • Phishing-Calls: "Hier IT-Support, Ihr PC ist infiziert…"
  • Gefälschte Webseiten identifizieren, bevor Zugangsdaten eingegeben werden
  • SMS- & QR-Code-Phishing: manipulierte SMS, gefälschte QR-Codes am Parkautomaten oder im Lokal
  • CEO-Fraud & Fake-Rechnungen — gefälschte Mails vom "Chef" oder Lieferanten mit dringender Zahlungsaufforderung
  • Gefälschte WLANs (Evil Twin): "Free_Hotel_WiFi" und wie Angreifer in öffentlichen Hotspots Daten abgreifen
  • Tailgating & unbefugte Besucher — wer im Gang ist, gehört noch lange nicht ins Haus
  • Mobile Sicherheit unterwegs: Bildschirmsperre, Schultersurfer, Diebstahl von Laptop & Handy
  • Alltag absichern: sichere Passwörter, MFA, fremde USB-Sticks, Social Engineering
  • Verhalten im Ernstfall — was tun bei Verdacht auf Schadsoftware am PC
06 · So läuft ein Pentest ab

Sechs Schritte, ein Ergebnis:
verständliche Sicherheit.

Hier ist der reale Ablauf — vom ersten Anruf bis zur Übergabe an Ihre IT.

SCHRITT 01
Kostenloses Erstgespräch

Unverbindlich, meist 30–45 Minuten. Wir klären, was Sie schützen wollen, welche Systeme im Spiel sind, welche Compliance-Treiber (NIS2, DSGVO, ISO 27001, Cyber-Versicherung) eine Rolle spielen.

SCHRITT 02
Scoping & Angebot

Klare Definition der Ziele, Systeme, Test-Tiefe und Methodik (Black-/Grey-/White-Box). Sie erhalten ein schriftliches Angebot mit Fixpreis oder Tagessatz-Rahmen — kein „je nach Aufwand“ in offener Spanne.

SCHRITT 03
NDA, Auftrag & Berechtigung

Vertraulichkeitsvereinbarung und schriftliche Test-Genehmigung („Get out of jail“-Letter). Notfall-Kontakte werden definiert, damit Ihr SOC oder Provider beim Test nicht ins Leere greift.

SCHRITT 04
Aufklärung & Recon

Passive und aktive Informationsbeschaffung: welche Systeme sind sichtbar, welche Services laufen, welche Personen- und Domain-Informationen sind öffentlich. Hier beginnt der eigentliche Pentest.

SCHRITT 05
Tests & Exploitation

Schwachstellen werden systematisch identifiziert, manuell verifiziert und — wo sinnvoll und vertraglich gedeckt — kontrolliert ausgenutzt. Ziel: nachweisbare Auswirkung, nicht nur theoretische Möglichkeit.

SCHRITT 06
Endbericht & Übergabe

Schriftlicher Bericht mit Executive Summary, priorisierten Findings (CVSS + Geschäftskontext), konkreten Handlungsempfehlungen und Reproduktionsschritten. Persönliche Übergabe in Ihrem Haus oder per Call.

07 · Warum überhaupt

KMU sind das bevorzugte Ziel.
Sie haben nur weniger Zeit es zu merken.

Die Realität ist unbequem: Angriffe auf kleine und mittlere Unternehmen passieren täglich, oft hoch automatisiert. Ein Pentest deckt die Lücken auf, bevor jemand anderer sie findet.

0%
Erfolgsquote

rund 60 % aller erfolgreichen Cyber-Angriffe treffen KMU — nicht trotz, sondern wegen ihrer Größe.

0 Tage
Unentdeckt

durchschnittliche Zeit, bis ein Einbruch entdeckt wird. 200 Tage, in denen Daten abfließen können.

0k
Schaden im Schnitt

mittlerer Gesamtschaden eines Sicherheitsvorfalls in einem österreichischen KMU — Pentests kosten einen Bruchteil davon.

0%
Persönlich

Ihr Pentest wird vollständig von mir durchgeführt. Kein Outsourcing, kein wechselnder Techniker, kein „delivery team aus Übersee“.

Wofür Sie sich rüsten

Die Bedrohung ist nicht „irgendwann”. Sie ist täglich, automatisiert und nimmt Sie nicht persönlich. Ein Pentest ist die einzige Methode, die zeigt, ob Ihre Maßnahmen wirklich greifen — bevor jemand sie für Sie testet.

Heutige Angriffe sind industriell organisiert. Spezialisierte Gruppen scannen das gesamte Internet rund um die Uhr nach verwertbaren Lücken — eine offene VPN-Box, ein vergessener Testserver, eine veraltete Authentifizierung. Die Auswahl der Opfer ist meist nicht gezielt, sondern schlicht eine Frage der Sichtbarkeit.

Gerade KMU sind beliebte Ziele: genug wirtschaftlicher Wert für eine Erpressung, aber selten die Sicherheitsstruktur eines Konzerns. Ein automatisierter Scanner stellt keine Frage nach Mitarbeiterzahl oder Branche — er prüft nur, ob ein bekannter Exploit funktioniert.

Klassische Maßnahmen — Firewall, Virenschutz, ein bisschen MFA — geben das Gefühl von Sicherheit. Ein Pentest liefert den Beweis. Er ist die einzige Maßnahme, die Ihnen die konkrete Antwort auf die einfachste Frage gibt: „Lässt sich unser System tatsächlich kompromittieren — und wenn ja, wie?”

Erst aus dieser Antwort entsteht ein realistisches Sicherheitskonzept. Alles andere ist Vermutung — und im Ernstfall ein teurer Beweis dafür, dass Hoffnung keine Strategie ist.

  • Ransomware-Stillstand Verschlüsselte Systeme, lahmgelegter Betrieb, Erpressung — und im Hintergrund läuft die Uhr für Meldungen.
  • Datenabfluss & Erpressung „Double Extortion“: Daten werden vor der Verschlüsselung kopiert. Eine Sicherung allein hilft nicht mehr.
  • Identitätsdiebstahl & Login-Übernahme M365-Tenants ohne MFA, geleakte Passwörter, kompromittierte Mailkonten in CEO-Fraud.
  • Compliance-Druck NIS2, DSGVO, Cyber-Versicherungen — alle verlangen den Nachweis, dass Sie Ihre Sicherheit aktiv prüfen.
  • Mitarbeiter als Einfallstor Phishing ist nach wie vor Angriffsvektor Nummer eins. Eine einzige unbedachte E-Mail genügt.
  • Schatten-IT & Altsysteme Vergessene Server, alte VPN-Boxen, ungepatchte Geräte am Rand des Netzes — das klassische Einstiegstor.
08 · DSGVO & NIS2

Sie müssen nicht alles können.
Aber Sie müssen es nachweisen.

Mit dem österreichischen NISG 2026 wird IT-Sicherheit ab 1. Oktober 2026 für tausende Unternehmen keine Empfehlung mehr sein — sondern ein gesetzlich verankerter Auftrag mit persönlicher Haftung der Geschäftsführung. Die DSGVO verlangt seit Jahren den „Stand der Technik". Ein Pentest ist eine der wenigen Methoden, diesen Nachweis tatsächlich zu erbringen — und nicht nur zu behaupten.

FAKT 01

Pflicht statt Empfehlung

NIS2 trifft in Österreich nicht nur Konzerne. Auch viele mittelständische Unternehmen aus 18 Sektoren — Industrie, Energie, Gesundheit, Verwaltung, digitale Dienste — fallen darunter. Die Geschäftsführung haftet persönlich für mangelnde Sicherheits­maßnahmen.

FAKT 02

Verifizieren statt vertrauen

Ihr IT-Dienstleister meint es gut. Aber wissen Sie wirklich, ob die getroffenen Maßnahmen greifen? Ein Pentest ist die einzige Methode, die Wirksamkeit Ihrer Sicherheits­architektur zu prüfen — statt sie nur zu vermuten.

FAKT 03

Schriftlicher Nachweis

Vor der Datenschutz­behörde, vor einer Aufsichts­behörde, vor Ihrem Cyber-Versicherer: Ein datierter Pentest-Bericht ist der direkteste Beleg, dass Sie „Stand der Technik" aktiv umsetzen — technisch und rechtlich verwertbar.

Egal ob Pentest ONE, Pentest 365 oder Pentest AI: jeder Auftrag endet mit einem strukturierten, schriftlichen Bericht. Genau der Nachweis, den Sie bei Behörden, Wirtschafts­prüfern oder Cyber-Versicherern brauchen.

Nachweis für meine Compliance anfragen

  • Ein Penetrationstest ist ein simulierter, kontrollierter Angriff auf Ihre IT — durchgeführt von einem autorisierten Spezialisten, der versucht, mit denselben Methoden wie ein echter Angreifer in Ihre Systeme einzudringen. Ziel ist nicht der Schaden, sondern der Beweis: Welche Schwachstellen gibt es wirklich, wie kritisch sind sie, und wie schließt man sie?

  • Genau deshalb. Großkonzerne haben SOCs und Sicherheitsteams; KMU haben oft nur die IT-Verantwortliche, die auch noch das Drucker-Problem löst. Angreifer scannen automatisiert — sie suchen nicht nach „großen Zielen“, sondern nach einfachen Zielen. Ein Pentest zeigt Ihnen, wo Sie aktuell unter dieser Schwelle liegen.

  • Ein Schwachstellen-Scan ist ein automatisiertes Tool, das bekannte Lücken anhand von Signaturen erkennt — mit hoher Quote an Falsch-Positiven und ohne Kontext. Ein Pentest geht weiter: ein Mensch verifiziert jede Schwachstelle, kombiniert sie mit anderen Funden zu einer realistischen Angriffskette und bewertet sie im Kontext Ihres Geschäfts.

  • Je nach Umfang typischerweise zwischen 3 und 15 Arbeitstagen für die aktive Testphase, plus Berichtserstellung. Eine kleine Webanwendung kann in einer Woche getestet sein, eine komplette interne Infrastruktur eines KMU braucht eher zwei bis drei. Sie bekommen vorab eine realistische Schätzung — keine Mondrechnung.

  • Im Normalfall nicht — wir wählen das Vorgehen so, dass produktive Systeme nicht beeinträchtigt werden. Aggressive Tests werden vorab abgestimmt, oft auf Wartungsfenster gelegt, und es gibt jederzeit einen Notfall-Kontakt, der den Test sofort stoppen kann.

  • Praktisch alles, was Sie betreiben: Webseiten und Webanwendungen, externe und interne Netzwerke, Active Directory, Cloud-Umgebungen (M365, Azure, AWS), WLAN, mobile Apps, APIs, Industriesteuerungen, physische Sicherheit und Mitarbeiter (Social Engineering / Phishing). Was getestet wird, entscheiden Sie.

  • Black-Box: Ich weiß nur, wer Sie sind — wie ein externer Angreifer. Grey-Box: Ich erhalte begrenzte Infos, z. B. einen Standard-User-Zugang. Realistischer Mitarbeiter- oder kompromittierter-Account-Angriff. White-Box: Ich erhalte vollen Einblick (Dokumentation, ggf. Quellcode). Maximale Tiefe in minimaler Zeit. Meist wird Grey-Box gewählt — das beste Verhältnis aus Realismus und Effizienz.

  • Faustregel: mindestens einmal jährlich sowie nach jeder größeren Änderung (neues System, neue Web-App, Cloud-Migration, M&A). Mit Pentest 365 oder Pentest AI wird daraus ein kontinuierlicher Prozess — so wie sich Ihre IT auch kontinuierlich verändert.

  • Eine Executive Summary für die Geschäftsführung (verständlich, ohne Fachchinesisch), eine Risiko-Übersicht mit Priorisierung, sowie für jede Schwachstelle: technische Beschreibung, CVSS-Bewertung, Reproduktionsschritte, betroffene Systeme und konkrete Behebungsempfehlungen — keine generischen Lehrbuchsätze, sondern Umsetzbares.

  • Die Behebung selbst übernimmt in der Regel Ihre interne IT oder Ihr Dienstleister — Sie kennen Ihre Systeme. Ich unterstütze Sie aber bei Bedarf konsiliarisch: Empfehlungen, Workarounds, Reviews der vorgeschlagenen Lösungen.

  • Pentest ONE für KMU liegt typischerweise zwischen 2.500 € und 10.000 € — je nach Umfang. Pentest 365 startet bei 250 € monatlich und liegt bis 800 € für mittelgroße Umgebungen. Pentest AI kostet pauschal 199 € pro Monat (inkl. Hardware und Installation vor Ort). Größere Umgebungen oder Konzernscopes auf Anfrage. Alle Preise zzgl. USt.

  • Pentests werden mit großer Sorgfalt durchgeführt, dennoch ist das Restrisiko in keinem realistischen Szenario null. Deshalb: schriftliche Auftragserteilung mit klar abgestecktem Scope, definierter Notfall-Kontakt, abgestimmte Zeitfenster, und eine Berufshaftpflichtversicherung im Hintergrund.

  • Ja — sofern Sie als Eigentümer/Betreiber der Systeme ihn schriftlich beauftragt haben. Ohne explizite Autorisierung wäre dieselbe Tätigkeit eine Straftat. Deshalb gibt es bei jedem Auftrag einen sogenannten „Authorization Letter“, der den Scope und die Berechtigung dokumentiert.

  • NIS2 fordert regelmäßige Wirksamkeitsprüfungen — Pentests sind dafür ein anerkanntes Mittel. DSGVO verlangt „Stand der Technik“ — auch hier ist ein Pentest ein üblicher Nachweis. ISO 27001 (A.8.8 / A.8.29) verlangt technische Schwachstellen-Tests. Cyber-Versicherer fragen es ebenfalls ab. Kurz: ja, mit hoher Wahrscheinlichkeit relevant.

  • Auf verschlüsselten Arbeitssystemen in Österreich. Keine US-Cloud, kein „Drittländer-Transfer“, keine Indizierung durch Drittdienste. Nach Projektabschluss werden Findings je nach Vereinbarung sicher archiviert oder gelöscht — Sie entscheiden.

  • Selbstverständlich — und vertraglich (NDA) abgesichert. Es werden keine Referenzen ohne Ihre ausdrückliche Freigabe gezeigt, keine Details an Dritte weitergegeben und keine „anonymisierten Auszüge“ ohne Zustimmung in Vorträgen oder Marketingmaterial verwendet.

  • Ein klassischer Pentest ist eine Momentaufnahme — Ihre IT verändert sich aber jeden Tag. Pentest 365 verteilt das Testen über das ganze Jahr: jeden Monat ein anderer Schwerpunkt, monatliche Kurzberichte, Sofortmeldung bei kritischen Funden. So bleibt Sicherheit aktuell statt einmal jährlich „abgehakt“.

  • Nicht „besser“, sondern anders: rund um die Uhr, immer im internen Netz, immer auf dem aktuellen Stand. Die KI findet neue Lücken sofort nach Veröffentlichung und priorisiert sie. Manuelle Tests sind tiefer und kreativer — deshalb validiere ich die kritischen Funde persönlich. Pentest AI ersetzt manuelle Tests nicht, es ergänzt sie.

  • Ja, und für viele KMU ist genau das die beste Kombination: Pentest AI deckt die kontinuierliche interne Sicht ab, Pentest 365 ergänzt die kreative menschliche Perspektive von außen. Auf Wunsch erstelle ich Ihnen ein kombiniertes Angebot mit Paket-Konditionen.

  • Ja. Beide Modelle sind monatlich kündbar, ohne Mindestlaufzeit über den laufenden Monat hinaus. Wenn es nicht passt, ist es nicht das richtige Modell — dann finden wir gemeinsam etwas Passenderes oder beenden die Zusammenarbeit fair.

  • Das Gerät ist gehärtet und vollständig verschlüsselt. Es kommuniziert ausschließlich über verschlüsselte, signierte Verbindungen mit meinem System. Daten werden lokal verarbeitet; nur stark reduzierte, anonymisierte Telemetrie verlässt Ihr Netz.

  • Nein. Es genügt eine Ansprechperson, die Zugänge bereitstellen und Rückfragen beantworten kann — oft ist das Ihr IT-Dienstleister. Für die Behebung der Findings hilft natürlich technisches Know-how; ich begleite den Prozess aber gerne.

  • Kritische Funde werden sofort gemeldet — nicht erst im Endbericht. Sie erhalten umgehend eine klare Beschreibung der Lücke, der Ausnutzbarkeit und eine Sofort-Empfehlung zur Eindämmung, damit Sie reagieren können, bevor jemand anderer es tut.

  • Ja. Gezielte Phishing-Simulationen mit nachgelagerter Awareness-Schulung lassen sich sowohl als einmaliges Modul als auch als Baustein in Pentest 365 buchen. Ziel ist nicht, Mitarbeiter zu blamieren, sondern Reaktionsmuster messbar zu verbessern.

  • Eine Kombination aus etablierten Industriestandards (OWASP Testing Guide, OSSTMM, PTES, MITRE ATT&CK) und bewährter Tooling-Auswahl — von klassischem Recon (Nmap, Recon-ng) über Web-Tests (Burp Suite Pro, ZAP), interne Tests (BloodHound, Impacket, CrackMapExec) bis zu spezifischen Custom-Scripts. Tool ≠ Pentest: entscheidend ist die Methodik und die manuelle Verifikation.

  • Mit einer wichtigen Unterscheidung: die Plattform selbst — also Microsofts, Googles oder Amazons eigene Infrastruktur — testet niemand. Die gehört den Providern und ist deren Sache. Was wir sehr wohl testen können (und sollten), ist Ihre Konfiguration und Nutzung dieser Plattformen: M365-Tenant-Härtung (Conditional Access, Entra ID, Exchange Online), Azure- und AWS-Accounts, IAM-Richtlinien, exponierte Storage-Buckets, fehlgeleitete Berechtigungen — und natürlich Ihre eigenen Anwendungen, die in der Cloud betrieben werden. Die Provider haben dafür eigene „Rules of Engagement" (z. B. Microsoft Cloud Penetration Testing Rules, AWS Customer Support Policy for Penetration Testing) — die halten wir strikt ein. Kurz: die Cloud testen wir nicht. Die Art, wie Sie darin agieren, schon.

  • MFA ist die Basis — aber bei weitem nicht alles. Moderne Angriffe umgehen sie inzwischen routinemäßig. Bei einem M365- und Entra-ID-Pentest prüfe ich deshalb das vollständige Identity-Bild: Conditional-Access-Lücken (Legacy-Auth-Fenster, Break-Glass-Konten ohne MFA, zu offene Service-Accounts), Token-Diebstahl und Session-Hijacking (mit Tools wie evilginx wird MFA in Echtzeit umgangen — wir simulieren das in kontrollierten Phishing-Szenarien), OAuth-Consent-Phishing (ein einziger Klick gibt einer bösartigen App vollen Zugriff auf Mail, OneDrive und Teams — komplett ohne MFA-Bypass), Service Principals und App-Registrierungen (häufig vergessen, oft zu privilegiert, beliebter Persistence-Pfad nach einem ersten Einbruch), Privileged Identity (Wer hat Global Admin? Wer kann sich selbst dazu machen? Wie viele inaktive Admin-Konten schlummern noch im Tenant?) sowie die Mailbox- und Sharing-Konfiguration (externe Auto-Forwards, geteilte Postfächer ohne Audit, öffentliche SharePoint-Links, vergessene Gast-Zugänge). Die meisten erfolgreichen Cyber-Angriffe auf KMU heute beginnen genau hier — nicht über exotische Zero-Days, sondern über schlecht konfigurierte Identitäten.

  • Direktheit, Preis-Leistung und Verantwortung. Sie sprechen mit der Person, die testet — nicht mit einem Account-Manager. Sie zahlen für die Arbeit, nicht für ein Büro in der Wiener Innenstadt. Und wenn etwas zurückkommt, kommt es zu mir — nicht zu einem Ticketsystem.

10 · Kontakt

Reden wir über
Ihre IT‑Sicherheit.

Ein erstes Gespräch ist immer kostenlos und vertraulich. Sie beschreiben kurz Ihre Umgebung, ich sage Ihnen, welcher Test wirklich Sinn macht — und welcher nicht.

kontakt@grafg.at

Erreichbar

Mo–Fr 09:00–18:00 · Antwort meist innerhalb weniger Stunden

Sitz

GrafG IT Security
Obere Landstraße 116
2130 Hüttendorf, Österreich

PGP-Key auf Anfrage · NDA vor jedem Termin selbstverständlich