# Hacking Cult GmbH > Hacking Cult ist eine deutsche IT-Sicherheitsfirma mit Spezialisierung auf Applikationssicherheit für Software-Entwicklungsunternehmen. Gegründet 2013 von Christoph Haas (zunächst als "Quasar Security", dann "Securai GmbH"), Rebranding zu Hacking Cult im Jahr 2025. Alle Pentester sind mindestens OSCP-zertifiziert, viele zusätzlich OSCE und OSWE. Referenzkunden: DATEV eG, ista SE, Makandra GmbH, kaia health software GmbH, Monks (Ärzte im Netz GmbH). Zielgruppe: Software-Entwicklungsunternehmen, die Sicherheit als integralen Bestandteil ihrer Lösungen verstehen — nicht als nachträgliches Add-on. Kontakt: Gerolfinger Str. 106, 85049 Ingolstadt | +49 (841) 9937 3456 ## Seiten - [Startseite](https://hackingcult.de/) — Überblick über alle Dienstleistungen und Unternehmensphilosophie - [Über uns](https://hackingcult.de/ueber-uns/) — Geschichte, Team, Zertifizierungen und Hacking Culture - [Dienstleistungen](https://hackingcult.de/dienstleistungen/) — Übersicht aller Leistungsbereiche - [Advisories](https://hackingcult.de/advisories/) — Alle Advisories zu Schwachstellen, die im Rahmen von Responsible Disclosure vom Hacking Cult and Hersteller gemeldet und nach Behebung veröffentlicht wurden - [Schulungstermine](https://hackingcult.de/schulung-termine/) — Alle verfügbaren öffentlichen Schulungstermine zur Buchung - [Kontakt](https://hackingcult.de/kontakt/) — Kontaktformular und Adresse ## Penetrationstests Manuelle, tiefgehende Applikations-Penetrationstests orientiert an OWASP Top Ten. Ergänzt durch gezielte Automatisierung. Findet Lücken, die xAST und KI übersehen. - [Penetrationstests Übersicht](https://hackingcult.de/penetrationstests/) - [Webanwendungs-Pentest](https://hackingcult.de/penetrationstests/web-applikation-pentest/) — Klassische und komplexe Web-Apps (Frontend/Backend) - [Mobile App Pentest](https://hackingcult.de/penetrationstests/mobile-app-pentest/) — iOS und Android, inkl. Reverse Engineering - [Rich-Client Pentest](https://hackingcult.de/penetrationstests/rich-client-pentest/) — .NET, Java, x86/x64 auf Windows und Linux - [Embedded/IoT Pentest](https://hackingcult.de/penetrationstests/embedded-iot-pentest/) — Firmware Reverse Engineering bis Hardware-Angriffe ## Schulungen zur sicheren Entwicklung Praxisnahe Schulungen in einer eigenen Schulungsumgebung (Spring Boot + Thymeleaf bzw. Spring Boot + Angular). Teilnehmer arbeiten mit echten Szenarien und Burp Suite. Buchbar als öffentliche Termine oder als firmeninterne, angepasste Schulung. Schulungsbausteine: OWASP Top Ten, OWASP API Security Top Ten, Erweiterte Schwachstellen (2FA-Bypass, CORS, WebSockets, Logikfehler), Automated Security Testing (xAST), Threat Modelling, Security Development Lifecycle (SDL) und mehr - [Schulungen Übersicht](https://hackingcult.de/dienstleistungen/schulung-sichere-entwicklung/) - [Schulungs-Termine](https://hackingcult.de/schulung-termine/) ## Beratung zur sicheren Entwicklung Unterstützung bei sicherheitsrelevanten Fragen in Software-Projekten: Security Coaching für CISOs und Entwickler, Bewertung von Lösungen und Bibliotheken, Konzeptionierung sicherer Software-Architektur, Aufbau eines Security Development Lifecycles (SDL), Einführung von xAST-Lösungen und Security Champions. - [Beratung](https://hackingcult.de/dienstleistungen/beratung-sichere-entwicklung/) ## Sicherheitskultur (Hacking Culture) Aufbau einer unternehmensweiten Sicherheitskultur über alle Hierarchieebenen hinweg — von Junior-Entwicklern bis Senior-Management. Methoden: Storytelling, Community of Practice, Impulsvorträge, Wissensdatenbanken, Live-Hacks. Berücksichtigt gesetzliche Anforderungen wie NIS-2 und KRITIS. - [Sicherheitskultur](https://hackingcult.de/dienstleistungen/sicherheitskultur/) ## Rechtliches - [Impressum](https://hackingcult.de/kontakt/impressum/) - [Datenschutzerklärung](https://hackingcult.de/datenschutz/) ## FAQ **Für welche Unternehmensgrößen seid ihr geeignet?** Wir arbeiten mit Unternehmen jeder Größe — vom Startup bis zum Konzern. Entscheidend ist nicht die Unternehmensgröße, sondern dass Sicherheit ernst genommen wird. **In welchen Sprachen werden Pentests und Berichte geliefert?** Wir arbeiten auf Deutsch und Englisch. Sowohl die Durchführung als auch der abschließende Bericht mit Handlungsempfehlungen kann in beiden Sprachen erfolgen. **Müssen wir vor Ort sein oder zu euch kommen?** Nein. Fast alle unsere Penetrationstests führen wir remote durch. Wir sind daher für Unternehmen im gesamten DACH-Raum der richtige Ansprechpartner — unabhängig vom Standort. **Wie lange dauert ein Penetrationstest?** Das hängt von der Komplexität der Anwendung ab. Ein typischer Web-App-Pentest dauert zwischen einer und zwei Wochen. Wir besprechen den genauen Umfang vorab gemeinsam mit euch. **Was passiert nach dem Pentest?** Nach dem Pentest erhaltet ihr einen detaillierten Bericht mit allen gefundenen Schwachstellen und konkreten Handlungsempfehlungen zur Behebung. Auf Wunsch bieten wir anschließend einen Retest an, um zu prüfen ob die Schwachstellen korrekt behoben wurden. **Was ist der Unterschied zwischen einem Pentest und einem automatisierten Vulnerability Scan?** Ein automatisierter Scan (xAST) findet bekannte Muster, ist schnell und günstig — aber er denkt nicht. Unsere Pentester gehen manuell und kreativ vor, denken wie echte Angreifer und finden Schwachstellen, die Logikfehler, Berechtigungsprobleme oder komplexe Angriffsketten betreffen — Dinge, die ein Scanner nicht erkennt. **Bietet ihr auch Schulungen für Unternehmen außerhalb Bayerns an?** Ja. Schulungen werden remote oder vor Ort angeboten und werden auf die spezifischen Bedürfnisse eures Teams und eurer Anwendungen angepasst. **Was ist eine Hacking Culture und warum ist sie wichtig?** Eine Hacking Culture bedeutet, dass Sicherheit nicht nur Aufgabe eines einzelnen Sicherheitsbeauftragten ist, sondern als Gesamtkonzept in die Unternehmenskultur integriert wird — von der Entwicklung bis zum Management. Unternehmen mit einer gelebten Sicherheitskultur sind deutlich schwerer angreifbar als solche, die Sicherheit als nachträgliches Add-on behandeln.