Ein Penetrationstest (Pentest) ist ein autorisierter, simulierter Angriff auf IT-Systeme, Netzwerke oder Anwendungen. Ziel ist die Identifikation und Bewertung von Sicherheitslücken vor deren Ausnutzung durch echte Angreifer.
Was ist ein Penetrationstest und was bringt er
Ein Penetrationstest ist ein autorisierter, gezielter Angriff auf IT-Systeme durch Sicherheitsexperten (Ethical Hacker). Ziel: Schwachstellen finden und bewerten bevor echte Angreifer es tun. Ergebnis: priorisierten Schwachstellenbericht mit Reproduktionsschritten und Handlungsempfehlungen.
Was ist der Unterschied zwischen Pentest und Vulnerability Scan
Vulnerability Scan: automatisiertes Scanning auf bekannte Schwachstellen (CVEs). Schnell, günstig, aber viele False Positives, keine Ausnutzung. Penetrationstest: manuell, explorativ, versucht Schwachstellen tatsächlich auszunutzen und zu verketten. Kombination empfohlen: Scan für Breite, Pentest für Tiefe.
Welche Arten von Penetrationstests gibt es
Nach Umfang: Netzwerk-Pentest, Webanwendungs-Pentest, Mobile-App-Test, Social-Engineering-Test, physischer Pentest. Nach Informationsstand: Black-Box (keine Vorkenntnisse), Grey-Box (teilweise Informationen), White-Box (vollständige Dokumentation). Nach Persistenz: klassischer Pentest, Red Team Exercise (über Wochen).
Wie läuft ein Penetrationstest ab
Phase 1 Auftragsklärung: Scope, Ziele, Ausschlussliste, rechtliche Freigabe. Phase 2 Reconnaissance: öffentliche Informationen sammeln. Phase 3 Scanning: aktive Aufklärung, Port-Scans. Phase 4 Exploitation: Schwachstellen ausnutzen. Phase 5 Post-Exploitation: wie weit kommt man nach erstem Zugang? Phase 6 Reporting: strukturierter Bericht.
Wie werden Schwachstellen im Pentest bewertet
CVSS (Common Vulnerability Scoring System): 0–10. 0–3.9: niedrig. 4–6.9: mittel. 7–8.9: hoch. 9–10: kritisch. Faktoren: Angriffskomplexität, erforderliche Rechte, Nutzerinteraktion, Auswirkung auf Vertraulichkeit/Integrität/Verfügbarkeit. CVSS ist Standard in professionellen Pentests.
Welche Standards gibt es für Penetrationstests
PTES (Penetration Testing Execution Standard): umfassender Prozessstandard. OSSTMM (Open Source Security Testing Methodology Manual): methodisches Framework. OWASP Testing Guide: für Webanwendungen. BSI Leitfaden Penetrationstest. TIBER-EU: für Finanzsektor. ISO 27001 Annex A.8.8: Schwachstellenmanagement empfiehlt Pentests.
✓ Checkliste: Was ist ein Penetrationstest?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Das Thema Was ist ein Penetrationstest? ist für moderne Unternehmen unverzichtbar. Es schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen bei Kunden und Partnern. APASEC unterstützt Sie dabei — von der ersten Analyse bis zur nachhaltigen Umsetzung.
APASEC unterstützt Sie bei der professionellen Umsetzung — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
Ein Penetrationstest ist ein autorisierter, gezielter Angriff auf IT-Systeme durch Sicherheitsexperten (Ethical Hacker). Ziel: Schwachstellen finden und bewerten bevor echte Angreifer es tun. Ergebnis: priorisierten Schwachstellenbericht mit Reproduktionsschritten und Handlungsempfehlungen.
Vulnerability Scan: automatisiertes Scanning auf bekannte Schwachstellen (CVEs). Schnell, günstig, aber viele False Positives, keine Ausnutzung. Penetrationstest: manuell, explorativ, versucht Schwachstellen tatsächlich auszunutzen und zu verketten. Kombination empfohlen: Scan für Breite, Pentest für Tiefe.
Nach Umfang: Netzwerk-Pentest, Webanwendungs-Pentest, Mobile-App-Test, Social-Engineering-Test, physischer Pentest. Nach Informationsstand: Black-Box (keine Vorkenntnisse), Grey-Box (teilweise Informationen), White-Box (vollständige Dokumentation). Nach Persistenz: klassischer Pentest, Red Team Exercise (über Wochen).
Phase 1 Auftragsklärung: Scope, Ziele, Ausschlussliste, rechtliche Freigabe. Phase 2 Reconnaissance: öffentliche Informationen sammeln. Phase 3 Scanning: aktive Aufklärung, Port-Scans. Phase 4 Exploitation: Schwachstellen ausnutzen. Phase 5 Post-Exploitation: wie weit kommt man nach erstem Zugang? Phase 6 Reporting: strukturierter Bericht.
CVSS (Common Vulnerability Scoring System): 0–10. 0–3.9: niedrig. 4–6.9: mittel. 7–8.9: hoch. 9–10: kritisch. Faktoren: Angriffskomplexität, erforderliche Rechte, Nutzerinteraktion, Auswirkung auf Vertraulichkeit/Integrität/Verfügbarkeit. CVSS ist Standard in professionellen Pentests.
PTES (Penetration Testing Execution Standard): umfassender Prozessstandard. OSSTMM (Open Source Security Testing Methodology Manual): methodisches Framework. OWASP Testing Guide: für Webanwendungen. BSI Leitfaden Penetrationstest. TIBER-EU: für Finanzsektor. ISO 27001 Annex A.8.8: Schwachstellenmanagement empfiehlt Pentests.
Regelmäßig: jährlich für kritische Systeme. Anlassbezogen: nach wesentlichen Infrastrukturänderungen, vor Produktivsetzung neuer Systeme, nach Sicherheitsvorfällen, vor ISO-27001-Zertifizierung, bei Anforderung durch Kunden oder Regulatoren. NIS2 und DORA empfehlen regelmäßige Tests.
Netzwerk-Pentest (KMU): 5.000–15.000 €. Webanwendungs-Pentest: 5.000–20.000 €. Red Team Exercise: 30.000–100.000 €. Faktoren: Scope, Komplexität, Anbieter. Qualitätsmerkmale: manuelles Testen, erfahrene Tester (OSCP, CREST), professioneller Report. Günstige Anbieter nutzen oft nur automatisierte Tools.
Pentest-Report enthält: Executive Summary (für GF), technische Findings (für IT), Risikobewertung je Finding, Reproduktionsschritte, Handlungsempfehlungen. Umgang: kritische/hohe Findings sofort eskalieren, Maßnahmenplan erstellen, Behebung priorisieren, Retest nach Behebung. Report ist vertraulich — enthält Angriffswissen.
Empfehlung: kritische Systeme/Infrastruktur jährlich, Webanwendungen bei jeder wesentlichen Änderung, nach Sicherheitsvorfällen, vor Produktivsetzung. Regulatorische Anforderungen: DORA schreibt TLPT (Threat-Led Penetration Testing) alle 3 Jahre vor. ISO 27001: empfiehlt regelmäßige Schwachstellentests.
Schriftliche Genehmigung ist zwingend: ohne Genehmigung ist ein Pentest eine Straftat (§ 202a StGB). Scope klar definieren: welche Systeme, IP-Adressen, Uhrzeiten. Drittparteien einbeziehen: Hosting-Provider, Cloud-Anbieter informieren. NDA vereinbaren. Test-Koordination mit IT-Betrieb um Produktionsausfälle zu vermeiden.