Was ist Penetration Testing?
Ein Penetrationstest - kurz Pentest - ist ein kontrollierter, autorisierter Angriff auf ein IT-System. Ziel ist es, Sicherheitslücken zu identifizieren, bevor echte Angreifer sie ausnutzen. Anders als ein automatisierter Schwachstellenscan geht ein Pentest deutlich tiefer: Erfahrene Security-Experten denken und handeln wie ein Angreifer, kombinieren Schwachstellen kreativ und testen, ob sich theoretische Verwundbarkeiten tatsächlich ausnutzen lassen.
Der entscheidende Unterschied zu einem Vulnerability Scan: Ein Scanner findet bekannte Schwachstellen nach einem Katalog. Ein Pentester versteht Zusammenhänge, entdeckt logische Fehler, testet Geschäftsprozesse und findet Angriffspfade, die kein automatisiertes Tool erkennen würde. Der menschliche Faktor macht den Pentest so wertvoll.
Je nach Informationslage des Testers unterscheidet man drei Ansätze:
Black Box Testing
Der Tester erhält keinerlei Vorabinformationen über die Zielumgebung - genau wie ein externer Angreifer. Er beginnt bei Null: öffentlich erreichbare Systeme identifizieren, Angriffsfläche kartieren, Schwachstellen finden und ausnutzen. Dieser Ansatz bildet das realistischste Angriffsszenario ab, ist aber zeitintensiv, weil der Tester erst die Umgebung erkunden muss.
White Box Testing
Der Tester erhält vollständigen Zugang: Netzwerkdiagramme, Quellcode, Konfigurationsdateien, Zugangsdaten und Dokumentation. Das ermöglicht eine gründliche, systematische Prüfung aller Komponenten in kurzer Zeit. White Box Tests decken die meisten Schwachstellen auf, spiegeln aber nicht das Szenario eines externen Angreifers wider.
Grey Box Testing
Der häufigste und oft sinnvollste Ansatz: Der Tester erhält eingeschränkte Informationen - etwa Netzwerkbereiche, Benutzerzugänge oder Architekturdokumentation. Das simuliert einen Angreifer, der bereits einen ersten Zugang erlangt hat oder über Insiderwissen verfügt. Grey Box Tests bieten den besten Kompromiss zwischen Realismus und Effizienz.
| Ansatz | Informationslage | Realismus | Tiefe | Aufwand |
|---|---|---|---|---|
| Black Box | Keine Vorabinfos | Sehr hoch | Mittel | Hoch |
| Grey Box | Teilweise Infos | Hoch | Hoch | Mittel |
| White Box | Voller Zugang | Mittel | Sehr hoch | Mittel |
Wann braucht man einen Pentest?
Ein Penetrationstest ist keine einmalige Pflichtübung, sondern ein wichtiges Instrument im kontinuierlichen Sicherheitsprozess. Es gibt klare Situationen, in denen ein Pentest dringend empfohlen oder sogar vorgeschrieben ist:
Compliance-Anforderungen
Zahlreiche Standards und Regulierungen fordern regelmäßige Pentests. Die ISO 27001 verlangt die regelmäßige Prüfung technischer Schwachstellen. PCI DSS schreibt für alle Unternehmen, die Kreditkartendaten verarbeiten, jährliche Pentests und quartalsmäßige Scans vor. Auch die DSGVO fordert im Artikel 32 „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen Maßnahmen" - ein Pentest ist dafür das Mittel der Wahl. Branchenspezifische Vorgaben wie BAIT für Banken oder KRITIS-Anforderungen für Betreiber kritischer Infrastrukturen verschärfen die Anforderungen zusätzlich.
Neue Systeme und größere Änderungen
Vor dem Go-Live einer neuen Webanwendung, nach einer großen Migration, beim Einführen neuer Cloud-Services oder nach einem umfangreichen Infrastruktur-Umbau sollte immer ein Pentest stattfinden. Neue Systeme bringen neue Angriffsflächen mit. Ein Pentest vor der Produktivnahme verhindert, dass Schwachstellen erst im Live-Betrieb entdeckt werden - dann womöglich von Angreifern.
Regelmäßige Prüfung
Auch ohne konkreten Anlass sollten Pentests in regelmäßigen Abständen durchgeführt werden. Die Bedrohungslandschaft verändert sich ständig: Neue Angriffstechniken, neue CVEs und veränderte Konfigurationen schaffen laufend neue Schwachstellen. Mindestens einmal jährlich für die gesamte Infrastruktur, quartalsweise für kritische Webanwendungen - das ist die Empfehlung führender Sicherheitsorganisationen.
Praxis-Tipp: Ein häufiger Fehler ist, Pentests nur nach einem Sicherheitsvorfall durchzuführen. Dann ist der Schaden bereits entstanden. Proaktive, regelmäßige Pentests sind deutlich kostengünstiger als die Bewältigung eines erfolgreichen Angriffs - die durchschnittlichen Kosten einer Datenschutzverletzung liegen im Mittelstand bei 200.000 bis 500.000 Euro.
Arten von Penetrationstests
Je nach Zielbereich und Methodik gibt es verschiedene Pentest-Typen. Die Wahl hängt davon ab, welche Systeme Sie schützen möchten und welche Bedrohungsszenarien für Ihr Unternehmen relevant sind.
Netzwerk-Pentest
Der Klassiker: Prüfung der Netzwerkinfrastruktur auf Schwachstellen. Extern testet der Pentester alle aus dem Internet erreichbaren Systeme - Firewalls, VPN-Gateways, Webserver, Mailserver. Intern simuliert er einen Angreifer, der bereits im Netzwerk ist - etwa durch einen kompromittierten Arbeitsplatz. Typische Funde: veraltete Firmware, Fehlkonfigurationen, schwache Protokolle, offene Management-Interfaces und unzureichende Netzwerksegmentierung.
Webanwendungs-Pentest
Gezielte Prüfung von Webapplikationen, Portalen, APIs und Online-Shops. Der Tester prüft nach dem OWASP Top 10 Katalog: SQL Injection, Cross-Site Scripting, unsichere Authentifizierung, fehlerhafte Zugriffskontrollen und mehr. Besonders wichtig bei kundenorientierten Anwendungen, die sensible Daten verarbeiten. Moderne Webanwendungen mit komplexen APIs bieten oft mehr Angriffsfläche als klassische Netzwerke.
Social Engineering
Nicht die Technik, sondern der Mensch wird getestet. Phishing-Kampagnen, Pretexting-Anrufe, Tailgating-Versuche oder präparierte USB-Sticks zeigen, wie anfällig Ihre Mitarbeiter für Manipulation sind. Social-Engineering-Tests sind besonders aufschlussreich, weil technische Schutzmaßnahmen hier oft versagen. Die Ergebnisse liefern wertvolle Grundlagen für Security-Awareness-Schulungen.
Physical Penetration Testing
Prüfung der physischen Sicherheit: Kann ein Angreifer unbemerkt ins Gebaude gelangen? Sind Serverräume angemessen gesichert? Lassen sich Zutrittssysteme überwinden? Physical Pentests decken Schwächen in der Gebäude- und Zutrittssicherheit auf, die rein digitale Tests nicht erfassen. Sie sind besonders relevant für Unternehmen mit sensiblen Produktionsumgebungen oder Rechenzentren.
Red Teaming
Die Königsklasse: Ein Red-Team-Engagement ist ein umfassender, mehrwöchiger Angriff, der alle Methoden kombiniert - Netzwerk, Webanwendungen, Social Engineering und physische Sicherheit. Das Ziel ist nicht eine Liste von Schwachstellen, sondern der Nachweis, ob ein motivierter Angreifer ein definiertes Ziel erreichen kann, etwa den Zugriff auf die Geschäftsführungsdaten oder die Produktionssteuerung. Red Teaming testet auch die Erkennung und Reaktionsfähigkeit des internen Security-Teams (Blue Team).
| Pentest-Art | Fokus | Dauer | Empfohlen für |
|---|---|---|---|
| Netzwerk-Pentest | Infrastruktur, Server, Firewalls | 5-15 Tage | Alle Unternehmen |
| Webapp-Pentest | Webanwendungen, APIs | 3-10 Tage | Online-Services, SaaS |
| Social Engineering | Mitarbeiter, Prozesse | 3-7 Tage | Alle Unternehmen |
| Physical Pentest | Gebäude, Zutritt | 2-5 Tage | KRITIS, Rechenzentren |
| Red Teaming | Gesamte Organisation | 3-8 Wochen | Reife Security-Teams |
Der Pentest-Ablauf: Von Scoping bis Reporting
Ein professioneller Penetrationstest folgt einem strukturierten Ablauf. Jede Phase baut auf der vorherigen auf und trägt zum Gesamtergebnis bei.
Phase 1: Scoping und Vorbereitung
Scope definieren
Welche Systeme werden getestet? Was ist explizit ausgeschlossen? Welche Testmethoden sind erlaubt? Ein klarer Scope schützt vor unbeabsichtigten Ausfällen und stellt sicher, dass die richtigen Systeme geprüft werden.
Vertragliches und rechtliches
Die schriftliche Genehmigung (Permission to Test) ist zwingend erforderlich. Ohne sie wäre ein Pentest strafbar. Dazu gehören Vertraulichkeitsvereinbarungen, Haftungsregelungen und Notfallkontakte für den Fall, dass etwas schiefgeht.
Phase 2: Reconnaissance (Aufklärung)
Passive Aufklärung
Sammlung öffentlich verfügbarer Informationen ohne direkten Kontakt zum Zielsystem: DNS-Einträge, WHOIS-Daten, SSL-Zertifikate, Mitarbeiterprofile auf LinkedIn, Code-Repositories, technische Stellenanzeigen. Diese Open-Source-Intelligence (OSINT) liefert oft erstaunlich viele Ansatzpunkte.
Aktive Aufklärung
Direkte Interaktion mit den Zielsystemen: Port-Scans, Service-Erkennung, Betriebssystem-Fingerprinting, Schwachstellen-Scans. In dieser Phase entsteht ein detailliertes Bild der Angriffsfläche.
Phase 3: Exploitation (Angriff)
Schwachstellen ausnutzen
Der Kern des Pentests: Identifizierte Schwachstellen werden gezielt ausgenutzt, um Zugang zu Systemen zu erlangen. Das kann ein SQL-Injection-Angriff auf eine Webanwendung sein, das Ausnutzen einer ungepatchten Software oder das Knacken schwacher Passwörter.
Privilege Escalation und Lateral Movement
Nach dem initialen Zugang versucht der Tester, seine Rechte auszuweiten und sich im Netzwerk auszubreiten. Kann ein normaler Benutzerzugang zum Domain-Admin eskaliert werden? Welche weiteren Systeme sind vom kompromittierten Rechner aus erreichbar?
Phase 4: Reporting
Ausführlicher Bericht
Der Pentest-Bericht ist das wichtigste Ergebnis. Er enthält eine Management-Zusammenfassung für die Geschäftsführung, eine detaillierte technische Beschreibung jeder Schwachstelle, eine Risikobewertung nach CVSS und konkrete Handlungsempfehlungen mit Priorisierung. Ein guter Bericht ist kein reines Schwachstellenprotokoll, sondern ein Fahrplan zur Verbesserung.
Ergebnispräsentation
Ein persönliches Debriefing mit dem IT-Team und der Geschäftsführung. Der Pentester erläutert die kritischsten Findings, beantwortet Fragen und diskutiert die Umsetzung der Empfehlungen. Dieses Gespräch ist oft wertvoller als der schriftliche Bericht allein.
Was kostet ein Pentest?
Die Kosten eines Penetrationstests hängen von Umfang, Komplexität und Methodik ab. Ein einfacher Webapp-Pentest ist deutlich günstiger als ein mehrwöchiges Red-Team-Engagement. Hier eine realistische Orientierung für den deutschen Markt:
| Pentest-Typ | Kosten (ca.) | Dauer | Umfang |
|---|---|---|---|
| Webapp-Pentest | 3.000 - 8.000 Euro | 3-5 Tage | Eine Webanwendung oder API |
| Netzwerk-Pentest | 5.000 - 15.000 Euro | 5-10 Tage | Externe und interne Infrastruktur |
| Social Engineering | 3.000 - 10.000 Euro | 3-7 Tage | Phishing, Vishing, physisch |
| Umfassender Pentest | 10.000 - 25.000 Euro | 10-20 Tage | Netzwerk + Webapp + Social Eng. |
| Red Teaming | 20.000 - 50.000+ Euro | 3-8 Wochen | Gesamte Organisation, alle Methoden |
Tagessätze für erfahrene Pentester liegen in Deutschland typischerweise zwischen 1.200 und 2.000 Euro. Günstigere Angebote sollten kritisch hinterfragt werden: Ein Pentest ist nur so gut wie der Tester, und Expertise hat ihren Preis. Bedenken Sie dabei die Relation: Ein einziger erfolgreicher Ransomware-Angriff kann ein Vielfaches der Pentest-Kosten verursachen.
Kostenoptimierung: Beginnen Sie mit einem fokussierten Pentest auf Ihre kritischsten Systeme. Ein gezielter Webapp-Pentest für 5.000 Euro bringt mehr Sicherheitsgewinn als ein breiter, oberflächlicher Test für 20.000 Euro. Erweitern Sie den Scope dann schrittweise basierend auf den Ergebnissen.
Den richtigen Anbieter finden
Die Qualität eines Pentests steht und fällt mit der Kompetenz des Anbieters. Der Markt ist groß und unübersichtlich, aber es gibt klare Qualitätsmerkmale, auf die Sie achten sollten:
Zertifizierungen der Tester
Relevante Zertifizierungen sind ein wichtiger Qualitätsindikator. Sie garantieren nicht automatisch Qualität, aber sie belegen fundiertes Fachwissen und praktische Erfahrung:
- OSCP (Offensive Security Certified Professional): Der Goldstandard für Pentester. Eine anspruchsvolle, 24-stündige praktische Prüfung, in der reale Systeme kompromittiert werden müssen. OSCP-zertifizierte Tester haben nachgewiesene Hands-on-Fähigkeiten
- CREST (Council of Registered Ethical Security Testers): Internationaler Standard für Pentest-Unternehmen. CREST-zertifizierte Firmen durchlaufen regelmäßige Audits und müssen hohe Qualitätsstandards einhalten
- CEH (Certified Ethical Hacker): Eine breit anerkannte Basis-Zertifizierung. Deckt die theoretischen Grundlagen ab, ist aber weniger praxisorientiert als OSCP
- OSWE, OSCE, OSEP: Spezialisierte Offensive-Security-Zertifizierungen für Webanwendungen, fortgeschrittene Exploitation und Evasion-Techniken
- GPEN, GWAPT (GIAC): Anerkannte SANS-Zertifizierungen für Netzwerk- und Webanwendungs-Pentesting mit solider theoretischer Grundlage
Weitere Auswahlkriterien
Neben Zertifizierungen gibt es weitere entscheidende Faktoren bei der Anbieterwahl:
- Referenzen und Branchenerfahrung: Hat der Anbieter Erfahrung in Ihrer Branche? Ein Pentest für einen Online-Shop erfordert andere Expertise als die Prüfung einer OT-Umgebung in der Fertigung
- Reporting-Qualität: Fragen Sie nach einem Beispielbericht (anonymisiert). Ein guter Report enthält nicht nur Schwachstellen, sondern konkrete, priorisierte Handlungsempfehlungen
- Methodik: Arbeitet der Anbieter nach anerkannten Standards wie OWASP Testing Guide, PTES oder OSSTMM? Eine strukturierte Methodik stellt sicher, dass nichts vergessen wird
- Versicherung und Haftung: Ein seriöser Anbieter hat eine Berufshaftpflichtversicherung, die mögliche Schäden durch den Pentest abdeckt
- Nachbetreuung: Bietet der Anbieter einen kostenlosen Retest nach der Behebung an? Das ist ein Zeichen für Qualitätsbewusstsein und Partnerschaftlichkeit
Warnsignal: Vorsicht bei Anbietern, die einen Pentest für wenige hundert Euro anbieten oder Ergebnisse innerhalb eines Tages versprechen. Das ist kein Pentest, sondern bestenfalls ein automatisierter Scan mit hübschem Report. Ein seriöser Pentest braucht Zeit, Expertise und manuelle Arbeit.
Nach dem Pentest: Findings umsetzen
Der Pentest-Bericht ist kein Selbstzweck. Sein Wert entsteht erst durch die konsequente Umsetzung der Handlungsempfehlungen. Viele Unternehmen machen den Fehler, den Bericht abzuheften und erst beim nächsten Audit wieder hervorzuholen. So verschwenden Sie Ihr Budget.
Priorisierung nach Risiko
Nicht alle Findings müssen sofort behoben werden. Priorisieren Sie nach der CVSS-Bewertung und dem tatsächlichen Geschäftsrisiko. Kritische Schwachstellen mit einfacher Ausnutzbarkeit und hohem Impact zuerst. Ein SQL-Injection-Fehler in der öffentlichen Webanwendung ist dringender als ein fehlender HTTP-Security-Header auf einer internen Testseite.
Maßnahmenplan erstellen
Erstellen Sie für jedes Finding einen konkreten Maßnahmenplan mit Verantwortlichem, Deadline und erwarteter Umsetzungsdauer. Teilen Sie die Findings in drei Kategorien:
- Quick Wins (1-5 Tage): Sofort umsetzbare Maßnahmen wie Konfigurationsänderungen, Patches, Passwort-Resets oder Firewall-Regeln. Oft lassen sich 30-40 Prozent der Findings schnell beheben
- Mittelfristig (1-3 Monate): Maßnahmen, die Planung erfordern - Architektur-Änderungen, neue Sicherheitssysteme, Prozessanpassungen oder Code-Refactoring
- Strategisch (3-12 Monate): Grundlegende Verbesserungen wie Netzwerk-Segmentierung, Zero-Trust-Architektur oder die Einführung eines SIEM-Systems
Retest durchführen
Nach der Umsetzung der wichtigsten Maßnahmen sollte ein Retest erfolgen. Dabei prüft der Pentester gezielt, ob die behobenen Schwachstellen tatsächlich geschlossen sind und ob durch die Änderungen keine neuen Probleme entstanden sind. Viele Pentest-Anbieter bieten Retests zu einem reduzierten Satz an.
Best Practice: Integrieren Sie die Pentest-Ergebnisse in Ihr Schwachstellenmanagement. Tracken Sie den Behebungsstatus in einem Ticket-System und berichten Sie regelmäßig an die Geschäftsführung. Schwachstellen, die nach dem Pentest nicht behoben werden, sind ein größeres Risiko als zuvor - denn jetzt sind sie dokumentiert, und bei einem Vorfall wird die Frage gestellt, warum nichts unternommen wurde.
Fazit: Sicherheit messbar machen
Ein Penetrationstest ist eines der wirksamsten Werkzeuge, um die tatsächliche Sicherheitslage Ihres Unternehmens zu bewerten. Kein Compliance-Audit, kein Schwachstellenscan und keine Selbsteinschätzung liefert so realistische Erkenntnisse wie ein professioneller Pentest. Er zeigt Ihnen nicht nur, wo Ihre Schwachstellen liegen, sondern auch, was ein Angreifer damit tatsächlich anrichten kann.
Die Investition ist überschaubar im Vergleich zu den potenziellen Schäden eines erfolgreichen Angriffs. Ein fokussierter Webapp-Pentest ab 3.000 Euro oder ein Netzwerk-Pentest ab 5.000 Euro kann Sicherheitslücken aufdecken, deren Ausnutzung das Unternehmen Hunderttausende kosten würde.
Entscheidend ist der richtige Ansatz: Wählen Sie einen qualifizierten Anbieter mit nachgewiesener Expertise, definieren Sie einen klaren Scope, und setzen Sie die Ergebnisse konsequent um. Ein Pentest ohne anschließende Maßnahmen ist verschwendetes Geld. Mit konsequenter Nachbereitung hingegen ist er eine der besten Investitionen in Ihre IT-Sicherheit.
Zusammenfassung: Starten Sie mit einer klaren Scope-Definition, wählen Sie den passenden Pentest-Typ für Ihre Anforderungen, achten Sie auf qualifizierte Tester mit anerkannten Zertifizierungen und setzen Sie die Findings konsequent nach Risikopriorisierung um. Planen Sie regelmäßige Wiederholungstests ein, um Ihre Sicherheitslage nachhaltig zu verbessern.
Professioneller Penetrationstest
Wir beraten Sie zur optimalen Pentest-Strategie und vermitteln zertifizierte Experten für Ihre Anforderungen.
Beratung anfragen