Inhaltsverzeichnis
Was ein Penetrationstest ist (und was nicht)
Ein Penetrationstest — kurz Pentest — ist ein autorisierter, kontrollierter Angriff auf Ihre eigenen Systeme. Ein Prüfer versetzt sich in die Rolle eines Angreifers und versucht, mit denselben Techniken und Werkzeugen in ein Netzwerk, eine Anwendung oder ein System einzudringen, die auch echte Kriminelle einsetzen würden. Das Ziel: Sicherheitslücken finden und belegen, bevor jemand anderes sie ausnutzt.
Der entscheidende Unterschied zum echten Angriff liegt im Rahmen. Ein Pentest ist vorab schriftlich beauftragt, im Umfang klar abgegrenzt und wird sauber protokolliert. Am Ende steht kein Schaden, sondern ein Bericht mit konkreten, nach Risiko priorisierten Handlungsempfehlungen. Ein guter Pentest beantwortet nicht die Frage „Haben wir theoretisch verwundbare Software im Einsatz?“, sondern die deutlich wichtigere Frage: „Was würde ein realer Angreifer bei uns tatsächlich erreichen?“
Genauso wichtig ist, was ein Pentest nicht ist. Er ist keine Garantie für vollständige Sicherheit und kein Ersatz für ein durchgängiges Sicherheitskonzept. Er ist immer eine Momentaufnahme: Er bewertet den Zustand zum Testzeitpunkt in dem vereinbarten Umfang. Und er ist kein automatischer Knopfdruck — der Wert entsteht durch die manuelle Analyse und Kreativität des Prüfers, nicht durch das eingesetzte Werkzeug allein.
In der Praxis sehe ich immer wieder, dass Begriffe durcheinandergehen. Ein Anbieter verkauft einen automatisierten Scan als „Penetrationstest“, ein anderer meint mit „Audit“ eine reine Dokumentenprüfung. Bevor wir in den Ablauf einsteigen, lohnt es sich deshalb, diese drei Prüfarten sauber voneinander abzugrenzen.
Pentest vs. Schwachstellenscan vs. Audit
Diese drei Begriffe werden häufig synonym verwendet, meinen aber grundlegend verschiedene Dinge. Wer einen Anbieter beauftragt, sollte genau wissen, welche Leistung er einkauft — sonst zahlt er für einen automatischen Scan den Preis eines vollwertigen Pentests.
Der Schwachstellenscan ist automatisiert. Ein Werkzeug prüft Systeme gegen eine Datenbank bekannter Schwachstellen und liefert eine Liste möglicher Funde. Das ist schnell, günstig und beliebig wiederholbar — ideal als regelmäßige Grundhygiene. Der Nachteil: Der Scanner bewertet nicht, ob eine gefundene Lücke im konkreten Kontext wirklich ausnutzbar ist. Er produziert zwangsläufig Fehlalarme (False Positives) und übersieht alles, was keine bekannte Signatur hat — etwa Logikfehler in einer Anwendung.
Der Penetrationstest geht darüber hinaus. Ein Mensch analysiert, kombiniert einzelne Schwachstellen zu einer Angriffskette, umgeht Schutzmechanismen und weist die tatsächliche Ausnutzbarkeit nach. Der Scan sagt, was theoretisch verwundbar sein könnte; der Pentest zeigt, was ein echter Angreifer praktisch erreichen würde — inklusive bereinigter Fehlalarme und einer Priorisierung nach realem Risiko. Fast jeder Pentest nutzt automatische Scans als einen frühen Baustein, aber der Wert entsteht durch die manuelle Analyse danach.
Das Security-Audit wiederum prüft überwiegend organisatorisch: Richtlinien, Prozesse, Konfigurationsstandards, Berechtigungskonzepte und die Einhaltung von Vorgaben (etwa aus ISO 27001 oder BSI-Grundschutz). Ein Audit fragt „Haben wir die richtigen Regeln und werden sie eingehalten?“, ein Pentest fragt „Halten unsere technischen Schutzmaßnahmen einem echten Angriff stand?“. Die drei Verfahren konkurrieren nicht, sie ergänzen sich: Der Scan liefert die laufende Grundabdeckung, das Audit die organisatorische Sicht, der Pentest den praktischen Angriffsbeweis.
Die 5 Phasen eines Pentests
Ein professioneller Penetrationstest folgt einem strukturierten Ablauf. Die genaue Methodik orientiert sich an etablierten Standards — etwa dem Durchführungskonzept des BSI, dem Penetration Testing Execution Standard (PTES) oder dem OWASP Testing Guide für Webanwendungen. Im Kern lassen sich fünf Phasen unterscheiden.
1. Scoping — Umfang und Regeln festlegen
Am Anfang steht kein einziger Angriff, sondern ein Gespräch. Im Scoping werden Ziel, Umfang, Testtiefe und die Rahmenbedingungen schriftlich vereinbart. Welche Systeme, IP-Bereiche oder Anwendungen gehören dazu — und welche ausdrücklich nicht? Wird von außen oder von innen getestet? Gibt es kritische Produktivsysteme, die nur in einem Wartungsfenster oder gar nicht angetastet werden dürfen?
Genauso wichtig ist die rechtliche Absicherung. Ein Pentest ohne schriftliche Beauftragung ist ein Straftatbestand — die ausdrückliche, schriftliche Genehmigung des Systeminhabers (die sogenannte „Get out of jail free card“) ist zwingend. Hier werden außerdem Notfall-Kontakte, Testzeiträume und Meldewege für kritische Funde festgelegt. Ein sauberes Scoping entscheidet maßgeblich über die Qualität des gesamten Tests: Ist der Umfang zu eng, bleiben reale Risiken unentdeckt; ist er unklar, drohen Missverständnisse und im schlimmsten Fall Ausfälle.
2. Reconnaissance — Informationen sammeln
In der Aufklärungsphase (Reconnaissance) sammelt der Prüfer alles, was über das Ziel in Erfahrung zu bringen ist. Bei der passiven Aufklärung geschieht das ohne direkten Kontakt zum Zielsystem — über öffentliche Quellen wie DNS-Einträge, Zertifikatstransparenz-Logs, Suchmaschinen oder Metadaten (Open Source Intelligence, OSINT). Bei der aktiven Aufklärung tastet er das System direkt ab: Portscans, Dienst- und Versionserkennung, das Erfassen von Technologien und offenen Schnittstellen.
Das Ergebnis ist eine Karte der Angriffsfläche: Welche Dienste laufen, welche Software-Versionen sind im Einsatz, welche Einstiegspunkte existieren? Diese Phase ist oft die zeitaufwendigste — und die, in der sich professionelle Prüfer von automatischen Scannern absetzen. Ein gutes Bild der Umgebung ist die Grundlage für jeden gezielten Angriff.
3. Exploitation — Schwachstellen kontrolliert ausnutzen
Jetzt wird aus der Theorie Praxis. In der Exploitation-Phase versucht der Prüfer, die identifizierten Schwachstellen tatsächlich auszunutzen — kontrolliert und dokumentiert. Ziel ist der Nachweis, dass eine Lücke real ausnutzbar ist und nicht nur ein theoretischer Fund aus einem Scan. Typische Angriffe reichen von der Ausnutzung veralteter Software über Fehlkonfigurationen und schwache Passwörter bis zu Anwendungslücken wie SQL-Injection oder fehlerhafter Zugriffskontrolle.
Häufig gehört auch die Post-Exploitation dazu: Hat der Prüfer einen ersten Zugang erlangt, prüft er, wie weit er von dort aus kommt. Lassen sich höhere Rechte erlangen (Privilege Escalation)? Ist der Sprung auf weitere Systeme möglich (laterale Bewegung)? Genau diese Angriffsketten machen den Unterschied zwischen einer harmlos klingenden Einzellücke und einem realen Totalkompromiss deutlich. Ein seriöser Prüfer arbeitet dabei mit größter Vorsicht, um Produktivsysteme nicht zu beschädigen — die im Scoping vereinbarten Grenzen sind hier bindend.
4. Reporting — Befunde dokumentieren
Der Bericht ist das eigentliche Produkt eines Pentests — nicht der Angriff selbst. Jeder Fund wird nachvollziehbar dokumentiert: mit Beschreibung, Schweregrad, technischem Nachweis (Proof of Concept), betroffenen Systemen und einer konkreten Handlungsempfehlung. Die Bewertung des Schweregrads erfolgt üblicherweise nach einem etablierten Schema wie CVSS, damit die Priorisierung objektiv nachvollziehbar bleibt.
Ein guter Report bedient zwei Zielgruppen: eine knappe Management Summary für Entscheider, die das Geschäftsrisiko ohne Fachjargon verständlich macht, und einen technischen Teil, mit dem die IT die Lücken gezielt schließen kann. Was ein Report im Detail enthalten sollte, sehen wir uns weiter unten genauer an.
5. Retest — Behebung überprüfen
Der letzte Schritt wird oft vergessen, ist aber entscheidend. Nachdem Ihr Team die Schwachstellen behoben hat, prüft der Retest, ob die Lücken tatsächlich geschlossen sind — und ob die Korrektur nicht versehentlich neue Probleme geschaffen hat. Erst der bestandene Retest schließt den Kreis und macht aus einer Liste von Funden einen belegbar verbesserten Sicherheitsstand. Seriöse Anbieter planen diesen Retest von vornherein ein.
Arten: Black/White/Grey Box, extern/intern, Web/Netzwerk
„Pentest“ ist ein Sammelbegriff. Welche Art die richtige ist, hängt vom Schutzziel ab. Drei Dimensionen sind wichtig: der Wissensstand des Prüfers, die Perspektive des Angriffs und das getestete Ziel.
Nach Wissensstand — Black, White und Grey Box:
- Black Box: Der Prüfer kennt nur das, was ein externer Angreifer auch weiß — im Extremfall nur eine URL oder einen Firmennamen. Das ist besonders realitätsnah, kostet aber viel Zeit für die Aufklärung und übersieht eher tief liegende Lücken, weil das Zeitbudget in die Erkundung fließt.
- White Box: Der Prüfer erhält vollständige Informationen — Quellcode, Architekturdokumentation, Zugangsdaten. Dadurch findet er in derselben Zeit mehr und tiefere Schwachstellen. Diese Variante bietet die höchste Abdeckung pro eingesetztem Aufwand.
- Grey Box: Der Mittelweg. Der Prüfer bekommt teilweise Informationen, etwa einen regulären Benutzerzugang. Das bildet die Perspektive eines Innentäters oder eines Angreifers mit gestohlenen Zugangsdaten ab und ist in der Praxis oft der beste Kompromiss aus Realitätsnähe und Effizienz.
Nach Perspektive — extern und intern: Ein externer Pentest greift von außen an, so wie ein Angreifer aus dem Internet — Fokus sind öffentlich erreichbare Systeme wie Webserver, VPN-Gateways oder Mailserver. Ein interner Pentest simuliert einen Angreifer, der bereits im Netzwerk ist: ein böswilliger Mitarbeiter, ein kompromittiertes Notebook oder ein Angreifer nach erfolgreichem Phishing. Beide Perspektiven decken unterschiedliche Risiken auf; oft ist gerade der interne Test aufschlussreicher, weil interne Netze historisch schwächer abgesichert sind.
Nach Ziel — Web, Netzwerk und mehr: Der Web-Application-Pentest prüft eine Anwendung gezielt auf Schwachstellen wie fehlerhafte Zugriffskontrolle, Injection-Lücken oder unsichere Sessions — hier ist der OWASP-Ansatz die übliche Grundlage. Der Netzwerk-Pentest nimmt Infrastruktur, Dienste, Segmentierung und Konfigurationen ins Visier. Daneben gibt es spezialisierte Formen für WLAN, Cloud-Umgebungen, mobile Apps, APIs oder Social Engineering. In der Praxis wird der Umfang passend zum Schutzbedarf kombiniert.
Welche Kombination sinnvoll ist und was sie kostet, hängt stark vom Umfang ab — dazu haben wir die wichtigsten Faktoren in unserem Beitrag zu den Kosten eines Penetrationstests zusammengestellt.
Was ein guter Report enthält
Der Bericht ist das, was am Ende bleibt — und der Punkt, an dem sich Qualität am deutlichsten zeigt. Eine reine Werkzeug-Ausgabe mit hunderten unsortierten Zeilen ist kein Pentest-Report. Ein professioneller Bericht enthält mindestens:
- Management Summary: Eine verständliche Zusammenfassung für Entscheider, die das Geschäftsrisiko ohne Fachjargon einordnet und die wichtigsten Handlungsfelder benennt.
- Scope und Methodik: Was wurde getestet, was nicht, mit welchem Ansatz (Black/White/Grey Box) und in welchem Zeitraum — damit die Aussagekraft nachvollziehbar bleibt.
- Einzelbefunde mit Schweregrad: Jede Schwachstelle mit Beschreibung, Risikobewertung (z. B. nach CVSS), betroffenen Systemen und einem nachvollziehbaren Nachweis (Proof of Concept).
- Konkrete Handlungsempfehlungen: Nicht nur „ist verwundbar“, sondern was genau zu tun ist, um die Lücke zu schließen — technisch präzise und umsetzbar.
- Priorisierung: Eine klare Reihenfolge nach realem Risiko, damit begrenzte Ressourcen zuerst auf die gefährlichsten Lücken gehen.
- Bereinigte Fehlalarme: Ein guter Prüfer hat False Positives aussortiert — die verbleibenden Funde sind verifiziert.
Faustregel: Wenn ein Report vor allem aus einem exportierten Scanner-Log besteht und weder Management Summary noch verifizierte Nachweise enthält, haben Sie wahrscheinlich keinen Pentest bekommen, sondern einen automatischen Scan. Der Wert liegt in der menschlichen Einordnung — im Nachweis, in der Priorisierung und in umsetzbaren Empfehlungen.
Ein Penetrationstest ist damit kein einmaliges Häkchen, sondern Teil eines fortlaufenden Sicherheitsprozesses. Er wirkt am besten im Zusammenspiel mit regelmäßigen Scans, sauberer Konfiguration und einem klaren Blick auf die eigene Angriffsfläche — bis hin zur Absicherung der Lieferkette und Zulieferer, die im Rahmen von NIS2 zunehmend an Bedeutung gewinnt. Wenn Sie wissen möchten, wie ein Pentest für Ihre konkrete Umgebung aussehen könnte, sprechen wir gern unverbindlich darüber, welcher Umfang für Ihren Schutzbedarf sinnvoll ist — über unsere Leistung Pentest & Sicherheit oder direkt über das Kontaktformular.

