Penetrationstest Ablauf und Arten — Koreva eG Pentest

Penetrationstest: Ablauf, Arten und was einen guten Pentest ausmacht

Ein Penetrationstest ist mehr als ein automatischer Scan — er zeigt, was ein echter Angreifer in Ihrem System tatsächlich erreichen würde. So läuft er ab, diese Arten gibt es, und daran erkennen Sie einen guten Test.

Inhaltsverzeichnis

Was ein Penetrationstest ist (und was nicht)

Ein Penetrationstest — kurz Pentest — ist ein autorisierter, kontrollierter Angriff auf Ihre eigenen Systeme. Ein Prüfer versetzt sich in die Rolle eines Angreifers und versucht, mit denselben Techniken und Werkzeugen in ein Netzwerk, eine Anwendung oder ein System einzudringen, die auch echte Kriminelle einsetzen würden. Das Ziel: Sicherheitslücken finden und belegen, bevor jemand anderes sie ausnutzt.

Der entscheidende Unterschied zum echten Angriff liegt im Rahmen. Ein Pentest ist vorab schriftlich beauftragt, im Umfang klar abgegrenzt und wird sauber protokolliert. Am Ende steht kein Schaden, sondern ein Bericht mit konkreten, nach Risiko priorisierten Handlungsempfehlungen. Ein guter Pentest beantwortet nicht die Frage „Haben wir theoretisch verwundbare Software im Einsatz?“, sondern die deutlich wichtigere Frage: „Was würde ein realer Angreifer bei uns tatsächlich erreichen?“

Genauso wichtig ist, was ein Pentest nicht ist. Er ist keine Garantie für vollständige Sicherheit und kein Ersatz für ein durchgängiges Sicherheitskonzept. Er ist immer eine Momentaufnahme: Er bewertet den Zustand zum Testzeitpunkt in dem vereinbarten Umfang. Und er ist kein automatischer Knopfdruck — der Wert entsteht durch die manuelle Analyse und Kreativität des Prüfers, nicht durch das eingesetzte Werkzeug allein.

In der Praxis sehe ich immer wieder, dass Begriffe durcheinandergehen. Ein Anbieter verkauft einen automatisierten Scan als „Penetrationstest“, ein anderer meint mit „Audit“ eine reine Dokumentenprüfung. Bevor wir in den Ablauf einsteigen, lohnt es sich deshalb, diese drei Prüfarten sauber voneinander abzugrenzen.

Pentest vs. Schwachstellenscan vs. Audit

Diese drei Begriffe werden häufig synonym verwendet, meinen aber grundlegend verschiedene Dinge. Wer einen Anbieter beauftragt, sollte genau wissen, welche Leistung er einkauft — sonst zahlt er für einen automatischen Scan den Preis eines vollwertigen Pentests.

Der Schwachstellenscan ist automatisiert. Ein Werkzeug prüft Systeme gegen eine Datenbank bekannter Schwachstellen und liefert eine Liste möglicher Funde. Das ist schnell, günstig und beliebig wiederholbar — ideal als regelmäßige Grundhygiene. Der Nachteil: Der Scanner bewertet nicht, ob eine gefundene Lücke im konkreten Kontext wirklich ausnutzbar ist. Er produziert zwangsläufig Fehlalarme (False Positives) und übersieht alles, was keine bekannte Signatur hat — etwa Logikfehler in einer Anwendung.

Der Penetrationstest geht darüber hinaus. Ein Mensch analysiert, kombiniert einzelne Schwachstellen zu einer Angriffskette, umgeht Schutzmechanismen und weist die tatsächliche Ausnutzbarkeit nach. Der Scan sagt, was theoretisch verwundbar sein könnte; der Pentest zeigt, was ein echter Angreifer praktisch erreichen würde — inklusive bereinigter Fehlalarme und einer Priorisierung nach realem Risiko. Fast jeder Pentest nutzt automatische Scans als einen frühen Baustein, aber der Wert entsteht durch die manuelle Analyse danach.

Das Security-Audit wiederum prüft überwiegend organisatorisch: Richtlinien, Prozesse, Konfigurationsstandards, Berechtigungskonzepte und die Einhaltung von Vorgaben (etwa aus ISO 27001 oder BSI-Grundschutz). Ein Audit fragt „Haben wir die richtigen Regeln und werden sie eingehalten?“, ein Pentest fragt „Halten unsere technischen Schutzmaßnahmen einem echten Angriff stand?“. Die drei Verfahren konkurrieren nicht, sie ergänzen sich: Der Scan liefert die laufende Grundabdeckung, das Audit die organisatorische Sicht, der Pentest den praktischen Angriffsbeweis.

Die 5 Phasen eines Pentests

Ein professioneller Penetrationstest folgt einem strukturierten Ablauf. Die genaue Methodik orientiert sich an etablierten Standards — etwa dem Durchführungskonzept des BSI, dem Penetration Testing Execution Standard (PTES) oder dem OWASP Testing Guide für Webanwendungen. Im Kern lassen sich fünf Phasen unterscheiden.

1. Scoping — Umfang und Regeln festlegen

Am Anfang steht kein einziger Angriff, sondern ein Gespräch. Im Scoping werden Ziel, Umfang, Testtiefe und die Rahmenbedingungen schriftlich vereinbart. Welche Systeme, IP-Bereiche oder Anwendungen gehören dazu — und welche ausdrücklich nicht? Wird von außen oder von innen getestet? Gibt es kritische Produktivsysteme, die nur in einem Wartungsfenster oder gar nicht angetastet werden dürfen?

Genauso wichtig ist die rechtliche Absicherung. Ein Pentest ohne schriftliche Beauftragung ist ein Straftatbestand — die ausdrückliche, schriftliche Genehmigung des Systeminhabers (die sogenannte „Get out of jail free card“) ist zwingend. Hier werden außerdem Notfall-Kontakte, Testzeiträume und Meldewege für kritische Funde festgelegt. Ein sauberes Scoping entscheidet maßgeblich über die Qualität des gesamten Tests: Ist der Umfang zu eng, bleiben reale Risiken unentdeckt; ist er unklar, drohen Missverständnisse und im schlimmsten Fall Ausfälle.

2. Reconnaissance — Informationen sammeln

In der Aufklärungsphase (Reconnaissance) sammelt der Prüfer alles, was über das Ziel in Erfahrung zu bringen ist. Bei der passiven Aufklärung geschieht das ohne direkten Kontakt zum Zielsystem — über öffentliche Quellen wie DNS-Einträge, Zertifikatstransparenz-Logs, Suchmaschinen oder Metadaten (Open Source Intelligence, OSINT). Bei der aktiven Aufklärung tastet er das System direkt ab: Portscans, Dienst- und Versionserkennung, das Erfassen von Technologien und offenen Schnittstellen.

Das Ergebnis ist eine Karte der Angriffsfläche: Welche Dienste laufen, welche Software-Versionen sind im Einsatz, welche Einstiegspunkte existieren? Diese Phase ist oft die zeitaufwendigste — und die, in der sich professionelle Prüfer von automatischen Scannern absetzen. Ein gutes Bild der Umgebung ist die Grundlage für jeden gezielten Angriff.

3. Exploitation — Schwachstellen kontrolliert ausnutzen

Jetzt wird aus der Theorie Praxis. In der Exploitation-Phase versucht der Prüfer, die identifizierten Schwachstellen tatsächlich auszunutzen — kontrolliert und dokumentiert. Ziel ist der Nachweis, dass eine Lücke real ausnutzbar ist und nicht nur ein theoretischer Fund aus einem Scan. Typische Angriffe reichen von der Ausnutzung veralteter Software über Fehlkonfigurationen und schwache Passwörter bis zu Anwendungslücken wie SQL-Injection oder fehlerhafter Zugriffskontrolle.

Häufig gehört auch die Post-Exploitation dazu: Hat der Prüfer einen ersten Zugang erlangt, prüft er, wie weit er von dort aus kommt. Lassen sich höhere Rechte erlangen (Privilege Escalation)? Ist der Sprung auf weitere Systeme möglich (laterale Bewegung)? Genau diese Angriffsketten machen den Unterschied zwischen einer harmlos klingenden Einzellücke und einem realen Totalkompromiss deutlich. Ein seriöser Prüfer arbeitet dabei mit größter Vorsicht, um Produktivsysteme nicht zu beschädigen — die im Scoping vereinbarten Grenzen sind hier bindend.

4. Reporting — Befunde dokumentieren

Der Bericht ist das eigentliche Produkt eines Pentests — nicht der Angriff selbst. Jeder Fund wird nachvollziehbar dokumentiert: mit Beschreibung, Schweregrad, technischem Nachweis (Proof of Concept), betroffenen Systemen und einer konkreten Handlungsempfehlung. Die Bewertung des Schweregrads erfolgt üblicherweise nach einem etablierten Schema wie CVSS, damit die Priorisierung objektiv nachvollziehbar bleibt.

Ein guter Report bedient zwei Zielgruppen: eine knappe Management Summary für Entscheider, die das Geschäftsrisiko ohne Fachjargon verständlich macht, und einen technischen Teil, mit dem die IT die Lücken gezielt schließen kann. Was ein Report im Detail enthalten sollte, sehen wir uns weiter unten genauer an.

5. Retest — Behebung überprüfen

Der letzte Schritt wird oft vergessen, ist aber entscheidend. Nachdem Ihr Team die Schwachstellen behoben hat, prüft der Retest, ob die Lücken tatsächlich geschlossen sind — und ob die Korrektur nicht versehentlich neue Probleme geschaffen hat. Erst der bestandene Retest schließt den Kreis und macht aus einer Liste von Funden einen belegbar verbesserten Sicherheitsstand. Seriöse Anbieter planen diesen Retest von vornherein ein.

Arten: Black/White/Grey Box, extern/intern, Web/Netzwerk

„Pentest“ ist ein Sammelbegriff. Welche Art die richtige ist, hängt vom Schutzziel ab. Drei Dimensionen sind wichtig: der Wissensstand des Prüfers, die Perspektive des Angriffs und das getestete Ziel.

Nach Wissensstand — Black, White und Grey Box:

  • Black Box: Der Prüfer kennt nur das, was ein externer Angreifer auch weiß — im Extremfall nur eine URL oder einen Firmennamen. Das ist besonders realitätsnah, kostet aber viel Zeit für die Aufklärung und übersieht eher tief liegende Lücken, weil das Zeitbudget in die Erkundung fließt.
  • White Box: Der Prüfer erhält vollständige Informationen — Quellcode, Architekturdokumentation, Zugangsdaten. Dadurch findet er in derselben Zeit mehr und tiefere Schwachstellen. Diese Variante bietet die höchste Abdeckung pro eingesetztem Aufwand.
  • Grey Box: Der Mittelweg. Der Prüfer bekommt teilweise Informationen, etwa einen regulären Benutzerzugang. Das bildet die Perspektive eines Innentäters oder eines Angreifers mit gestohlenen Zugangsdaten ab und ist in der Praxis oft der beste Kompromiss aus Realitätsnähe und Effizienz.

Nach Perspektive — extern und intern: Ein externer Pentest greift von außen an, so wie ein Angreifer aus dem Internet — Fokus sind öffentlich erreichbare Systeme wie Webserver, VPN-Gateways oder Mailserver. Ein interner Pentest simuliert einen Angreifer, der bereits im Netzwerk ist: ein böswilliger Mitarbeiter, ein kompromittiertes Notebook oder ein Angreifer nach erfolgreichem Phishing. Beide Perspektiven decken unterschiedliche Risiken auf; oft ist gerade der interne Test aufschlussreicher, weil interne Netze historisch schwächer abgesichert sind.

Nach Ziel — Web, Netzwerk und mehr: Der Web-Application-Pentest prüft eine Anwendung gezielt auf Schwachstellen wie fehlerhafte Zugriffskontrolle, Injection-Lücken oder unsichere Sessions — hier ist der OWASP-Ansatz die übliche Grundlage. Der Netzwerk-Pentest nimmt Infrastruktur, Dienste, Segmentierung und Konfigurationen ins Visier. Daneben gibt es spezialisierte Formen für WLAN, Cloud-Umgebungen, mobile Apps, APIs oder Social Engineering. In der Praxis wird der Umfang passend zum Schutzbedarf kombiniert.

Welche Kombination sinnvoll ist und was sie kostet, hängt stark vom Umfang ab — dazu haben wir die wichtigsten Faktoren in unserem Beitrag zu den Kosten eines Penetrationstests zusammengestellt.

Was ein guter Report enthält

Der Bericht ist das, was am Ende bleibt — und der Punkt, an dem sich Qualität am deutlichsten zeigt. Eine reine Werkzeug-Ausgabe mit hunderten unsortierten Zeilen ist kein Pentest-Report. Ein professioneller Bericht enthält mindestens:

  • Management Summary: Eine verständliche Zusammenfassung für Entscheider, die das Geschäftsrisiko ohne Fachjargon einordnet und die wichtigsten Handlungsfelder benennt.
  • Scope und Methodik: Was wurde getestet, was nicht, mit welchem Ansatz (Black/White/Grey Box) und in welchem Zeitraum — damit die Aussagekraft nachvollziehbar bleibt.
  • Einzelbefunde mit Schweregrad: Jede Schwachstelle mit Beschreibung, Risikobewertung (z. B. nach CVSS), betroffenen Systemen und einem nachvollziehbaren Nachweis (Proof of Concept).
  • Konkrete Handlungsempfehlungen: Nicht nur „ist verwundbar“, sondern was genau zu tun ist, um die Lücke zu schließen — technisch präzise und umsetzbar.
  • Priorisierung: Eine klare Reihenfolge nach realem Risiko, damit begrenzte Ressourcen zuerst auf die gefährlichsten Lücken gehen.
  • Bereinigte Fehlalarme: Ein guter Prüfer hat False Positives aussortiert — die verbleibenden Funde sind verifiziert.

Faustregel: Wenn ein Report vor allem aus einem exportierten Scanner-Log besteht und weder Management Summary noch verifizierte Nachweise enthält, haben Sie wahrscheinlich keinen Pentest bekommen, sondern einen automatischen Scan. Der Wert liegt in der menschlichen Einordnung — im Nachweis, in der Priorisierung und in umsetzbaren Empfehlungen.

Ein Penetrationstest ist damit kein einmaliges Häkchen, sondern Teil eines fortlaufenden Sicherheitsprozesses. Er wirkt am besten im Zusammenspiel mit regelmäßigen Scans, sauberer Konfiguration und einem klaren Blick auf die eigene Angriffsfläche — bis hin zur Absicherung der Lieferkette und Zulieferer, die im Rahmen von NIS2 zunehmend an Bedeutung gewinnt. Wenn Sie wissen möchten, wie ein Pentest für Ihre konkrete Umgebung aussehen könnte, sprechen wir gern unverbindlich darüber, welcher Umfang für Ihren Schutzbedarf sinnvoll ist — über unsere Leistung Pentest & Sicherheit oder direkt über das Kontaktformular.

Steffen Huntscha

IT-Berater & Gründungsmitglied · Koreva eG

Cisco-zertifizierter Netzwerk- & Security-Spezialist (CCNA/CCNP, seit 2010), BSI-zertifizierter Security-Risk-Check-Berater. Arbeitet seit Jahren produktiv mit KI — auch lokal auf eigener GPU-Infrastruktur.

Häufige Fragen

Ein Penetrationstest (kurz: Pentest) ist ein autorisierter, kontrollierter Angriff auf ein IT-System, eine Anwendung oder ein Netzwerk mit dem Ziel, Sicherheitslücken zu finden, bevor echte Angreifer sie ausnutzen. Ein Prüfer (Pentester) versetzt sich in die Rolle eines Angreifers und versucht mit denselben Techniken, in das System einzudringen.

Der entscheidende Unterschied zum echten Angriff: Der Pentest ist vorab schriftlich beauftragt, im Umfang klar abgegrenzt und wird sauber dokumentiert. Am Ende steht kein Schaden, sondern ein Bericht mit konkreten, priorisierten Handlungsempfehlungen.

Ein professioneller Pentest durchläuft fünf Phasen: (1) Scoping — Ziele, Umfang, Testtiefe und Rahmenbedingungen werden schriftlich festgelegt. (2) Reconnaissance — der Prüfer sammelt Informationen über das Zielsystem und identifiziert offene Dienste und potenzielle Angriffspunkte. (3) Exploitation — gefundene Schwachstellen werden kontrolliert ausgenutzt, um zu belegen, dass sie real ausnutzbar sind.

(4) Reporting — alle Funde werden mit Schweregrad, Nachweis und Empfehlung dokumentiert. (5) Retest — nach der Behebung wird geprüft, ob die Lücken tatsächlich geschlossen wurden. Der eigentliche Test dauert je nach Umfang typischerweise einige Tage bis wenige Wochen.

Ein Schwachstellenscan ist automatisiert: Ein Werkzeug prüft Systeme gegen eine Datenbank bekannter Schwachstellen und liefert eine Liste möglicher Funde — schnell, günstig und wiederholbar, aber ohne Bewertung, ob eine Lücke im konkreten Kontext wirklich ausnutzbar ist. Ein Penetrationstest geht darüber hinaus: Ein Mensch analysiert, kombiniert Schwachstellen, umgeht Schutzmechanismen und weist die tatsächliche Ausnutzbarkeit nach.

Der Scan zeigt, was theoretisch verwundbar sein könnte; der Pentest zeigt, was ein echter Angreifer praktisch erreichen würde — inklusive Fehlalarm-Bereinigung und Priorisierung nach realem Risiko. Beide ergänzen sich: der Scan als regelmäßige Grundhygiene, der Pentest als tiefere, periodische Prüfung.

Als Faustregel gilt: mindestens einmal jährlich sowie zusätzlich nach jeder wesentlichen Änderung — etwa nach dem Release einer neuen Anwendung, einer Migration, einer größeren Architekturänderung oder der Anbindung neuer Schnittstellen. Der Grund: Ein Pentest ist immer eine Momentaufnahme. Er bewertet den Sicherheitsstand zum Testzeitpunkt; jede spätere Änderung kann neue Lücken schaffen.

Für exponierte oder besonders schützenswerte Systeme sind kürzere Intervalle sinnvoll, ergänzt durch regelmäßige automatische Schwachstellenscans zwischen den Pentests. Zusätzlich können vertragliche oder regulatorische Vorgaben eine bestimmte Prüffrequenz vorschreiben.

Keines ist pauschal besser — die richtige Wahl hängt vom Ziel ab. Beim Black-Box-Test kennt der Prüfer nur das, was ein externer Angreifer auch weiß (z. B. nur eine URL). Das ist realitätsnah, kostet aber Zeit für die Aufklärung und übersieht eher tief liegende Lücken. Beim White-Box-Test erhält der Prüfer vollständige Informationen — Quellcode, Architektur, Zugangsdaten — und findet dadurch mehr und tiefere Schwachstellen pro eingesetztem Aufwand.

Der Grey-Box-Test liegt dazwischen: Der Prüfer bekommt teilweise Informationen, etwa einen regulären Benutzerzugang. In der Praxis ist Grey Box oft der beste Kompromiss aus Realitätsnähe und Effizienz, weil er die Perspektive eines Innentäters oder eines Angreifers mit gestohlenen Zugangsdaten abbildet.

Penetrationstest für Ihre Systeme

Wir prüfen Ihre IT wie ein echter Angreifer — mit klar abgestecktem Umfang, verständlichem Report und Retest. Lassen Sie uns über Ihren Schutzbedarf sprechen.