Penetrationstest: Der komplette Guide für Unternehmen [2026]

Hackerangriffe sind längst keine abstrakte Bedrohung mehr - sie treffen Unternehmen jeder Größe, in jeder Branche. Die Frage ist nicht ob, sondern wann. Ein Penetrationstest hilft Ihnen, Ihre Systeme aus der Perspektive eines Angreifers zu sehen - bevor ein echter Angreifer es tut.

Dieser Guide fasst alles Wesentliche zusammen: Was ein Penetrationstest ist, welche Arten es gibt, wie der Ablauf aussieht, was er kostet und wie Sie den richtigen Anbieter finden.

---

1. Was ist ein Penetrationstest?

Ein Penetrationstest (kurz: Pentest) ist ein organisierter, gezielter und genehmigter Angriffsversuch auf IT-Systeme mit dem Ziel, das IT-Sicherheitsniveau langfristig zu erhöhen. Dabei dringen ausgebildete Sicherheitsexperten - sogenannte White-Hat-Hacker oder ethische Hacker - kontrolliert in Netzwerke, Anwendungen oder Infrastrukturen ein, um Schwachstellen zu finden, bevor echte Angreifer sie ausnutzen können.

Das Ergebnis ist kein einfacher Scan-Output, sondern der Nachweis tatsächlicher Ausnutzbarkeit: Ein guter Pentest zeigt nicht nur, dass eine Schwachstelle existiert, sondern demonstriert, was ein Angreifer damit anrichten könnte - bis hin zur vollständigen Systemübernahme oder zum Zugriff auf Kundendaten.

Was ein Pentest leistet

Mit einem Penetrationstest lassen sich Schwachstellen in vernetzten Informationssystemen finden, analysieren und schließen - von Konfigurationsfehlern über fehlende Patches bis hin zu unbekannten Sicherheitslücken. Die Ergebnisse werden in einem Report dokumentiert, der Findings nach Kritikalität priorisiert und konkrete Handlungsempfehlungen enthält.

Ein Pentest ist immer eine Momentaufnahme. Auch ein Test ohne Findings bedeutet nicht, dass ein System frei von Schwachstellen ist. Regelmäßige Untersuchungen helfen jedoch, das Sicherheitsniveau kontinuierlich zu steigern.

Wann sollten Unternehmen einen Penetrationstest beauftragen?

• Regelmäßig, mindestens jährlich - Pflicht für ISO 27001 und NIS2
• Vor dem Launch neuer Anwendungen oder nach größeren Codeänderungen
• Nach Sicherheitsvorfällen (Post-Breach Assessment)
• Für Compliance-Anforderungen: PCI-DSS, BSI IT-Grundschutz, KRITIS, DORA
• Zur Kontrolle externer IT-Dienstleister
• Vor oder nach einer Zertifizierung

Rechtliche Grundlagen: Der Hackerparagraph

Ein Penetrationstest ist juristisch ein beauftragter Angriff auf eigene Systeme. Der sogenannte „Hackerparagraph” (§§ 202a-202c StGB) stellt unbefugtes Eindringen in Computersysteme unter Strafe - auch für Pentester, wenn keine Genehmigung vorliegt.

Die Lösung ist eine schriftliche Genehmigungsvereinbarung (nach Unterzeichnung eines NDA), die explizit die Erlaubnis erteilt, die vereinbarten Systeme anzugreifen. Bei Cloud-Systemen müssen zusätzlich die Pentest-Richtlinien des Cloud-Anbieters beachtet werden: AWS erlaubt Tests auf EC2, RDS, CloudFront und anderen Diensten, verbietet aber DoS-Tests und Port-Flooding. Azure verlangt die Akzeptanz der Microsoft Rules of Engagement.

---

2. Penetrationstest vs. Schwachstellenscan vs. Red Teaming

Diese drei Begriffe werden häufig verwechselt. Sie unterscheiden sich fundamental in Aufwand, Ergebnissen und Aussagewert.

Schwachstellenscan

Ein Schwachstellenscan ist ein automatisierter Prozess. Werkzeuge wie Nessus, OpenVAS, Qualys oder Rapid7 InsightVM verbinden sich mit Systemen, prüfen Versionen und Konfigurationen gegen eine Datenbank bekannter Schwachstellen und liefern eine priorisierte Liste mit CVEs und CVSS-Scores.

Stärken: Schnell, kosteneffizient, gut skalierbar, ideal für kontinuierliche Baseline-Messung und wöchentliche Scans.

Schwächen: Viele False Positives (gemeldete Schwachstellen sind oft nicht ausnutzbar), viele False Negatives (Logikfehler und Authentifizierungsschwächen werden nicht erkannt), kein Angriffspfad, kein Business-Kontext.

Das Ergebnis ist eine Liste - keine Geschichte, kein „was könnte wirklich passieren”.

Penetrationstest

Ein Penetrationstest ist manuelle Arbeit qualifizierter Experten, unterstützt durch Werkzeuge, aber gelenkt durch menschliches Urteilsvermögen. Was einen Pentest ausmacht:

• Exploitation statt nur Detektion: Der Pentester nutzt gefundene Schwachstellen wirklich aus und beweist damit ihre Ausnutzbarkeit.
• Kreative Kombination: Ein erfahrener Pentester kombiniert eine mittelschwere Schwachstelle mit einer schwachen Passwortkonfiguration und einer übermäßigen Berechtigung - und gelangt so zu einer kritischen Ressource, die ein Scanner nie als gefährdet markiert hätte.
• Laterale Bewegung: Nach initialem Zugang versucht der Pentester, sich ins Netzwerk auszubreiten - genau wie ein echter Angreifer.
• Business-Kontext: Ein guter Pentest bewertet Risiken danach, was wirklich schützenswert ist.

Red Teaming

Red Teaming geht über den klassischen Pentest hinaus. Beim Red Teaming simuliert ein Team reale Angreifer, die möglichst unerkannt bleiben und gezielt nur eine einzige kritische Schwachstelle suchen, um ein definiertes Ziel zu erreichen. Der entscheidende Unterschied: Red Teaming testet die Erkennungs- und Reaktionsfähigkeit des Sicherheitsteams, nicht die Vollständigkeit gefundener Lücken.

Mit einer Dauer von rund einem Monat (versus zwei Wochen beim Pentest) eignet sich Red Teaming vorrangig für Unternehmen, die Pentests bereits regelmäßig durchführen.

Vergleichsübersicht

	Schwachstellenscan	Penetrationstest	Red Teaming
Durchführung	Automatisiert	Manuelle Experten-Arbeit	Hochspezialisiertes Team
Dauer	Stunden bis Tage	Tage bis Wochen	Wochen bis Monate
Kosten	€500-€5.000	€5.000-€50.000+	€25.000-€100.000+
Nachweis	Potenzielle Schwachstellen	Bewiesene Ausnutzbarkeit	Zielerreichung + Reaktionstest
Angriffspfade	Nein	Ja	Ja (zielorientiert)
Compliance	Schwachstellenmanagement	Pentest-Pflicht (NIS2, PCI DSS)	Fortgeschrittene Anforderungen

---

3. Arten von Penetrationstests

Penetrationstests unterscheiden sich nicht nur nach Testziel, sondern auch nach dem Informationsstand des Testers.

Black Box, Gray Box und White Box

Black Box: Der Tester hat keinerlei Informationen und simuliert einen externen Angreifer. Realistisch, aber ineffizient - viel Zeit fließt in Reconnaissance. Für einen ersten Test wird Black Box nicht empfohlen: teuer bei geringer Tiefe. Richtig, wenn Sie wissen wollen, wie wahrscheinlich es ist, dass ein unabhängiger Angreifer Ihre Systeme erfolgreich angreift.

Gray Box (empfohlen): Der Tester erhält Basisinformationen wie API-Dokumentation und einen Benutzeraccount. Diese Balance aus Realismus und Effizienz führt in kürzerer Zeit zu mehr Findings. Der Großteil professioneller Pentests wird als Gray-Box-Test durchgeführt.

White Box: Der Tester erhält vollständige Informationen inklusive Quellcode und Architektur. Die günstigste Option mit der größten Tiefe - findet Schwachstellen, die Black-Box-Tests übersehen. Ideal für Code Reviews und Integration in einen sicheren SDLC.

Testziele

Web-Applikationen: Prüfung auf OWASP-Top-10-Schwachstellen wie SQL-Injection, Cross-Site-Scripting (XSS), IDOR, Server-Side Template Injection. Sowohl authentifizierte als auch unauthentifizierte Tests möglich. Produktionssystem bietet höchsten Realitätsbezug, Staging-System reduziert das Risiko von Ausfällen. → Web-Applikationen testen lassen

Netzwerk und Infrastruktur: Interne Netzwerke (erfordert VPN-Zugang), DMZ mit öffentlich erreichbaren Servern, WLAN-Sicherheitstests, VoIP. Angreifer versuchen, sich lateral zu bewegen und auf sensitive Ressourcen wie Active Directory zuzugreifen. → Netzwerk-Infrastruktur prüfen

Mobile Apps: iOS und Android, Prüfung auf unsichere Datenspeicherung, Kommunikation und Authentifizierung.

APIs: REST-APIs, GraphQL, SOAP sowie Mobile App Backends.

Cloud: AWS-, Azure- und GCP-Konfigurationen, Container-Umgebungen wie Kubernetes. Kein Infrastruktur-Test des Cloud-Anbieters selbst.

OT/IoT: Industrielle Steueranlagen, vernetzte Geräte - von Gesundheitsanwendungen bis zu Küchengeräten. Erfordert spezialisiertes Know-how und erhöhte Tagessätze.

Authentifizierungsebenen

Ein unauthentizierter Test zeigt, was ein externer Angreifer ohne Login sieht. Ein authentizierter Test mit einem Benutzeraccount deckt Post-Login-Schwachstellen auf. Ein privilegierter Test mit Admin-Account zeigt, was ein Insider anrichten kann.

---

4. Der PTES-Standard und Ablauf eines Pentests

Der Penetration Testing Execution Standard (PTES) ist das wichtigste Rahmenwerk für die Durchführung professioneller Penetrationstests. Er gliedert jeden Test in 7 Phasen und schafft damit Vergleichbarkeit zwischen Anbietern.

Phase 1: Pre-Engagement Interactions (Vorbereitung)

Scope-Definition, Vertragsabschluss, NDA, Genehmigungsvereinbarung. In dieser Phase wird festgelegt, welche Systeme getestet werden, welche ausgeschlossen sind, welcher Zeitraum gilt und wer die Notfallkontakte sind. Das Whitelisting der statischen IP-Adresse des Pentest-Anbieters erfolgt ebenfalls hier.

Phase 2: Intelligence Gathering (Informationsbeschaffung / OSINT)

Die OSINT-Phase sammelt öffentlich verfügbare Informationen über das Zielunternehmen. Automatisierte Tools beschleunigen die Recherche, die Ergebnisse werden von Experten bewertet. Auf Basis gewonnener Informationen werden häufig Passwortangriffe auf Mitarbeiter-Accounts vorbereitet.

Phase 3: Threat Modeling (Gefahrenanalyse)

Simulation eines Hackers: Welche Angriffswege sind realistisch? Welche Ziele sind für einen Angreifer besonders attraktiv? Die Ergebnisse werden organisiert und systematisch erfasst.

Phase 4: Vulnerability Analysis (Schwachstellenanalyse)

Kombination aus automatisierten Scans und manueller Prüfung. Nicht nur bekannte CVEs, sondern auch Logikfehler, Konfigurationsprobleme und anwendungsspezifische Schwachstellen. Ausgewählte Schwachstellen werden für die nächste Phase priorisiert.

Phase 5: Exploitation (Ausnutzung)

In dieser Phase wird der Proof-of-Concept erbracht: Der Pentester nutzt Schwachstellen tatsächlich aus und beweist ihre Wirksamkeit. „Mögliche RCE-Schwachstelle” wird zu „Wir haben Shell auf dem Server - hier ist der Screenshot.”

Beispiele für typische Angriffe:

SQL-Injection: Klassische Datenbankschwachstelle, bei der Eingaben direkt in SQL-Queries einfließen. Das Aufdecken einer SQL-Injection ist kritisch - die Datenbank kann manipuliert, gelöscht oder ausgelesen werden, alle drei IT-Schutzziele werden gebrochen.

Cross-Site-Scripting (XSS): Angreifer bringen JavaScript auf der Webseite zur Ausführung. Drei Varianten: Stored (persistent gespeichert), Reflected (durch Benutzereingabe) und DOM-Based (ohne Serverbeteiligung).

Phase 6: Post-Exploitation

Nach erfolgreicher Kompromittierung: Ausweitung von Rechten, laterale Bewegung, Datenextraktion (ohne echten Schaden anzurichten). Diese Phase zeigt, welche Möglichkeiten ein Angreifer im internen Netz hätte - zum Beispiel Zugriff auf alle Kundendaten vom kompromittierten Workstation aus.

Phase 7: Reporting (Berichterstattung)

Alle Findings werden dokumentiert. Ein professioneller Pentest-Bericht enthält:

1. Management Summary - Risikoeinschätzung auf einer Seite, ohne Technikjargon
2. Technische Findings - Jede Schwachstelle mit CVSS-Score, Nachweis (Screenshot, PoC), Risikobewertung und Handlungsempfehlung
3. Angriffspfade - Visualisierung: Wie wäre ein Angreifer vorgegangen?
4. Priorisierung - Kritisch/Hoch/Mittel/Niedrig mit Empfehlung nach Aufwand/Wirkung
5. Compliance-Mapping - Welche Findings adressieren welche regulatorischen Anforderungen
6. Retest-Angebot - Verifizierung der Behebung

---

5. Ethical Hacking - Rechtliche und ethische Grundlagen

Was ist ein ethischer Hacker?

Ein ethischer Hacker ist das Gegenteil eines bösartigen Hackers. Im Englischen unterscheidet man zwischen White-Hat-Hacker (ethisch, im Auftrag) und Black-Hat-Hacker (kriminell, mit Schadensabsicht). Der White-Hat-Hacker ist kein Eindringling, der Böses will, sondern ein Forscher, der nach Problemen sucht.

Wichtig: Ethisches Hacking ist nicht automatisch dasselbe wie ein Penetrationstest. Ein ethischer Hacker zu sein beschreibt eine Grundhaltung, ein Pentester zu sein beschreibt eine Tätigkeit. Ein Penetrationstest erfordert immer beides: die ethische Grundhaltung und die fachliche Qualifikation.

Penetrationstest-Ethik in der Praxis

Ethische Hacker setzen alles daran, dass aus einem kontrollierten Test keine unerwünschten Konsequenzen entstehen. Fehler beim Pentest können neue Schwachstellen erzeugen statt bestehende zu schließen. Deshalb ist Penetrationstest-Ethik nicht nur eine Frage der Absichten, sondern auch des gewissenhaften Arbeitens:

• Ausschließlich mit ausdrücklicher, schriftlicher Erlaubnis agieren
• Vollständige Transparenz gegenüber dem Auftraggeber - jeder Schritt wird dokumentiert
• Kenntnis der eingesetzten Tools und ihrer Risiken - ein Tool ist wie ein Schraubenzieher: Es hilft, ersetzt aber nicht das Fachwissen des Technikers
• Sofortige Eskalation bei kritischen Findings wie Produktionsdaten-Zugriff oder vollständiger Systemübernahme

Das BSI hat einen Leitfaden für die Durchführung von Penetrationstests veröffentlicht, an dem sich professionelle Anbieter orientieren.

---

6. Was kostet ein Penetrationstest?

Die Frage nach den Kosten ist häufig die erste - und lässt sich nicht pauschal beantworten. Der Preis hängt von Scope, Testtiefe, Qualifikation der Tester und dem notwendigen Know-how ab.

Preisranges in Deutschland (2026)

Leistung	Preisrange
Web App (klein, 5-10 Seiten, eine Rolle)	3.000-8.000 €
Web App (mittelgroß, mehrere Rollen, API)	8.000-20.000 €
Web App (komplex, SPA, APIs)	15.000-50.000 €
Netzwerk intern (bis 50 Hosts)	5.000-12.000 €
Netzwerk intern (bis 200 Hosts)	10.000-25.000 €
Netzwerk extern (DMZ + Internet)	3.000-8.000 €
Mobile App (iOS oder Android)	5.000-15.000 €
Cloud-Konfiguration	5.000-20.000 €
Red Team Assessment	25.000-100.000 €+

Von einem Penetrationstest kann ab dem Einsatz von mindestens zwei Testtagen ausgegangen werden. Bei branchenüblichen Tagessätzen ab 1.000 EUR sind Kosten von mindestens 2.000 EUR netto einzuplanen. Spezialisierte Pentester für seltene Programmiersprachen, kritische Steuer- und Industrieanlagen oder Tests auf Live-Systemen können Tagessätze von bis zu 1.800 EUR erreichen.

Was den Preis bestimmt

• Scope - Größe und Komplexität der zu testenden Systeme
• Kritikalität der Daten - Systeme, deren Ausfall oder Kompromittierung existenzbedrohend wäre, erfordern ein höheres Testbudget
• Testtiefe - automatisiert unterstützt vs. vollständig manuell
• Qualifikation der Tester - zertifizierte Experten mit nachweisbarer Erfahrung
• Retest - Verifizierung behobener Findings inklusive oder separat berechnet
• Zeitrahmen - Expresslieferung kostet mehr

Faustregel für die Budgetplanung

Je nach Kritikalität der Anwendung wird empfohlen, einen bestimmten Prozentsatz der Entwicklungsmanntage für die Sicherheitsüberprüfung aufzubringen:

• Kritikalität sehr hoch: ±15% der Manntage der Systementwicklung
• Kritikalität hoch: ±10% der Manntage der Systementwicklung
• Kritikalität mittel: 5-10% der Manntage der Systementwicklung
• Kritikalität niedrig: 1-5% der Manntage der Systementwicklung

Regelmäßig durchgeführte Penetrationstests können auch dazu beitragen, dass die Prämien für eine Cyber-Versicherung sinken.

---

7. Pentest as a Service vs. einmaliger Pentest

Einmaliger Pentest

Der klassische Pentest ist ein zeitlich begrenztes Projekt: Scope-Definition, Durchführung, Bericht, Retest. Mindestens einmal jährlich ist für ISO 27001 und NIS2 der Standard. Für viele Unternehmen ist das der richtige Einstieg.

Pentest as a Service (PaaS)

Pentest as a Service löst den klassischen Einmal-Jahres-Pentest durch monatliche oder quartalsweise Sicherheitstests ab. Das Modell eignet sich besonders für Unternehmen, die Software oder digitale Produkte entwickeln und kontinuierlichen Schutz benötigen.

PaaS deckt vier Angriffsszenarien systematisch ab:

1. Angriffe von Außentätern: Hacker versuchen von außen auf interne Ressourcen zuzugreifen
2. Angriffe von Innentätern: Wie hoch ist der Schaden, wenn ein Angreifer die erste Barriere überwunden hat?
3. Angriffe auf die Infrastruktur: Wie viele Systeme findet ein Krimineller und was sind mögliche Angriffswege?
4. Angriffe auf Anwendungen: Verhält sich die Anwendung so wie erwartet - Cookie-Handling, Dateneingabe, Upload?

Wirtschaftliche Betrachtung: Die monatliche Pauschale fällt wirtschaftlich geringer aus als ein nachträglicher Wiederherstellungsprozess nach einem erfolgreichen Angriff. Im Grunde amortisiert sich ein Pentest schneller als er bezahlt ist - vorausgesetzt, gefundene Lücken werden auch tatsächlich geschlossen.

Wann was wählen?

Einmaliger Pentest wenn: Budget begrenzt ist, erstmalig getestet wird, ein konkreter Anlass besteht (Launch, Compliance-Audit), die Infrastruktur sich selten ändert.

Pentest as a Service wenn: Continuous Development stattfindet, regulatorische Anforderungen häufige Tests fordern, Software-Sicherheit ein permanentes Qualitätskriterium ist, das interne Know-how für kontinuierliches Security-Testing fehlt.

---

8. Automatisierung im Pentesting

Immer wieder ist von automatisierten Pentests die Rede. Was können sie - und was nicht?

Was automatisierte Tools leisten

Pentest-Tools sind eine willkommene Arbeitserleichterung. Bei der Informationsbeschaffung (OSINT), beim Portscanning (nmap), beim Schwachstellenscan (Nessus, OpenVAS) und bei der Verwaltung von Exploits (Metasploit Framework) beschleunigen automatisierte Werkzeuge die Arbeit erheblich.

Ein Pentest-Tool ist wie der Schraubenzieher eines Mechanikers: Er hilft bei der Arbeit, ersetzt aber nicht das Fachwissen des Technikers, der die richtige Schraube überhaupt erst findet.

Was automatisierte Pentests nicht können

Die vollautomatisierte Durchführung eines Penetrationstests ist keinem Anbieter zuverlässig gelungen. Die hohe Anzahl an False Positives macht es schwierig, korrekte Erkenntnisse abzuleiten. Entscheidender: Automatisierte Tools können nicht auf unerwartete Ereignisse oder individuelle Konfigurationen reagieren, keine kreativen Angriffspfade durch Kombination mehrerer Schwachstellen entwickeln und keine Bewertung im Business-Kontext vornehmen.

Für Compliance-relevante Anforderungen durch externe Stellen sind automatisierte Tools per Definition nicht ausreichend.

Das AWARE7-Ansatz-Modell

Phase 1 - Scan: Automatisierter Schwachstellenscan liefert Baseline. Pentester kennen das „low-hanging fruit”.

Phase 2 - Pentest: Manuelle Exploitation, kreative Angriffspfade, laterale Bewegung, Business-Impact-Nachweis.

Phase 3 - Bericht: Priorisierte Findings mit CVSS-Score, Nachweis der Ausnutzbarkeit, Schadenspotenzial und konkrete Handlungsempfehlungen.

Phase 4 - Retest: Nach Behebung der kritischen Findings werden diese erneut geprüft.

---

9. Den richtigen Pentest-Anbieter finden

Zertifizierungen als Gütezeichen

Nicht alle Pentest-Zertifizierungen sind gleichwertig:

OSCP (OffSec Certified Professional): Eine 24-Stunden-Prüfung ohne Multiple Choice. Jeder OSCP hat aktiv Systeme gehackt - diese Zertifizierung ist die anerkannte Grundqualifikation im Markt.

OSCE3 (OffSec Experienced Penetration Tester): Ein fortgeschrittenes Bundle aus OSEP, OSED und OSWE. Sehr selten, sehr hohes Niveau.

CREST (Council of Registered Ethical Security Testers): UK-zentriert, bei KRITIS-Kunden empfohlen und BSI-Anforderung für KRITIS-Pentests.

CEH (Certified Ethical Hacker): Multiple-Choice-basiert, weniger angesehen. Kein Nachweis praktischer Fähigkeiten.

GPEN (GIAC Penetration Tester): Multiple Choice mit praktischer Prüfung, anerkannt besonders in den USA.

Wichtige Fragen an potenzielle Anbieter

• „Welche Zertifizierungen haben Ihre Tester?”
• „Wer führt den Test durch - nicht wer verkauft ihn?”
• „Wie viele Pentests hat dieser Tester in den letzten 12 Monaten gemacht?”
• „Haben Sie Erfahrung mit unserer spezifischen Technologie (Java/Rails/Azure)?”
• „Können Sie einen anonymisierten Beispielbericht zeigen?”

Statische IP-Adresse - ein unterschätztes Qualitätsmerkmal

Wer professionelle Penetrationstests anbietet, sollte über eine oder mehrere offizielle, statische IP-Adressen verfügen. Eine dynamische IP-Adresse wird in der Regel bis zu 24 Stunden bereitgestellt und lässt sich nicht zuverlässig im Monitoring unterscheiden - weder von echten Angreifern noch für das Whitelisting.

Statische IP-Adressen sind in der RIPE-Datenbank eingetragen. Mit der RIPE Database Text Search lässt sich verifizieren, ob eine angegebene IP-Adresse einem Unternehmen gehört. Diese Überprüfung kostet nichts und zeigt, ob ein Anbieter professionelle Infrastruktur betreibt.

Warnsignale bei der Anbieterauswahl

• „Wir nutzen nur automatische Tools” - kein manueller Test
• Keine Beispielberichte verfügbar
• Tester haben keine nachweisbaren Zertifizierungen
• Preis unter 3.000 € für einen Web-App-Pentest
• Kein NDA und keine Vertraulichkeitsvereinbarung
• Ergebnisse innerhalb von 24 Stunden - zu schnell für Qualitätsarbeit
• Anbieter macht Versprechen wie „100% sicher nach Test”

Weitere Prüfpunkte

• Welche Rechtsform hat das Unternehmen? (Impressum prüfen)
• Besitzt der Anbieter eine gültige Haftpflichtversicherung?
• Gibt es anonymisierte oder öffentliche Referenzen?
• Ist der Anbieter als Vollunternehmen tätig oder im Neben-/Kleingewerbe?

→ Mehr über unsere Penetrationstests

---

10. Pentest und Compliance: ISO 27001, NIS2, DSGVO

Penetrationstests sind nicht nur sicherheitstechnisch sinnvoll - sie sind für viele Unternehmen regulatorisch vorgeschrieben oder werden für Zertifizierungen benötigt.

ISO 27001

Die ISO 27001 listet Maßnahmen auf, die die Informationssicherheit einer Organisation steigern sollen. Drei davon sind besonders relevant für Penetrationstests:

• A.12.6.1 (neu: A.8.8): Management von technischen Schwachstellen
• A.18.2.1: Unabhängige Überprüfung der Informationssicherheit
• A.18.2.3: Technische Konformitätsprüfung mit den ISMS-Vorgaben

Ein professioneller Pentest unterstützt die Umsetzung aller drei Anforderungen und trägt zur kontinuierlichen Verbesserung im PDCA-Zyklus bei. Neue Systeme sollten stets vor dem Produktiveinsatz getestet werden.

→ ISO 27001 Beratung und Zertifizierungsbegleitung

NIS2

NIS2 (Art. 21) fordert die „Bewertung der Wirksamkeit von Sicherheitsmaßnahmen”. Penetrationstests gelten als anerkannte Methode, diese Anforderung zu erfüllen.

PCI DSS

PCI DSS v4.0 (Req. 11.4) stellt eine explizite Anforderung an jährliche Penetrationstests für alle Unternehmen, die Kreditkartendaten verarbeiten.

DORA

DORA (Digital Operational Resilience Act) verlangt Threat-Led Penetration Testing (TLPT) als Anforderung für systemrelevante Finanzinstitute.

DSGVO

Die DSGVO verpflichtet Verarbeiter personenbezogener Daten in Artikel 32 dazu, Anforderungen für die Vertraulichkeit, Verfügbarkeit und Integrität zu schaffen. Penetrationstests sind eine anerkannte Maßnahme zur Erfüllung dieser Anforderung.

Cyber-Versicherung

Viele Versicherer verlangen regelmäßige Penetrationstests als Voraussetzung für Deckung oder günstigere Prämien. Klären Sie die genauen Anforderungen vor Vertragsabschluss mit Ihrer Versicherung.

---

11. Checkliste: Penetrationstest beauftragen

Vor dem Test

• Scope präzise definiert (IP-Ranges, Domains, ausgeschlossene Bereiche)
• Testzeitraum mit Datum und Uhrzeit festgelegt
• Testtyp gewählt: Black Box, Gray Box oder White Box
• Testaccounts pro Rolle und Berechtigung vorbereitet (Gray/White Box)
• Bei Gray/White Box: API-Dokumentation bereitgestellt
• Staging vs. Produktion entschieden und begründet
• Backups aller Systeme erstellt
• IT-Team informiert - kein Phishing-Simulationstest, überraschte Admins können den Test blockieren

Anbieterauswahl

• Tester haben nachweisbare Zertifizierungen (OSCP als Minimum)
• Anonymisierter Beispielbericht auf Anfrage verfügbar
• Anbieter verfügt über statische IP-Adresse (in RIPE-Datenbank verifizierbar)
• Gültige Haftpflichtversicherung bestätigt
• NDA und Vertraulichkeitsvereinbarung vorhanden
• Schriftliche Beauftragung mit Emergency-Stop-Verfahren und Haftungsausschluss
• Retest bei kritischen und hohen Findings inklusive oder Preis bekannt
• Dedizierter Ansprechpartner während des Tests - kein Callcenter
• Bericht auf Deutsch lieferbar falls nötig
• CVSS-Bewertung aller Findings im Bericht zugesagt
• Priorisierter Maßnahmenplan im Bericht enthalten

Während des Tests

• Ansprechpartner rund um die Uhr erreichbar - bei kritischem Fund ist sofortiges Handeln gefragt
• Monitoring läuft weiter (nicht pausieren)
• IT-Team lässt Tester arbeiten ohne echte Security Response auszulösen

Nach dem Test

• Mindestens eine Stunde für Bericht-Durchsprache eingeplant
• Maßnahmenplan erstellt mit klaren Verantwortlichkeiten und Fristen
• Retest terminiert zur Verifizierung der Behebungen
• Bericht sicher archiviert (enthält hochsensible Informationen)

Häufige Fehler vermeiden

Fehler 1: Pentest nur für Compliance. Findings werden nicht ernst genommen - beim nächsten Test tauchen dieselben Schwachstellen wieder auf.

Fehler 2: Scope zu klein aus Kostengründen. Nur das Frontend wird getestet, nicht die API. Angreifer nutzen genau die nicht getestete API.

Fehler 3: Den billigsten Anbieter wählen. Das Ergebnis ist oft ein automatischer Scanner-Output mit Logo - kein echter Pentest.

Fehler 4: Kein Retest. „Wir haben es behoben” - aber wurde es verifiziert? Häufig ist der Fix falsch implementiert.

Fehler 5: Das IT-Team nicht informiert. IDS oder Firewall sperrt die IP des Testers. Das Unternehmen hält sich für sicher, weil „kein Angriff” erkannt wurde - das Ergebnis ist nicht repräsentativ.

Fehler 6: Zu selten testen. Ein jährlicher Pentest ist gut. Ein Major Release ohne Test ist riskant.

---

12. FAQ: Penetrationstest

Was ist der Unterschied zwischen einem Penetrationstest und einem Vulnerability Scan? Ein Schwachstellenscan ist automatisiert und liefert eine Liste potenzieller Schwachstellen. Ein Penetrationstest ist manuelle Arbeit qualifizierter Experten, die Schwachstellen tatsächlich ausnutzen und den realen Schadenspfad nachweisen. Ein Scanner meldet CVEs - ein Pentest zeigt, was ein Angreifer damit anrichten kann.

Wie lange dauert ein Penetrationstest? Ein einfacher Test beginnt bei zwei Personentagen. Die meisten Penetrationstests werden laut einer Rapid7-Studie mit ca. 100 Arbeitsstunden abgeschlossen. Komplexe Infrastrukturen mit dreistelligen Personentagen sind möglich. Red-Team-Assessments dauern typischerweise etwa einen Monat.

Muss ich mein IT-Team über den Pentest informieren? Ja - außer bei spezifischen Tests, die die Reaktionsfähigkeit des IT-Teams prüfen sollen. In der Regel sollte das IT-Team informiert sein, damit keine echte Security Response ausgelöst wird und der Test reibungslos läuft.

Was passiert nach dem Penetrationstest? Sie erhalten einen detaillierten Bericht mit priorisierten Findings und Handlungsempfehlungen. Ein Retest nach Behebung der kritischen Findings verifiziert, dass die Schwachstellen korrekt geschlossen wurden.

Ist ein Penetrationstest auf Cloud-Systemen möglich? Ja - mit wichtigen Einschränkungen. Cloud-Konfigurationen bei AWS, Azure und GCP können getestet werden. Die Infrastruktur des Cloud-Anbieters selbst ist nicht im Scope. Für AWS ist seit 2019 keine Vorab-Meldung mehr erforderlich, Azure verlangt ein Penetration Testing Notification Form für kritische Infrastruktur.

Was kostet ein Penetrationstest für eine kleine Webanwendung? Für eine kleine Web-Applikation mit 5-10 Seiten und einer Benutzerrolle sind realistisch 3.000-8.000 € einzuplanen. Unter 3.000 € ist Vorsicht geboten - es handelt sich dann wahrscheinlich um automatisierte Tools ohne echten manuellen Test.

Brauche ich als KMU einen Penetrationstest? Ja. Angreifer unterscheiden nicht nach Unternehmensgröße - sie suchen das leichteste Ziel. Gerade KMU sind häufig attraktiver als große Konzerne, weil sie weniger in Sicherheit investieren. Zudem machen NIS2 und ISO 27001 regelmäßige Tests für einen wachsenden Kreis von Unternehmen obligatorisch.

Was ist Pentest as a Service? Pentest as a Service (PaaS) ist ein Abonnement-Modell, bei dem Penetrationstests monatlich oder quartalsweise stattfinden statt einmal im Jahr. Es eignet sich besonders für Unternehmen mit kontinuierlicher Softwareentwicklung oder hohen regulatorischen Anforderungen.

---

Planen Sie Ihren ersten Penetrationstest oder suchen Sie einen neuen Anbieter? In einem kostenlosen Erstgespräch klären wir Ihren idealen Scope, erklären die Testmethodik und erstellen ein transparentes Angebot - ohne versteckte Kosten.

Penetration Testing bei AWARE7 | Kostenlose Erstberatung vereinbaren