Offensive Security Glossar
Penetrationstest
Ein Penetrationstest (Pentest) ist ein autorisierter, kontrollierter Angriff auf IT-Systeme, bei dem Sicherheitsexperten die Methoden echter Angreifer simulieren, um Schwachstellen zu identifizieren und zu bewerten.
Ein Penetrationstest (kurz: Pentest) geht über automatisierte Schwachstellenscans hinaus: Erfahrene Sicherheitsexperten kombinieren technische Tools mit manueller Analyse, kreativem Problemlösen und simulierten Angriffsketten.
Wichtigste Unterscheidung: Schwachstellenscan vs. Pentest
| Merkmal | Schwachstellenscan | Penetrationstest |
|---|---|---|
| Automatisierungsgrad | Vollautomatisch | Manuell + automatisiert |
| Exploitierung | Nein | Ja (kontrolliert) |
| Angriffsketten | Nein | Ja |
| Aufwand | 1-4 Stunden | 3-20 Tage |
| Beweisstärke | Gering | Hoch |
Gängige Pentest-Typen
- Web Application Pentest: OWASP-Methodik, API-Tests, Business-Logik-Schwachstellen
- Netzwerk-Pentest: Infrastruktur, Active Directory, interne Segmentierung
- Social Engineering: Phishing-Tests, Vishing, Physical Penetration
- Red Team Exercise: Umfassende APT-Simulation mit C2-Infrastruktur
- Cloud Pentest: AWS/Azure/GCP-Fehlkonfigurationen, IAM-Misuse
Rechtlicher Hinweis
Penetrationstests dürfen ausschließlich mit schriftlicher Genehmigung des Systeminhabers durchgeführt werden. Ohne Autorisierung handelt es sich um Computersabotage (§ 303b StGB) und Ausspähung von Daten (§ 202a StGB).
Ausführliche Informationen: Wiki-Artikel Penetrationstest
