Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Penetrationstest (Pentest)

Ein Penetrationstest ist ein autorisierter Sicherheitstest, bei dem Experten reale Cyberangriffe simulieren, um Schwachstellen in IT-Systemen, Netzwerken oder Anwendungen zu identifizieren.

Inhaltsverzeichnis (9 Abschnitte)

Ein Penetrationstest - auch Pentest oder Ethical Hacking genannt - ist ein systematischer, autorisierter Angriff auf ein IT-System oder eine Organisation mit dem Ziel, Sicherheitslücken vor böswilligen Angreifern zu finden. Er unterscheidet sich grundlegend von einem automatisierten Schwachstellenscan durch den Einsatz menschlicher Kreativität, kontextueller Analyse und mehrstufiger Angriffsketten.

Definition und rechtlicher Rahmen

Ein Penetrationstest ist ausschließlich mit schriftlicher Genehmigung des Systeminhabers zulässig. Ohne Autorisierung gelten dieselben Tests als Computersabotage und Ausspähung von Daten nach §§ 202a und 303b StGB. Die schriftliche Beauftragung regelt zugleich den Testumfang, die eingesetzten Methoden und den zeitlichen Rahmen.

Rechtlich einwandfreie Pentests folgen einer sogenannten Rules of Engagement - einem Dokument, das Folgendes festlegt:

  • Welche Systeme und IP-Bereiche getestet werden dürfen
  • Welche Angriffsmethoden ausgeschlossen sind (z. B. Denial-of-Service)
  • Wer bei einem sicherheitsrelevanten Vorfall während des Tests informiert werden muss
  • Wie mit gefundenen Zugangsdaten oder sensitiven Daten umzugehen ist

Methoden und Ansätze

Black-Box-Test

Der Tester erhält keine Vorabinformation über das Zielsystem - er agiert wie ein externer Angreifer. Diese Methode testet die reale Angriffsoberfläche, ist jedoch zeitaufwändiger und deckt möglicherweise interne Schwachstellen nicht vollständig ab.

Grey-Box-Test

Partial Knowledge: Der Tester kennt z. B. die Netzwerkarchitektur, hat aber keine privilegierten Zugangsdaten. Dieser Ansatz simuliert einen kompromittierten Mitarbeiteraccount oder einen Angreifer mit Insider-Informationen.

White-Box-Test

Vollständige Transparenz: Der Tester erhält Zugang zu Quellcode, Netzwerkplänen, Zugangsdaten und Konfigurationsdateien. Ideal für tiefgehende Code-Reviews und die Überprüfung der Implementierungssicherheit.

Ablauf nach PTES

Der Penetration Testing Execution Standard (PTES) definiert sieben Phasen:

1. Pre-Engagement Interactions

Auftragsklärung, Scope-Definition, Vertragsabschluss und Festlegung der Rules of Engagement. Entscheidend: eine vollständige IP-Liste aller Testobjekte und die Notfallkontakte auf Kundenseite.

2. Intelligence Gathering (Reconnaissance)

OSINT-Phase: Der Tester sammelt öffentlich verfügbare Informationen - DNS-Einträge, WHOIS-Daten, LinkedIn-Profile, Job-Ausschreibungen (die oft Technologien verraten), Zertifikate, GitHub-Repositories und historische Web-Snapshots. Professionelle Angreifer verbringen hier bis zu 70 % ihrer Zeit.

3. Threat Modeling

Basierend auf der gesammelten Information entwickelt der Tester ein Bedrohungsmodell: Welche Angriffsvektoren sind realistisch? Welche Assets sind das wahrscheinlichste Ziel? Welche Kombination aus Schwachstellen führt zum größten Schaden?

4. Vulnerability Analysis

Kombination aus automatisierten Scannern (Nessus, OpenVAS) und manueller Analyse. Jede potenzielle Schwachstelle wird kategorisiert, aber noch nicht ausgenutzt.

5. Exploitation

Die Kernphase: kontrollierte Ausnutzung bestätigter Schwachstellen. Ziel ist der Nachweis der Ausnutzbarkeit, nicht die maximale Schadenswirkung. Typische Aktionen: Erlangung eines Shell-Zugangs, Privilege Escalation, seitliche Bewegung im Netzwerk (Lateral Movement).

6. Post-Exploitation

Nachweis des tatsächlichen Schadenspotenzials: Kann der Angreifer sensible Daten exfiltrieren? Persistenz einrichten? Backups löschen? Dieser Schritt ist entscheidend für die Risikobewertung.

7. Reporting

Das Herzstück jedes professionellen Pentests. Der Bericht umfasst:

  • Management Summary: Gesamtrisikobewertung, kritische Findings in Klarsprache
  • Technische Details: Reproduktionsschritte, Beweise (Screenshots, PoC-Code), Schweregrad nach CVSS
  • Handlungsempfehlungen: Konkrete, priorisierte Maßnahmen mit Aufwandsschätzung
  • Retesting-Plan: Welche Findings müssen nach der Behebung erneut geprüft werden?

CVSS-Bewertung von Findings

Jedes Finding wird nach dem Common Vulnerability Scoring System (CVSS) bewertet. Die Skala reicht von 0 bis 10:

ScoreSchweregradHandlungsbedarf
9.0-10.0KritischSofortiger Patch-Deployment
7.0-8.9HochBehebung innerhalb 72 Stunden
4.0-6.9MittelBehebung innerhalb 30 Tage
0.1-3.9NiedrigBehebung im nächsten Release

Penetrationstest vs. Schwachstellenscan

MerkmalSchwachstellenscanPenetrationstest
DurchführungAutomatisiertManuell + automatisiert
ExploitierungNeinJa (kontrolliert)
Kontext-AnalyseNeinJa
AngriffskettenNeinJa
Dauer1-4 Stunden3-20 Tage
Kosten€500-€2.000€5.000-€50.000+
NachweiswertGeringHoch

Typen von Penetrationstests

  • Web Application Penetration Test: Fokus auf OWASP Top 10, Business-Logik-Fehler, API-Schwachstellen
  • Netzwerk-Pentest: Infrastrukturanalyse, Active-Directory-Angriffe, Segmentierungsprüfung
  • Social Engineering / Phishing: Menschliche Anfälligkeit als Angriffsvektor
  • Physical Penetration Test: Physische Sicherheitsmaßnahmen, Tailgating, Badge-Klonen
  • Red Team Exercise: Vollumfängliche Simulation einer APT-Gruppe, inkl. C2-Infrastruktur und OPSEC
  • Cloud Penetration Test: AWS/Azure/GCP-spezifische Fehlkonfigurationen, IAM-Misuse
  • Mobile App Test: Android/iOS-Anwendungen, Backend-API, Datenspeicherung

Häufigkeit und Anlass

Das BSI empfiehlt Penetrationstests mindestens einmal jährlich sowie bei wesentlichen Änderungen der IT-Infrastruktur. Darüber hinaus erfordern folgende Anlässe einen Test:

  • Launch neuer Anwendungen oder APIs
  • Wechsel zu Cloud-Infrastruktur
  • Fusionen und Übernahmen (M&A Due Diligence)
  • Vor ISO-27001-Zertifizierung
  • Nach einem Sicherheitsvorfall (Post-Incident-Test)
  • Anforderungen durch Kunden, Partner oder Regularien (NIS2, PCI DSS, DORA)

Kosten und Aufwand

Die Kosten richten sich nach Umfang und Komplexität:

  • Web-Applikation (klein): ab €5.000
  • Web-Applikation (mittel, mit API): €8.000-€15.000
  • Netzwerk-Infrastruktur (KMU): €10.000-€25.000
  • Red Team Exercise (Enterprise): ab €30.000
  • Vollständige Jahresbegleitung (AWARE7 Scan-Retainer): ab €2.990/Monat

Zertifizierungen von Penetrationstestern

Seriöse Pentester weisen folgende Zertifizierungen vor:

  • OSCP (Offensive Security Certified Professional): Praxis-Prüfung über 24 Stunden
  • OSCE3 (Offensive Security Experienced Expert): Fortgeschrittenes Exploit-Development
  • CEH (Certified Ethical Hacker): Theoretisch orientiert
  • GPEN (GIAC Penetration Tester): SANS-Zertifizierung

Weiterführende Informationen: Unsere Penetration-Testing-Leistungen

Quellen & Referenzen

  1. [1] BSI-Leitfaden für Penetrationstests - Bundesamt für Sicherheit in der Informationstechnik
  2. [2] Penetration Testing Execution Standard (PTES) - PTES Technical Guidelines
  3. [3] OWASP Testing Guide v4.2 - OWASP Foundation

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 03.03.2026 bearbeitet. Verantwortlich: Vincent Heinen, Abteilungsleiter Offensive Services bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung