Guide · Penetrationstests

Penetration Testing: der vollständige Guide.

Was ein Penetrationstest ist, welche Arten es gibt, wie der Ablauf aussieht, was er kostet und wie er sich von Vulnerability Scans, Bug Bounty und Red Teaming unterscheidet — geschrieben von Senior-Operatoren, die seit ~10 Jahren nichts anderes tun.

1. Definition

Was ist ein Penetrationstest?

Ein Penetrationstest — kurz Pentest — ist ein autorisierter, zeitlich begrenzter Sicherheitstest. Erfahrene Angreifer versuchen unter kontrollierten Bedingungen, in ein System, eine Anwendung oder ein Netz einzudringen, so wie es ein realer Angreifer tun würde. Ziel ist nicht, möglichst viele CVEs aufzulisten, sondern zu zeigen, welche Schwachstellen tatsächlich ausnutzbar sind — und was der Schaden wäre, wenn ein Angreifer sie ausnutzt.

Gut ausgeführt ist ein Pentest kein Compliance-Ritual, sondern eine ehrliche Kalibrierung Ihrer Verteidigung gegen die Realität. Sie erhalten am Ende einen priorisierten Befundbericht mit reproduzierbaren Nachweisen, Business-Impact und konkreten Remediation-Schritten.

2. Motivation

Warum Penetrationstests durchführen?

Risiko vor dem Angreifer finden

Automatische Scans finden bekannte Muster. Menschen finden die Verkettung von zwei mittleren Findings zu einer kritischen Kompromittierung.

Compliance und Auditnachweise

ISO 27001, PCI DSS, DORA, BAIT / VAIT / KAIT und viele Kundenverträge verlangen regelmäßige Penetrationstests durch unabhängige Dritte.

Sichere Releases

Major Releases und Architekturwechsel sind der häufigste Zeitpunkt, an dem neue Angriffsflächen entstehen — Pentests fangen sie vor Go-Live ab.

Kalibrierung der Detection

Wenn Ihr SOC Angriffe im Test nicht sieht, sieht er sie auch im Ernstfall nicht. Ein Pentest liefert reproduzierbare Angriffsspuren zum Testen von Playbooks.

3. Arten

Welche Arten von Penetrationstests gibt es?

Web-Application Pentest

Angriffe auf Auth, Session-Handling, Autorisierung, Injection, Business-Logik, Uploads, APIs. Methodik: OWASP WSTG und ASVS.

API-Pentest (REST / GraphQL)

BOLA / IDOR, Mass Assignment, Rate Limiting, Auth-Umgehungen, Schema-Introspektion. Methodik: OWASP API Security Top 10.

Externer Netzwerk-Pentest

Alles, was aus dem Internet erreichbar ist: Perimeter-Assets, VPNs, exponierte Panels, Mail, DNS, Cloud-Edge. Fokus auf Initial Access.

Interner Netzwerk- und AD-Pentest

Von einem Standard-Benutzer (Assumed Breach) zu Domain Admin: Kerberos-Angriffe, ACL-Missbrauch, Lateral Movement, BloodHound-Pfade.

Cloud-Pentest (AWS / Azure / GCP)

IAM-Fehlkonfigurationen, Privilege Escalation, Cross-Tenant-Zugriffe, ungesicherte Buckets, exponierte Metadata-Services, CI/CD-Angriffe.

Mobile-App-Pentest (iOS / Android)

Reverse Engineering, Storage, Krypto, IPC, Deep Links, Certificate Pinning, Backend-APIs. Methodik: OWASP MASVS / MASTG.

SAP-Pentest

RFC, SAP Gateway, Web-Frontends (Fiori), Berechtigungen (SoD), Custom ABAP, Integration in AD. Selten bespielt, hoher Impact.

KI-/LLM-Pentest

Prompt Injection, indirekte Injection über Datenquellen, Tool-Missbrauch, Datenlecks, Umgehung von Guardrails. Methodik: OWASP LLM Top 10.

Physical / Social Engineering

Zutritt, Tailgating, Badge-Klonen, Phishing, Vishing — meist als Modul im Red Teaming, nicht als isolierter Pentest.

OT / ICS Pentest

Steuerungssysteme, Segmentierung, Protokolle (Modbus, S7, DNP3). Zurückhaltend und passivlastig — Verfügbarkeit hat Vorrang.

4. Testtiefe

Black-, Grey- und White-Box: was ist der Unterschied?

Black-Box

Kein Vorwissen, kein Account, keine Doku. Realistisch für externe Perimeter — aber teuer und lückenhaft bei komplexen Anwendungen.

Grey-Box

Standard-Ansatz. Zugänge auf verschiedenen Rollen, Doku und Architekturübersicht. Beste Balance aus Realismus und Coverage.

White-Box

Voller Zugriff inkl. Source Code und Design-Dokumenten. Höchste Coverage, ideal für sicherheitskritische Komponenten und Krypto-Reviews.

5. Ablauf

Wie läuft ein Penetrationstest ab?

  1. 1. Scoping

    Was wird getestet, warum, mit welchen Rollen, in welchem Zeitraum, welche Systeme sind out of scope, wer sind die Ansprechpartner, welche Notfallkontakte gibt es. Ergebnis: Rules of Engagement (RoE).

  2. 2. Reconnaissance

    Passive und aktive Aufklärung: Subdomains, exponierte Assets, Technologien, Personen, Leaks. Ziel: Angriffsfläche verstehen, Fokuspunkte identifizieren.

  3. 3. Enumeration & Vulnerability Discovery

    Manuelle Analyse aller Endpunkte, Parameter, Rollen und Flows. Automatisierung nur als Unterstützung. Ergebnis: priorisierte Angriffshypothesen.

  4. 4. Exploitation

    Kontrollierte Ausnutzung der Findings, um Ausnutzbarkeit und Impact nachzuweisen. Kein Data Exfil ohne Freigabe, kein Beeinträchtigen der Verfügbarkeit.

  5. 5. Post-Exploitation & Lateral Movement

    Was ist von hier aus erreichbar? Kerberoasting, ACL-Abuse, Credential Reuse, Pivoting. Bewertet nach MITRE ATT&CK, damit Detection-Teams direkt vergleichen können.

  6. 6. Reporting

    Zweigeteilt: Management Summary mit Risiken und Handlungsempfehlungen, Technischer Teil mit reproduzierbaren Steps, Payloads, betroffenen Assets und CVSS/Business-Impact-Rating.

  7. 7. Debrief & Retest

    Gemeinsamer Debrief mit Entwicklung und Security. Nach der Behebung: Retest der kritischen und hohen Findings, damit die Remediation auch wirklich hält.

6. Methoden

Methoden und Standards, die zählen

OWASP WSTG / ASVS

Web-Testing-Guide und Verifikationsstandard für Web-Anwendungen.

OWASP API Security Top 10

Referenz für API-Angriffe (BOLA, Mass Assignment, Auth).

OWASP MASVS / MASTG

Mobile Application Security Verification Standard und Testing Guide.

OWASP LLM Top 10

Angriffe auf LLM-basierte Anwendungen: Prompt Injection, Tool Abuse, Data Leakage.

MITRE ATT&CK

Taxonomie für Post-Exploitation-Techniken — verbindet Pentest-Findings mit Detection-Logik.

NIST SP 800-115

Prozessrahmen für technische Sicherheitsprüfungen — häufig in Auditfragen zitiert.

PTES

Penetration Testing Execution Standard — pragmatischer End-to-End-Rahmen.

TIBER-EU

Für bedrohungsgeleitete Tests kritischer Finanzinfrastruktur — Basis für DORA TLPT.

7. Werkzeuge

Welche Tools werden typischerweise eingesetzt?

Tools sind Mittel zum Zweck. Die Kernarbeit ist Verständnis der Anwendung und manueller Angriff. Typisches Arsenal:

Web / API

Burp Suite Pro, Caido, ffuf, nuclei, sqlmap, Postman, mitmproxy

Netzwerk & Recon

Nmap, masscan, Amass, Subfinder, Shodan, Censys

Active Directory

BloodHound, Impacket, Rubeus, Certipy, Kerbrute, Responder, NetExec (CrackMapExec)

Cloud

Pacu, ScoutSuite, Prowler, CloudFox, Rusty Hog

Mobile

Frida, Objection, MobSF, apktool, Ghidra

Post-Exploitation / C2

Cobalt Strike, Sliver, Mythic, Havoc — bei uns aus einer intern gehärteten Infrastruktur.

8. Report

Was ein guter Pentest-Report enthält

  • Management Summary mit Risikoaussage, nicht mit CVSS-Zahlen.
  • Scope, Zeitraum, verwendete Accounts, Testtiefe und Einschränkungen — audit-tauglich.
  • Findings mit reproduzierbaren Steps, Requests / Payloads und Screenshots.
  • Business-Impact pro Finding, nicht nur CVSS. Zwei 6.0-CVSS können sehr unterschiedliche Konsequenzen haben.
  • Konkrete Remediation-Empfehlungen — inklusive Patterns, nicht nur 'update library'.
  • Attack Path als Erzählung: wie kam der Tester von A nach Domain Admin?
  • Anhang mit Rohdaten, Requests, Screenshots und einer maschinenlesbaren Findings-Liste (JSON / CSV) für Ihr Risikoregister.
9. Abgrenzung

Pentest vs. Vulnerability Scan, Bug Bounty und Red Teaming

FormatZielTiefeWann geeignet
Vulnerability ScanBekannte Schwachstellen findenAutomatisiert, signaturbasiertKontinuierlich, breite Abdeckung
Penetration TestAusnutzbare Schwachstellen im ScopeManuell, verkettet, verifiziertRegelmäßig pro System / Release
Bug BountyCrowd-Sourced Findings über ZeitBreit, unstrukturiert, variabelErgänzend zu Pentests bei reifen Produkten
Red TeamingErkennungs- und Reaktionsfähigkeit prüfenZielgerichtet, threat-led, ohne VorwarnungReife Security-Organisationen, TIBER / DORA
10. Kosten

Was kostet ein Penetrationstest?

Wir kalkulieren Pentests pro Engagement anhand von Scope, Komplexität und geforderter Tiefe — nicht pro CVE. Ein fokussierter Web-App-Test mit einem Rollenmodell dauert typischerweise 8–15 Personentage, ein interner AD-Test 10–20 Personentage, ein DORA-TLPT-Angriff mehrere Wochen inklusive Threat-Intel-Phase.

Angebote unter dem Marktpreis sind fast immer entweder automatisierte Scans mit einem manuellen Deckblatt oder werden von Junior-Testern gefahren. Beide Varianten produzieren keinen belastbaren Nachweis für Audit oder Vorstand.

11. Anbieter

Wie wählt man einen Pentest-Anbieter aus?

  • Nur Senior-Operatoren im Projekt — nicht Junior-Ressourcen mit Senior-Reviewer.
  • Nachweisbare Erfahrung im relevanten Bereich (Bank, Energie, KRITIS, SAP, Cloud, KI).
  • Zertifizierte offensive Infrastruktur (ISO 27001, BSI IT-Grundschutz) für Ihre Testdaten.
  • Beispiel-Reports, die Sie kritisch prüfen können — Struktur, Reproduzierbarkeit, Aussagequalität.
  • Klare Rules of Engagement, definierte Notfallkontakte, klare Haftungs- und Datenklauseln.
  • Direkte Kommunikation mit den Testern — keine Sales-Zwischenschicht bei technischen Fragen.
12. Compliance

Pentests und Compliance: ISO 27001, DORA, PCI DSS, BAIT

Regelmäßige Penetrationstests sind expliziter oder impliziter Bestandteil praktisch jedes relevanten Regelwerks: ISO 27001 (A.8.29), PCI DSS (Requirement 11.4), BAIT / VAIT / KAIT für Finanzinstitute in Deutschland, DORA (Art. 24 f. Threat-Led Penetration Testing) sowie zunehmend NIS2 für Betreiber wesentlicher Dienste.

Wichtig: ein 'compliance-konformer Pentest' ist kein 'schwacher Pentest'. Ein guter Report deckt beides ab — Ihre reale Angriffsfläche und die für den Auditor relevanten Nachweise (Scope, Methodik, Retest, Verantwortlichkeiten).

13. FAQ

Häufig gestellte Fragen

Was ist ein Penetrationstest?

Ein Penetrationstest ist ein autorisierter, zeitlich begrenzter Sicherheitstest, bei dem erfahrene Angreifer versuchen, reale Schwachstellen in Systemen, Anwendungen oder Netzen auszunutzen — mit dem Ziel, Risiken vor echten Angreifern zu identifizieren und remediierbar zu dokumentieren.

Wie unterscheidet sich ein Pentest von einem Vulnerability Scan?

Ein Vulnerability Scan ist automatisiert und meldet potenzielle Schwachstellen anhand von Signaturen. Ein Pentest ist manuell, verifiziert die Ausnutzbarkeit, kettet Schwachstellen zusammen und bewertet reale Auswirkungen auf Ihr Geschäft.

Was kostet ein Penetrationstest?

Der Preis hängt von Scope, Komplexität und Tiefe ab. Ein fokussierter Web-App-Test startet typischerweise im niedrigen fünfstelligen Bereich; ein umfassender interner Netz- oder AD-Test liegt deutlich darüber. Wir kalkulieren pro Engagement, nicht pro Vulnerability.

Wie oft sollte ein Pentest durchgeführt werden?

Mindestens jährlich für kritische Systeme, zusätzlich nach jedem Major Release, jeder relevanten Architekturänderung und vor produktiven Rollouts neuer Umgebungen (z. B. neue Cloud-Region, M&A-Integration).

Was ist der Unterschied zwischen Pentest und Red Teaming?

Ein Pentest sucht möglichst viele Schwachstellen in einem definierten Scope. Red Teaming ist ein zielorientierter, bedrohungsgeleiteter Angriff auf die gesamte Organisation — inklusive Menschen und Prozessen — um Erkennungs- und Reaktionsfähigkeit zu prüfen.

Welche Standards und Methoden werden verwendet?

Wir arbeiten methodisch nach OWASP WSTG und OWASP ASVS (Web), OWASP MASVS (Mobile), MITRE ATT&CK (Post-Exploitation) sowie NIST SP 800-115 und PTES für den Gesamtprozess. Für TIBER-EU / DORA TLPT folgt die Umsetzung dem TIBER-EU Framework.

Bereit für einen ehrlichen Penetrationstest?

Sprechen Sie direkt mit einem Senior-Operator — vertraulich, ohne Sales-Zwischenschicht.