Penetration Testing: der vollständige Guide.
Was ein Penetrationstest ist, welche Arten es gibt, wie der Ablauf aussieht, was er kostet und wie er sich von Vulnerability Scans, Bug Bounty und Red Teaming unterscheidet — geschrieben von Senior-Operatoren, die seit ~10 Jahren nichts anderes tun.
- 1. Was ist ein Penetrationstest?
- 2. Warum Pentests durchführen?
- 3. Arten von Penetrationstests
- 4. Black-, Grey- und White-Box
- 5. Ablauf eines Pentests
- 6. Methoden & Standards
- 7. Typische Tools
- 8. Was ein guter Report enthält
- 9. Pentest vs. Scan, Bounty, Red Team
- 10. Kosten & Aufwand
- 11. Anbieter auswählen
- 12. Compliance: ISO 27001, DORA, PCI DSS, BAIT
- 13. FAQ
Was ist ein Penetrationstest?
Ein Penetrationstest — kurz Pentest — ist ein autorisierter, zeitlich begrenzter Sicherheitstest. Erfahrene Angreifer versuchen unter kontrollierten Bedingungen, in ein System, eine Anwendung oder ein Netz einzudringen, so wie es ein realer Angreifer tun würde. Ziel ist nicht, möglichst viele CVEs aufzulisten, sondern zu zeigen, welche Schwachstellen tatsächlich ausnutzbar sind — und was der Schaden wäre, wenn ein Angreifer sie ausnutzt.
Gut ausgeführt ist ein Pentest kein Compliance-Ritual, sondern eine ehrliche Kalibrierung Ihrer Verteidigung gegen die Realität. Sie erhalten am Ende einen priorisierten Befundbericht mit reproduzierbaren Nachweisen, Business-Impact und konkreten Remediation-Schritten.
Warum Penetrationstests durchführen?
Risiko vor dem Angreifer finden
Automatische Scans finden bekannte Muster. Menschen finden die Verkettung von zwei mittleren Findings zu einer kritischen Kompromittierung.
Compliance und Auditnachweise
ISO 27001, PCI DSS, DORA, BAIT / VAIT / KAIT und viele Kundenverträge verlangen regelmäßige Penetrationstests durch unabhängige Dritte.
Sichere Releases
Major Releases und Architekturwechsel sind der häufigste Zeitpunkt, an dem neue Angriffsflächen entstehen — Pentests fangen sie vor Go-Live ab.
Kalibrierung der Detection
Wenn Ihr SOC Angriffe im Test nicht sieht, sieht er sie auch im Ernstfall nicht. Ein Pentest liefert reproduzierbare Angriffsspuren zum Testen von Playbooks.
Welche Arten von Penetrationstests gibt es?
Web-Application Pentest
Angriffe auf Auth, Session-Handling, Autorisierung, Injection, Business-Logik, Uploads, APIs. Methodik: OWASP WSTG und ASVS.
API-Pentest (REST / GraphQL)
BOLA / IDOR, Mass Assignment, Rate Limiting, Auth-Umgehungen, Schema-Introspektion. Methodik: OWASP API Security Top 10.
Externer Netzwerk-Pentest
Alles, was aus dem Internet erreichbar ist: Perimeter-Assets, VPNs, exponierte Panels, Mail, DNS, Cloud-Edge. Fokus auf Initial Access.
Interner Netzwerk- und AD-Pentest
Von einem Standard-Benutzer (Assumed Breach) zu Domain Admin: Kerberos-Angriffe, ACL-Missbrauch, Lateral Movement, BloodHound-Pfade.
Cloud-Pentest (AWS / Azure / GCP)
IAM-Fehlkonfigurationen, Privilege Escalation, Cross-Tenant-Zugriffe, ungesicherte Buckets, exponierte Metadata-Services, CI/CD-Angriffe.
Mobile-App-Pentest (iOS / Android)
Reverse Engineering, Storage, Krypto, IPC, Deep Links, Certificate Pinning, Backend-APIs. Methodik: OWASP MASVS / MASTG.
SAP-Pentest
RFC, SAP Gateway, Web-Frontends (Fiori), Berechtigungen (SoD), Custom ABAP, Integration in AD. Selten bespielt, hoher Impact.
KI-/LLM-Pentest
Prompt Injection, indirekte Injection über Datenquellen, Tool-Missbrauch, Datenlecks, Umgehung von Guardrails. Methodik: OWASP LLM Top 10.
Physical / Social Engineering
Zutritt, Tailgating, Badge-Klonen, Phishing, Vishing — meist als Modul im Red Teaming, nicht als isolierter Pentest.
OT / ICS Pentest
Steuerungssysteme, Segmentierung, Protokolle (Modbus, S7, DNP3). Zurückhaltend und passivlastig — Verfügbarkeit hat Vorrang.
Black-, Grey- und White-Box: was ist der Unterschied?
Black-Box
Kein Vorwissen, kein Account, keine Doku. Realistisch für externe Perimeter — aber teuer und lückenhaft bei komplexen Anwendungen.
Grey-Box
Standard-Ansatz. Zugänge auf verschiedenen Rollen, Doku und Architekturübersicht. Beste Balance aus Realismus und Coverage.
White-Box
Voller Zugriff inkl. Source Code und Design-Dokumenten. Höchste Coverage, ideal für sicherheitskritische Komponenten und Krypto-Reviews.
Wie läuft ein Penetrationstest ab?
- 1. Scoping
Was wird getestet, warum, mit welchen Rollen, in welchem Zeitraum, welche Systeme sind out of scope, wer sind die Ansprechpartner, welche Notfallkontakte gibt es. Ergebnis: Rules of Engagement (RoE).
- 2. Reconnaissance
Passive und aktive Aufklärung: Subdomains, exponierte Assets, Technologien, Personen, Leaks. Ziel: Angriffsfläche verstehen, Fokuspunkte identifizieren.
- 3. Enumeration & Vulnerability Discovery
Manuelle Analyse aller Endpunkte, Parameter, Rollen und Flows. Automatisierung nur als Unterstützung. Ergebnis: priorisierte Angriffshypothesen.
- 4. Exploitation
Kontrollierte Ausnutzung der Findings, um Ausnutzbarkeit und Impact nachzuweisen. Kein Data Exfil ohne Freigabe, kein Beeinträchtigen der Verfügbarkeit.
- 5. Post-Exploitation & Lateral Movement
Was ist von hier aus erreichbar? Kerberoasting, ACL-Abuse, Credential Reuse, Pivoting. Bewertet nach MITRE ATT&CK, damit Detection-Teams direkt vergleichen können.
- 6. Reporting
Zweigeteilt: Management Summary mit Risiken und Handlungsempfehlungen, Technischer Teil mit reproduzierbaren Steps, Payloads, betroffenen Assets und CVSS/Business-Impact-Rating.
- 7. Debrief & Retest
Gemeinsamer Debrief mit Entwicklung und Security. Nach der Behebung: Retest der kritischen und hohen Findings, damit die Remediation auch wirklich hält.
Methoden und Standards, die zählen
Web-Testing-Guide und Verifikationsstandard für Web-Anwendungen.
Referenz für API-Angriffe (BOLA, Mass Assignment, Auth).
Mobile Application Security Verification Standard und Testing Guide.
Angriffe auf LLM-basierte Anwendungen: Prompt Injection, Tool Abuse, Data Leakage.
Taxonomie für Post-Exploitation-Techniken — verbindet Pentest-Findings mit Detection-Logik.
Prozessrahmen für technische Sicherheitsprüfungen — häufig in Auditfragen zitiert.
Penetration Testing Execution Standard — pragmatischer End-to-End-Rahmen.
Für bedrohungsgeleitete Tests kritischer Finanzinfrastruktur — Basis für DORA TLPT.
Welche Tools werden typischerweise eingesetzt?
Tools sind Mittel zum Zweck. Die Kernarbeit ist Verständnis der Anwendung und manueller Angriff. Typisches Arsenal:
Burp Suite Pro, Caido, ffuf, nuclei, sqlmap, Postman, mitmproxy
Nmap, masscan, Amass, Subfinder, Shodan, Censys
BloodHound, Impacket, Rubeus, Certipy, Kerbrute, Responder, NetExec (CrackMapExec)
Pacu, ScoutSuite, Prowler, CloudFox, Rusty Hog
Frida, Objection, MobSF, apktool, Ghidra
Cobalt Strike, Sliver, Mythic, Havoc — bei uns aus einer intern gehärteten Infrastruktur.
Was ein guter Pentest-Report enthält
- Management Summary mit Risikoaussage, nicht mit CVSS-Zahlen.
- Scope, Zeitraum, verwendete Accounts, Testtiefe und Einschränkungen — audit-tauglich.
- Findings mit reproduzierbaren Steps, Requests / Payloads und Screenshots.
- Business-Impact pro Finding, nicht nur CVSS. Zwei 6.0-CVSS können sehr unterschiedliche Konsequenzen haben.
- Konkrete Remediation-Empfehlungen — inklusive Patterns, nicht nur 'update library'.
- Attack Path als Erzählung: wie kam der Tester von A nach Domain Admin?
- Anhang mit Rohdaten, Requests, Screenshots und einer maschinenlesbaren Findings-Liste (JSON / CSV) für Ihr Risikoregister.
Pentest vs. Vulnerability Scan, Bug Bounty und Red Teaming
| Format | Ziel | Tiefe | Wann geeignet |
|---|---|---|---|
| Vulnerability Scan | Bekannte Schwachstellen finden | Automatisiert, signaturbasiert | Kontinuierlich, breite Abdeckung |
| Penetration Test | Ausnutzbare Schwachstellen im Scope | Manuell, verkettet, verifiziert | Regelmäßig pro System / Release |
| Bug Bounty | Crowd-Sourced Findings über Zeit | Breit, unstrukturiert, variabel | Ergänzend zu Pentests bei reifen Produkten |
| Red Teaming | Erkennungs- und Reaktionsfähigkeit prüfen | Zielgerichtet, threat-led, ohne Vorwarnung | Reife Security-Organisationen, TIBER / DORA |
Was kostet ein Penetrationstest?
Wir kalkulieren Pentests pro Engagement anhand von Scope, Komplexität und geforderter Tiefe — nicht pro CVE. Ein fokussierter Web-App-Test mit einem Rollenmodell dauert typischerweise 8–15 Personentage, ein interner AD-Test 10–20 Personentage, ein DORA-TLPT-Angriff mehrere Wochen inklusive Threat-Intel-Phase.
Angebote unter dem Marktpreis sind fast immer entweder automatisierte Scans mit einem manuellen Deckblatt oder werden von Junior-Testern gefahren. Beide Varianten produzieren keinen belastbaren Nachweis für Audit oder Vorstand.
Wie wählt man einen Pentest-Anbieter aus?
- Nur Senior-Operatoren im Projekt — nicht Junior-Ressourcen mit Senior-Reviewer.
- Nachweisbare Erfahrung im relevanten Bereich (Bank, Energie, KRITIS, SAP, Cloud, KI).
- Zertifizierte offensive Infrastruktur (ISO 27001, BSI IT-Grundschutz) für Ihre Testdaten.
- Beispiel-Reports, die Sie kritisch prüfen können — Struktur, Reproduzierbarkeit, Aussagequalität.
- Klare Rules of Engagement, definierte Notfallkontakte, klare Haftungs- und Datenklauseln.
- Direkte Kommunikation mit den Testern — keine Sales-Zwischenschicht bei technischen Fragen.
Pentests und Compliance: ISO 27001, DORA, PCI DSS, BAIT
Regelmäßige Penetrationstests sind expliziter oder impliziter Bestandteil praktisch jedes relevanten Regelwerks: ISO 27001 (A.8.29), PCI DSS (Requirement 11.4), BAIT / VAIT / KAIT für Finanzinstitute in Deutschland, DORA (Art. 24 f. Threat-Led Penetration Testing) sowie zunehmend NIS2 für Betreiber wesentlicher Dienste.
Wichtig: ein 'compliance-konformer Pentest' ist kein 'schwacher Pentest'. Ein guter Report deckt beides ab — Ihre reale Angriffsfläche und die für den Auditor relevanten Nachweise (Scope, Methodik, Retest, Verantwortlichkeiten).
Häufig gestellte Fragen
Was ist ein Penetrationstest?
Ein Penetrationstest ist ein autorisierter, zeitlich begrenzter Sicherheitstest, bei dem erfahrene Angreifer versuchen, reale Schwachstellen in Systemen, Anwendungen oder Netzen auszunutzen — mit dem Ziel, Risiken vor echten Angreifern zu identifizieren und remediierbar zu dokumentieren.
Wie unterscheidet sich ein Pentest von einem Vulnerability Scan?
Ein Vulnerability Scan ist automatisiert und meldet potenzielle Schwachstellen anhand von Signaturen. Ein Pentest ist manuell, verifiziert die Ausnutzbarkeit, kettet Schwachstellen zusammen und bewertet reale Auswirkungen auf Ihr Geschäft.
Was kostet ein Penetrationstest?
Der Preis hängt von Scope, Komplexität und Tiefe ab. Ein fokussierter Web-App-Test startet typischerweise im niedrigen fünfstelligen Bereich; ein umfassender interner Netz- oder AD-Test liegt deutlich darüber. Wir kalkulieren pro Engagement, nicht pro Vulnerability.
Wie oft sollte ein Pentest durchgeführt werden?
Mindestens jährlich für kritische Systeme, zusätzlich nach jedem Major Release, jeder relevanten Architekturänderung und vor produktiven Rollouts neuer Umgebungen (z. B. neue Cloud-Region, M&A-Integration).
Was ist der Unterschied zwischen Pentest und Red Teaming?
Ein Pentest sucht möglichst viele Schwachstellen in einem definierten Scope. Red Teaming ist ein zielorientierter, bedrohungsgeleiteter Angriff auf die gesamte Organisation — inklusive Menschen und Prozessen — um Erkennungs- und Reaktionsfähigkeit zu prüfen.
Welche Standards und Methoden werden verwendet?
Wir arbeiten methodisch nach OWASP WSTG und OWASP ASVS (Web), OWASP MASVS (Mobile), MITRE ATT&CK (Post-Exploitation) sowie NIST SP 800-115 und PTES für den Gesamtprozess. Für TIBER-EU / DORA TLPT folgt die Umsetzung dem TIBER-EU Framework.
Bereit für einen ehrlichen Penetrationstest?
Sprechen Sie direkt mit einem Senior-Operator — vertraulich, ohne Sales-Zwischenschicht.