Penetrationstest

Wie gut die eigene Abwehr wirklich trägt, zeigt sich erst, wenn jemand ernsthaft versucht, sie zu überwinden. Genau das leistet ein Penetrationstest: Sicherheitsfachleute greifen im Auftrag des Unternehmens dessen Systeme an, kontrolliert und mit klaren Grenzen. Für IT-Entscheider ist er eines der ehrlichsten Prüfinstrumente, weil er Annahmen durch Belege ersetzt.

Was ist ein Penetrationstest?

Ein Penetrationstest (kurz Pentest) ist eine beauftragte Sicherheitsprüfung, bei der Fachleute mit den Methoden echter Angreifer versuchen, in Systeme und Anwendungen einzudringen. Das Ziel ist ein praktischer Nachweis: Welche Schwachstellen existieren, lassen sie sich ausnutzen, und welcher Schaden wäre im Ernstfall möglich? Aus den Antworten entstehen priorisierte Empfehlungen für die Behebung.

Nach dem Wissensstand der Tester werden drei Varianten unterschieden. Beim Black-Box-Test starten die Tester ohne Vorwissen und sehen das Ziel wie ein externer Angreifer. Beim Grey-Box-Test erhalten sie Teilinformationen, etwa ein Benutzerkonto oder eine Netzübersicht. Beim White-Box-Test liegen Architektur, Konfigurationen oder Quellcode offen, was die größte Prüftiefe erlaubt.

Daneben unterscheidet sich das Testobjekt: Externe Tests prüfen aus dem Internet erreichbare Systeme wie VPN-Gateways oder Kundenportale. Interne Tests simulieren einen Angreifer, der bereits im Firmennetz steht, etwa nach der Übernahme eines Arbeitsplatzrechners. Tests von Webanwendungen konzentrieren sich auf Authentifizierung, Sitzungsverwaltung, Eingabevalidierung und Geschäftslogik.

Rechtlich gilt: Ein Pentest braucht einen schriftlichen Auftrag und die ausdrückliche Erlaubnis des Systemeigentümers. Ohne diese Grundlage ist das Eindringen in fremde Systeme in Deutschland strafbar. Liegen Systeme bei Cloud- oder Hosting-Anbietern, sind zusätzlich deren Regeln für Sicherheitstests zu beachten und betroffene Dritte einzubeziehen.

So läuft es ab

Seriöse Tests folgen einem strukturierten Vorgehen in fünf Schritten:

  • Scoping und Beauftragung: Auftraggeber und Tester legen Ziele, Systeme, Zeitfenster, Testtiefe und Tabuzonen fest. Der schriftliche Auftrag regelt Erlaubnis, Haftung, Vertraulichkeit und Notfallkontakte für den Fall, dass der Test produktive Systeme beeinträchtigt.
  • Informationsbeschaffung: Die Tester sammeln Wissen über das Ziel, von öffentlich verfügbaren Informationen bis zur aktiven Erkundung erreichbarer Dienste und Softwareversionen.
  • Schwachstellenanalyse: Werkzeuggestützte Prüfungen und manuelle Analyse ergänzen sich. Die Tester bewerten, welche Funde sich zu realistischen Angriffspfaden verbinden lassen.
  • Ausnutzung: Ausgewählte Schwachstellen werden kontrolliert ausgenutzt, um den tatsächlichen Zugriff zu belegen. Dazu gehören Rechteausweitung und die Frage, wie weit ein Angreifer sich im Netzwerk bewegen könnte.
  • Bericht und Nachbesprechung: Der Abschlussbericht dokumentiert jeden Befund mit Nachweis, Risikobewertung und konkreter Empfehlung, ergänzt um eine Zusammenfassung für das Management. Ein Retest nach der Behebung prüft, ob die Maßnahmen wirken.

Warum es wichtig ist

  • Er belegt, welche Schwachstellen sich in der Praxis ausnutzen lassen, statt bei theoretischen Listen stehen zu bleiben.
  • Er prüft nebenbei, ob Monitoring und Alarmierung einen laufenden Angriff überhaupt bemerken.
  • Er macht Risiken für Geschäftsführung und Budgetplanung greifbar, weil Angriffspfade konkret beschrieben werden.
  • Kunden, Auditoren, Versicherer und Aufsichtsbehörden verlangen zunehmend Nachweise über durchgeführte Sicherheitstests.
  • Er findet Fehlerklassen, die automatisierte Werkzeuge übersehen, etwa Logikfehler in Anwendungen oder riskante Kombinationen einzelner Schwächen.

Typische Szenarien

  • Vor dem Go-live eines Kundenportals prüft ein externer Test samt Webanwendung, ob Login und Datenzugriffe standhalten.
  • Ein interner Test beantwortet die Frage, wie weit ein Angreifer nach der Übernahme eines einzelnen Arbeitsplatzes käme, ein realistisches Ransomware-Szenario.
  • Nach einer Übernahme bewertet ein Pentest die geerbte Infrastruktur, bevor die Netze beider Unternehmen verbunden werden.
  • Wiederkehrende Tests dienen als Wirksamkeitsnachweis im Rahmen eines Managementsystems für Informationssicherheit.
  • Nach einem größeren Release prüft ein erneuter Test der Webanwendung, ob neue Funktionen neue Lücken geöffnet haben.

Penetrationstest vs. Schwachstellenscan

Ein Schwachstellenscan arbeitet automatisiert: Er gleicht Systeme mit Datenbanken bekannter Schwachstellen ab, läuft häufig und flächendeckend, bewertet aber weder Ausnutzbarkeit noch Kontext. Ein Penetrationstest setzt genau dort an: Menschen verketten einzelne Schwächen zu echten Angriffspfaden und belegen die Auswirkungen. Beides gehört zusammen: Ein kontinuierliches Schwachstellenmanagement hält die Angriffsfläche dauerhaft klein, der Pentest prüft punktuell in der Tiefe. KI verschiebt auf beiden Feldern das Tempo: Angreifer automatisieren Aufklärung und Exploit-Entwicklung, Tester beschleunigen Analyse und Bericht. Wie weit autonome KI-Systeme in der offensiven Sicherheit inzwischen sind, beleuchtet unser Glossarbeitrag zu Mythos .

Umsetzung mit KAEMI

KAEMI führt selbst keine Penetrationstests durch. Als Managed Service Provider für sichere Unternehmensnetzwerke setzen wir dort an, wo viele Testberichte die größten Risiken ausweisen: bei offenen internen Netzen und ungebremster lateraler Bewegung. Mit Zero Trust Mikrosegmentierung schließen wir genau die Pfade, über die sich Tester und echte Angreifer von einem ersten System aus weiterarbeiten. Für exponierte Webanwendungen reduziert Application Security die Angriffsfläche schon vor dem nächsten Test. So wird aus einem Pentest-Bericht ein dauerhaft härteres Netzwerk. Sprechen Sie uns über unser Kontaktformular an, wenn Sie Befunde in wirksame Maßnahmen übersetzen möchten.

Häufige Fragen zu Penetrationstest

Wie oft sollte ein Unternehmen einen Penetrationstest durchführen lassen?

Üblich ist ein Rhythmus von zwölf Monaten für zentrale Systeme, ergänzt um anlassbezogene Tests: nach größeren Architekturänderungen, vor dem Go-live neuer Anwendungen oder nach Fusionen. Zwischen den Tests hält ein laufendes Schwachstellenmanagement das Risiko im Blick. Wichtiger als die reine Frequenz ist, dass Befunde tatsächlich behoben und in einem Retest überprüft werden.

Ist ein Penetrationstest legal?

Ja, wenn er beauftragt ist. Grundlage ist ein schriftlicher Vertrag, in dem der Eigentümer der Systeme den Test ausdrücklich erlaubt und in dem Umfang, Zeitraum und Grenzen definiert sind. Ohne diese Erlaubnis machen sich Tester strafbar. Bei Systemen in Cloud- oder Hosting-Umgebungen müssen zusätzlich die Testrichtlinien der jeweiligen Anbieter beachtet werden.

Was ist der Unterschied zwischen Black-Box-, Grey-Box- und White-Box-Tests?

Die Begriffe beschreiben den Wissensstand der Tester. Black Box bedeutet Start ohne Vorwissen und bildet die Sicht eines externen Angreifers ab. Grey Box arbeitet mit Teilinformationen wie einem Testkonto und ist in der Praxis am häufigsten, weil Aufwand und Erkenntnis in gutem Verhältnis stehen. White Box legt Architektur und Quellcode offen und erreicht die größte Prüftiefe.

Ersetzt ein Schwachstellenscan den Penetrationstest?

Nein. Der Scan findet automatisiert bekannte Schwachstellen und eignet sich für den laufenden Betrieb. Er zeigt aber weder, ob sich ein Fund tatsächlich ausnutzen lässt, noch wie mehrere Schwächen zusammen einen Angriffspfad ergeben. Der Pentest liefert genau diese Bewertung durch menschliche Tester. Sinnvoll ist die Kombination: kontinuierliches Scannen als Basis, Tests als regelmäßige Tiefenprüfung.

Was gehört in einen guten Pentest-Bericht?

Ein brauchbarer Bericht enthält eine Zusammenfassung für das Management, eine nachvollziehbare Beschreibung jedes Befunds mit Nachweis, eine Risikobewertung nach Ausnutzbarkeit und Auswirkung sowie konkrete, priorisierte Empfehlungen zur Behebung. Gute Dienstleister dokumentieren zusätzlich das Vorgehen und die geprüften Bereiche, damit klar ist, was der Test abgedeckt hat und was außerhalb des Auftrags lag.

Vom Begriff zur Umsetzung: KAEMI begleitet Sie von der ersten Analyse bis in den laufenden Betrieb.