Ein Penetration Test – kurz Pentest – ist kein Luxus für Großkonzerne. Spätestens seit NIS2, ISO 27001 und dem wachsenden Druck durch Cyberversicherungen ist er für eine wachsende Zahl von Mittelständlern entweder Pflicht oder faktisch unvermeidlich, wenn man Kundenaufträge mit Sicherheitsanforderungen gewinnen will.
Trotzdem herrscht bei vielen Unternehmen eine erhebliche Unsicherheit darüber, was ein Pentest eigentlich ist, was er kostet und – wichtiger noch – was er nicht leistet. Dieser Beitrag klärt die wichtigsten Fragen.
Was ein Penetration Test ist – und was nicht
Ein Penetration Test ist ein simulierter Angriff auf eine IT-Infrastruktur, Webanwendung, Netzwerk oder ein spezifisches System – durchgeführt von qualifizierten Sicherheitstestern mit expliziter Genehmigung des Auftraggebers. Ziel ist es, echte Sicherheitslücken zu finden, bevor ein echter Angreifer sie findet.
Was ein Pentest nicht ist:
- Kein automatisierter Scan: Vulnerability Scanner wie Nessus oder OpenVAS sind nützliche Werkzeuge, aber kein Penetration Test. Ein echter Pentest beinhaltet manuelle Analyse, kreatives Denken und die Simulation eines echten Angreifers – nicht nur das Ausführen von Tool-Listen.
- Keine dauerhafte Sicherheitsgarantie: Ein Pentest ist eine Momentaufnahme. Nach dem Test können neue Schwachstellen entstehen – durch neue Software, neue Konfigurationen oder neue Angriffsverfahren.
- Kein Ersatz für ein ISMS: Ein Pentest ohne ein dahinterliegendes Information Security Management System ist wie eine einmalige Arztvisite ohne Gesundheitsprogram. Nützlich, aber nicht ausreichend.
Typen von Penetration Tests
Je nach Umfang und Transparenz unterscheidet man drei Grundtypen:
- Black Box Test: Der Tester erhält keine Informationen über das Zielsystem – nur einen definierten Scope (z.B. eine URL oder eine IP-Range). Simuliert den Standpunkt eines externen Angreifers ohne Insiderwissen. Vorteil: realistisch. Nachteil: zeitaufwändig, teuer, nicht alle internen Schwachstellen werden gefunden.
- White Box Test: Der Tester erhält vollständigen Zugriff auf Dokumentation, Quellcode, Architekturpläne und Konfigurationen. Simuliert einen Insider-Angriff oder einen Angreifer mit gestohlenen Credentials. Vorteil: umfassend, findet auch tief sitzende Code-Schwachstellen. Empfohlen für Webanwendungen und eigene Software.
- Grey Box Test: Kombination aus beiden – der Tester erhält begrenzte Informationen (z.B. normale Benutzer-Credentials, aber keine Admin-Zugänge). In der Praxis häufigster Ansatz für Webapplikations-Pentests.
Wann ein Pentest sinnvoll ist
Klare Anwendungsfälle für einen Pentest:
- Vor dem Launch einer neuen Webanwendung mit sensitiven Nutzerdaten oder Zahlungsfunktionen.
- Nach größeren Architekturänderungen oder dem Onboarding neuer Cloud-Dienste.
- Für ISO 27001-Zertifizierung: Ein Pentest ist zwar nicht explizit verlangt, aber regelmäßige Sicherheitstests (inkl. Pentests) sind Teil des Anforderungsprofils im Annex A.
- Für NIS2-Compliance: "Geeignete technische Maßnahmen" schließen regelmäßige Sicherheitstests ein. Bei wesentlichen Einrichtungen wird ein jährlicher Pentest zunehmend zur Erwartung.
- Auf Kundenforderung: Großkunden aus kritischen Branchen (Automobilzulieferer, Pharmaunternehmen, öffentliche Auftraggeber) verlangen zunehmend Nachweise über Sicherheitstests als Voraussetzung für Zusammenarbeit.
- Nach einem Sicherheitsvorfall: Um zu verstehen, wie der Angriff möglich war und ob ähnliche Schwachstellen noch vorhanden sind.
Was ein Pentest kostet
Pentests werden in der Regel nach Tagessätzen oder als Pauschalpreis abgerechnet. Die Spannbreite ist erheblich:
| Pentest-Typ | Typischer Umfang | Kostenrahmen (DE-Markt) |
|---|---|---|
| Webanwendung (Grey Box) | 3–5 Tage | 4.000 – 10.000 € |
| Infrastruktur/Netzwerk | 5–10 Tage | 8.000 – 20.000 € |
| API-Test (REST/GraphQL) | 2–4 Tage | 3.000 – 8.000 € |
| Mobile App | 4–7 Tage | 6.000 – 14.000 € |
| OT/SCADA-Umgebung | 5–15 Tage | 10.000 – 35.000 € |
Günstigere Angebote unter 2.000 Euro für "Webanwendungs-Pentests" sind in der Regel automatisierte Scanner-Berichte – kein echter manueller Pentest. Wer einen qualitativ hochwertigen Test möchte, sollte bei einem erfahrenen deutschen oder europäischen Anbieter einen realistischen Tagessatz von 1.200–2.000 Euro kalkulieren.
Ein guter Pentest-Bericht enthält für jede Schwachstelle: eine klare Risikobewertung (Critical/High/Medium/Low), eine technische Beschreibung des Angriffspfads, einen Proof of Concept (was wäre möglich gewesen?) und konkrete Handlungsempfehlungen zur Behebung. Berichte, die nur eine Liste von CVEs ohne Kontext liefern, sind kein vollwertiger Pentest.
Was beim Pentest typischerweise herauskommt
Typische Befunde in Pentest-Berichten für mittelständische Anwendungen und Infrastrukturen:
- Veraltete Software-Komponenten mit bekannten CVEs (Common Vulnerabilities and Exposures) – häufigster Befund, oft leicht zu beheben.
- Fehlende oder schwache Authentifizierung: Fehlende MFA für Admin-Zugriffe, schwache Passwortrichtlinien, Session-Fixation-Schwachstellen.
- Injection-Schwachstellen: SQL Injection, Command Injection, LDAP Injection – besonders in älteren oder schnell entwickelten Anwendungen häufig.
- Unsichere Konfigurationen: Offene Ports, Default-Credentials, überprivilegierte Service-Accounts, unverschlüsselte interne Kommunikation.
- Informationslecks: Fehlermeldungen mit Stack Traces, offene Verzeichnislisten, zugängliche Debug-Endpunkte.
- Berechtigungsprobleme: Horizontale oder vertikale Privilege Escalation – ein Benutzer kann auf Daten eines anderen zugreifen oder Admin-Funktionen nutzen.
Fazit
Ein Penetration Test ist eine Investition in die Sicherheit des eigenen Systems – und zunehmend auch eine Anforderung für Compliance und Kundenvertrauen. Wer ihn als "einmaligen Check" versteht und danach die Befunde ignoriert, verschwendet Geld. Wer ihn als Teil eines kontinuierlichen Sicherheitsprozesses versteht, bekommt wertvolles Wissen über echte Risiken – und eine priorisierte Liste von Maßnahmen, die diese Risiken reduzieren. Die Frage ist nicht mehr ob, sondern wann und wie oft.