Penetrationstest vorbereiten: Was Sie wissen sollten
Das Wichtigste in Kürze
- Ein Penetrationstest ohne klar definierten Scope liefert ungenaue Ergebnisse — welche Systeme, Netzwerke und Szenarien getestet werden sollen, muss vorab präzise festgelegt werden
- Für die meisten mittelständischen Unternehmen ist ein Grey-Box-Pentest der beste Einstieg: realistischer als Black Box, effizienter als White Box
- Kritische Schwachstellen müssen sofort während des Tests gemeldet werden — nicht erst im Abschlussbericht
- Der Abschlussbericht ist keine Ablagepflicht: Er erfordert eine qualifizierte Bewertung und einen priorisierten Maßnahmenplan mit Verantwortlichkeiten
- Ein einmaliger Pentest ist eine Momentaufnahme — jährliche Tests mit wechselndem Fokus bieten deutlich mehr Sicherheit
Ein Penetrationstest ist eines der wirksamsten Werkzeuge, um die tatsächliche Sicherheitslage eines Unternehmens zu bewerten. Doch der Nutzen hängt erheblich davon ab, wie gut der Test vorbereitet ist. Wir erleben regelmäßig, dass Unternehmen einen Pentest beauftragen, ohne vorher grundlegende Fragen geklärt zu haben — und dann vom Ergebnis enttäuscht sind.
Vor dem Test: Scope und Ziele definieren
Die wichtigste Frage vor einem Penetrationstest lautet: Was genau soll getestet werden und warum?
Ein Pentest ohne klaren Scope liefert ungenaue Ergebnisse. Die Definition sollte umfassen: welche Systeme, Netzwerke oder Anwendungen im Umfang sind, welche ausdrücklich ausgeschlossen sind, ob interne oder externe Angriffsvektoren geprüft werden sollen, und welche Szenarien für Ihr Unternehmen besonders relevant sind.
Ein Unternehmen, das primär Cloud-Dienste nutzt, hat andere Prioritäten als eines mit umfangreicher On-Premises-Infrastruktur. Ein Finanzdienstleister hat andere regulatorische Anforderungen als ein Maschinenbauer.
Varianten verstehen
Nicht jeder Pentest ist gleich. Die Hauptvarianten unterscheiden sich in der Informationsbasis, die dem Tester zur Verfügung steht:
Black Box: Der Tester erhält keine internen Informationen und simuliert einen externen Angreifer. Realistisch, aber zeitintensiv und nicht immer effizient.
Grey Box: Der Tester erhält begrenzten Zugang, beispielsweise Benutzer-Zugangsdaten oder Netzwerkdiagramme. Ein guter Kompromiss aus Realismus und Effizienz.
White Box: Der Tester erhält vollständigen Zugang zu Dokumentation, Quellcode und Architektur. Ermöglicht die gründlichste Prüfung, erfordert aber mehr Aufwand in der Vorbereitung.
Für die meisten mittelständischen Unternehmen empfehlen wir einen Grey-Box-Ansatz als Einstieg.
Während des Tests: Kommunikation sicherstellen
Ein häufiger Fehler: Der Pentest wird beauftragt und dann laufen gelassen. Dabei ist die laufende Kommunikation zwischen Tester und Unternehmen wichtig. Kritische Schwachstellen sollten sofort gemeldet werden, nicht erst im Abschlussbericht. Unerwartete Zustände in der Umgebung müssen schnell geklärt werden können.
Stellen Sie sicher, dass während des Tests ein technischer Ansprechpartner erreichbar ist. Definieren Sie vorab, wie mit kritischen Funden umgegangen wird.
Nach dem Test: Ergebnisse richtig einordnen
Der Abschlussbericht eines Penetrationstests ist kein Dokument, das einmal gelesen und dann abgeheftet wird. Er erfordert eine qualifizierte Bewertung: Welche Findings sind tatsächlich kritisch für unser Unternehmen? Welche lassen sich schnell beheben? Welche erfordern strukturelle Änderungen?
Erstellen Sie auf Basis des Berichts einen priorisierten Maßnahmenplan mit klaren Verantwortlichkeiten und Zeitrahmen. Planen Sie einen Re-Test für die kritischsten Findings.
Regelmäßigkeit schlägt Einzelprüfung
Ein einmaliger Penetrationstest liefert eine Momentaufnahme. IT-Umgebungen ändern sich kontinuierlich: neue Systeme, neue Integrationen, neue Mitarbeitende. Ein jährlicher Pentest — idealerweise mit wechselndem Fokus — bietet deutlich mehr Sicherheit als eine einmalige Prüfung.
Wenn Sie einen Penetrationstest planen oder Ihre bestehende Testpraxis verbessern möchten, beraten wir Sie gerne.
Haeufig gestellte Fragen
Was sollte ein Penetrationstest-Bericht mindestens enthalten?
Ein guter Pentest-Bericht enthält eine Executive Summary für Entscheidungsträger, eine technische Detailbeschreibung jedes Findings mit Schweregrad (CVSS oder ähnlich), Reproduktionsschritte, Empfehlungen zur Behebung sowie einen priorisierten Maßnahmenplan. Wichtig: Der Bericht muss sowohl für technisches Personal als auch für die Geschäftsführung lesbar sein.
Wie unterscheidet sich ein Black-Box- von einem Grey-Box-Penetrationstest?
Beim Black-Box-Test erhält der Tester keine internen Informationen und simuliert einen externen Angreifer ohne Vorkenntnisse. Beim Grey-Box-Test bekommt er begrenzte Informationen, etwa Benutzer-Zugangsdaten oder Netzwerkdiagramme. Grey-Box ist in der Regel effizienter, weil weniger Zeit mit der Informationssammlung verbracht wird und tiefere Tests möglich sind.
Wie oft sollte ein Penetrationstest stattfinden?
Mindestens einmal jährlich für die Kerninfrastruktur. Darüber hinaus sollten größere Änderungen an der IT-Infrastruktur — wie neue Cloud-Migrationen, neue Anwendungen oder veränderte Netzwerkarchitektur — anlassbezogene Tests auslösen. Regulatorische Anforderungen wie DORA oder NIS2 können häufigere Tests vorschreiben.
Was ist ein Re-Test und wann ist er notwendig?
Nach Behebung der kritischsten Findings sollte ein Re-Test durchgeführt werden, bei dem der ursprüngliche Tester gezielt prüft, ob die Schwachstellen korrekt geschlossen wurden. Das ist kein vollständiger neuer Pentest, sondern eine gezielte Verifikation. Ohne Re-Test bleibt unklar, ob die Behebungsmaßnahmen tatsächlich wirksam waren.