Penetrationstest ★ TÜV-Tester ab 3.000 € · BSI-Leitfaden 2026

Was ist ein Penetrationstest?

Ein Penetrationstest (kurz: Pentest) ist eine autorisierte, simulierte Cyberattacke auf IT-Systeme, Netzwerke oder Anwendungen eines Unternehmens. Das Ziel besteht darin, Sicherheitslücken zu identifizieren und deren tatsächliche Ausnutzbarkeit unter realistischen Bedingungen nachzuweisen. Im Gegensatz zu einer automatisierten Schwachstellenanalyse werden beim Penetrationstest Schwachstellen von spezialisierten Sicherheitsexperten aktiv ausgenutzt, um die realen Auswirkungen eines Angriffs zu demonstrieren.

Ein Penetrationstest geht damit deutlich über eine reine Schwachstellenidentifizierung hinaus. Er beantwortet die wichtige Frage: „Was kann ein Angreifer mit den vorhandenen Schwachstellen tatsächlich erreichen?“ Dabei werden komplexe Angriffsketten simuliert, bei denen mehrere einzelne Schwachstellen — die isoliert betrachtet möglicherweise nur ein geringes Risiko darstellen — zu einem kritischen Angriffspfad kombiniert werden.

Für Unternehmen ist ein professioneller Penetrationstest ein unverzichtbares Instrument zur Validierung der IT-Sicherheit. Er liefert belastbare Erkenntnisse über die tatsächliche Widerstandsfähigkeit gegen Cyberangriffe und deckt Schwachstellen auf, die automatisierte Scanner nicht erkennen können. In einer Zeit, in der Cyberangriffe immer ausgefeilter werden und regulatorische Anforderungen durch NIS-2, KRITIS-Verordnung und branchenspezifische Standards steigen, ist ein regelmäßiger Penetrationstest ein Eckpfeiler jeder ernsthaften IT-Sicherheitsstrategie.

Die Ergebnisse eines Pentests werden in einem detaillierten Bericht zusammengefasst, der neben den technischen Befunden auch konkrete Handlungsempfehlungen und eine Risikobewertung für die Geschäftsführung enthält. Dieser Bericht bildet die Grundlage für die gezielte Verbesserung der IT-Sicherheit und kann als Nachweis gegenüber Aufsichtsbehörden, Geschäftspartnern und Versicherungen dienen.

Arten von Penetrationstests

Penetrationstests werden nach verschiedenen Kriterien klassifiziert. Die richtige Auswahl der Testart ist wichtig für aussagekräftige Ergebnisse und hängt von den spezifischen Sicherheitszielen des Unternehmens ab.

Black-Box-Test

Beim Black-Box-Penetrationstest erhält der Tester keinerlei Vorabinformationen über die Zielumgebung — weder Netzwerkpläne, Zugangsdaten noch Dokumentation der IT-Infrastruktur. Der Pentester agiert aus der Perspektive eines externen Angreifers, der das Unternehmen ohne Insiderwissen attackiert. Diese Testart simuliert den realistischsten Angriffsvektor und zeigt, was ein Angreifer mit öffentlich verfügbaren Informationen und eigener Recherche erreichen kann. Black-Box-Tests sind zeitaufwändiger, da der Tester die Reconnaissance-Phase vollständig selbst durchführen muss, liefern aber die authentischste Einschätzung der externen Angriffsfläche.

Grey-Box-Test

Der Grey-Box-Test ist ein Kompromiss zwischen Black-Box und White-Box. Der Pentester erhält eingeschränkte Informationen wie Netzwerkdiagramme, Benutzerkonten mit Standardberechtigungen oder Dokumentation bestimmter Systeme. Diese Testart simuliert ein Szenario, in dem ein Angreifer bereits erste Informationen über das Unternehmen gewonnen hat — etwa durch Social Engineering, einen kompromittierten Mitarbeiteraccount oder durch einen Innentäter mit begrenztem Zugang. Grey-Box-Tests bieten ein gutes Verhältnis zwischen Realismus und Effizienz und sind die am häufigsten gewählte Testart in der Praxis.

White-Box-Test

Beim White-Box-Penetrationstest (auch Crystal-Box oder Open-Box genannt) erhält der Tester vollständigen Zugang zu allen relevanten Informationen: Quellcode, Netzwerkarchitektur, Konfigurationsdateien, Zugangsdaten mit verschiedenen Berechtigungsstufen und technische Dokumentation. Diese Testart ermöglicht die starkste Analyse und die Identifizierung von Schwachstellen, die bei Black-Box- oder Grey-Box-Tests möglicherweise nicht entdeckt würden. White-Box-Tests sind besonders effektiv für die Prüfung von Webanwendungen (Code Review), kritischen Infrastrukturen und regulatorisch geforderten Sicherheitsprüfungen.

Externer Penetrationstest

Ein externer Penetrationstest zielt auf die aus dem Internet erreichbaren Systeme und Dienste des Unternehmens — Webserver, E-Mail-Server, VPN-Gateways, DNS-Server und andere extern exponierte Assets. Der Test simuliert einen Angriff von außen und bewertet die Wirksamkeit der Perimeter-Sicherheit. Externe Pentests sind besonders wichtig, da internetexponierte Systeme das primäre Ziel für opportunistische und gezielte Angriffe darstellen. Typische Angriffsvektoren umfassen die Ausnutzung von Schwachstellen in Webanwendungen, Brute-Force-Attacken auf Authentifizierungsmechanismen und die Manipulation von DNS-Einträgen.

Interner Penetrationstest

Der interne Penetrationstest simuliert einen Angriff aus dem internen Netzwerk — entweder durch einen Innentäter oder einen externen Angreifer, der bereits einen initialen Zugang zum Netzwerk erlangt hat (z. B. durch Phishing oder einen kompromittierten VPN-Zugang). Dabei werden Active-Directory-Schwachstellen, Netzwerksegmentierung, Privilege-Escalation-Möglichkeiten und die laterale Bewegung durch das Netzwerk getestet. Interne Pentests decken oft kritische Schwachstellen auf, die von außen nicht sichtbar sind, aber bei einem erfolgreichen Einbruch verheerende Auswirkungen haben können.

Web-Application-Penetrationstest

Webanwendungen sind eines der häufigsten Angriffsziele. Ein Web-Application-Pentest prüft Webanwendungen systematisch auf Schwachstellen wie SQL-Injection, Cross-Site-Scripting (XSS), Broken Authentication, Insecure Direct Object References (IDOR), Server-Side Request Forgery (SSRF) und weitere Schwachstellen gemäß den OWASP Top 10. Der Test umfasst sowohl automatisierte Scans mit spezialisierten Tools (Burp Suite, OWASP ZAP) als auch manuelle Tests durch erfahrene Pentester, die Geschäftslogik-Fehler und komplexe Angriffsketten identifizieren können.

Social-Engineering-Test

Social-Engineering-Tests prüfen die menschliche Komponente der IT-Sicherheit. Dabei werden Phishing-Kampagnen, Pretexting-Anrufe (Vishing), physische Social-Engineering-Versuche (Tailgating, Impersonation) und USB-Drop-Attacken simuliert. Diese Tests zeigen, wie anfällig die Mitarbeiter für Manipulationsversuche sind und ob die Security-Awareness-Schulungen wirken. Social-Engineering ist nach wie vor einer der erfolgreichsten Angriffsvektoren — selbst in technisch gut abgesicherten Umgebungen können manipulierte Mitarbeiter einem Angreifer Tür und Tor öffnen.

Ablauf eines Penetrationstests: 6 Phasen

Ein professioneller Penetrationstest folgt einer standardisierten Methodik, die sicherstellt, dass die Prüfung systematisch, reproduzierbar und vollständig durchgeführt wird. Die sechs Phasen orientieren sich an anerkannten Frameworks wie PTES (Penetration Testing Execution Standard) und OWASP Testing Guide.

Phase 1: Scoping und Beauftragung

In der Scoping-Phase werden alle Parameter des Penetrationstests festgelegt. Dazu gehören die zu testenden Systeme und IP-Bereiche, die Testart (Black/Grey/White Box), der Testzeitraum, die erlaubten Angriffstechniken (Rules of Engagement), Eskalationswege bei kritischen Funden und die rechtliche Beauftragung (Letter of Authorization). Das Scoping ist wichtig für den Erfolg des Pentests. Ein zu eng gefasster Scope kann relevante Angriffspfade ausschließen, ein zu breiter Scope kann die verfügbare Testzeit zu stark verdünnen. Professionelle Pentest-Anbieter beraten ihre Kunden vollständig bei der Definition des optimalen Scopes.

Phase 2: Reconnaissance (Aufklärung)

In der Reconnaissance-Phase sammelt der Pentester systematisch Informationen über das Ziel. Bei der passiven Reconnaissance werden öffentlich verfügbare Informationen ausgewertet — DNS-Einträge, WHOIS-Daten, Social-Media-Profile, Stellenausschreibungen (die Rückschlüsse auf eingesetzte Technologien ermöglichen), GitHub-Repositories und Informationen aus Datenlecks. Die aktive Reconnaissance umfasst Port-Scans, Service-Enumeration, Banner-Grabbing und die Identifizierung von Technologien und Versionen. Ziel ist es, ein möglichst vollständiges Bild der Angriffsfläche zu erhalten und potenzielle Angriffsvektoren zu identifizieren.

Phase 3: Exploitation (Ausnutzung)

In der Exploitation-Phase werden die identifizierten Schwachstellen aktiv ausgenutzt. Der Pentester versucht, initialen Zugang zu Systemen zu erlangen — durch Ausnutzung von Software-Schwachstellen, Passwort-Angriffen, Social Engineering oder anderen Techniken. Jeder erfolgreiche Exploit wird sorgfältig dokumentiert, einschließlich der verwendeten Technik, der ausgenutzen Schwachstelle und der erlangten Berechtigungen. Die Exploitation-Phase erfordert höchste Sorgfalt, um unbeabsichtigte Auswirkungen auf den Produktivbetrieb zu vermeiden. Professionelle Pentester arbeiten mit bewährten Tools und Techniken und haben Notfallprozeduren für den Fall unerwarteter Systemreaktionen.

Phase 4: Post-Exploitation

Nach dem initialen Zugang untersucht der Pentester, welche weiteren Systeme und Daten erreichbar sind. Typische Post-Exploitation-Aktivitäten umfassen Privilege Escalation (Erhöhung der Berechtigungen), laterale Bewegung im Netzwerk, Zugriff auf sensible Daten und Systeme, Persistenzmechanismen (wie könnte ein Angreifer dauerhaften Zugang sicherstellen) und die Dokumentation des maximal erreichbaren Schadens. Die Post-Exploitation-Phase zeigt die tatsächlichen Auswirkungen eines erfolgreichen Angriffs und ist oft der augenöffnende Teil für die Geschäftsführung. Sie demonstriert konkret, was ein Angreifer mit dem erlangten Zugang erreichen könnte — von Datendiebstahl bis zur vollständigen Übernahme der IT-Infrastruktur.

Phase 5: Reporting

Der Pentest-Bericht ist das wichtigste Deliverable und muss sowohl technisch fundiert als auch für das Management verständlich sein. Er enthält eine Executive Summary mit den kritischsten Ergebnissen und dem Gesamtrisiko, eine detaillierte technische Beschreibung jedes Findings mit Reproduktionsanleitung, CVSS-Bewertung und Risikoeinstufung, Angriffspfade und -ketten visualisiert als Diagramme, konkrete Empfehlungen zur Behebung jeder Schwachstelle mit Priorisierung, Screenshots und Nachweise der erfolgreichen Exploitation sowie einen Anhang mit detaillierten technischen Daten. Ein guter Pentest-Bericht ermöglicht es der IT-Abteilung, die Schwachstellen eigenständig nachzuvollziehen und zu beheben, und gibt dem Management die Informationen für fundierte Risikoentscheidungen.

Phase 6: Retest und Verifikation

Nach der Behebung der identifizierten Schwachstellen wird ein Retest durchgeführt, um die Wirksamkeit der Maßnahmen zu verifizieren. Der Retest fokussiert sich auf die zuvor identifizierten Schwachstellen und prüft, ob diese vollständig behoben wurden und ob durch die Änderungen keine neuen Schwachstellen entstanden sind. Der Retest ist ein zentraler Bestandteil des Pentest-Prozesses, da er sicherstellt, dass die Investition in den Penetrationstest auch tatsächlich zu einer messbaren Verbesserung der Sicherheitslage führt. Professionelle Anbieter inkludieren einen Retest im Rahmen ihrer Pentest-Engagements oder bieten ihn als optionalen Zusatzservice an.

Penetrationstest vs. Vulnerability Scan: Die Unterschiede

Die Abgrenzung zwischen Penetrationstest und Vulnerability Scan ist für die Auswahl der richtigen Sicherheitsmaßnahme zentral. Obwohl beide Methoden auf die Identifizierung von Schwachstellen abzielen, unterscheiden sie sich grundsätzlich in Ansatz, Tiefe und Aussagekraft.

Ein Vulnerability Scan ist ein weitgehend automatisiertes Verfahren, bei dem Scanner-Software IT-Systeme auf bekannte Schwachstellen prüft. Er liefert eine breite Übersicht über potenzielle Sicherheitslücken, ohne deren tatsächliche Ausnutzbarkeit zu verifizieren. Vulnerability Scans können regelmäßig (wöchentlich bis monatlich) durchgeführt werden und sind vergleichsweise kostengünstig. Allerdings produzieren sie häufig False Positives und können komplexe Angriffsketten nicht erkennen.

Ein Penetrationstest wird von spezialisierten Sicherheitsexperten durchgeführt, die Schwachstellen aktiv ausnutzen und komplexe Angriffszenarien simulieren. Der Pentest liefert den Nachweis der tatsächlichen Ausnutzbarkeit, identifiziert Schwachstellen die Scanner nicht erkennen (z. B. Geschäftslogik-Fehler), demonstriert realistische Angriffspfade und bewertet die tatsächlichen Auswirkungen eines erfolgreichen Angriffs. Penetrationstests sind zeitaufwändiger und teurer, liefern aber deutlich tiefere und zuverlässigere Erkenntnisse.

In der Praxis ist die Kombination beider Methoden der optimale Ansatz: Regelmäßige automatisierte Schwachstellenanalysen sorgen für eine kontinuierliche Überwachung, während periodische Penetrationstests die Ergebnisse validieren und zusätzliche Schwachstellen aufdecken. Für ein vollständiges Sicherheitsprogramm empfehlen wir quartalsweise Vulnerability Scans und jährliche Penetrationstests, wobei die Frequenz bei erhöhtem Risikoprofil entsprechend angepasst werden sollte.

Pentest-Anbieter auswählen: Worauf Sie achten sollten

Die Auswahl des richtigen Pentest-Anbieters ist wichtig für die Qualität und Aussagekraft der Ergebnisse. Ein qualifizierter Anbieter liefert nicht nur einen Bericht mit Findings, sondern wird zum Partner für die nachhaltige Verbesserung Ihrer IT-Sicherheit. Folgende Kriterien sollten Sie bei der Auswahl berücksichtigen:

Qualifikationen und Zertifizierungen: Achten Sie auf anerkannte Zertifizierungen der Pentester wie OSCP (Offensive Security Certified Professional), OSCE, GPEN (GIAC Penetration Tester), CEH (Certified Ethical Hacker), CREST-Zertifizierung oder BSI-Zertifizierung für IS-Penetrationstester. Diese Zertifizierungen belegen fundiertes Fachwissen und praktische Erfahrung im Bereich der offensiven Sicherheit.

Referenzen und Erfahrung: Ein erfahrener Anbieter kann relevante Referenzen aus Ihrer Branche vorweisen und verfügt über dokumentierte Erfahrung mit vergleichbaren IT-Umgebungen. Fragen Sie nach Fallstudien und der Anzahl durchgeführter Pentests pro Jahr. Ein Anbieter mit mehreren hundert Pentests pro Jahr hat eine breite Wissensbasis über verschiedene Technologien und Angriffsszenarien.

Methodik und Reporting: Fragen Sie nach der verwendeten Methodik (PTES, OWASP, NIST SP 800-115) und lassen Sie sich ein Beispiel-Report zeigen. Ein guter Bericht ist klar strukturiert, enthält konkrete Handlungsempfehlungen und ist sowohl für technische als auch nicht-technische Stakeholder verständlich. Automatisch generierte Scanner-Reports ohne manuelle Analyse sind kein Pentest-Bericht.

Versicherung und rechtliche Absicherung: Stellen Sie sicher, dass der Anbieter über eine ausreichende Berufshaftpflichtversicherung verfügt und klare vertragliche Regelungen zu Haftung, Vertraulichkeit und Datenvernichtung nach Projektende bietet. Ein Letter of Authorization und klare Rules of Engagement sind Standardbestandteile professioneller Pentest-Engagements.

Retest und Nachbetreuung: Achten Sie darauf, ob ein Retest nach der Behebung im Angebot enthalten ist und ob der Anbieter bei Fragen zur Behebung unterstützt. Der Wert eines Pentests liegt nicht im Bericht allein, sondern in der tatsächlichen Verbesserung der Sicherheitslage — und dafür ist eine kompetente Nachbetreuung nötig.

Penetrationstest Kosten: Womit müssen Sie rechnen?

Die Kosten für einen Penetrationstest hängen von verschiedenen Faktoren ab und können erheblich variieren. Eine realistische Kostenschätzung ist wichtig, um das Budget korrekt zu planen und unseriöse Billigangebote von professionellen Dienstleistungen zu unterscheiden.

Externer Netzwerk-Pentest: 3.000 bis 10.000 Euro. Prüfung der extern erreichbaren Systeme und Dienste. Der Preis richtet sich nach der Anzahl der zu testenden IP-Adressen und Dienste sowie der gewünschten Tiefe der Analyse.

Interner Netzwerk-Pentest: 5.000 bis 15.000 Euro. Simulation eines Angreifers im internen Netzwerk mit Active-Directory-Analyse, Privilege-Escalation-Tests und lateraler Bewegung. Der Aufwand steigt mit der Größe und Komplexität der internen Infrastruktur.

Web-Application-Pentest: 5.000 bis 20.000 Euro. Tiefgehende Prüfung einer Webanwendung auf OWASP-Top-10-Schwachstellen und Geschäftslogik-Fehler. Komplexe Anwendungen mit vielen Funktionen und Integrationen erfordern mehr Testzeit.

Umfassender Pentest (kombiniert): 15.000 bis 30.000 Euro und mehr. Kombination aus externem, internem und Applikations-Pentest mit optionalem Social Engineering. Für Unternehmen mit erhöhtem Sicherheitsbedarf oder regulatorischen Anforderungen (KRITIS, PCI DSS) ist dies die empfohlene Option.

Red-Team-Assessment: Ab 30.000 Euro aufwärts. Ein Red-Team-Assessment geht über einen klassischen Pentest hinaus und simuliert einen realistischen, zielgerichteten Angriff über einen längeren Zeitraum (Wochen bis Monate). Dabei werden alle Angriffsvektoren — technisch, physisch und Social Engineering — kombiniert, um die Detektionsfähigkeiten des Unternehmens (Blue Team) zu testen.

Vorsicht bei Angeboten deutlich unter den genannten Preisen: Ein qualitativ hochwertiger Penetrationstest erfordert erfahrene Spezialisten und ausreichend Testzeit. Billigangebote basieren häufig auf rein automatisierten Scans, die als Penetrationstest verkauft werden, aber nicht die Tiefe und Aussagekraft einer echten manuellen Sicherheitsprüfung bieten. Die Investition in einen professionellen Pentest lohnt sich: Die Kosten sind minimal im Vergleich zum potenziellen Schaden durch einen erfolgreichen Cyberangriff.

Pentest-Pflicht: Regulatorische Anforderungen

Für bestimmte Unternehmen und Branchen besteht eine direkte oder indirekte Pflicht zur Durchführung von Penetrationstests. Die Kenntnis der relevanten Anforderungen ist wichtig für die Compliance-Planung und die Argumentation des Pentest-Budgets gegenüber der Geschäftsführung.

KRITIS-Verordnung und BSI-Gesetz

Betreiber kritischer Infrastrukturen (KRITIS) sind nach §8a BSI-Gesetz verpflichtet, ihre IT-Sicherheit nach dem Stand der Technik umzusetzen und dies alle zwei Jahre nachzuweisen. Penetrationstests sind ein wesentlicher Bestandteil dieses Nachweises. Die KRITIS-Sektoren umfassen Energie, Wasser, Ernährung, IT und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr sowie Siedlungsabfallentsorgung. Unternehmen in diesen Sektoren, die bestimmte Schwellenwerte überschreiten, müssen regelmäßige Sicherheitsprüfungen einschließlich Penetrationstests nachweisen.

NIS-2-Richtlinie

Die NIS-2-Richtlinie der EU erweitert den Kreis der verpflichteten Unternehmen erheblich. Neben den bisherigen KRITIS-Sektoren werden nun auch Unternehmen der digitalen Infrastruktur, der verarbeitenden Industrie, der Chemie, der Lebensmittelproduktion und weitere Sektoren erfasst. NIS-2 fordert angemessene technische und organisatorische Sicherheitsmaßnahmen, zu denen explizit auch regelmäßige Sicherheitstests und Audits gehören. Penetrationstests sind ein anerkanntes Mittel, um die Anforderungen der NIS-2-Richtlinie zu erfüllen und die Wirksamkeit der implementierten Sicherheitsmaßnahmen nachzuweisen.

PCI DSS (Payment Card Industry Data Security Standard)

Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übertragen, müssen den PCI DSS einhalten. Anforderung 11.4 des PCI DSS fordert explizit jährliche externe und interne Penetrationstests sowie Pentests nach signifikanten Änderungen an der IT-Infrastruktur. Die Tests müssen von qualifizierten internen Ressourcen oder einem externen Dienstleister durchgeführt werden und den Anforderungen des PCI DSS Penetration Testing Guidance entsprechen. Verstöße gegen PCI DSS können zu erheblichen Strafzahlungen und dem Verlust der Berechtigung zur Kreditkartenabwicklung führen.

Weitere regulatorische Anforderungen

Zusätzlich fordern ISO 27001 regelmäßige Sicherheitstests als Teil des ISMS, TISAX (Automobilindustrie) Penetrationstests für die Assessment-Level AL2 und AL3, die BaFin (Finanzaufsicht) regelmäßige IT-Sicherheitsprüfungen für Banken und Versicherungen (BAIT/VAIT), das TIBER-EU-Framework Red-Team-Tests für den Finanzsektor und die DSGVO indirekt regelmäßige Überprüfungen der technischen Schutzmaßnahmen (Art. 32 Abs. 1 lit. d). Auch ohne direkte Pflicht ist ein Penetrationstest ein wichtiger Bestandteil der Sorgfaltspflicht der Geschäftsführung und kann im Schadensfall als Nachweis angemessener Sicherheitsmaßnahmen dienen.

Häufig gestellte Fragen zum Penetrationstest

Wie oft sollte ein Penetrationstest durchgeführt werden?

Als Mindeststandard empfehlen wir einen jährlichen Penetrationstest. Unternehmen mit erhöhtem Risikoprofil (KRITIS, Finanzsektor, E-Commerce) sollten halbjährliche Tests in Betracht ziehen. Zusätzlich sollten anlassbezogene Tests nach signifikanten Änderungen an der IT-Infrastruktur, nach Sicherheitsvorfällen oder bei der Einführung neuer geschäftskritischer Anwendungen durchgeführt werden. Die regelmäßigen Pentests sollten durch kontinuierliche Schwachstellenscans ergänzt werden.

Kann ein Penetrationstest Schäden an Produktivsystemen verursachen?

Das Risiko besteht, ist bei professioneller Durchführung jedoch minimal. Erfahrene Pentester verwenden kontrollierte Techniken und vermeiden Exploit-Methoden, die zu Systemausfällen führen könnten (z. B. Denial-of-Service-Attacken, es sei denn explizit vereinbart). Die Rules of Engagement definieren vorab, welche Techniken erlaubt sind und welche Systeme besonders geschützt werden müssen. Für besonders sensible Systeme können Tests in Testumgebungen oder außerhalb der Geschäftszeiten durchgeführt werden. Ein professioneller Anbieter verfügt über eine Berufshaftpflichtversicherung für den unwahrscheinlichen Fall eines Schadens.

Wie lange dauert ein Penetrationstest?

Die Dauer hängt vom Scope und der Komplexität ab. Ein fokussierter externer Netzwerk-Pentest dauert typischerweise 3 bis 5 Arbeitstage, ein interner Pentest 5 bis 10 Arbeitstage, ein Web-Application-Pentest 5 bis 15 Arbeitstage und ein vollständiger kombinierter Pentest 2 bis 4 Wochen. Hinzu kommen die Berichterstellungsphase (3 bis 10 Arbeitstage nach Testabschluss) und ein späterer Retest. Die Gesamtprojektlaufzeit von der Beauftragung bis zum finalen Retest-Bericht beträgt typischerweise 6 bis 12 Wochen.

Was passiert, wenn kritische Schwachstellen gefunden werden?

Bei der Entdeckung kritischer Schwachstellen, die eine unmittelbare Gefahr darstellen (z. B. aktive Kompromittierung, ungeschützter Zugang zu sensiblen Daten), erfolgt eine sofortige Benachrichtigung des Auftraggebers — gemäß den im Scoping vereinbarten Eskalationswegen. Der Auftraggeber kann dann entscheiden, ob die Schwachstelle sofort behoben wird oder ob der Test fortgesetzt werden soll. Diese „Fast-Track-Notification“ stellt sicher, dass kritische Risiken nicht erst nach Wochen im Abschlussbericht kommuniziert werden, sondern umgehend adressiert werden können.

Brauchen wir einen externen oder internen Pentest?

Idealerweise beides. Ein externer Pentest zeigt, was ein Angreifer aus dem Internet erreichen kann — er prüft die Perimeter-Sicherheit und extern erreichbare Dienste. Ein interner Pentest simuliert das Szenario eines Angreifers, der bereits ins Netzwerk eingedrungen ist, und zeigt die Auswirkungen einer Kompromittierung. Wenn das Budget nur für einen Test reicht, sollten Unternehmen mit einer großen externen Angriffsfläche (viele Webdienste, Remote-Zugänge) den externen Pentest priorisieren. Unternehmen mit geringer externer Exposition, aber wertvollem internen Datenbestand, sollten den internen Pentest bevorzugen.

Wie unterscheidet sich ein Pentest von einem Red-Team-Assessment?

Ein Penetrationstest zielt darauf ab, möglichst viele Schwachstellen in einem definierten Scope zu finden und zu dokumentieren. Ein Red-Team-Assessment simuliert einen realistischen, zielgerichteten Angriff mit dem Ziel, ein bestimmtes Ziel zu erreichen (z. B. Zugriff auf bestimmte Daten, Domain-Admin-Rechte) — ohne dass das Verteidigungsteam (Blue Team) vorab informiert wird. Das Red Team nutzt dabei alle verfügbaren Angriffsvektoren über einen längeren Zeitraum. Ein Red-Team-Assessment testet nicht nur die technische Sicherheit, sondern auch die Detektions- und Reaktionsfähigkeiten des Unternehmens.

Penetrationstest von DATUREX: Ihre IT-Sicherheit auf dem Prüfstand

Als erfahrener Pentest-Anbieter führt die DATUREX GmbH professionelle Penetrationstests für Unternehmen aller Größen durch — bundesweit. Unsere zertifizierten Pentester verfügen über langjährige Erfahrung in der offensiven Sicherheit und kombinieren modernste Tools mit manueller Expertise, um Ihre IT-Systeme gründlich auf Schwachstellen zu prüfen.

Unser Pentest-Portfolio umfasst externe und interne Netzwerk-Penetrationstests, Web-Application-Pentests (OWASP Top 10), Social-Engineering-Assessments und Phishing-Simulationen, Wireless-Pentests (WLAN-Sicherheitsprüfung), Cloud-Penetrationstests (AWS, Azure, GCP) sowie Red-Team-Assessments für anspruchsvolle Sicherheitsanforderungen. Jeder Pentest beinhaltet einen vollständigen Bericht mit konkreten Handlungsempfehlungen und einen Retest nach Behebung der kritischen Findings.

Wir unterstützen Sie auch bei der Einbettung regelmäßiger Pentests in ein vollständiges Sicherheitsprogramm — zusammen mit Schwachstellenanalysen, IT-Audits und IT-Sicherheitsberatung.

Jetzt kostenloses Erstgespräch vereinbaren und erfahren Sie, wie ein Penetrationstest Ihre Sicherheitslage auf den Prüfstand stellt.