daqoon

Was ist ein Penetrationstest? Erklärung, Ablauf & Arten

Ein Penetrationstest ist ein kontrollierter Einbruch in deine eigenen Systeme. Was das genau heißt, wie er abläuft, welche Arten es gibt und wer wirklich einen braucht.

Veröffentlicht am2 Min. Lesezeit
penetrationstestgrundlagenit-sicherheitkmu
Penetrationstester bei der Arbeit an einem Sicherheitstest

Ein Penetrationstest ist ein kontrollierter Einbruch in deine eigenen Systeme. Du bezahlst jemanden dafür, sich wie ein Angreifer zu verhalten — nur dass er dir danach genau aufschreibt, wie er reingekommen ist.

Der Sinn dahinter ist simpel. Du willst die Lücken finden, bevor es jemand tut, der es ernst meint.

Das ist die kurze Antwort. Jetzt der Rest.

Der Unterschied zum Schwachstellenscan

Das wird ständig verwechselt, also klären wir das zuerst.

Ein Schwachstellenscan ist automatisch. Ein Tool klopft dein System ab und listet bekannte Probleme auf: veraltete Software, offene Ports, fehlende Updates. Schnell, günstig, oberflächlich.

Ein Penetrationstest ist Handarbeit. Ein Mensch nutzt die Funde tatsächlich aus, verkettet sie und schaut, wie weit er kommt. Er findet die Dinge, die kein Scanner sieht — Fehler in der Geschäftslogik, kaputte Berechtigungen, kreative Angriffswege.

Ein Bild dazu: Ein Scan sagt dir, dass ein Fenster offen steht. Ein Pentest steigt durch, geht durchs Haus und zeigt dir, dass er von dort bis in den Tresor kommt.

Die Arten von Penetrationstests

"Pentest" ist ein Sammelbegriff. Je nachdem, was geprüft wird, sieht der Test völlig anders aus:

  • Webanwendung — Login, Formulare, APIs, Bezahlprozesse. Der Klassiker für jeden, der etwas online anbietet.
  • Externes Netzwerk — alles, was von außen erreichbar ist. Deine Angriffsfläche im Internet.
  • Interne Infrastruktur — der Angreifer sitzt schon im Netzwerk. Wie weit kommt er? Hier geht es oft um Active Directory.
  • Red Teaming — die realistischste Variante. Unangekündigt, mit allen Mitteln, um zu prüfen, ob deine Erkennung überhaupt anspringt.
  • Social & Physical — der Mensch als Einfallstor. Phishing, ein Anruf, jemand, der sich ins Gebäude schmuggelt.
  • Microsoft / Cloud — Fehlkonfigurationen in Entra ID, M365 und Azure. Da liegt bei den meisten Firmen viel im Argen.

Welche Art du brauchst, hängt davon ab, wo dein Risiko liegt. Meistens fängt man dort an, wo am meisten kaputtgehen kann.

Wie ein Pentest abläuft

Ein sauberer Test folgt immer denselben Phasen:

  1. Scoping — Was wird getestet, was nicht, mit welcher Perspektive. Hier wird der Rahmen abgesteckt.
  2. Aufklärung — Informationen sammeln. Was ist überhaupt da, was ist erreichbar?
  3. Angriff — Schwachstellen finden und ausnutzen. Der eigentliche Kern.
  4. Ausweitung — Wie tief kommt man? Von einer kleinen Lücke zum vollen Zugriff.
  5. Bericht — Was wurde gefunden, wie kritisch ist es, wie behebt man es.
  6. Retest — Nach der Behebung nochmal prüfen, ob die Fixes wirklich sitzen.

Getestet wird nach anerkannten Standards — OWASP, PTES, OSSTMM oder den Vorgaben des BSI. Das sorgt dafür, dass nichts Wichtiges vergessen wird.

Der Bericht ist das eigentliche Produkt

Ein Pentest ist nur so gut wie sein Bericht. Und ein guter Bericht hat zwei Ebenen.

Für die Technik: Wo genau steckt die Lücke, wie wurde sie ausgenutzt, wie behebt man sie konkret.

Fürs Management: Was bedeutet das fürs Geschäft, wie kritisch ist es, was kostet Nichtstun. Ein Geschäftsführer muss auf einer Seite verstehen, wo er steht — ohne ein einziges Kommandozeilen-Fenster gesehen zu haben.

Wer braucht einen Penetrationstest?

Kurz: mehr Firmen, als denken, dass sie einen brauchen. Konkret wird es, wenn du:

  • Kundendaten verarbeitest und Vertrauen nicht verlieren willst
  • Compliance nachweisen musst — ISO 27001, NIS2, DORA, TISAX
  • eine Cyberversicherung hast oder willst (die verlangen das zunehmend)
  • eine neue Anwendung launchst, bevor echte Nutzer drauf sind
  • schon mal einen Vorfall hattest und wissen willst, ob noch was offen ist

Und ehrlich: Wenn du online Geld verdienst, ist die Frage nicht ob jemand angreift, sondern wann. Ein Pentest verschiebt die Antwort auf "und es ist nichts passiert".

Der nächste Schritt

Wenn du wissen willst, was ein Test für dich konkret bedeutet — im Umfang und im Preis — lohnt sich ein kurzes Gespräch. Wir schauen uns dein Risiko an und sagen dir ehrlich, wo ein Test den meisten Wert bringt. Auch wenn das mal "noch nicht jetzt" heißt.

Kostenloses Erstgespräch anfragen →

daqoon — Wir brechen ein, bevor andere es tun.