Penetrationstest: Der vollstaendige Leitfaden fuer IT-Entscheider in Deutschland
Ein Penetrationstest - kurz Pentest - ist der kontrollierteste Weg, die IT-Sicherheit Ihres Unternehmens auf die Probe zu stellen. Dabei simulieren Sicherheitsexperten oder spezialisierte Systeme reale Cyberangriffe, um Schwachstellen aufzudecken, bevor es echte Angreifer tun.
Dieser Leitfaden richtet sich an CISOs, IT-Leiter und Geschaeftsfuehrer in Deutschland. Er erklaert, welche Arten von Penetrationstests es gibt, wann Sie welchen brauchen, was ein Pentest in Deutschland kostet - und warum automatisierte Penetrationstests immer mehr zum Standard werden.
Was ist ein Penetrationstest?
Ein Penetrationstest ist eine autorisierte, methodische Sicherheitspruefung, bei der ein System, Netzwerk oder eine Anwendung gezielt angegriffen wird. Das Ziel: Sicherheitsluecken finden, ihre Ausnutzbarkeit bewerten und konkrete Empfehlungen zur Behebung geben.
Im Gegensatz zu einem einfachen Schwachstellenscan geht ein Penetrationstest weiter: Er versucht, gefundene Schwachstellen tatsaechlich auszunutzen, Zugriff zu erlangen und die realen Auswirkungen eines erfolgreichen Angriffs zu demonstrieren.
Penetrationstest vs. Schwachstellenscan
| Merkmal | Schwachstellenscan | Penetrationstest |
|---|---|---|
| Ansatz | Automatisiert, oberflaechlich | Methodisch, tiefgehend |
| Schwachstellen | Erkennung bekannter Schwachstellen | Erkennung + Ausnutzung |
| Kontext | Keine Risikobewertung im Kontext | Bewertung der realen Auswirkung |
| False Positives | Hoch | Niedrig (durch Verifikation) |
| Ergebnis | Liste moeglicher Schwachstellen | Bewiesene Angriffspfade |
| Dauer | Minuten bis Stunden | Tage bis Wochen |
| Kosten | EUR 100-2.000/Monat | EUR 5.000-50.000 pro Engagement |
Beide Instrumente haben ihre Berechtigung - aber nur ein Penetrationstest zeigt Ihnen, was ein Angreifer wirklich mit Ihren Systemen anstellen kann.
Typen von Penetrationstests
Nach Informationsstand des Testers
Black-Box-Test
Der Tester erhaelt keine Vorabinformationen ueber die Zielsysteme - genau wie ein externer Angreifer.
Vorteile:
- Realistischste Simulation eines externen Angriffs
- Deckt Schwachstellen auf, die ein Angreifer ohne Insiderwissen finden wuerde
- Testet auch die Erkennungsfaehigkeit Ihrer Sicherheitssysteme
Nachteile:
- Zeitaufwaendig, da der Tester erst Informationen sammeln muss
- Kann tieferliegende Schwachstellen uebersehen
- Hoeherer Aufwand = hoehere Kosten
Geeignet fuer: Externe Angriffsoberflaeche, Webapplikationen, Erstbewertung der Sicherheitslage
White-Box-Test
Der Tester erhaelt vollstaendigen Zugriff auf Dokumentation, Quellcode, Netzwerkplaene und Konfigurationen.
Vorteile:
- Gruendlichste Analyse moeglich
- Findet auch verborgene Schwachstellen in der Architektur
- Effizientere Nutzung der Testzeit
- Geringere Wahrscheinlichkeit, kritische Bereiche zu uebersehen
Nachteile:
- Weniger realistisch als Black-Box
- Erfordert Vertrauen und Offenlegung
Geeignet fuer: Interne Systeme, Quellcode-Reviews, Compliance-Audits, kritische Infrastruktur
Grey-Box-Test
Der Tester erhaelt eingeschraenkte Informationen - typischerweise Zugangsdaten eines normalen Benutzers und grundlegende Systeminformationen.
Vorteile:
- Guter Kompromiss zwischen Realismus und Effizienz
- Simuliert einen Innentaeter oder einen Angreifer mit gestohlenen Credentials
- Deckt Privilege-Escalation-Schwachstellen auf
Nachteile:
- Nicht so umfassend wie White-Box
- Nicht so realistisch wie Black-Box fuer externe Bedrohungen
Geeignet fuer: Die meisten Anwendungsfaelle, insbesondere wenn Budget und Zeit begrenzt sind
Nach Testziel
Externer Penetrationstest
Testet alles, was von aussen erreichbar ist:
- Webanwendungen und APIs
- E-Mail-Server
- VPN-Gateways
- DNS-Infrastruktur
- Cloud-Dienste
- Oeffentlich erreichbare Dienste
Interner Penetrationstest
Simuliert einen Angreifer, der bereits im Netzwerk ist:
- Active Directory und Domaincontroller
- Interne Webanwendungen
- Netzwerksegmentierung
- Lateral Movement (Ausbreitung im Netzwerk)
- Privilege Escalation
Webanwendungs-Penetrationstest
Fokussiert auf Webanwendungen und orientiert sich typischerweise an den OWASP Top 10:
- Broken Access Control - Unzureichende Zugriffskontrolle
- Cryptographic Failures - Fehlende oder schwache Verschluesselung
- Injection - SQL-Injection, Command-Injection, XSS
- Insecure Design - Architekturelle Sicherheitsmaengel
- Security Misconfiguration - Fehlkonfigurationen
- Vulnerable and Outdated Components - Veraltete Bibliotheken
- Identification and Authentication Failures - Schwache Authentifizierung
- Software and Data Integrity Failures - Integritaetsverletzungen
- Security Logging and Monitoring Failures - Fehlende Ueberwachung
- Server-Side Request Forgery (SSRF) - Serverseitige Anfragenfaelschung
Social-Engineering-Test
Testet den Faktor Mensch:
- Phishing-Kampagnen
- Pretexting (vorgetaeuschte Identitaeten)
- Physical Penetration (Zugang zu Gebaeuden)
- USB-Drop-Tests
Red-Teaming
Die Koenigsdisziplin: Ein umfassender, mehrwoechiger Angriff, der alle Vektoren kombiniert - technisch, physisch und menschlich. Das Ziel ist nicht das Finden einzelner Schwachstellen, sondern die Bewertung der Gesamtabwehrfaehigkeit.
BSI-Standards und deutsche Anforderungen
BSI IS-Penetrationstest
Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) hat mit dem "Praxis-Leitfaden fuer IS-Penetrationstests" einen anerkannten Standard fuer Penetrationstests in Deutschland geschaffen. Er definiert:
- Klassifizierung von Penetrationstests nach sechs Kriterien
- Phasenmodell fuer die Testdurchfuehrung
- Anforderungen an Tester (Qualifikation, Ethik, Versicherung)
- Berichtsstruktur und Dokumentationspflichten
BSI IT-Grundschutz
Im Rahmen des BSI IT-Grundschutzes werden Penetrationstests als Teil der Risikobehandlung empfohlen, insbesondere fuer:
- Systeme mit erhoehtem Schutzbedarf
- Uebergaenge zwischen Sicherheitszonen
- Webanwendungen mit externem Zugriff
- Neue Systeme vor der Produktivnahme
DORA Artikel 26: TLPT fuer den Finanzsektor
Fuer Finanzunternehmen bringt die DORA-Verordnung zusaetzliche Anforderungen:
Bedrohungsgeleitete Penetrationstests (TLPT):
- Alle drei Jahre fuer systemrelevante Finanzunternehmen
- Basierend auf aktuellen Bedrohungsinformationen (Threat Intelligence)
- Auf Live-Produktionssystemen durchzufuehren
- Externe qualifizierte Tester erforderlich
- In Deutschland orientiert sich dies am TIBER-DE-Framework
- Die BaFin bestimmt, welche Institute TLPT durchfuehren muessen
Regulaere Tests:
- Mindestens jaehrlich fuer alle betroffenen Finanzunternehmen
- Umfassen Penetrationstests, Schwachstellenscans und weitere Testmethoden
- Muessen dokumentiert und der Aufsicht auf Anfrage vorgelegt werden
Was kostet ein Penetrationstest in Deutschland?
Die Kosten variieren erheblich je nach Umfang, Methodik und Anbieter. Hier eine realistische Uebersicht fuer den deutschen Markt:
Typische Preisspannen
| Testtyp | Umfang | Preisspanne |
|---|---|---|
| Webanwendungs-Pentest | 1 Anwendung, 5-10 Tage | EUR 5.000-15.000 |
| Externer Pentest | Gesamte externe Angriffsflaeche | EUR 8.000-25.000 |
| Interner Pentest | Internes Netzwerk, 5-10 Tage | EUR 10.000-30.000 |
| Red-Teaming | Umfassend, 3-6 Wochen | EUR 25.000-80.000 |
| TLPT (TIBER-DE) | Vollstaendig, mehrere Monate | EUR 50.000-200.000+ |
Was den Preis bestimmt
- Scope: Anzahl der Systeme, IPs, Anwendungen
- Komplexitaet: Legacy-Systeme, Eigenentwicklungen, Spezialtechnologien
- Testtiefe: Black-Box kostet mehr als Grey-Box (mehr Aufwand)
- Qualifikation der Tester: OSCP, OSCE, CREST - zertifizierte Tester kosten mehr
- Berichtsanforderungen: Standard-Bericht vs. aufsichtskonformer Bericht
- Standort: Vor-Ort-Tests (z.B. interne Tests) verursachen Reisekosten
Versteckte Kosten beachten
Planen Sie ueber den reinen Testpreis hinaus Budget ein fuer:
- Behebung der Schwachstellen (interne Entwicklungszeit oder externe Unterstuetzung)
- Retests zur Verifikation der Behebung (oft 20-30% des Ersttest-Preises)
- Interne Koordination (Ansprechpartner waehrend des Tests, Zugangsbereitstellung)
Automatisierter Penetrationstest vs. manueller Pentest
Die wichtigste Entwicklung im Pentest-Markt: KI-gestuetzte automatisierte Penetrationstests werden immer leistungsfaehiger und veraendern die Kosten-Nutzen-Rechnung grundlegend.
Manueller Penetrationstest
Staerken:
- Kreatives Denken und kontextbezogenes Urteilsvermoegen
- Erkennung komplexer Geschaeftslogik-Schwachstellen
- Anpassungsfaehigkeit an ungewoehnliche Systeme
- Fuer TLPT und Red-Teaming weiterhin unverzichtbar
Schwaechen:
- Hohe Kosten begrenzen die Testfrequenz
- Qualitaet abhaengig vom individuellen Tester
- Begrenzte Angriffsflaeche in begrenzter Zeit
- Inkonsistente Dokumentation
- Lange Vorlaufzeiten (Wochen bis Monate)
Automatisierter Penetrationstest
Staerken:
- Kosteneffizienz: Ein Bruchteil der Kosten manueller Tests
- Frequenz: Woechentlich, taeglich oder kontinuierlich moeglich
- Konsistenz: Jeder Test folgt derselben Methodik
- Geschwindigkeit: Ergebnisse innerhalb von Stunden statt Wochen
- Abdeckung: Groessere Angriffsflaeche in kuerzerer Zeit
- Dokumentation: Automatisch generierte, standardisierte Berichte
- Skalierbarkeit: Problemlos auf neue Systeme erweiterbar
Schwaechen:
- Kann nicht alle Arten von Geschaeftslogik-Schwachstellen erkennen
- Fuer TLPT derzeit nicht ausreichend
- Erfordert initiale Konfiguration und Anpassung
Die optimale Strategie: Hybrid
Die meisten Sicherheitsexperten empfehlen heute einen hybriden Ansatz:
- Kontinuierliches automatisiertes Pentesting als Grundlage (monatlich oder haeufiger)
- Quartalsweise oder halbjaehrliche manuelle Tests fuer komplexe Anwendungen
- Jaehrliches Red-Teaming fuer die Gesamtbewertung
- TLPT alle drei Jahre fuer regulierte Finanzunternehmen
Dieser Ansatz bietet maximale Sicherheit bei optimierten Kosten.
Den richtigen Pentest-Anbieter waehlen
Qualifikationen und Zertifizierungen
Achten Sie bei der Auswahl eines Pentest-Anbieters auf:
Tester-Zertifizierungen:
- OSCP (Offensive Security Certified Professional) - der Industriestandard
- OSCE/OSWE - Spezialisierungen fuer Exploitation und Webanwendungen
- CREST - internationaler Standard, in Europa zunehmend relevant
- GPEN/GXPN (GIAC) - anerkannte SANS-Zertifizierungen
Unternehmenszertifizierungen:
- BSI-Zertifizierung als IT-Sicherheitsdienstleister (fuer KRITIS-relevante Tests)
- ISO 27001 des Anbieters selbst
- CREST-Akkreditierung des Unternehmens
Fragen, die Sie stellen sollten
- Welche Erfahrung haben Sie in unserer Branche?
- Welche Methodik verwenden Sie? (BSI-Leitfaden, OWASP, PTES)
- Wer fuehrt die Tests konkret durch und welche Zertifizierungen haben diese Personen?
- Wie sieht Ihr Berichtsformat aus? (Lassen Sie sich Muster zeigen)
- Bieten Sie Retests an und zu welchen Konditionen?
- Wie gehen Sie mit kritischen Schwachstellen waehrend des Tests um? (Sofortmeldung)
- Haben Sie eine Berufshaftpflichtversicherung?
- Wie stellen Sie sicher, dass unsere Systeme nicht beschaedigt werden?
- Koennen Sie aufsichtskonforme Berichte erstellen (BaFin/BSI)?
- Welche Datenschutzmassnahmen ergreifen Sie waehrend des Tests?
Red Flags bei Pentest-Anbietern
Seien Sie vorsichtig bei Anbietern, die:
- Pauschalpreise ohne Scoping anbieten
- Keinen Vorbesprechungstermin einplanen
- Nur automatisierte Tools einsetzen und das als "Pentest" verkaufen
- Keine Referenzen vorweisen koennen
- Keine Haftpflichtversicherung haben
- Ergebnisse erst nach Wochen liefern
Penetrationstest: Ablauf in 6 Phasen
Phase 1: Scoping und Vorbereitung
- Definition des Testumfangs und der Testziele
- Festlegung von Testmethodik und Testtyp
- Unterzeichnung von NDA und Beauftragungsvereinbarung
- Bereitstellung notwendiger Zugaenge und Informationen
- Festlegung von Kommunikationswegen und Ansprechpartnern
- Abstimmung von Testzeiten und Eskalationsverfahren
Phase 2: Informationssammlung (Reconnaissance)
- Passive Informationsgewinnung (OSINT, DNS, WHOIS)
- Aktive Scans (Portscan, Service-Erkennung, Technologie-Fingerprinting)
- Identifikation der Angriffsflaeche
- Priorisierung von Angriffszielen
Phase 3: Schwachstellenanalyse
- Automatisierte Schwachstellenscans
- Manuelle Analyse der gefundenen Dienste und Anwendungen
- Identifikation potenzieller Angriffsvektoren
- Bewertung der Ausnutzbarkeit
Phase 4: Exploitation
- Ausnutzung identifizierter Schwachstellen
- Nachweis der Auswirkungen (Datenzugriff, Systemkompromittierung)
- Lateral Movement (falls im Scope)
- Privilege Escalation
- Dokumentation jedes Schritts
Phase 5: Berichterstattung
- Management Summary fuer die Geschaeftsleitung
- Technischer Detailbericht mit allen Schwachstellen
- Risikobewertung nach CVSS oder vergleichbarem Standard
- Priorisierte Handlungsempfehlungen
- Nachweise (Screenshots, Log-Auszuege)
- Praesentationstermin mit dem Kunden
Phase 6: Nachbereitung und Retest
- Besprechung der Ergebnisse mit dem IT-Team
- Unterstuetzung bei der Massnahmenplanung
- Retest nach Behebung der Schwachstellen
- Zertifikat oder Bestaetigung der Behebung
Warum die Zukunft automatisiert ist
Der Markt fuer Penetrationstests veraendert sich fundamental. Drei Treiber beschleunigen den Wandel zu automatisierten Loesungen:
1. Regulatorischer Druck
DORA, NIS2 und DSGVO fordern regelmaessige Tests. "Einmal im Jahr" reicht fuer viele Unternehmen nicht mehr. Automatisierung macht haeufigere Tests wirtschaftlich moeglich.
2. Wachsende Angriffsflaeche
Cloud-Migration, Remote Work, API-getriebene Architekturen - die Angriffsflaeche waechst schneller als IT-Sicherheitsteams Personal einstellen koennen. Automatisierte Tests skalieren mit.
3. Fachkraeftemangel
In Deutschland fehlen nach Schaetzungen des BSI zehntausende IT-Sicherheitsexperten. Qualifizierte Pentester sind besonders rar und teuer. KI-gestuetzte Systeme koennen die vorhandenen Experten entlasten und ergaenzen.
Was KI-gestuetzte Penetrationstests koennen
Moderne KI-Systeme fuer Penetrationstests:
- Erkennen und klassifizieren Schwachstellen automatisch
- Verketten Schwachstellen zu realistischen Angriffspfaden
- Priorisieren nach tatsaechlichem Risiko im Kontext Ihres Unternehmens
- Generieren aufsichtskonforme Berichte auf Knopfdruck
- Lernen kontinuierlich aus neuen Bedrohungen und Angriffstechniken
- Testen konsistent und reproduzierbar - ohne menschliche Schwankungen
Penetrationstest mit Matproof: Intelligent, automatisiert, compliant
Matproof verbindet KI-gestuetzte Penetrationstests mit einer umfassenden Compliance-Management-Plattform. Das bedeutet fuer Sie:
Fuer IT-Sicherheitsverantwortliche
- Schnelle Ergebnisse: Erste Resultate innerhalb von Stunden, nicht Wochen
- Breite Abdeckung: Testen Sie Webanwendungen, APIs, Infrastruktur und Cloud-Umgebungen
- Kontinuierliches Monitoring: Nicht nur Momentaufnahmen, sondern fortlaufende Sicherheitsbewertung
- OWASP-konform: Pruefung gegen die OWASP Top 10 und weitere anerkannte Standards
Fuer Compliance Officers
- DORA-konforme Berichte: Direkt verwendbar fuer BaFin-Anfragen und Aufsichtspruefungen
- DSGVO-Nachweis: Dokumentiert die regelmaessige Ueberpruefung nach Artikel 32
- NIS2-Abdeckung: Erfuellt die Anforderung zur Bewertung der Wirksamkeit (Art. 21)
- Multi-Framework: Ein Test, mehrere Compliance-Nachweise
Fuer die Geschaeftsleitung
- Kostenersparnis: Bis zu 80% guenstiger als rein manuelle Penetrationstests
- Risikotransparenz: Klare Dashboards zum aktuellen Sicherheitsstatus
- Aufsichtskonformitaet: Keine boesen Ueberraschungen bei der naechsten Pruefung
- Nachweis der Sorgfaltspflicht: Dokumentierter Beleg fuer angemessene Sicherheitsmassnahmen
Fazit: Penetrationstests sind keine Kuer mehr
Ob DORA, NIS2 oder DSGVO - die regulatorischen Anforderungen an Penetrationstests in Deutschland sind so hoch wie nie. Gleichzeitig machen KI-gestuetzte Loesungen es moeglich, diese Anforderungen effizient und kosteneffektiv zu erfuellen.
Fuer IT-Entscheider in Deutschland ergibt sich eine klare Handlungsempfehlung:
- Etablieren Sie ein regelmaessiges Testprogramm - mindestens jaehrlich, besser quartalsweise
- Nutzen Sie automatisierte Tests als Grundlage - fuer Frequenz und Abdeckung
- Ergaenzen Sie mit manuellen Tests - fuer Tiefe und Kreativitaet
- Dokumentieren Sie lueckenlos - fuer Aufsicht, Pruefer und Geschaeftsleitung
- Integrieren Sie Tests in Ihre Compliance - nicht als Inselloesung, sondern als Teil des Gesamtbildes
Matproof bietet genau diesen integrierten Ansatz: KI-gestuetzte Penetrationstests, eingebettet in eine europaeische Compliance-Plattform, die DORA, NIS2, DSGVO und weitere Frameworks abdeckt.
Testen Sie Matproof kostenlos und fuehren Sie Ihren ersten KI-gestuetzten Penetrationstest in unter einer Stunde durch. Inklusive automatisiertem Compliance-Bericht fuer DORA, NIS2 und DSGVO. Jetzt starten