Webapp-Pentest: Leitfaden fuer die Pruefung von Webanwendungen 2026
Webanwendungen sind 2026 das haeufigste Einfallstor fuer Cyberangriffe in Deutschland. Kundenportale, interne Tools, SaaS-Admin-Interfaces, APIs - jedes davon kann zur Schwachstelle werden. Ein Webapp-Pentest ist die effektivste Methode, das herauszufinden, bevor es ein Angreifer tut.
Dieser Leitfaden erklaert, was ein Webapp-Pentest leistet, welche Findings typisch sind und wie Sie sich optimal vorbereiten.
Was ist ein Webapp-Pentest?
Ein Webapplikations-Pentest ist eine strukturierte Sicherheitsanalyse, bei der ein Tester versucht, eine Webanwendung aktiv anzugreifen und Schwachstellen auszunutzen. Im Gegensatz zu einem allgemeinen Netzwerk-Pentest konzentriert er sich auf:
- Die Webanwendung selbst (HTML, JavaScript, Frameworks)
- Backend-APIs
- Authentifizierungs- und Sitzungsverwaltung
- Rollen- und Berechtigungsmodelle
- Input-Validierung und Ausgabekodierung
- Geschaeftslogik (Logic Flaws)
Die Methodik folgt meist dem OWASP Web Security Testing Guide (WSTG) in Verbindung mit der OWASP Top 10 als Orientierung fuer die haeufigsten Schwachstellenklassen.
Die OWASP Top 10 (2021, weiter gueltig 2026)
| Rank | Kategorie | Typische Probleme |
|---|---|---|
| A01 | Broken Access Control | IDOR, Horizontal/Vertical Privilege Escalation |
| A02 | Cryptographic Failures | Schwache Verschluesselung, fehlende HTTPS-Nutzung |
| A03 | Injection | SQL-Injection, NoSQL-Injection, Command-Injection |
| A04 | Insecure Design | Fehlende Threat-Modeling, Logic Flaws |
| A05 | Security Misconfiguration | Default-Credentials, offene Admin-Panels |
| A06 | Vulnerable and Outdated Components | Alte Libraries, CVEs in Dependencies |
| A07 | Identification and Authentication Failures | Brute-Force moeglich, Session-Fixation |
| A08 | Software and Data Integrity Failures | Fehlende Signaturpruefung, unsichere CI/CD |
| A09 | Security Logging and Monitoring Failures | Angriffe werden nicht bemerkt |
| A10 | Server-Side Request Forgery (SSRF) | Zugriff auf interne Dienste ueber manipulierte Requests |
Ein guter Webapp-Pentest deckt alle zehn Kategorien ab und geht darueber hinaus auf anwendungsspezifische Logikfehler ein.
Typen von Webapp-Pentests
Black-Box-Pentest
Der Tester hat nur die URL. Kein Nutzerzugang, keine Dokumentation.
Vorteile: Realistische externe Angriffssicht.
Nachteile: Geschuetzte Bereiche werden kaum getestet. Nicht empfehlenswert als Hauptmodell.
Grey-Box-Pentest (Standardempfehlung)
Der Tester hat mindestens einen Nutzerzugang pro Rolle. Bei komplexen Systemen auch API-Dokumentation.
Vorteile: Testet geschuetzte Bereiche, Rollenmodell, Business Logic.
Nachteile: Leichter teurer als Black-Box.
White-Box-Pentest
Der Tester hat Quellcode-Zugang, Architekturdokumente, Admin-Zugaenge.
Vorteile: Findet tiefe Logikfehler, ideal vor Go-Live.
Nachteile: Hoeherer Aufwand, erfordert Entwicklungskontext.
Unsere Empfehlung fuer Mittelstaendler: Grey-Box als Standard. Es ist das effektivste Verhaeltnis von Aufwand zu Ergebnis.
Scope richtig definieren
Was gehoert zum Scope?
- Haupt-URL(s) der Anwendung, inkl. Subdomains
- API-Endpoints (REST, GraphQL, SOAP)
- Authentifizierung - Login, Passwort-Reset, 2FA-Flows
- Integrationen mit externen Diensten (SSO, Payment, OAuth)
- Admin-Bereiche - oft unterbelichtet, aber kritisch
- Mobile-Backend-APIs, falls vorhanden
Was gehoert NICHT zum Scope?
- Fremd-gehostete Infrastruktur (AWS/Azure-Konto des Providers)
- DDoS-Tests - die gehoeren in separate Lasttests
- Social Engineering von Mitarbeitern (das ist Red Teaming)
- Phishing auf externe Nutzer
Kritische Scope-Entscheidungen
- Produktivsystem oder Staging? Staging ist sicherer, aber oft nicht repraesentativ. Produktivsystem mit klaren Rules of Engagement ist Standard.
- Authentifiziert oder nicht? Immer beides - unauth. + mind. ein auth. Durchgang pro Rolle.
- Out-of-Scope-Liste - legen Sie fest, was nicht getestet wird (z.B. Payment-Provider-API, Drittanbieter-Widgets).
Typische Findings in deutschen Mittelstands-Webapps
Auf Basis Matproof-Daten aus ~200 Pentests in 2025/26 die haeufigsten Findings:
| Finding | Haeufigkeit | Durchschnittliche Kritikalitaet |
|---|---|---|
| Veraltete JavaScript-Libraries mit bekannten CVEs | 87 % | Mittel |
| Fehlende oder schwache CSP-Header | 81 % | Niedrig-Mittel |
| Unzureichende Rate-Limits auf Login/API | 72 % | Mittel |
| Broken Access Control (IDOR) | 58 % | Hoch |
| SSRF-Moeglichkeiten bei Datei-Uploads | 34 % | Hoch |
| SQL-Injection (meist blind) | 22 % | Kritisch |
| Authentifizierungsumgehung via JWT-Fehler | 18 % | Kritisch |
| Stored XSS in Admin-Panel | 41 % | Mittel-Hoch |
Die Top-5-Findings haben einen Gemeinsamkeit: Sie werden von automatisierten Scans oft uebersehen, sind aber fuer manuelle Tester leicht zu finden. Das ist genau der Grund, warum kontinuierliche Scans alleine nicht reichen.
Kosten eines Webapp-Pentests
Einfache Webapp (Standard-CRUD, 10-20 Seiten)
- Dauer: 5-8 Personentage
- Kosten: EUR 6.000-14.000
Mittlere Komplexitaet (Login, mehrere Rollen, 30-50 Endpoints)
- Dauer: 8-12 Personentage
- Kosten: EUR 10.000-22.000
Hohe Komplexitaet (Multi-Tenant SaaS, viele Integrationen)
- Dauer: 12-20 Personentage
- Kosten: EUR 16.000-36.000
API-only / Microservice-Pentest
- Dauer: 6-12 Personentage
- Kosten: EUR 8.000-22.000
Re-Test nach Behebung sollte im Preis enthalten sein. Achten Sie im Angebot darauf.
Mehr Details: Pentest-Kosten in Deutschland.
So bereiten Sie sich optimal vor
4 Wochen vor dem Pentest
- Scope mit Anbieter abstimmen, Rules of Engagement (RoE) unterschreiben
- Testnutzer pro Rolle anlegen (Standard: 2 pro Rolle, fuer IDOR-Tests)
- Staging-Daten vorbereiten, falls auf Staging getestet wird
- Monitoring-Team informieren, damit Tester nicht blockiert werden
1 Woche vorher
- Zugangsdaten sicher uebergeben (1Password, Bitwarden-Share)
- Testzeitraum final festlegen
- Notfall-Kontakt fuer kritische Findings benennen (meist CISO + CTO)
- Change Freeze - keine Deployments waehrend des Tests
Waehrend des Tests
- Dedizierter Channel (Slack, Teams) mit den Testern
- Tagliche Status-Calls bei laengeren Tests
- Sofortige Eskalation bei kritischen Findings - nicht bis zum Abschlussbericht warten
Nach dem Test
- Debriefing mit dem Tester-Team
- Findings in Jira/Ticketsystem ueberfuehren
- Remediation-Plan mit klaren Verantwortlichen und Deadlines
- Re-Test nach Behebung, dokumentiert
Reporting - was ein guter Pentest-Bericht enthaelt
- Executive Summary (1-2 Seiten, lesbar fuer Geschaeftsleitung)
- Scope und Methodik (wie wurde getestet)
- Findings mit:
- Kategorie (OWASP, CWE)
- Kritikalitaet (CVSS + Business-Impact)
- Reproduktionsschritte
- Konkrete Remediation-Empfehlung
- Screenshots / Proof-of-Concept
- Zusammenfassung der Risiken
- Compliance-Mapping (bei regulierten Kunden): NIS2, ISO 27001, PCI DSS
- Re-Test-Ergebnisse (nach Behebung)
Ein guter Bericht erzaehlt eine Geschichte: wo Sie stehen, was behoben werden muss, wie lange es dauert.
Webapp-Pentest in Ihrem Compliance-Programm
Fuer NIS2-pflichtige Unternehmen
Mindestens jaehrlicher Webapp-Pentest, wenn die Webapp kritische Services abbildet. Siehe NIS2 und Penetrationstests.
Fuer ISO 27001
Webapp-Pentest ist Standard im Rahmen des Schwachstellenmanagements (Annex A 8.8).
Fuer PCI DSS
Mindestens jaehrlich plus nach jeder signifikanten Aenderung gemaess Anforderung 11.4.
Fuer TISAX
Mindestens alle zwei Jahre bei TISAX-Label-AL2, jaehrlich bei AL3.
Fuer DSGVO
Kein explizites Pentest-Gebot, aber "technische Massnahmen zur regelmaessigen Ueberpruefung" (Art. 32) - ein Webapp-Pentest ist das Mittel der Wahl fuer kundennahe Webanwendungen.
Matproof Webapp-Pentest
Matproof kombiniert kontinuierliche automatisierte Webapp-Pruefung mit periodischen menschlichen Deep-Dives. Besonderheiten:
- OWASP-Top-10-Abdeckung kontinuierlich, nicht nur jaehrlich
- API-Pentest fuer REST, GraphQL, SOAP inkl. Authentifizierung
- Compliance-Mapping auf NIS2, ISO 27001, PCI DSS, TISAX automatisch
- Integration in Jira, ServiceNow, GitHub Issues
- Re-Tests unbegrenzt und on demand
Jetzt kostenlosen Pentest-Check starten - bewertet Ihre externe Webanwendung in unter 30 Minuten.
Fazit
Ein Webapp-Pentest ist fuer jede Organisation mit kundennaher oder kritischer Webanwendung Pflichtprogramm - unabhaengig von der Regulierung. Grey-Box-Ansatz, sauberer Scope, guter Anbieter mit OWASP-Fokus: das liefert die besten Ergebnisse.
Der groesste Fehler, den wir in der Beratung sehen, ist seltene Pruefung. Eine Webapp, die 2024 sauber war, hat in 2026 durch neue Dependencies, neue Features und neue Angriffe wieder Luecken. Jaehrliche Pruefung ist Minimum, kontinuierliche Pruefung ist Best Practice.
Weiter lesen: Pentest-Anbieter-Vergleich | Pentest-Kosten Deutschland | Pentest as a Service Guide | Penetrationstest Vollguide