Der Penetrationstest-Bericht: Was drinsteht und was Auditoren tatsächlich wollen

Der Penetrationstest-Bericht ist das Liefergut, an dem alles andere hängt — er ist das, was Sie Auditoren, den Sicherheitsprüfern Ihrer Enterprise-Käufer und Ihren eigenen Entwicklern übergeben. Die meisten Berichte sind ein technisches PDF, das Sie dann selbst in die Sprache von ISO 27001, SOC 2, NIS2 oder DORA übersetzen müssen. Der Bericht von Matproof Sentinel ist anders: jeder Befund kommt mit Proof-of-Exploit, einer CVSS-3.1-Bewertung, Behebungsanleitung, Re-Test-Verifikation und einem expliziten Mapping auf die Controls, die Ihr Auditor prüft. Diese Seite erklärt genau, was ein guter Bericht enthält und warum das Mapping den Unterschied zwischen 'ein Pentest hat stattgefunden' und 'hier ist die Evidenz, die Sie verlangt haben' ausmacht.

Muster-Bericht anfordern

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Warum der Bericht — nicht der Test — das ist, was Ihr Auditor und Käufer tatsächlich bewertet

Zwei Penetrationstests können technisch identisch sein und dennoch völlig unterschiedliche Geschäftsergebnisse erzeugen, denn das, womit Ihr Auditor, Ihr Enterprise-Kunde und Ihr eigenes Entwicklungsteam interagieren, ist der Bericht — nicht das Testing. Ein Bericht, der Schwachstellen ohne Proof-of-Exploit auflistet, wird angezweifelt ('ist das ein echtes Problem oder ein Scanner-False-Positive?'). Ein Bericht ohne Risikobewertungen lässt sich nicht priorisieren. Ein Bericht ohne Behebungs-Tracking und Re-Test-Evidenz scheitert an der Frage, die jeder ISO-27001- und SOC-2-Auditor stellt: 'zeigen Sie mir, dass Befunde tatsächlich behoben und verifiziert wurden.' Und ein Bericht, der rein in technischer Sprache verfasst ist, zwingt jemanden — meist Sie — dazu, jeden Befund manuell auf ISO-27001-Annex-A-Controls, SOC-2-Trust-Services-Criteria, NIS2-Art.-21-Maßnahmen oder DORA-Art.-24-Anforderungen zu mappen, bevor er als Compliance-Evidenz zählt. In dieser Übersetzungsarbeit liegt der Großteil der echten Kosten und Verzögerung. Die gesamte Designprämisse des Matproof-Sentinel-Berichts ist es, dieses Mapping an der Quelle zu erledigen: eine reine Pentest-Firma übergibt Ihnen ein PDF und wünscht Ihnen viel Glück beim Auditor; Matproof übergibt Ihnen Evidenz, die bereits so strukturiert ist, wie der Auditor sie konsumieren wird. Das ist der Moat — Pentest-Output, der audit-tauglich geboren wird.

Proof-of-Exploit pro Befund beendet die 'ist das echt?'-Diskussion — Auditoren und Entwickler vertrauen einem demonstrierten Exploit, nicht dem 'möglich'-Flag eines Scanners.
CVSS-3.1-Risikobewertungen lassen Sie priorisieren und lassen Auditoren sehen, dass Sie nach Schwere triagieren, nicht danach, wer am lautesten schreit.
Behebungs-Tracking + Re-Test-Evidenz ist das Einzige, was ISO-27001- und SOC-2-Auditoren am meisten sehen wollen: der Nachweis, dass High-/Critical-Befunde behoben und verifiziert wurden, nicht nur aufgelistet.
Control-Mapping ist der Differenzierer: Befunde, die an ISO 27001 Annex A, SOC 2 TSC, NIS2 Art. 21 und DORA Art. 24 gebunden sind, sind Compliance-Evidenz — ein ungemapptes technisches PDF ist Hausaufgabe.
Enterprise-Beschaffung verlangt zunehmend den Bericht selbst (oft über einen Sicherheitsfragebogen) — ein sauberer, gut strukturierter, gemappter Bericht verkürzt Verkaufszyklen; ein unsauberer bremst sie aus.
Ein konsistentes, maschinell generiertes Berichtsformat bedeutet Jahr-für-Jahr-Vergleichbarkeit für Überwachungsaudits — Auditoren können sehen, dass das Programm kontinuierlich betrieben wird, was genau das ist, was sie verlangen.

Was in einem Matproof-Sentinel-Penetrationstest-Bericht steht

Executive Summary: Posture-Überblick, Befundzahlen nach Schwere und das Schlagzeilen-Risiko in einfacher Sprache für Management und Vorstand
Scope und Methodik: genau was getestet wurde, die verwendete Methodik (OWASP Testing Guide / OWASP API Top 10 / NIST SP 800-115) und das Testfenster
Befundregister: jeder Befund mit Titel, CVSS-3.1-Score und -Vektor, betroffenem Asset und Geschäftsauswirkung
Proof-of-Exploit: die konkreten Schritte/der Request, der jeden Befund demonstriert — kein spekulativer Scanner-Alert
Behebungsanleitung: spezifische, umsetzbare Fix-Anweisungen pro Befund, keine generischen Ratschläge
Re-Test-Verifikation: Status jedes Befunds nach Behebung (offen / behoben / verifiziert-behoben) für die Evidenz, die Auditoren verlangen
Control-Mapping: jeder Befund gemappt auf ISO 27001:2022 Annex A, SOC 2 Trust Services Criteria, NIS2 Art. 21 und DORA Art. 24 — die audit-taugliche Ebene
Anhänge: vollständiges technisches Detail, betroffene Endpunkte, CVE-/CWE-Referenzen und MITRE-ATT&CK-Technik-Mapping für Ihr SOC
Auditor-teilbares Format: ein sauberes PDF plus ein Read-Only-Link, auf den Auditoren und Enterprise-Prüfer direkt zugreifen können

Beispiel-Befund

Info

PDF vs audit-taugliche Evidenz: derselbe Befund, zwei sehr unterschiedliche Berichte

Betrachten Sie einen Befund — einen Broken-Object-Level-Authorization-Fehler, der Kundendatensätze offenlegt. Ein typisches Pentest-PDF sagt: 'IDOR auf /api/invoices/{id}, High Severity, Autorisierung beheben.' Der Matproof-Sentinel-Bericht sagt dasselbe, plus: einen Proof-of-Exploit, der zeigt, wie Mandant A die Rechnung von Mandant B liest, einen CVSS-3.1-Vektor, einen Re-Test, der den Fix bestätigt, und eine explizite Position — 'erfüllt ISO 27001:2022 A.8.3 Information Access Restriction als Evidenz; relevant für SOC 2 CC6.1; adressiert NIS2-Art.-21-Zugriffskontrollmaßnahmen.' Wenn Ihr ISO-27001-Überwachungsauditor Evidenz verlangt, dass Zugriffskontrollen getestet und behoben werden, muss der erste Bericht übersetzt werden; der zweite ist die Antwort.

Behebung: Wenn Sie irgendeinen Penetrationstest beauftragen, verlangen Sie diese Punkte im Liefergut, bevor Sie beginnen: Proof-of-Exploit pro Befund, CVSS-3.1-Bewertungen, Behebungsanleitung, kostenlosen Re-Test von High-/Critical-Befunden und explizites Mapping auf Ihre Compliance-Framework(s). Wenn ein Anbieter nicht auf ISO 27001 / SOC 2 / NIS2 / DORA mappen kann, budgetieren Sie die Übersetzungszeit intern ein. Matproof Sentinel enthält all das standardmäßig in jedem Bericht — sehen Sie sich ein Muster aus dem kostenlosen Scan an.

Referenz: ISO 27001:2022 A.8.8 / A.8.29 Evidenzanforderungen · SOC 2 CC4.1 / CC7.1 · NIS2 Art. 21 · DORA Art. 24 · NIST SP 800-115 Technical Guide to Information Security Testing

Berichtsqualität: kostenloser Scan vs Matproof Sentinel vs klassisches PDF

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

Erhalten Sie einen audit-tauglichen Bericht

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zu Penetrationstest-Berichten

Was sollte ein Penetrationstest-Bericht enthalten?

Ein vollständiger Penetrationstest-Bericht enthält: eine Executive Summary, Scope und Methodik, ein Befundregister mit CVSS-3.1-Bewertungen, Proof-of-Exploit pro Befund, spezifische Behebungsanleitung, Re-Test-Verifikationsstatus und — entscheidend für Compliance — ein Mapping jedes Befunds auf die relevanten Controls (ISO 27001 Annex A, SOC 2 TSC, NIS2 Art. 21, DORA Art. 24). Technische Anhänge mit CVE-/CWE-Referenzen und betroffenen Endpunkten runden ihn ab.

Worauf achten ISO-27001- und SOC-2-Auditoren in einem Pentest-Bericht?

Auditoren suchen Evidenz für einen funktionierenden Prozess, nicht nur eine Liste von Bugs: risikobewertete Befunde, jeweils mit einer Behandlungsentscheidung, mit High-/Critical-Befunden, die innerhalb eines angemessenen Zeitrahmens behoben und re-getestet wurden, und dem Nachweis, dass die Ergebnisse vom Management geprüft wurden. Ein sauberes Befundregister ohne überfällige Critical-/High-Positionen plus Evidenz kontinuierlichen Testings über den Audit-Zeitraum ist das Ziel. Der Matproof-Sentinel-Bericht ist so strukturiert, dass er genau diese Artefakte liefert.

Warum ist Control-Mapping so wichtig?

Weil ein ungemappter technischer Bericht noch keine Compliance-Evidenz ist — jemand muss jeden Befund in die Sprache Ihres Frameworks übersetzen, bevor ein Auditor ihn akzeptiert. Diese Übersetzung ist langsam, fehleranfällig und fällt meist Ihrem internen Team zu. Ein Bericht, der jeden Befund an der Quelle auf ISO 27001 / SOC 2 / NIS2 / DORA mappt, ist sofort audit-tauglich. Dies ist der Kernunterschied zwischen Matproof und einer reinen Pentest-Firma: wir erzeugen die Evidenz bereits im Format des Auditors.

Kann ich den Bericht direkt mit einem Auditor oder Kunden teilen?

Ja. Der Sentinel-Bericht ist als sauberes PDF und als Read-Only-Share-Link verfügbar, sodass Auditoren und Enterprise-Sicherheitsprüfer direkt auf die Evidenz zugreifen können — was den E-Mail-Hin-und-Her-Zyklus reduziert, der Audits und Sicherheitsprüfungen verlangsamt.

Kann ich einen Muster-Penetrationstest-Bericht sehen?

Ja — führen Sie den kostenlosen 3-Minuten-Scan durch und Sie erhalten einen Muster-Bericht, der die Struktur, das Befundformat und das Control-Mapping zeigt. Ein vollständiger audit-tauglicher Bericht (mit Proof-of-Exploit und Re-Test) ist ab €149 verfügbar.

Vertiefen — verwandte Artikel aus unserem Blog

Erhalten Sie einen Bericht, den Ihr Auditor beim ersten Mal akzeptiert

Führen Sie einen kostenlosen 3-Minuten-Scan durch, um einen Muster-Bericht zu sehen, oder erhalten Sie einen vollständigen audit-tauglichen Penetrationstest-Bericht — Proof-of-Exploit, CVSS-Bewertungen, Re-Test und Mapping auf ISO 27001, SOC 2, NIS2 und DORA — ab €149.