Penetrationstest

Ein Penetrationstest — kurz Pentest — ist ein kontrollierter, autorisierter Angriff auf IT-Systeme, Netzwerke oder Anwendungen. Ziel ist es, Sicherheitslücken unter realistischen Bedingungen zu identifizieren und ihre tatsächliche Ausnutzbarkeit zu bewerten. Im Gegensatz zu automatisierten Vulnerability Scans kombiniert ein Pentest maschinelle Werkzeuge mit der Kreativität und Erfahrung menschlicher Sicherheitsexperten.

Abgrenzung zum Vulnerability Assessment

Ein Vulnerability Assessment katalogisiert bekannte Schwachstellen durch automatisierte Scans. Ein Penetrationstest geht deutlich weiter: Die Tester versuchen aktiv, gefundene Schwachstellen auszunutzen, Schutzmechanismen zu umgehen und — ähnlich wie echte Angreifer — über Lateral Movement tiefer in die Infrastruktur vorzudringen. Erst dadurch wird sichtbar, welche Schwachstellen tatsächlich kritisch sind und welche durch kompensierende Maßnahmen bereits entschärft werden.

Testarten und Wissensstufen

Pentests unterscheiden sich nach dem Informationsstand der Tester. Beim Black-Box-Test erhalten die Tester keinerlei Vorabinformationen und simulieren einen externen Angreifer ohne Insiderwissen. Beim White-Box-Test stehen vollständige Dokumentation, Quellcode und Netzwerkpläne zur Verfügung, was eine tiefgreifende Analyse ermöglicht. Der Grey-Box-Test kombiniert beide Ansätze — die Tester erhalten grundlegende Zugangsdaten und begrenzte Informationen, was dem realistischen Szenario eines kompromittierten Benutzerkontos entspricht.

Ablauf eines Penetrationstests

Ein professioneller Pentest folgt etablierten Standards wie dem PTES (Penetration Testing Execution Standard) oder dem OWASP Testing Guide. Nach der Scoping-Phase, in der Umfang, Regeln und Eskalationswege definiert werden, folgt die Reconnaissance — passive und aktive Informationsbeschaffung über die Zielumgebung. In der Exploitation-Phase versuchen die Tester, identifizierte Schwachstellen auszunutzen. Bei erfolgreicher Kompromittierung wird geprüft, wie weit sich der Zugriff ausweiten lässt — etwa durch Privilege Escalation oder Bewegung zwischen Netzwerksegmenten.

Den Abschluss bildet ein detaillierter Report mit CVSS-bewerteten Findings und priorisierten Handlungsempfehlungen. Ein Retest nach der Behebung stellt sicher, dass die identifizierten Schwachstellen tatsächlich geschlossen wurden.

Typische Angriffsvektoren

Pentester prüfen eine Vielzahl von Angriffswegen, die auch reale Angreifer nutzen. Extern exponierte Webanwendungen und APIs werden auf Injection-Schwachstellen, fehlerhafte Authentifizierung und Konfigurationsfehler getestet. In internen Tests stehen Active-Directory-Umgebungen im Fokus — einschließlich Techniken wie Kerberoasting und Pass-the-Hash. Social-Engineering-Tests bewerten die Anfälligkeit für Phishing-Angriffe. Netzwerk-Pentests decken Schwächen in Segmentierung, Firewall-Regelwerken und VPN-Konfigurationen auf.

Wann und wie oft testen?

Pentests sollten regelmäßig durchgeführt werden — mindestens jährlich, bei kritischen Systemen häufiger. Zusätzliche Anlässe sind größere Infrastrukturänderungen, die Einführung neuer Anwendungen, Fusionen oder Übernahmen sowie regulatorische Anforderungen durch Standards wie ISO 27001 oder NIS2.

Ein einmaliger Test ist eine Momentaufnahme; erst durch Wiederholung entsteht ein belastbares Bild der Sicherheitslage. Idealerweise werden Pentests in ein kontinuierliches Sicherheitsprogramm eingebettet, das auch Vulnerability Scanning, SIEM-basiertes Monitoring und regelmäßige Awareness-Schulungen umfasst.

Relevanz für KMUs

Viele KMUs gehen davon aus, für gezielte Angriffe zu klein zu sein — in der Praxis zeigt sich jedoch, dass gerade mittelständische Unternehmen häufig über weniger Schutzmechanismen verfügen als Konzerne und dadurch leichtere Ziele darstellen. Ein Pentest deckt die tatsächliche Angriffsfläche auf und liefert einen konkreten, priorisierten Maßnahmenplan. Der Aufwand lässt sich durch gezieltes Scoping — etwa die Fokussierung auf extern erreichbare Systeme oder eine einzelne kritische Anwendung — an das Budget anpassen.