Penetration Testing: Methoden, Ablauf & Anbieterauswahl 2026

Penetration Testing — kurz Pen Test — ist die kontrollierte Simulation eines Cyberangriffs auf die IT-Infrastruktur eines Unternehmens. Ziel ist es, Schwachstellen zu identifizieren und zu bewerten, bevor echte Angreifer sie ausnutzen können. Für regulierte Branchen ist Pen Testing keine optionale Maßnahme, sondern eine Pflichtanforderung unter DORA, NIS2 und ISO 27001.

Dieser Leitfaden erklärt die verschiedenen Testmethoden, den typischen Ablauf eines Penetration Tests und gibt konkrete Kriterien für die Auswahl eines Anbieters.

Was ist Penetration Testing?

Penetration Testing ist die systematische Prüfung von IT-Systemen, Netzwerken und Anwendungen auf ausnutzbare Sicherheitslücken. Anders als automatisierte Vulnerability Scans wird ein Pen Test von spezialisierten Sicherheitsexperten (Ethical Hackern) durchgeführt, die reale Angriffsszenarien nachstellen.

Der entscheidende Unterschied: Ein Vulnerability Scan findet bekannte Schwachstellen in Software-Versionen. Ein Penetration Test geht weiter — er versucht, Schwachstellen zu verketten, Zugriffe zu eskalieren und die tatsächlichen Auswirkungen eines erfolgreichen Angriffs zu demonstrieren.

Die drei Pen-Test-Methoden: Black Box, Grey Box, White Box

Black Box Testing: Der Tester hat keinerlei Vorabinformationen über das Zielsystem — wie ein externer Angreifer. Vorteil: realistische Simulation eines Angriffs von außen. Nachteil: zeitintensiver, kann nicht alle internen Schwachstellen aufdecken.

Grey Box Testing: Der Tester erhält begrenzte Informationen (z.B. Netzwerkdiagramm, Benutzerkonten). Vorteil: effizientere Testabdeckung bei realistischem Szenario. Dies ist die in der Praxis am häufigsten gewählte Methode.

White Box Testing: Der Tester hat vollständigen Zugang zu Quellcode, Architektur und Dokumentation. Vorteil: tiefste Analyse, findet auch versteckte Schwachstellen. Nachteil: weniger realistisch als externe Perspektive, aufwändiger.

Der Ablauf eines Penetration Tests in 5 Phasen

1. Scoping und Planung: Definition des Testumfangs (welche Systeme, Netzwerke, Anwendungen?), Festlegung der Testmethode, rechtliche Vereinbarungen (Autorisierung, NDAs), Zeitplan und Eskalationswege.
2. Reconnaissance (Aufklärung): Passive und aktive Informationsbeschaffung über das Zielsystem. DNS-Analysen, Port-Scans, Technologie-Fingerprinting, OSINT-Recherche.
3. Exploitation (Angriff): Gezielte Ausnutzung identifizierter Schwachstellen. Versuche zur Privilegien-Eskalation, laterale Bewegung im Netzwerk, Datenexfiltration. Dokumentation jedes Angriffsschritts.
4. Post-Exploitation und Analyse: Bewertung der tatsächlichen Auswirkungen. Wie weit kam der Angreifer? Welche Daten waren erreichbar? Welche Systeme waren kompromittierbar?
5. Reporting und Empfehlungen: Detaillierter Bericht mit allen Findings, Risikobewertung (CVSS), Proof-of-Concept und priorisierten Handlungsempfehlungen. Management Summary für die Geschäftsleitung.

Pen Testing unter DORA, NIS2 und ISO 27001

Regulatorische Anforderungen machen Penetration Testing zur Pflicht:

• DORA (Art. 24-27): Finanzunternehmen müssen regelmäßige Resilienztests durchführen. Systemrelevante Institute müssen zusätzlich Threat-Led Penetration Testing (TLPT) nach TIBER-EU Framework durchführen.
• NIS2 (Art. 21): Betreiber wesentlicher Einrichtungen müssen die Wirksamkeit ihrer Cybersicherheitsmaßnahmen regelmäßig bewerten — Pen Tests sind die anerkannte Methode dafür.
• ISO 27001 (A.18.2.3): Regelmäßige technische Compliance-Reviews, einschließlich Penetrationstests, sind Teil des ISMS-Kontrollkatalogs.

Kosten und Dauer eines Penetration Tests

Die Kosten variieren stark je nach Scope:

• Einfacher Webapplikation-Test: 5.000-15.000 Euro (3-5 Tage)
• Internes Netzwerk-Pen-Test (mittelständisches Unternehmen): 15.000-40.000 Euro (1-2 Wochen)
• Umfassender Enterprise-Pen-Test (Bank/Versicherung): 40.000-100.000 Euro (2-4 Wochen)
• TLPT nach TIBER-EU: 100.000-300.000 Euro (3-6 Monate, inklusive Red Team)

Die Frequenz hängt von der Regulierung ab: Jährlich ist Minimum, nach wesentlichen Änderungen an IT-Systemen zusätzlich. DORA fordert für kritische Systeme Tests alle drei Jahre (TLPT).

Anbieterauswahl: 7 Kriterien für den richtigen Pen-Test-Partner

1. Zertifizierungen: OSCP, OSCE, CREST, CHECK — diese Zertifikate belegen technische Kompetenz. Fragen Sie nach den Zertifizierungen der tatsächlich eingesetzten Tester.
2. Branchenerfahrung: Pen Tests im Finanzsektor erfordern Verständnis für BaFin-Anforderungen, SWIFT-Sicherheit und Kernbankensysteme.
3. Methodik: Folgt der Anbieter anerkannten Standards (OWASP, PTES, NIST SP 800-115)?
4. Reporting-Qualität: Verlangen Sie ein Beispiel-Report. Gute Reports enthalten CVSS-Scores, Proof-of-Concept und priorisierte Maßnahmen — nicht nur eine Schwachstellenliste.
5. Verfügbarkeit: Kann der Anbieter in Ihrem gewünschten Zeitfenster testen? Gute Pen-Test-Firmen sind Monate im Voraus ausgebucht.
6. Haftpflichtversicherung: Der Anbieter sollte eine Berufshaftpflicht haben, die Schäden aus Pen-Test-Aktivitäten abdeckt.
7. Nachtest inklusive: Ein guter Anbieter bietet einen kostenlosen Nachtest an, um die Behebung der gefundenen Schwachstellen zu verifizieren.

Häufig gestellte Fragen zum Penetration Testing

Was ist ein Penetration Test einfach erklärt?

Ein Penetration Test ist ein kontrollierter, autorisierter Cyberangriff auf die eigenen IT-Systeme. Spezialisierte Sicherheitsexperten versuchen, Schwachstellen zu finden und auszunutzen — genau wie ein echter Angreifer. Das Ergebnis ist ein Bericht mit allen gefundenen Schwachstellen und Empfehlungen zur Behebung.

Wie oft sollte ein Pen Test durchgeführt werden?

Mindestens einmal jährlich und zusätzlich nach wesentlichen Änderungen (neue Systeme, größere Updates, Infrastrukturwechsel). DORA fordert für kritische Finanzinfrastruktur TLPT alle drei Jahre. NIS2 und ISO 27001 verlangen regelmäßige Wirksamkeitsprüfungen ohne feste Frequenzvorgabe.

Was ist der Unterschied zwischen Pen Test und Vulnerability Scan?

Ein Vulnerability Scan ist ein automatisiertes Tool, das bekannte Schwachstellen in Software-Versionen erkennt. Ein Penetration Test wird von Menschen durchgeführt, die Schwachstellen aktiv ausnutzen, verketten und die realen Auswirkungen demonstrieren. Der Vulnerability Scan findet die offene Tür, der Pen Test geht durch und zeigt, was dahinter erreichbar ist.

Brauchen wir als Mittelstandsunternehmen einen Pen Test?

Wenn Ihr Unternehmen unter NIS2 fällt (18 Sektoren, ab 50 Mitarbeiter), unter DORA (Finanzbranche), oder ISO 27001 zertifiziert ist, dann ja. Auch ohne regulatorische Pflicht ist ein jährlicher Pen Test für jedes Unternehmen mit Internetpräsenz und digitalen Geschäftsprozessen empfehlenswert. Die Kosten eines Pen Tests sind minimal im Vergleich zu den Kosten eines erfolgreichen Cyberangriffs.

Was passiert, wenn der Pen Tester eine kritische Schwachstelle findet?

Bei kritischen Schwachstellen (z.B. Remote Code Execution, Zugriff auf sensible Daten) informiert der Tester sofort den vereinbarten Ansprechpartner. Die Schwachstelle wird dokumentiert und die Empfehlung zur sofortigen Behebung priorisiert. Nach der Behebung wird ein Nachtest durchgeführt, um die Wirksamkeit der Maßnahme zu bestätigen.