Liste schließen
Penetrationstest: Ablauf, Arten und Kosten für Unternehmen
7.7.2026

Penetrationstest: Ablauf, Arten und Kosten für Unternehmen

Author des Blogbeitrags
Inhaltsverzeichnis

Inhalt

Zum Öffnen anklicken

Cyberangriffe nehmen in Häufigkeit und Raffinesse zu. Gleichzeitig wächst die Komplexität moderner IT-Infrastrukturen. Ein Penetrationstest hilft Ihnen, Schwachstellen systematisch aufzudecken, bevor Cyberkriminelle sie ausnutzen. Dieser Leitfaden führt Sie durch Methodik, Testverfahren, rechtliche Bedingungen und praktische Schritte - mit besonderem Fokus auf Social Engineering.

Lesezeit: 9 Minuten

Kurzübersicht zum Penetrationstest

Ein Penetrationstest - kurz Pentest - ist eine autorisierte, kontrollierte Simulation realer Angriffsszenarien auf Ihre IT-Systeme, Anwendungen und Netzwerke. Das Ziel ist klar: Sicherheitslücken identifizieren und bewerten, bevor Angreifende sie finden.

Penetrationstests sind für alle digitalisierten Unternehmen von Bedeutung, unabhängig von Branche oder Größe. Die Hauptvorteile im Überblick:

  • Frühzeitige Erkennung: Penetrationstests helfen, Sicherheitslücken frühzeitig zu erkennen und Cyberangriffe proaktiv zu verhindern.
  • Risikominimierung: Ein Penetrationstest kann die IT-Sicherheitsarchitektur verbessern und den potenziellen Schaden durch Datenverlust oder Betriebsunterbrechungen drastisch reduzieren.
  • Vertrauen stärken: Regelmäßige Penetrationstests stärken das Vertrauen von Kunden und Partnern in Ihre Datensicherheit.
  • Compliance-Nachweis: Tests liefern dokumentierte Nachweise für Behörden und Auditoren.

In den USA beträgt der durchschnittliche Schaden bei einer Datenpanne inzwischen über 10 Millionen US-Dollar. Organisationen mit regelmäßigen Sicherheitstests können dagegen bis zum Zehnfachen ihrer Investition an Folgekosten vermeiden.

Ein Sicherheitsexperte überprüft mit einem Laptop die Netzwerkkomponenten in einem Serverraum, um einen Penetrationstest zu machen.

Penetration Testing: Phasen und Methodik

Ein Penetrationstest umfasst fünf Hauptphasen. Je nach Framework - PTES, NIST SP 800-115 oder OWASP Testing Guide - variieren Details, aber der Grundablauf bleibt konsistent. Die erste Phase eines Penetrationstests umfasst die Vorbereitung und Planung des Testumfangs.

1. Scoping und Testregeln

Beim Scoping wird schriftlich festgelegt, welche Systeme, IP-Adressen, Anwendungen und Standorte getestet werden. Die Rules of Engagement definieren erlaubte Testmethoden, Eskalationspfade und Notfallkontakte. Ohne ein unterschriebenes Scope-Dokument ist die Durchführung rechtlich riskant.

2. Informationsbeschaffung (Reconnaissance)

Die erste Phase ist die Zielerkundung und Informationssammlung. In der Phase der Informationsbeschaffung werden öffentlich zugängliche Informationen über das Zielsystem gesammelt - DNS-Einträge, WHOIS-Daten, Zertifikate, OSINT-Quellen. Aktive Methoden umfassen direktes Scannen von Diensten und Technologien.

3. Scanning und Enumeration

In der Scanning-Phase werden Schwachstellen und offene Ports identifiziert. Penetrationstestern stehen dabei Tools wie Nmap oder Nessus zur Verfügung, um Betriebssysteme, Dienste und Versionen systematisch zu kartieren. Ein Penetrationstest umfasst also Phasen wie Zielerkundung und Scannen als aufeinander aufbauende Schritte.

4. Exploitation und Post-Exploitation

Die Zugangserlangung simuliert reale Angriffe auf Webanwendungen und andere Komponenten. Der Pentester versucht, gefundene Schwachstellen auszunutzen, Privilegien zu erweitern und sich seitlich im Netzwerk zu bewegen. Hier zeigt sich der eigentliche Unterschied zum reinen Vulnerability-Scan: Es geht um tatsächliche Angriffspfade und messbaren Impact.

5. Analyse und Reporting

Die letzte Phase umfasst die Analyse und das Verbergen von Spuren. Der Report dokumentiert alle Findings mit Screenshots, Logs und Proof-of-Concepts. Die Nachbereitung eines Penetrationstests umfasst die Dokumentation aller gefundenen Schwachstellen, priorisiert nach Schwere und Geschäftsauswirkung.

6. Retest

Nach Korrekturmaßnahmen erfolgt eine Nachprüfung - insbesondere bei kritischen Schwachstellen. Der Retest stellt sicher, dass Probleme nicht nur oberflächlich geschlossen, sondern tatsächlich behoben sind.

Eine Person sitzt an mehreren Monitoren und führt Netzwerk-Scans sowie Sicherheitsanalysen durch, um Schwachstellen in der IT-Infrastruktur zu identifzieren.

Arten von Penetrationstests für IT-Systeme

Penetrationstests identifizieren Schwachstellen in IT-Systemen über verschiedene Testmethoden hinweg. Je nach Sicht und Informationsstand des Testers unterscheidet man zudem grundlegende Ansätze.

<TABELLE>

<HEADER>

Testart

Fokus

Typische Ziele

<CONTENT>

Webanwendungstests

Web Anwendung, APIs, Microservices

SQL-Injection, XSS, Broken Auth (OWASP Top 10)

<CONTENT>

Netzwerktests

Firewalls, Router, Segmentierung

Offene Ports, unsichere Dienste, WLAN

<CONTENT>

Cloud-Tests

AWS, Azure, GCP

IAM-Rollen, Misconfigurations, Container

<CONTENT>

Mobile-Tests

iOS/Android-Apps, Backend-APIs

Datenverschlüsselung, lokale Speicherung

</TABELLE>

Die OWASP Top 10 listet häufige Sicherheitslücken in Webanwendungen auf und dient als Referenzrahmen bei Webanwendungstests. Für Cloud Umgebungen kommen spezialisierte Werkzeuge und Verfahren zum Einsatz, da Bedrohungen dort oft durch Fehlkonfigurationen statt klassischer Exploits entstehen.

Testmethoden nach Informationsstand

  • Blackbox-Test: Der Tester hat keine Vorinformationen - simuliert einen externen Angreifer ohne Know How über interne Strukturen.
  • Greybox-Test: Teilinformationen vorhanden, etwa Zugangsdaten oder Architekturdiagramme. Effizient für realistische Angriffsszenarien mit begrenzter Sicht.
  • Whitebox Test: Vollständiger Zugriff auf Quellcode, Dokumentation und Architektur. Ermöglicht die tiefste Analyse, ist aber aufwendiger.

Es gibt also verschiedene Arten von Penetrationstests wie Black-Box-Tests und White-Box-Tests. Penetrationstests verwenden Blackbox-, Whitebox- und Greybox-Methoden, wobei für einen erfolgreichen Penetrationstest manuelle und automatische Methoden kombiniert werden.

IT-Sicherheit und Compliance

Penetrationstests helfen bei der Einhaltung von Compliance-Anforderungen und sind in zahlreichen Standards verankert:

  • ISO/IEC 27001 / 27002: Kontrollmaßnahmen zur Informationstechnik und Cybersicherheit
  • PCI DSS: Mindestens jährliche Penetrationstests und nach signifikanten Änderungen
  • NIS-2: Meldepflicht für Sicherheitsvorfälle innerhalb von 24 Stunden
  • DSGVO / BDSG: Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten
  • DORA: Threat-Led Penetration Testing ist seit DORA für Finanzunternehmen verpflichtend

Penetrationstests helfen, regulatorische Anforderungen zu erfüllen. Unter der DSGVO müssen bei Datenschutzverletzungen Meldungen an Behörden innerhalb von 72 Stunden erfolgen. Der BSI-Grundschutz empfiehlt Penetrationstests insbesondere bei erhöhtem Schutzbedarf.

Regelmäßige Penetrationstests sind wichtig für die IT-Sicherheitsstrategie eines Unternehmens - nicht nur als technische Maßnahme, sondern auch als Compliance-Nachweis gegenüber Aufsichtsbehörden und Partnern.

Social Engineering in Penetrationstest

Social Engineering nutzt menschliche Schwächen als Einfallstor - oft wirksamer als rein technische Angriffe. Penetrationstests helfen, potenzielle Einstiegspunkte für Hacker zu identifizieren, die über Mitarbeiter und Prozesse führen.

Risiken und Angriffsmuster

Typische Methoden umfassen Phishing, Vishing (Telefonanrufe), Pretexting und Tailgating (physischer Zugang). Cyberkriminelle setzen zunehmend auf diese Art von Angriffen, weil sie technische Sicherheitsmaßnahmen vollständig umgehen können.

Ethische Grenzen

Ein Social Engineering Penetrationstest darf keine traumatisierenden oder persönlich schädigenden Aktionen beinhalten. Menschenrechte, Datenschutz und Würde der Benutzern haben Vorrang. Minimal-invasive Methoden sind Pflicht.

Schriftliche Genehmigung

Ohne schriftliche Genehmigung ist Social Engineering im Pentest illegal. Der Vertrag muss explizit festlegen: welche Formen erlaubt sind, über welche Kanäle, welche Zielgruppen betroffen sind und ob physischer Zugang eingeschlossen ist.

Awareness-Messung

Vor und nach Tests sollten KPIs gemessen werden: Klickrate auf Phishing-Links, Anteil der Mitarbeitenden, die den Vorfall melden, Reaktionszeit der IT-Abteilung. Diese Ergebnisse bilden die Grundlage für gezielte Schulungen.

Social Engineering Penetrationstest: Aufbau und Durchführung

Ein Social Engineering Penetrationstest folgt einem strukturierten Verfahren:

Zielgruppen definieren: Verschiedene Rollen tragen unterschiedliche Risiken. Führungskräfte, Administratoren, Empfangspersonal und Kundenservice reagieren unterschiedlich auf Angriffsszenarien.

Phishing-Template entwerfen: Realistische E-Mails mit bekannten Marken oder internen Informationen. Verschiedene Schwierigkeitsstufen - von offensichtlichen Fälschungen bis hin zu täuschend echten Nachrichten. Vorher prüfen, ob SPF, DKIM und DMARC die Zustellung beeinflussen.

Telefonangriffe simulieren: Vishing-Scripts vorbereiten, in denen Tester versuchen, über Telefonanrufe Zugangsdaten oder Informationen zu erhalten. Dabei gelten strenge Bedingungen zum Schutz der Persönlichkeitsrechte.

Klick- und Berichtsraten messen: Quantitative Auswertung: Öffnungsrate, Klickrate, Meldequote. Qualitative Analyse: Welche Inhalte verfingen, welche Mitarbeiterschichten waren besonders anfällig.

Lessons Learned dokumentieren: Welche Templates funktionierten, wo lagen Hindernisse, welche Anpassungen sind für künftige Schulungen und Tests nötig. Die Ergebnisse fließen direkt in das Schwachstellenmanagement und die Awareness-Strategie ein.

Tools für Penetration Testing

Sicherheitsexpert*innen nutzen eine Kombination aus Open-Source-Tools und kommerzieller Software. Hier eine Übersicht, geordnet nach Bereich:

<TABELLE>

<HEADER>

Einsatzgebiet

Tools

Stärke

<CONTENT>

Reconnaissance / Scanning

Nmap, Masscan, Amass

Schnelle Netzwerkkartierung

<CONTENT>

Web Application Testing

OWASP ZAP, Burp Suite CE

Tiefe Analyse von Webanwendungen

<CONTENT>

Cloud Security

ScoutSuite, Prowler, Pacu

IAM-Checks, Misconfiguration-Erkennung

<CONTENT>

Container / DevOps

Grype, Trivy, Checkov

Image-Scanning, IaC-Prüfung

<CONTENT>

Reporting

Dradis Framework

Strukturierte Dokumentation

</TABELLE>

Automatisierte Tools finden bekannte Probleme schnell, neigen aber zu False Positives. Die Qualität eines Pentests hängt entscheidend davon ab, dass ein erfahrener Pentester die Ergebnisse manuell verifiziert, kontextualisiert und in echte Angriffsmethoden übersetzt. Einer der Vorteile von Penetrationstests ist genau diese proaktive Identifikation von Sicherheitslücken, die automatisierte Scans allein nicht leisten.

Ablauf, Reporting und Nachverfolgung

Kickoff-Prozess

Das initiale Meeting klärt alle operativen Details: Scope, Zeitrahmen, Notfallkontakte, NDA, Zugangsdaten. Alle Stakeholder - von IT über Management bis Rechtsabteilung - sollten eingebunden sein.

Technische Nachweise im Report

Ein professioneller Report enthält:

  • Screenshots und Logs als Beweise
  • Proof-of-Concept-Exploits
  • Angriffspfad-Visualisierungen
  • Business-Impact-Bewertung pro Finding
  • Priorisierte Maßnahmenempfehlungen

Penetrationstests simulieren reale Angriffsszenarien zur Schwachstellenerkennung - der Report muss diesen Kontext klar vermitteln. Nach einem Penetrationstest sollten Sicherheitslücken priorisiert und geschlossen werden, wobei kritische Findings sofortige Maßnahmen erfordern.

Retest-Termine

Planen Sie feste Zeitfenster für Nachtests ein. Der Zeitraum zwischen Fix und Verifizierung sollte dokumentiert sein. Klären Sie Verantwortlichkeiten: Wer behebt, wer verifiziert, wer reportet.

Integration in IT-Sicherheitsmanagement

Findings aus Penetrationstests dürfen nicht isoliert bleiben. Sie müssen ins Risikomanagement integriert werden:

  1. Risikoanalyse: Bewertung nach Eintrittswahrscheinlichkeit und Schadensausmaß
  2. Behebung priorisieren: Kritische Schwachstellen mit hohem Exploit-Potenzial zuerst
  3. Regelmäßige Tests planen: Mindestens jährlich, bei kritischen Systemen häufiger

Regelmäßige Penetrationstests sind für Unternehmen empfohlen - idealerweise ergänzt durch kontinuierliche Sicherheitsüberprüfung in CI/CD-Pipelines. Der Trend zu Penetration Testing as a Service (PTaaS) ermöglicht Subscription-basierte, agile Testprozesse, die den Sicherheitsstatus Ihrer IT Landschaft dauerhaft im Blick behalten.

Penetrationstests identifizieren Sicherheitslücken in IT-Systemen und liefern damit die Datenbasis für fundiertes Schwachstellenmanagement. Der Pen Test wird so zum zentralen Baustein Ihrer Sicherheitslage.

Rechtliche Rahmenbedingungen und Ethik

In Deutschland stellt § 202c StGB bereits den Besitz von Hacking-Tools unter bestimmten Bedingungen unter Strafe. Jeder Zugriff auf fremde Systeme ohne Einwilligung ist rechtswidrig. Für Penetrationstests gilt deshalb:

  • Schriftliche Genehmigung des Systembetreibers ist zwingend erforderlich
  • Einverständniserklärungen müssen Scope, Methoden und Zeitraum präzise dokumentieren
  • Bei Tests an Drittsystemen (Cloud-Provider, SaaS) sind deren Bedingungen zusätzlich zu prüfen
  • Alle Aktivitäten müssen lückenlos protokolliert werden

Sicherheitslücken können zu erheblichen Produktionsausfällen führen - aber ein Test ohne rechtliche Absicherung kann ebenso gravierende Folgen haben. Sorgfalt in der Dokumentation schützt beide Seiten.

Wann lohnt sich ein Penetrationstest?

Ein Penetrationstest lohnt sich besonders dann, wenn:

  • Sie Kundendaten, Gesundheitsdaten, Zahlungsinformationen oder geistiges Eigentum verarbeiten
  • Ihre IT Infrastruktur stark exponiert ist (internationale Webapps, Cloud-Dienste, APIs)
  • Größere Architekturumstellungen, Netzwerkänderungen oder Fusionen stattgefunden haben
  • Sie in der IT -Branche, im Finanzsektor oder im Bereich kritischer Infrastruktur tätig sind

Penetrationstests helfen, Cyberangriffe frühzeitig zu erkennen und Ihre Sicherheitsmaßnahmen auf den Prüfstand zu stellen. Regelmäßige Penetrationstests sind für Unternehmen empfohlen - die Frequenz sollte sich am Risikoprofil orientieren:

<TABELLE>

<HEADER>

Risikostufe

Empfohlene Frequenz

Beispiele

<CONTENT>

Hoch

Vierteljährlich

Finanzdienstleister, Gesundheitswesen, KRITIS

<CONTENT>

Mittel

Halbjährlich

E-Commerce, SaaS-Anbieter

<CONTENT>

Standard

Jährlich

Interne Systeme, geringe Exposition

</TABELLE>

Das Thema Cybersicherheit betrifft heute jedes Unternehmen. Ein Cyberangriff kann unabhängig von der Größe verheerende Auswirkungen haben. Der Webcheck Ihrer externen Angriffsfläche ist dabei oft der erste Schritt.

Nächste Schritte für Ihren Penetrationstest

Sie wollen Ihre Sicherheitslage konkret verbessern? Hier sind die praktischen nächsten Schritte:

1. Angebotsskizze erstellen

Definieren Sie, was getestet werden soll - Web, Netzwerk, Cloud, Social Engineering. Schätzen Sie Umfang und Komplexität ein. Typische Kostenrahmen als Orientierung:

  • Webanwendungs-Pentest: ca. 4.500 - 15.000 USD
  • Netzwerk-Tests: ca. 6.000 - 20.000 USD
  • Social Engineering: ca. 3.000 - 10.000 USD
  • Red-Team-Engagement: ab 20.000 USD

2. Kickoff-Termin vereinbaren

Bringen Sie alle Stakeholder an einen Tisch: IT, Management, Recht, ggf. externe Dienstleister. Klären Sie Scope, Regeln, Kommunikationswege und Notfallplan. Je besser die Vorbereitung, desto aussagekräftiger die Ergebnisse.

3. Nachtest-Zeitraum planen

Vereinbaren Sie im Vertrag, wann und wie Retests stattfinden. Definieren Sie Verantwortlichkeiten für Behebung, Verifizierung und Dokumentation. Der Pentest endet nicht mit dem Report - er beginnt dort.

Ein Team von Sicherheitsexperten diskutiert in einem Besprechungsraum und plant gemeinsam Sicherheitsstrategien.

Ein professioneller Penetrationstest ist keine einmalige Maßnahme, sondern ein kontinuierlicher Baustein Ihrer Sicherheitsstrategie. Die Bedeutung regelmäßiger Tests wächst mit jeder neuen Bedrohung und jedem Wandel in Ihrer IT Landschaft. Je früher Sie mit strukturierten Tests beginnen, desto besser schützen Sie Ihre Daten, Systeme und Reputation.

Starten Sie jetzt: Erstellen Sie Ihre Anforderungsskizze, identifizieren Sie Ihre kritischsten Systeme und nehmen Sie Kontakt zu qualifizierten Sicherheitsexperten auf. Ihr nächster Penetrationstest ist der erste Schritt zu einer nachhaltig sicheren IT Infrastruktur.

Hinweis: Dieser Beitrag ersetzt keine rechtliche Beratung. Bei konkreten Datenschutzfragen wenden Sie sich an einen Fachanwalt für IT-Recht oder Ihren Datenschutzbeauftragten.

Die Umsetzung von Normanforderungen ist unternehmensspezifisch. Dieser Beitrag bietet eine Übersicht, ersetzt aber keine Audit-Beratung.

Sicherheitsrelevante Schritte nicht ohne Test-Umgebung durchführen. Bei akuten Vorfällen Incident Response kontaktieren.

IT-Sicherheitsberatung anfragen
Julian Schmidt

Julian Schmidt

Julian ist unser Office-365-Experte im Team. Wenn es um Office-365-Neukunden- und Migrationsprojekte oder die technische Kundenbetreuung geht, ist der gelernte Fachinformatiker (IHK) der richtige Ansprechpartner und berät unsere Kunden mit seiner langjährigen Expertise. Darüber hinaus koordiniert er als Teamleiter für unseren 2nd-Level-Support die Projekte, plant deren Einsätze, unterstützt bei technischen Fragen im 2nd- und 3rd-Level und hat immer ein offenes Ohr für sein Team. Wenn es um die strategische und technische Weiterentwicklung von juunit geht, ist Julians Expertenmeinung ebenfalls von der Geschäftsführung gefragt. Um seine Managementfähigkeiten weiter zu verbessern, absolviert er derzeit nebenberuflich den Studiengang „Unternehmertum“ an der DHBW Karlsruhe.

Noch nicht das Passende dabei?

Erfahre mehr zu unserem IT-Service in der Metropolregion Rhein-Main/Frankfurt

Zum Standort FrankfurtZum Standort MainzZum Standort WiesbadenZum Standort Aschaffenburg

juunit.

Was wir für Sie tun können.

Jetzt sind Sie gespannt darauf, uns kennenzulernen und herauszufinden, wie wir all die juunit-Power für Ihr Business nutzen können? Dann sollten wir zusammenarbeiten -
wir freuen uns auf Sie!
kalendar icon

Infogespräch

Jetzt buchen
SonderangebotSonderangebot

Wir freuen uns auf Ihre Anfrage!

Wenn Sie diese Nachricht abschicken, speichern wir zusätzliche personenbezogene Daten von Ihnen. Lesen Sie dazu unsere Datenschutzhinweise für Webseitenbesucher*innen.