Pentest-Report verstehen: Ein Leitfaden für Geschäftsführer und IT-Leiter

1 Min. Lesezeit

Der Penetration-Test-Report landet auf dem Schreibtisch – 80 Seiten, voller CVSS-Scores, Screenshots und technischem Jargon. Für IT-Leiter und Geschäftsführer ist das oft ein Buch mit sieben Siegeln. Dabei stecken in dem Report die wichtigsten Entscheidungsgrundlagen für Security-Investitionen. Ein Übersetzungsleitfaden.

Das Wichtigste in Kürze

CVSS-Score allein reicht nicht – Kontext und Ausnutzbarkeit entscheiden
Kritisch ist, was ein Angreifer tatsächlich ausnutzen kann, nicht was theoretisch möglich wäre
Die Executive Summary ist der wichtigste Teil – dort stehen die Business-Risiken
Findings ohne Remediation-Plan sind wertlos – Maßnahmen müssen priorisiert und terminiert sein

Die Executive Summary: Hier beginnt die Entscheidung

Die Executive Summary ist für Nicht-Techniker geschrieben und beantwortet drei Fragen: Wie gut ist unsere Security-Lage insgesamt? Was sind die kritischsten Risiken? Was muss sofort passieren? Ein guter Pentest-Bericht liefert hier eine klare Risikobewertung in Ampelfarben oder einer Reifegradskala.

Wenn die Executive Summary nur technische Befunde auflistet ohne Business-Kontext, ist der Report schlecht geschrieben. Fordern Sie vom Dienstleister eine Einordnung: Was bedeutet Finding X für unser Geschäft?

CVSS verstehen – und seine Grenzen kennen

CVSS (Common Vulnerability Scoring System) bewertet Schwachstellen auf einer Skala von 0-10. Critical (9.0-10.0), High (7.0-8.9), Medium (4.0-6.9), Low (0.1-3.9). Das ist nützlich als erste Orientierung – aber irreführend als alleiniges Priorisierungskriterium.

Warum: Ein CVSS 9.8 auf einem internen Test-Server ohne Kundendaten ist weniger kritisch als ein CVSS 6.5 auf dem Produktionssystem mit Zahlungsdaten. Kontext schlägt Score. Fragen Sie: Welche Systeme und Daten sind betroffen? Und: Kann ein externer Angreifer die Schwachstelle ausnutzen?

Findings priorisieren: Die Risiko-Matrix

Die sinnvollste Priorisierung kombiniert zwei Dimensionen: Ausnutzbarkeit (Wie einfach ist der Angriff?) und Business Impact (Was passiert, wenn er gelingt?). Daraus entsteht eine 2×2-Matrix: Leicht ausnutzbar + hoher Impact = sofort beheben. Schwer ausnutzbar + niedriger Impact = langfristig planen.

Fordern Sie vom Pentest-Dienstleister diese Einordnung. Ein guter Report liefert nicht nur Findings, sondern einen priorisierten Remediation-Roadmap mit Zeitrahmen und Aufwandsschätzung.

Nach dem Report: Remediation tracken

Der Report ist keine Leistung – er ist der Startpunkt. Jedes Finding braucht: einen Verantwortlichen, eine Deadline, einen definierten Fix und eine Verifikation nach Umsetzung. Ohne Tracking-Prozess versanden Pentest-Findings in der Prioritätenkonkurrenz des Tagesgeschäfts.

Best Practice: Findings in das bestehende Ticket-System übernehmen, Remediation-Status in einem monatlichen Security-Review tracken und nach 90 Tagen einen Nachtest (Retest) für kritische und hohe Findings durchführen.

Key Facts

Findings pro Pentest: Durchschnittlich 28 Findings, davon 4-6 Critical/High (NCC Group)

Remediation-Rate: Nur 56 Prozent der Critical Findings werden innerhalb von 90 Tagen behoben (Cobalt)

Retest-Quote: 30 Prozent der „behobenen“ Findings bestehen den Retest nicht (Veracode)

Häufige Fragen

Wie oft sollte ein Pentest durchgeführt werden?

Jährlich als Minimum. Nach größeren Änderungen (neue Anwendung, Cloud-Migration, Architektur-Umbau) zusätzlich. NIS2 fordert „regelmäßige“ Tests – jährlich erfüllt diese Anforderung. DORA fordert TLPT alle 3 Jahre für systemrelevante Institute.

Was kostet ein Pentest?

Extern: 8.000-30.000 EUR für eine Web-Applikation, 15.000-50.000 EUR für ein Netzwerk-Assessment, 30.000-100.000+ EUR für ein Red-Team-Engagement. Intern: Bug-Bounty-Programme ab 10.000 EUR Prämienbudget. Der Preis korreliert mit Scope und Tiefe.

Was ist der Unterschied zwischen Pentest und Vulnerability Scan?

Ein Vulnerability Scan ist automatisiert und findet bekannte Schwachstellen (CVEs). Ein Pentest wird von Menschen durchgeführt, die Schwachstellen nicht nur finden, sondern aktiv ausnutzen und verketten. Der Pentest zeigt, was ein echter Angreifer erreichen kann – der Scan nur, was theoretisch verwundbar ist.