Was ist ein Penetrationstest? Definition und Abgrenzung
Was ist ein Penetrationstest? Ein Penetrationstest ist ein beauftragter, kontrollierter Angriff auf die eigene IT-Infrastruktur, um ausnutzbare Schwachstellen zu finden, bevor es echte Angreifer tun. Im Gegensatz zum automatisierten Schwachstellenscan prüft der Test, ob sich gefundene Lücken tatsächlich ausnutzen lassen und welches reale Risiko daraus entsteht. Voraussetzung ist stets die schriftliche Beauftragung durch den Systemeigentümer.
Das Wichtigste in Kürze
- Kern: ein beauftragter, kontrollierter Angriff auf die eigene IT, um ausnutzbare Schwachstellen zu finden und nach realem Risiko zu priorisieren.
- Abgrenzung: Schwachstellenscan findet Bekanntes automatisch, der Penetrationstest nutzt Schwachstellen manuell aus, Red Teaming testet zusätzlich Erkennung und Reaktion des Verteidigers.
- Rechtlicher Rahmen: nur mit schriftlicher Beauftragung des Systemeigentümers zulässig. Ohne Auftrag ist derselbe Vorgang eine Straftat.
Was ein Penetrationstest leistet
Ein Penetrationstest simuliert einen realen Angriff auf die eigene IT-Infrastruktur, Webanwendung oder Organisation. Ziel ist nicht die vollständige Erfassung aller Schwachstellen, sondern die Frage, welche Lücken sich tatsächlich ausnutzen lassen und welchen Schaden ein Angreifer damit anrichten könnte. Der Test liefert damit eine Risikopriorisierung, die automatisierte Scans nicht bieten können.
Schwachstellenscan, Penetrationstest, Red Teaming
automatisch – manuell – verdeckt
Die Ergebnisse fließen in einen Bericht, der für jede gefundene Schwachstelle das Risiko, den Reproduktionsweg und eine Priorität für die Behebung ausweist. Ein Nachtest prüft, ob die Gegenmaßnahmen greifen. Diese Priorisierung ist für IT-Leiter und CISOs der eigentliche Mehrwert: Sie wissen, wo sie zuerst investieren müssen.
Ablauf eines Penetrationstests
Ein Penetrationstest läuft in mehreren Phasen ab. Die erste Phase ist das Scoping: Auftraggeber und Tester klären, welche Systeme geprüft werden, welche Ziele gelten und welche Testtiefe gewünscht ist. Hier wird auch der rechtliche Rahmen vereinbart.
Darauf folgt die Reconnaissance, die Aufklärung. Die Tester sammeln Informationen über die Zielsysteme, öffentlich verfügbare Daten, technische Infrastruktur und mögliche Angriffsflächen. In der Exploitation versuchen sie dann, gefundene Schwachstellen kontrolliert auszunutzen und weiter in die Infrastruktur vorzudringen. Jeder Schritt wird dokumentiert, damit die Ergebnisse reproduzierbar sind.
Den Abschluss bildet der Bericht. Er listet jede Schwachstelle mit Beschreibung, Risikobewertung und Handlungsempfehlung. Eine nachvollziehbare Priorisierung hilft dem Auftraggeber, die kritischen Lücken zuerst zu schließen. Ein Nachtest nach der Behebung bestätigt, dass die Maßnahmen wirken.
Black-Box, Grey-Box und White-Box
Penetrationstests unterscheiden sich nach dem Vorwissen, das den Testern zur Verfügung steht. Bei einem Black-Box-Test erhält der Tester keine Informationen über das Zielsystem und nähert sich wie ein externer Angreifer. Diese Form ist realitätsnah, aber zeitintensiv und deckt nicht alle Pfade ab.
Beim Grey-Box-Test erhält der Tester ausgewählte Informationen wie Zugangsdaten oder Architekturdokumente. Diese Form fokussiert die Prüfung auf bestimmte Bereiche und ist effizienter. Beim White-Box-Test hat der Tester vollständigen Einblick in Quellcode, Konfiguration und Architektur. Diese Form findet die meisten Schwachstellen, simuliert aber keinen realen externen Angriff.
Abgrenzung zu verwandten Begriffen
Schwachstellenscan, Penetrationstest und Red Teaming werden oft verwechselt, unterscheiden sich aber klar in Tiefe und Zielsetzung. Ein Schwachstellenscan ist ein automatisiertes Verfahren, das bekannte Schwachstellen anhand von Signaturen erkennt. Er ist schnell und wiederholbar, prüft aber nicht, ob sich eine Schwachstelle tatsächlich ausnutzen lässt.
Ein menschlicher Tester nutzt beim Penetrationstest gefundene Schwachstellen kontrolliert aus, verknüpft mehrere Lücken miteinander und bewertet das reale Risiko. Das Ergebnis ist eine priorisierte Liste der ausnutzbaren Schwachstellen.
Red Teaming geht noch weiter. Es verfolgt ein konkretes Ziel wie den Zugriff auf ein bestimmtes System oder den Diebstahl von Daten und läuft verdeckt. Getestet wird auch, ob die Verteidiger den Angriff erkennen und reagieren. Red Teaming prüft somit die gesamte Abwehrkette aus Technik, Prozessen und Menschen.
Rechtlicher Rahmen und Beauftragung
Ein Penetrationstest ist nur mit schriftlicher Beauftragung des Systemeigentümers zulässig. Ohne diesen Auftrag ist derselbe Vorgang eine Straftat – unbefugtes Eindringen in fremde Systeme ist strafbar, unabhängig von der Absicht.
Systeme Dritter wie SaaS-Dienste oder Cloud-Plattformen brauchen zusätzlich die Zustimmung des jeweiligen Betreibers. Wer eine Anwendung testen will, die auf einer Cloud-Infrastruktur läuft, benötigt die Erlaubnis des Cloud-Anbieters. Viele Anbieter haben dafür eigene Prozesse und Formulare.
Für die Beauftragung bietet der BSI-Praxis-Leitfaden für Penetrationstests eine Orientierung. Er beschreibt Qualitätsmerkmale und hilft, Anbieter zu vergleichen. Zertifizierungen der Tester sind ein weiterer Qualitätsanker. NIS2 treibt die Nachfrage zusätzlich an, da die Richtlinie regelmäßige Wirksamkeitsprüfungen der Sicherheitsmaßnahmen verlangt. Ein Penetrationstest ist ein geeignetes Instrument, diese Wirksamkeit nachzuweisen.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Was ist der Unterschied zwischen einem Schwachstellenscan und einem Penetrationstest?
Ein Schwachstellenscan erkennt automatisch bekannte Schwachstellen anhand von Signaturen, prüft aber nicht, ob sie ausnutzbar sind. Ein Penetrationstest nutzt gefundene Schwachstellen manuell aus und bewertet das reale Risiko.
Wann ist ein Penetrationstest rechtlich zulässig?
Ein Penetrationstest ist nur mit schriftlicher Beauftragung des Systemeigentümers zulässig. Ohne diesen Auftrag ist der Vorgang eine Straftat. Bei Systemen Dritter wie SaaS-Diensten ist zusätzlich deren Zustimmung erforderlich.
Worin unterscheidet sich ein Penetrationstest von Red Teaming?
Ein Penetrationstest sucht gezielt nach ausnutzbaren Schwachstellen. Red Teaming verfolgt ein konkretes Angriffsziel und läuft verdeckt. Es testet zusätzlich, ob die Verteidiger den Angriff erkennen und angemessen reagieren.
Wie oft sollte ein Penetrationstest durchgeführt werden?
Ein Penetrationstest sollte regelmäßig und nach wesentlichen Änderungen an der Infrastruktur durchgeführt werden. NIS2 verlangt regelmäßige Wirksamkeitsprüfungen der Sicherheitsmaßnahmen, für die ein Penetrationstest ein geeignetes Instrument ist.
Worauf sollte bei der Beauftragung geachtet werden?
Der BSI-Praxis-Leitfaden für Penetrationstests bietet Orientierung für die Beauftragung. Wichtig sind ein klares Scoping, nachvollziehbare Berichte mit Priorisierung und ein Nachtest. Zertifizierungen der Tester sind ein Qualitätsanker.
Bildquelle: KI-generiert (Juli 2026)
Lesetipps der Redaktion
LesetippWas ist NIS2? Definition, Pflichten und HaftungLesetippWas sind EDR und XDR? Definition und UnterschiedLesetippActive Directory härten, bevor der Angreifer es tut
Mehr aus dem MBF Media Netzwerk
cloudmagazinAcht Minuten bis AWS-Admin: Wie ein offener S3-Bucket und eine Admin-Lambda reichtenMyBusinessFutureWenn das Update selbst zum Einfallstor wird




