Penetrationstest: Was er ist, wie er funktioniert und warum B2B-Unternehmen ihn brauchen
Ein praxisnaher Leitfaden zum Penetrationstest — was er ist, welche Arten es gibt, wie der Prozess abläuft, wie oft getestet werden sollte, was mit den Ergebnissen geschieht und wie Pen-Tests in Compliance-Frameworks wie ISO 27001, SOC 2, NIS2 und DORA passen.
Penetrationstest: Was er ist, wie er funktioniert und warum B2B-Unternehmen ihn brauchen
Ein Penetrationstest ist eine kontrollierte Sicherheitsbewertung, bei der qualifizierte Tester reale Angriffe gegen Ihre Systeme, Anwendungen oder Netzwerke simulieren. Der Zweck ist klar: ausnutzbare Schwachstellen finden, bevor Angreifer es tun.
Für B2B-Softwareunternehmen erfüllt der Penetrationstest zwei Zwecke. Erstens verbessert er direkt die Sicherheit durch die Identifizierung von Schwächen, die automatisierte Tools übersehen — Geschäftslogik-Fehler, Authentifizierungs-Bypasses, komplexe Angriffsketten. Zweitens liefert er Nachweise, die Enterprise-Käufer, Auditoren und Regulierungsbehörden verlangen. Ein aktueller Penetrationstest-Bericht ist eines der am häufigsten angeforderten Dokumente bei Sicherheitsbewertungen von Anbietern.
Dieser Leitfaden behandelt, wie Penetrationstests funktionieren, die verschiedenen Arten, wie sie in Compliance-Frameworks passen und wie man Ergebnisse mit Käufern teilt.
Wie ein Penetrationstest funktioniert
Der Penetrationstest-Prozess
Ein typischer Penetrationstest folgt einer strukturierten Methodik:
1. Scoping und Planung
- Definition des Testumfangs (Anwendungen, Netzwerke, APIs, Cloud-Infrastruktur)
- Vereinbarung der Testmethodik und Einsatzregeln
- Festlegung des Testzeitraums und der Kommunikationsprotokolle
- Einholung einer schriftlichen Autorisierung (entscheidend — Tests ohne Autorisierung sind illegal)
2. Aufklärung
- Sammlung von Informationen über das Ziel (Domainnamen, IP-Bereiche, Technologie-Stack)
- Kartierung der Angriffsfläche (exponierte Dienste, Einstiegspunkte, Authentifizierungsmechanismen)
- Identifizierung potenzieller Schwachstellenbereiche basierend auf Technologie und Architektur
3. Schwachstellen-Identifizierung
- Nutzung automatisierter Scan-Tools zur Identifizierung bekannter Schwachstellen
- Manuelle Tests auf Geschäftslogik-Fehler, Zugriffskontrollprobleme und Konfigurationsschwächen
- Überprüfung von Authentifizierungs- und Session-Management-Mechanismen
- Tests der Eingabevalidierung und Datenbehandlung
4. Ausnutzung
- Versuch, identifizierte Schwachstellen auszunutzen, um ihre Echtheit zu bestätigen
- Verkettung mehrerer Befunde zu realistischen Angriffsszenarien
- Bewertung, worauf ein Angreifer durch jede Schwachstelle zugreifen könnte
- Dokumentation von Proof-of-Concept-Nachweisen für jeden Befund
5. Post-Exploitation
- Bewertung der Auswirkungen erfolgreicher Ausnutzung (Datenzugriff, Privilegien-Eskalation, laterale Bewegung)
- Bestimmung, welche sensiblen Daten oder Systeme kompromittiert werden könnten
- Bewertung der Erkennungs- und Reaktionsfähigkeiten — haben Monitoring-Tools den Test erkannt?
6. Berichterstattung und Behebung
- Lieferung eines detaillierten Berichts mit Befunden, Schweregradbeurteilungen und Behebungsanleitung
- Präsentation der Ergebnisse für technische und Führungskräfte
- Unterstützung bei der Behebung mit Klärung und Beratung
- Durchführung von Retests zur Bestätigung der Wirksamkeit der Korrekturen
Arten von Penetrationstests
Nach Wissensstand
| Typ | Tester-Wissen | Simuliert | Geeignet für |
|---|---|---|---|
| Black Box | Keine Vorinformationen | Externer Angreifer | Realistische Angriffssimulation |
| White Box | Vollständiger Zugang (Quellcode, Architektur) | Insider-Bedrohung oder tiefe Analyse | Umfassende Code-Level-Tests |
| Grey Box | Teilzugang (Benutzer-Anmeldedaten, eingeschränkte Doku) | Authentifizierter Angreifer | Anwendungssicherheitstests |
Nach Ziel
Webanwendungs-Test
- OWASP Top 10 Schwachstellen (Injection, fehlerhafte Authentifizierung, XSS usw.)
- Geschäftslogik-Fehler (Preismanipulation, Workflow-Bypasses)
- API-Sicherheit (Authentifizierung, Autorisierung, Eingabevalidierung)
- Session-Management und Zugriffskontrolle
Netzwerk-/Infrastruktur-Test
- Externer Perimeter-Test (internetfähige Systeme)
- Interner Netzwerk-Test (simuliert Post-Breach oder Insider)
- Drahtlose Netzwerksicherheit
- Cloud-Infrastruktur-Konfigurationsüberprüfung
Cloud-Sicherheitstest
- Cloud-Konfigurationsüberprüfung (IAM, Speicher, Netzwerk)
- Container- und Kubernetes-Sicherheit
- Serverless-Function-Sicherheit
- Cloud-native Angriffspfade
Spezialisierte Tests
Red-Team-Assessments
- Vollumfängliche Angreifer-Simulation
- Zielbasiert (nicht schwachstellenbasiert)
- Testet Erkennung und Reaktion, nicht nur Prävention
- Typischerweise längere Engagements (Wochen bis Monate)
Bedrohungsgeleiteter Penetrationstest (TLPT)
- Intelligence-geleitete Tests basierend auf realen Angreifer-TTPs
- Von DORA für bedeutende Finanzunternehmen vorgeschrieben
- Folgt dem TIBER-EU oder gleichwertigem Rahmenwerk
- Durchführung durch qualifizierte externe Anbieter
Penetrationstests und Compliance
ISO 27001
| Kontrolle | Anforderung | Wie Pen-Tests sie erfüllen |
|---|---|---|
| A.8.8 | Management technischer Schwachstellen | Jährliche Pen-Tests identifizieren Schwachstellen über automatisiertes Scanning hinaus |
| A.5.36 | Konformität mit Richtlinien und Standards | Unabhängige Sicherheitstests validieren, dass Kontrollen wie vorgesehen funktionieren |
| A.8.9 | Konfigurationsmanagement | Pen-Tests decken Fehlkonfigurationen auf, die Schwachstellen erzeugen |
SOC 2
| Trust Services Criteria | Anforderung | Wie Pen-Tests sie erfüllen |
|---|---|---|
| CC7.1 | Erkennung von Schwachstellen | Pen-Tests demonstrieren aktive Schwachstellen-Identifizierung |
| CC4.1 | Überwachung von Kontrollen | Tests verifizieren, dass Sicherheitskontrollen wirksam sind |
| CC3.2 | Risikobewertung | Pen-Test-Befunde fließen in den Risikobewertungsprozess ein |
NIS2
| Artikel | Anforderung | Wie Pen-Tests sie erfüllen |
|---|---|---|
| Artikel 21(2)(d) | Lieferkettensicherheit | Pen-Tests kritischer Lieferanten validieren deren Sicherheit |
| Artikel 21(2)(e) | Schwachstellenbehandlung | Pen-Tests identifizieren Schwachstellen zur Behebung |
| Artikel 21(2)(f) | Wirksamkeitsbewertung | Pen-Tests bewerten die Wirksamkeit von Sicherheitsmaßnahmen |
DORA
| Artikel | Anforderung | Wie Pen-Tests sie erfüllen |
|---|---|---|
| Artikel 24 | Allgemeine Anforderungen an IKT-Tests | Regelmäßige Pen-Tests als Teil der digitalen Resilienz-Tests |
| Artikel 25 | Bedrohungsgeleitete Penetrationstests | TLPT für bedeutende Unternehmen vorgeschrieben (TIBER-EU) |
| Artikel 26 | Anforderungen an Tester | TLPT müssen von qualifizierten externen Testern durchgeführt werden |
Auswahl eines Penetrationstest-Anbieters
Zentrale Bewertungskriterien
Qualifikationen und Zertifizierungen
- CREST-akkreditiertes Unternehmen und zertifizierte Tester (CRT, CCT)
- OSCP, OSCE, OSWE-zertifizierte Einzelpersonen
- CHECK (UK) oder gleichwertige nationale Programm-Mitgliedschaft
- Branchenerfahrung relevant für Ihren Technologie-Stack
Methodik
- Folgt etablierten Frameworks (OWASP, PTES, NIST SP 800-115)
- Kombiniert automatisierte und manuelle Tests
- Umfasst Geschäftslogik-Tests, nicht nur Schwachstellen-Scanning
- Bietet klares Scoping und Einsatzregeln
Berichtsqualität
- Executive Summary zugänglich für nicht-technische Stakeholder
- Detaillierte technische Befunde mit Proof-of-Concept-Nachweisen
- Risikobewertete Befunde (Kritisch, Hoch, Mittel, Niedrig)
- Spezifische, umsetzbare Behebungsempfehlungen
- Retest enthalten zur Bestätigung der Korrekturen
Kostenüberlegungen
Penetrationstest-Kosten variieren erheblich je nach Umfang:
- Webanwendungs-Test (einzelne App): 5.000-20.000 €
- Netzwerk-/Infrastruktur-Test (extern + intern): 8.000-25.000 €
- Umfassendes Engagement (Anwendungen + Infrastruktur + Cloud): 15.000-50.000 €
- Red-Team-Assessment: 30.000-100.000+ €
- TLPT (TIBER-EU): 50.000-200.000+ €
Was mit Pen-Test-Ergebnissen zu tun ist
Interne Behebung
- Befunde nach Schweregrad sortieren: Kritische und hohe Befunde sofort beheben
- Verantwortung zuweisen: Jeder Befund braucht einen Verantwortlichen und eine Behebungsfrist
- Behebung verfolgen: Nutzen Sie Ihren Issue-Tracker zur Sicherstellung der Lösung
- Retest: Lassen Sie das Testunternehmen bestätigen, dass die Korrekturen wirksam sind
- Risikoregister aktualisieren: Befunde in den Risikomanagement-Prozess einspeisen
- Ursachen analysieren: Systemische Probleme identifizieren, die mehrere Befunde verursachten
Ergebnisse teilen
Über Ihr Trust Center:
- Pen-Test-Zusammenfassung veröffentlichen (Datum, Umfang, Tester, behobene Kernbefunde)
- Vollständige Berichte hinter NDA-Zugang sperren
- Attestierungsschreiben des Testunternehmens bereitstellen
- Test-Kadenz und Methodik anzeigen
Häufige Fehler bei Penetrationstests
Zu eng testen
Nur die Hauptwebanwendung testen, während APIs, Admin-Panels, Staging-Umgebungen und Cloud-Infrastruktur ignoriert werden. Angreifer suchen das schwächste Glied, nicht das stärkste.
Einmal testen und vergessen
Ein einzelner jährlicher Test erzeugt nur eine Momentaufnahme. Kontinuierliche Entwicklung bedeutet, dass regelmäßig neue Schwachstellen eingeführt werden.
Behebung ignorieren
Ein Pen-Test-Bericht ist wertlos, wenn Befunde nicht behoben werden. Verfolgen Sie Befunde als Sicherheits-Bugs mit SLAs: Kritisch innerhalb von 48 Stunden, Hoch innerhalb von 2 Wochen, Mittel innerhalb von 30 Tagen.
Nur nach Preis wählen
Der günstigste Pen-Test liefert oft den geringsten Wert. Ein Team, das automatisierte Scanner laufen lässt und die Ausgabe als „Penetrationstest" umverpackt, bietet wenig über das hinaus, was Ihre eigenen Scanning-Tools liefern.
Ergebnisse nicht teilen
Das Zurückhalten von Pen-Test-Ergebnissen bedeutet, dass Käufer Fragebögen senden müssen, um Informationen zu erhalten, die Sie bereits haben. Veröffentlichen Sie Zusammenfassungen in Ihrem Trust Center.
Wie Orbiq Penetrationstest-Programme unterstützt
- Trust Center: Veröffentlichen Sie Pen-Test-Zusammenfassungen, Attestierungsschreiben und Behebungsstatus für Käufer-Self-Service
- Evidenz-Management: Zentralisieren Sie Pen-Test-Berichte, Behebungs-Tracking und Retest-Nachweise, zugeordnet zu Compliance-Frameworks
- KI-gestützte Fragebögen: Beantworten Sie Pen-Test-Fragen in Sicherheitsfragebögen automatisch aus Ihren dokumentierten Nachweisen
- Kontinuierliches Monitoring: Verfolgen Sie den Behebungsfortschritt und alarmieren Sie, wenn Retest-Fristen näher rücken
Weiterführende Literatur
- Sicherheitsfragebogen — Wie Pen-Test-Ergebnisse in Anbieterbewertungen erscheinen
- ISO 27001 Zertifizierung — Das Zertifizierungsframework, das Schwachstellentests erfordert
- Compliance-Automatisierung — Automatisierung der Nachweiskette aus Penetrationstests
- Trust Center — Veröffentlichung von Pen-Test-Ergebnissen für Käufer-Due-Diligence
Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.