Cybersecurity ist heute keine Option mehr, sondern eine Notwendigkeit. Egal ob Sie eine Zertifizierung vorbereiten, ein neues Produkt veröffentlichen oder einfach den aktuellen Sicherheitsstand Ihres Unternehmens prüfen möchten.
Ein Penetrationstest (Pentest) hilft dabei, reale Schwachstellen zu identifizieren, bevor Angreifer diese ausnutzen können.
Viele Unternehmen stehen jedoch vor derselben Frage:
Welcher Pentest ist eigentlich der Richtige für uns?
Dieser Beitrag bringt Sie in 4 Schritten zum passenden Pentest:
Schritt 1: Identifizieren Sie den Grund für einen Pentest
Eigeninitiative? Kundenwunsch? Anforderung für eine bevorstehende Zertifizierung?
Warum benötigen Sie überhaupt einen Pentest?
Davon hängt erheblich ab, welche Art von Test sinnvoll ist.
Hier ein paar klassische Gründe und daraus empfohlene, abgeleitete Pentests:
Viele Unternehmen benötigen einen Pentest aufgrund regulatorischer Anforderungen oder Zertifizierungen wie:
- ISO 27001
- TISAX
- Kundenanforderungen
- Lieferantenbewertungen
Hier steht vor allem im Fokus:
- Dokumentierte Vorgehensweise
- Professionelle Berichte für Auditoren
- Nachweis eines strukturierten Sicherheitsprozesses
Empfohlene Pentests:
- Pentest auf die externe IT-Infrastruktur (Black-Box)
- Pentest auf eine Web-Applikation (Black- und Grey-Box)
- Pentests auf die interne IT-Infrastruktur und Active Directory (Black- und Grey-Box)
Diese Tests helfen dabei, Compliance-Anforderungen sauber abzudecken und Audit-Anforderungen zu erfüllen.
Wenn Sie ein neues Produkt veröffentlichen möchten, sollte dieses unbedingt vor dem Release getestet werden.
Dabei ist wichtig, dass das Produkt aus der Perspektive eines echten Endnutzers geprüft wird.
Der Fokus liegt also darauf:
- Wie Personen die Anwendung oder IT-Komponente verwenden
- Welche Funktionen und Daten erreichbar sind
- Welche Risiken für reale Benutzer und Daten entstehen können
Empfohlene Pentests:
Je nach Produkt, welches von Ihnen vor dem Release einem Pentest unterzogen werden soll. Zum Beispiel:
- Pentest auf eine Web-Applikation (Black- und Grey-Box)
- Pentest auf eine Mobil-Applikation (Black- und Grey-Box)
- Pentest auf eine API-Schnittstelle (Black- und Grey-Box)
- Pentest auf die externe IT-Infrastruktur (Black-Box)
- VPN-Server, Citrix, RDP Gateways, FTP/SFTP Server uvm.
Viele Unternehmen möchten wissen:
Was könnte ein echter Angreifer heute tatsächlich kompromittieren?
Hier geht es nicht nur um einzelne Anwendungen, sondern um die gesamte Sicherheitslage.
Empfohlene Pentests:
- Pentest auf die externe IT-Infrastruktur (Black-Box)
- Pentests auf die interne IT-Infrastruktur (Black-Box)
- Sicherheitsanalyse des Active Directory Verzeichnisdienstes (Black- und Grey-Box)
- Eine wichtige Erweiterung des Pentests wäre eine zusätzliche Analyse einer regulären Mitarbeiter-Workstation (z.B. Windows 11 Laptop). Gerade diese Client-Geräte werden zuerst von Angreifern kompromittiert und erlauben „Initial Access“ in Ihr internes Unternehmensnetzwerk.
- Phishing und Social Engineering Kampagnen
- Gefälschte E-Mails, manipulierte Telefonanrufe, Tailgating oder präparierte USB-Sticks. Wie reagiert Ihr Personal auf reale Angriffsversuche? Solche Tests zeigen auf, wie Mitarbeiter in kritischen Situationen handeln und wo gezielte Sensibilisierung notwendig ist.
Diese Kombination liefert das realistischste Gesamtbild und erlaubt eine hohe, individuelle Anpassung auf Ihre Unternehmensstruktur.
Wenn reguläre Penetrationstests nicht mehr ausreichen.
Sie führen bereits regelmäßig Penetrationstests durch? Ihre IT-Infrastruktur wird durch IDS/IPS/EDR/XDR/MDR/NDR sowie SIEM- und SOC-Teams kontinuierlich überwacht? Mitarbeitende werden regelmäßig geschult und durch Phishing-Awareness-Kampagnen sensibilisiert? Network Access Control (NAC) ist implementiert und gehärtet? Zutrittskontrollen wie RFID/NFC-Schließsysteme, geschulter Empfang, Nachtwache und Zwei-Zonen-Schleusen sind etabliert?
Dann ist es Zeit für den nächsten Schritt:
- Verdeckte Penetrationstests unter Realbedingungen ohne Bekanntmachung im Vorfeld.
- Realistische Phishing-Kampagnen mit dem Ziel, echte Zugangsdaten zu entwenden oder Schadcode auszuführen.
- Red Teaming- und Purple Teaming-Assessments auf Basis von MITRE ATT&CK.
Gemeinsam finden wir die letzten Lücken in Ihrer Sicherheitsarchitektur, bevor echte Angreifer diese ausnutzen.
Schritt 2: Die Perspektive des Angreifers wählen
Nicht jeder Angreifer startet mit denselben Voraussetzungen.
Deshalb sollte vor jedem Penetrationstest definiert werden, aus welcher Perspektive und mit welchem Vorwissen getestet wird.
Externer Angreifer
Ein externer Angreifer besitzt zunächst keinen Zugriff auf interne Systeme und sammelt Informationen über rein öffentlich verfügbare Quellen (OSINT).
Interner Angreifer
Hier wird angenommen, dass der Angreifer bereits Zugriff auf interne Ressourcen besitzt, beispielsweise über:
- einen kompromittierten Mitarbeiter-PC
- einen VPN-Zugang
- einen Insider oder bestochenen, boshaften Mitarbeiter
- ein eingeschleustes Gerät im Netzwerk
Vorwissen eines Angreifers
Unabhängig davon, ob externer oder interner Angreifer, spielt auch das Vorwissen eine erhebliche Rolle.
Bei Penetrationstests gibts es drei Kategorien:
- Black-Box
- Keine oder nur minimale Informationen über die Zielumgebung. Simuliert einen realistischen externen Angriff. Informationen müssen eigenständig vom Angreifer in Erfahrung gebracht werden.
- Grey-Box
- Begrenzte Informationen oder Benutzerzugänge stehen zur Verfügung oder werden bereitgestellt. Simuliert häufig einen kompromittierten Mitarbeiter- oder Kundenzugang und reduziert den initialen Aufwand des Pentesters zur passiven Informationsgewinnung. Die daraus gewonnenen Zeiten können für tiefgreifende Analysen besser genutzt werden.
- White-Box
- Umfangreiche Informationen wie Source Code, Architektur oder Admin-Zugänge sind bekannt bzw. werden bereitgestellt. Fokus auf maximale technische Prüftiefe. Simulation eines Mitarbeiters mit Vollwissen.
Schritt 3: Qualitativen Pentestanbieter finden
Nicht jeder Anbieter und Pentest liefert denselben Mehrwert.
Ebenso ist der günstigste Anbieter nicht immer die beste Wahl. Insbesondere dann nicht, wenn Qualität, Erfahrung und realistische Angriffssimulationen über die tatsächliche Sicherheit Ihres Unternehmens entscheiden.
Ein häufiger Fehler ist die Auswahl eines Anbieters, der hauptsächlich automatisierte Scans durchführt. Ebenso reine Pentests auf AI/KI/LLM-Basis (AI Pentest Agents). Solche vollautomatisierten Schwachstellenscans reichen alleine nicht aus, auch wenn solche Anbieter und der aktuelle AI/KI-Boom dies versprechen mögen.
Automatisierte Tools oder AI/KI/LLM finden oft nur:
- Bekannte Schwachstellen
- Bekannte Standardprobleme
- Bekannte Fehlkonfigurationen
Sie erkennen jedoch häufig nicht:
- Komplexe Angriffsketten
- Business-Logik-Fehler
- Individuelle Sicherheitsprobleme
- Reale Angriffsszenarien
- Möglichkeiten zum Umgehen von Sicherheitstools wie eine WAF, IDS/IPS und Next-Gen-Firewalls
- Dass die identifizierten Schwachstellen ein False-Positive oder eine Halluzination waren.
Deshalb sollte ein hochwertiger Pentest immer auch manuelle Testmethoden und einen menschlichen Experten einbeziehen.
Worauf Sie bei einem Anbieter achten sollten
In einem anderen Beitrag (Klick mich) erklären wir Ihnen die wichtigsten Qualitätsmerkmale zur Auswahl eines Anbieters im Detail.
In der Kurzfassung empfehlen wir Ihnen, auf folgende Dinge zu achten:
- Der Pentest wird überwiegend manuell durchgeführt.
- Die Pentester sind durch praktische Zertifizierungen zertifiziert (z.B. OSCP, OSEP, OSWE, BSCP, CRTP) und werden vom Anbieter für jeden Pentest namentlich benannt. Kein Einsatz von Praktikanten, Werkstudenten oder Subdienstleister (z.B. Ausland) zur Durchführung Ihres wichtigen Pentests!
- Es werden verständliche und umsetzbare Berichte inkl. Behebungsmaßnahmen geliefert.
- Der Anbieter ist selbst ISO 27001 zertifiziert.
Gerade bei sensiblen Unternehmensdaten ist es wichtig, dass auch der Dienstleister professionelle Sicherheitsstandards einhält.
Schritt 4: Transparentes Angebot erhalten
Viele Unternehmen verlieren bereits vor dem eigentlichen Pentest unnötig Zeit durch:
- Vertriebsgespräche (Sales- und Marketing)
- Ersttermine inkl. Vorstellung und Einführung
- Lange Angebotsprozesse
Häufig vergeht dabei viel Zeit, bevor überhaupt eine erste realistische Preisindikation oder ein klar definierter Prüfumfang vorliegt.
Seit der Gründung unserer Firma verfolgen wir das Ziel, mehr Transparenz im Bereich Offensive Security und Penetrationstests zu schaffen. Dazu gehören unserer Ansicht nach transparente Preise, eine schnelle Möglichkeit vergleichbare Angebote einzuholen sowie eine professionelle Beratung vor und nach dem Test.
Mit unserem Pentest-Konfigurator (Klick mich) können Sie:
- Passende Pentests einfach selbst auswählen.
- Den Prüfumfang individuell definieren und anpassen.
- Sofort ein transparentes Angebot per E-Mail erhalten.
- Sowohl in Deutsch als auch in Englisch verfügbar.
- Jederzeit alle Kosten und Vorgehensweisen transparent einsehen.
- Innerhalb von 24h mit einem OSCP-zertifizierten Pentest-Experten über Ihre Auswahl sprechen.
PENTEST ANGEBOT ERHALTEN
Fazit
Ein Penetrationstest sollte niemals nur als reine Pflichtaufgabe oder Compliance-Checkbox betrachtet werden. Der tatsächliche Mehrwert entsteht erst dann, wenn der Test zu Ihren Zielen, Ihrer Infrastruktur und Ihrem individuellen Risikoprofil passt.
Ob externe Infrastruktur, interne Systeme, Applikationen oder komplexe Produktlandschaften. Die Wahl des richtigen Pentests, der passenden Angreifer-Perspektive und eines erfahrenen Anbieters entscheidet maßgeblich über die Qualität der Ergebnisse. Ein professioneller Pentest hilft nicht nur dabei, Schwachstellen zu identifizieren, sondern auch Sicherheitsprozesse nachhaltig zu verbessern und reale Risiken frühzeitig zu reduzieren.
Genau aus diesem Grund setzen wir auf Transparenz und praxisnahe Beratung statt auf unnötig komplizierte Vertriebsprozesse.
Mit unserem Pentest-Konfigurator (Klick mich) können Sie den gewünschten Prüfumfang individuell zusammenstellen, passende Testarten auswählen und direkt eine transparente Preisindikation erhalten. So erhalten Sie schneller als bei anderen Anbietern einen Überblick darüber, welcher Pentest für Ihre Anforderungen sinnvoll ist und welche Leistungen/Testarten ins Budget passen. Im Anschluss überprüfen unsere OSCP-zertifizierten Pentester Ihre Konfiguration und beraten Sie schnellst möglichst.