← Zurück zum Blog
Research 22 Min. Lesezeit

Was ist Penetrationstesting? Der vollständige Leitfaden

Penetrationstesting ist ein simulierter Cyberangriff auf Ihre Systeme, der durchgeführt wird, um deren Sicherheit zu bewerten. Bei durchschnittlichen Kosten eines Datenbreaches von 4,88 Millionen US-Dollar und Vorschriften wie NIS2, DORA und PCI DSS, die regelmäßige Tests vorschreiben, ist Pentesting keine Option mehr — es ist eine geschäftliche Notwendigkeit.

4,88 Mio. $
Ø Breach-Kosten
332.000+
Verfolgte CVEs
990 €
/Monat (KENSAI)
7
PTES-Phasen

Was ist Penetrationstesting?

ℹ️ Definition

Penetrationstesting ist ein autorisierter, kontrollierter Versuch, Schwachstellen in einem System, Netzwerk oder einer Anwendung auszunutzen, um deren Sicherheitslage zu bewerten. Anders als beim Schwachstellenscanning werden Schwachstellen aktiv ausgenutzt — um zu beweisen, ob sie real sind und welchen Schaden ein Angreifer verursachen könnte.

Wesentliche Merkmale

Pentesting vs. Schwachstellenscanning

AspektSchwachstellenscanningPenetrationstesting
AnsatzAutomatisierte IdentifikationAusnutzung und Validierung
TiefeBreit, oberflächlichTief, gezielt
False PositivesHöherMinimal (ausgenutzt = bestätigt)
GeschäftslogikKann nicht getestet werdenKann getestet werden
ErgebnisSchwachstellenlisteAngriffsnarrative mit Beweis
HäufigkeitKontinuierlich/wöchentlichVierteljährlich/jährlich

Testperspektiven


Arten von Penetrationstesting

Netzwerk-Penetrationstesting

Extern: Ausnutzung öffentlich erreichbarer Dienste, Umgehung von Firewalls/IDS, Kompromittierung von VPNs. Intern: Privilegieneskalation, laterale Bewegung, AD-/Domaincontroller-Kompromittierung.

Webanwendungs-Penetrationstesting

OWASP Top 10-Tests: SQL-Injection, XSS, Authentifizierungsfehler, fehlerhafte Zugriffskontrolle, Geschäftslogik-Schwachstellen, Datei-Upload-Probleme, API-Sicherheit.

API-Penetrationstesting

Die dominierende moderne Angriffsfläche. Tests auf Authentifizierung (OAuth, JWT), BOLA/IDOR, Rate Limiting, Datenoffenlegung, Geschäftslogik-Sequenzierung und GraphQL-spezifische Angriffe.

Cloud-Penetrationstesting

IAM-Fehlkonfigurationen, öffentliche Storage-Buckets, Sicherheitsgruppen, Serverless-/Lambda-Schwachstellen, Container-Escapes, K8s-Fehlkonfigurationen und Metadata-Service-Angriffe (IMDSv1).

Social Engineering

Phishing-Kampagnen, Vishing, physische Eindringungsversuche und Pretexting — Tests des menschlichen Elements der Sicherheit.

Red-Team-Assessments

⚠️ Der ultimative Test

Red Teaming simuliert einen echten Gegner über Wochen bis Monate: zielorientiert, vollumfänglich (technisch + sozial + physisch), auf Heimlichkeit fokussiert, testet Ihr gesamtes Sicherheitsprogramm — nicht nur technische Kontrollen.


Penetrationstesting-Methodik (PTES)

7 PTES-Phasen

Weitere anerkannte Methoden: OSSTMM (operative Sicherheit), OWASP Testing Guide (Webanwendungen), NIST SP 800-115 (Informationssicherheitstests), TIBER-EU (Red Teaming im Finanzsektor, abgestimmt mit DORA).


Die fünf Phasen des Penetrationstestings

Phase 1: Planung & Reconnaissance

Definieren Sie Umfang, Einsatzregeln und schriftliche Genehmigung. Dann passive Reconnaissance (OSINT, DNS, Certificate Transparency, Breach-Datenbanken) und aktive Reconnaissance (Port-Scanning, Crawling, Fingerprinting).

Phase 2: Scannen & Schwachstellenentdeckung

Automatisiertes Scanning (Nessus, OpenVAS, Nuclei), Webanwendungs-Scanning (Burp Suite, ZAP), manuelle Analyse, Authentifizierungstests, SSL/TLS-Analyse.

Phase 3: Exploitation

ℹ️ Kontrolliert & Sicher

Professionelles Pentesting demonstriert Ausnutzbarkeit ohne Schaden zu verursachen — beweist, dass Zugang möglich ist, ohne Produktionsdaten zu zerstören oder zu exfiltrieren.

Phase 4: Post-Exploitation

Bewertung der tatsächlichen Auswirkungen: Privilegieneskalation, laterale Bewegung, Datenzugriff, Persistenz und Pivoting. Dies demonstriert die geschäftlichen Auswirkungen — der Unterschied zwischen "dieses System hat einen Fehler" und "dieser Fehler gewährt Zugang zu 10 Millionen Kundendatensätzen."

Phase 5: Reporting & Remediation

Executive Summary für nicht-technische Stakeholder. Technische Befunde mit CVSS, CWE, PoC-Beweis und Behebungsanleitung. Remediation Roadmap mit Prioritäten. Retest zur Validierung der Behebungen.


Manuelles vs. automatisiertes Penetrationstesting

Der ideale Ansatz: Beides

Kontinuierliches automatisiertes Testing für breite, wiederholbare Abdeckung aller Assets. Periodisches manuelles Testing (vierteljährlich/jährlich) für Tiefe — Geschäftslogik, kreative Angriffe, neuartige Schwachstellen. Gezieltes manuelles Testing nach größeren Änderungen.

AspektManuellAutomatisiert
Geschäftslogik✅ Ausgezeichnet❌ Begrenzt
Kreative Angriffsketten✅ Ausgezeichnet❌ Begrenzt
Konsistenz❌ Variiert✅ Jedes Mal
Skalierung❌ Begrenzt✅ Horizontal
Geschwindigkeit❌ Wochen✅ Stunden
Kosten❌ 15.000–80.000 €/Engagement✅ 990 €/Monat
CI/CD-Integration❌ Nein✅ Ja

Was kostet Penetrationstesting?

Manuelles Penetrationstesting

TypDauerKostenbereich
Externes Netzwerk-Pentest3–5 Tage5.000–15.000 €
Internes Netzwerk-Pentest5–10 Tage8.000–25.000 €
Webanwendungs-Pentest5–15 Tage8.000–30.000 €
API-Pentest3–10 Tage5.000–20.000 €
Cloud-Umgebungs-Pentest5–15 Tage10.000–35.000 €
Red-Team-Assessment2–6 Wochen30.000–100.000+ €

Automatisierte Alternative

KENSAI bietet kontinuierliches KI-gestütztes Penetrationstesting ab 990 €/Monat — deckt dieselbe Oberfläche für einen Bruchteil der Kosten ab. 50 Anwendungen manuell testen: 400.000+ €/Jahr. Mit KENSAI: ein Bruchteil davon.


Wie oft sollten Sie Pentests durchführen?

Test-TypMinimumEmpfohlen
Automatisiertes SchwachstellenscanningWöchentlichKontinuierlich
Automatisiertes PenetrationstestingMonatlichNach jeder größeren Änderung
Manuelles Webanwendungs-PentestJährlichVierteljährlich
Externes Netzwerk-PentestJährlichHalbjährlich
Red-Team-AssessmentAlle 2 JahreJährlich

Zusätzliche Tests auslösen bei: Großen Releases, Infrastrukturänderungen, nach einem Breach, neuem Compliance-Umfang, Drittanbieter-Änderungen oder Post-Remediation-Verifizierung.

Probieren Sie KENSAI kostenlos

Entdecken Sie, was ein echter Angreifer finden würde. KI-gestütztes Scannen für Webanwendungen, APIs und Infrastruktur.

Kostenlosen Scan starten →

Penetrationstesting und Compliance

FrameworkAnforderung
NIS2Regelmäßige Sicherheitstests als Teil von Risikomanagement-Maßnahmen
DORABedrohungsgesteuertes Penetrationstesting (TLPT) alle 3 Jahre für bedeutende Finanzinstitute
PCI DSS 4.0Jährliches externes + internes Pentesting; nach signifikanten Änderungen; Segmentierungstests alle 6 Monate
ISO 27001Technisches Schwachstellenmanagement (A.8.8) und Sicherheitstests
DSGVO/GDPRArtikel 32: "regelmäßiges Testen, Bewerten und Evaluieren" von Sicherheitsmaßnahmen

Wie KENSAI Penetrationstesting automatisiert

Was KENSAI automatisiert

Reconnaissance — Angriffsflächen-Entdeckung, Fingerprinting. Schwachstellenentdeckung — 332.000+ CVEs plus Fehlkonfigurationen. Exploitation-Validierung — KI-gestützte Bestätigung mit geringen False Positives. Risikopriorisierung — Schweregrad + Ausnutzbarkeit + geschäftlicher Kontext. Compliance-Mapping — NIS2, DORA, DSGVO, PCI DSS.

KI-gestützte Intelligenz

Intelligentes Crawling von JavaScript-lastigen SPAs, adaptives Testing basierend auf Antworten, KI-False-Positive-Reduktion und kontextuelle Priorisierung über CVSS-Scores hinaus.

Kontinuierliches Testing-Modell

Geplante wiederkehrende Scans, On-Demand-Testing nach Deployments, Trend-Tracking im Zeitverlauf und Regressionserkennung für wiederauftretende Schwachstellen.

Ergänzt manuelles Testing

KENSAI übernimmt systematische Checks, sodass sich Pentester auf kreative, hochwertige Tests konzentrieren können. Kontinuierliches Monitoring füllt Lücken zwischen jährlichen Engagements. Pre-Pentest-Vorbereitung identifiziert offensichtliche Probleme, bevor das manuelle Engagement beginnt.

Preisgestaltung

Professional: 990 €/Monat — umfassendes automatisiertes Sicherheitstesting. Enterprise: 2.490 €/Monat — erweiterte Funktionen, höhere Scan-Volumen, dedizierter Support.


FAQ

Was ist Penetrationstesting?

Ein autorisierter, simulierter Cyberangriff, der dieselben Tools und Techniken wie echte Angreifer verwendet. Anders als beim Schwachstellenscanning nutzt Pentesting Schwachstellen aktiv aus, um zu beweisen, dass sie real sind und die geschäftlichen Auswirkungen zu bewerten.

Was sind die Haupttypen?

Netzwerk (extern/intern), Webanwendung, API, Cloud, Social Engineering, Wireless und Red-Team-Assessments. Die meisten Organisationen beginnen mit externem Netzwerk- und Webanwendungstesting.

Wie viel kostet ein Penetrationstest?

Manuell: 5.000–30.000 € pro Engagement (Red Teams: 100.000+ €). Automatisierte Plattformen wie KENSAI: ab 990 €/Monat für kontinuierliches Testing.

Wie oft sollten Sie Pentests durchführen?

Jährlich als Minimum. Vierteljährlich für kritische Anwendungen. Zusätzlich nach größeren Änderungen. Der Trend geht zu kontinuierlichem automatisiertem Testing, ergänzt durch periodisches manuelles Testing.

Ist Pentesting für Compliance erforderlich?

Ja, für die meisten Frameworks: PCI DSS (jährlich, verpflichtend), DORA (TLPT alle 3 Jahre), NIS2 (regelmäßiges Testing), ISO 27001 (Schwachstellenbewertung), GDPR (regelmäßiges Testen/Evaluieren).

Kann automatisiertes Pentesting manuelles ersetzen?

Nicht vollständig. Automatisiert deckt systematische Checks, bekannte CVEs und Konfigurationsanalysen ab. Manuelles Testing ist für Geschäftslogik, kreative mehrstufige Angriffe und Social Engineering erforderlich. Nutzen Sie beides.

Was ist der Unterschied zwischen Black-Box und White-Box?

Black-Box: kein Vorwissen (externe Angreifer-Simulation). White-Box: vollständige Informationen einschließlich Quellcode (maximale Abdeckung). Grey-Box: Teilwissen (Insider-Simulation). Nutzen Sie mehrere für umfassende Abdeckung.

Probieren Sie KENSAI kostenlos

Kennen Sie Ihre Schwachstellen, bevor es Angreifer tun. Kontinuierliches, KI-gestütztes Penetrationstesting mit compliance-bereitem Reporting.

Kostenlosen Scan starten →

Sicherheit ist keine Option.

🗡️ Das KENSAI-Team

🛡️ Schützen Sie Ihr Unternehmen

Erhalten Sie in 60 Sekunden einen kostenlosen Sicherheitsscan Ihrer Website

Kostenloser Sicherheitsscan →
📚 Weitere Artikel 🏠 Startseite