Penetrationstest
Ein Penetrationstest ist ein autorisierter, kontrollierter Angriff auf IT-Systeme, Anwendungen oder Netzwerke, um ausnutzbare Sicherheitslücken aufzudecken, bevor echte Angreifer sie missbrauchen.
Ein Penetrationstest (kurz: Pentest) ist eine gezielte, im Voraus beauftragte Simulation eines realen Cyberangriffs auf definierte IT-Systeme, Webanwendungen, Netzwerke oder Cloud-Umgebungen. Spezialisierte Tester (sogenannte ethische Hacker) versuchen mit denselben Methoden wie echte Angreifer, Schwachstellen nicht nur zu identifizieren, sondern aktiv auszunutzen, um deren tatsächliche Ausnutzbarkeit und das daraus resultierende Schadenspotenzial nachzuweisen. Anders als ein rein automatisierter Schwachstellenscan liefert ein Penetrationstest damit eine belastbare Aussage darüber, ob eine theoretische Lücke praktisch zu einer Kompromittierung führt.
Methodisch orientieren sich Penetrationstests an etablierten Standards wie dem BSI-Leitfaden für IT-Penetrationstests, dem OWASP Testing Guide für Webanwendungen sowie dem Penetration Testing Execution Standard (PTES). Unterschieden wird typischerweise nach Informationsstand des Testers: Black-Box (kein Vorwissen), Grey-Box (teilweises Wissen, etwa Benutzerkonten) und White-Box (vollständiger Zugriff auf Architektur und Quellcode). Ein Test durchläuft regelmäßig die Phasen Aufklärung, Schwachstellenidentifikation, Exploitation, Post-Exploitation und Berichterstattung. Voraussetzung ist stets eine schriftliche Beauftragung mit klar abgegrenztem Scope, da das Eindringen in fremde Systeme ohne Einwilligung nach § 202a ff. StGB strafbar wäre.
Im Kontext von Informationssicherheit und Compliance ist der Penetrationstest ein zentrales Werkzeug zur Wirksamkeitsprüfung technischer Schutzmaßnahmen. Die NIS2-Richtlinie und ihre nationale Umsetzung verpflichten besonders wichtige und wichtige Einrichtungen, Maßnahmen zur Bewertung der Wirksamkeit ihres Risikomanagements zu ergreifen, wozu in der Praxis regelmäßige Sicherheitsüberprüfungen und Penetrationstests zählen. Auch ISO/IEC 27001 und der BSI IT-Grundschutz erwarten eine fortlaufende Überprüfung der Maßnahmen. Der abschließende Bericht mit priorisierten Befunden, Risikobewertung und Handlungsempfehlungen dient zugleich als Nachweis gegenüber Auditoren, Aufsichtsbehörden und der Geschäftsleitung.
Rechtliche Grundlage
NIS2-Richtlinie (EU) 2022/2555 Art. 21; ISO/IEC 27001; BSI IT-Grundschutz; OWASP Testing Guide; § 202a ff. StGB (rechtlicher Rahmen)
Praxisbeispiel
Ein mittelständischer Maschinenbauer fällt als wichtige Einrichtung unter NIS2 und betreibt ein neues Kundenportal. Vor dem Produktivgang beauftragt die Informationssicherheitsbeauftragte einen Grey-Box-Penetrationstest des Portals samt zugehöriger API. Die Tester finden eine ausnutzbare Schwachstelle, über die sich mit einem normalen Kundenkonto Bestelldaten anderer Kunden auslesen lassen. Der Befund wird als kritisch eingestuft, vor dem Go-live behoben und in einem Nachtest verifiziert. Der Abschlussbericht wandert in die Maßnahmendokumentation und dient im nächsten ISO-27001-Audit als Wirksamkeitsnachweis.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren