Penetrationstest Illustration mit Hacker Schutzschild und Sicherheitsanalyse.

Penetrationstest erklärt: Ablauf, Kosten & Nutzen

/ Digitales / Von

Ein Penetrationstest – auch Pentest genannt – ist eine autorisierte Sicherheitsüberprüfung von IT-Systemen, Netzwerken und Anwendungen. Ziel ist es, Schwachstellen aufzudecken, bevor Angreifer sie ausnutzen können. Laut BSI-Lagebericht 2025 werden in Deutschland täglich 119 neue Sicherheitslücken entdeckt – ein Anstieg von 24 Prozent gegenüber dem Vorjahr. Dieser Leitfaden hat den Penetrationstest erklärt und bietet eine praxisnahe Übersicht über Ablauf, Methoden, Kosten und konkreten Nutzen für Unternehmen.

Cyberangriffe verursachten der deutschen Wirtschaft laut Bitkom (2025) einen Rekordschaden von 202 Milliarden Euro. Rund 80 Prozent der registrierten Ransomware-Angriffe richteten sich gegen kleine und mittlere Unternehmen (KMU). Ein professioneller Penetrationstest erklärt nicht nur bestehende Sicherheitslücken, sondern liefert konkrete Handlungsempfehlungen und eine realistische Einschätzung des Restrisikos – und bildet damit die Grundlage für gezielte Investitionen in IT-Sicherheit.

📌 Das Wichtigste in Kürze

  • Ein Penetrationstest erklärt die reale Angreifbarkeit von IT-Systemen durch simulierte Cyberangriffe unter kontrollierten Bedingungen
  • 202 Mrd. Euro Schaden durch Cyberkriminalität in Deutschland (Bitkom 2025) – 80 % der Ransomware-Angriffe treffen KMU
  • Professionelle Pentests kosten zwischen 3.000 und 25.000 Euro – Tagessätze zertifizierter Tester liegen bei 1.200 bis 2.000 Euro
  • NIS-2-Richtlinie, ISO 27001 und PCI-DSS fordern regelmäßige Sicherheitstests – mindestens einmal jährlich empfohlen
  • Der Ablauf folgt einem 6-Phasen-Modell: Zieldefinition, Reconnaissance, Analyse, Exploitation, Post-Exploitation und Berichterstattung

Was bedeutet Penetrationstest erklärt?

Ein Penetrationstest beschreibt den strukturierten, autorisierten Versuch, in IT-Systeme einzudringen, um Sicherheitslücken zu identifizieren und zu dokumentieren. Im Gegensatz zu einem automatisierten Schwachstellenscan kombiniert ein Pentest manuelle Prüfmethoden mit spezialisierten Werkzeugen. Zertifizierte Sicherheitsexperten – sogenannte Ethical Hacker – simulieren dabei reale Angriffsszenarien und bewerten die tatsächliche Ausnutzbarkeit identifizierter Schwachstellen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert den Penetrationstest als empirischen Bestandteil einer umfassenden Sicherheitsanalyse. Der Test liefert nicht nur den Nachweis konkreter Schwachstellen, sondern ermöglicht eine risikobasierte Priorisierung von Abhilfemaßnahmen. Dabei gilt: Ein Pentest darf ausschließlich mit schriftlicher Genehmigung des Systembetreibers durchgeführt werden – ohne Autorisierung liegt laut § 202a StGB eine Straftat vor.

📖

Definition: Penetrationstest

Ein Penetrationstest (kurz: Pentest) ist eine geplante Sicherheitsüberprüfung, bei der IT-Systeme, Anwendungen oder Netzwerke unter kontrollierten Bedingungen gezielt angegriffen werden. Ziel ist die Identifikation ausnutzbarer Schwachstellen sowie die Ableitung konkreter Gegenmaßnahmen. Der Test orientiert sich an etablierten Standards wie dem BSI-Durchführungskonzept und den OWASP-Richtlinien.

Der Ablauf eines Penetrationstests in 6 Phasen

Ein professioneller Penetrationstest folgt einem standardisierten Prozess, der sich in sechs klar definierte Phasen gliedert. Dieses Vorgehen orientiert sich am BSI-Durchführungskonzept und stellt sicher, dass alle relevanten Angriffsvektoren systematisch abgedeckt werden.

🔄 Ablauf des Penetrationstests

1

Zieldefinition

Scope, Freigaben und Verantwortlichkeiten festlegen

2

Reconnaissance

Informationen sammeln, Ports scannen, Einfallstore identifizieren

3

Schwachstellenanalyse

Daten auswerten, Lücken klassifizieren, Exploits priorisieren

4

Exploitation

Schwachstellen gezielt ausnutzen, Zugriff nachweisen

5

Post-Exploitation

Laterale Bewegung testen, Privilegien eskalieren

Bericht & Roadmap

Ergebnisse dokumentieren, Maßnahmen priorisieren

Phase 1: Zieldefinition und Freigaben

Die Zieldefinition bildet das Fundament jedes Penetrationstests. In dieser Phase werden Zielbereiche, Umfang, Dauer und rechtliche Rahmenbedingungen festgelegt. Klare Vereinbarungen verhindern Scope-Erweiterungen und schaffen die vertragliche Grundlage für alle Testaktivitäten. Typische Ziele umfassen den Zugriff auf sensible Daten, die Prüfung der Erreichbarkeit kritischer Dienste oder den Nachweis, dass bestehende Sicherheitskontrollen wirksam greifen.

Phase 2: Informationssammlung (Reconnaissance)

In der Reconnaissance-Phase sammelt das Testteam öffentlich zugängliche Informationen über das Zielsystem. Dazu gehören Scans offener Ports, Versionsnummern eingesetzter Software, DNS-Einträge und öffentlich erreichbare Dienste. Tools wie Nmap, Shodan oder OSINT-Methoden kommen dabei zum Einsatz. Die gewonnenen Erkenntnisse bilden die Grundlage für die gezielte Planung der nächsten Angriffsversuche.

Phase 3: Schwachstellenanalyse

Die systematische Schwachstellenanalyse wertet alle gesammelten Daten aus und identifiziert potenzielle Angriffspunkte. Typische Schwachstellen umfassen veraltete Softwareversionen, fehlkonfigurierte Systeme, schwache Passwortrichtlinien oder unsichere API-Schnittstellen. Die Analyse kombiniert manuelle Prüfungen mit spezialisierten Sicherheitstools wie Burp Suite oder Nessus, um Fehlalarme zu minimieren und die tatsächliche Ausnutzbarkeit zu bewerten.

Phase 4: Exploitation – der kontrollierte Angriffsversuch

Die Exploitation-Phase bildet das Herzstück des Penetrationstests. Hier versuchen die Tester, identifizierte Schwachstellen aktiv auszunutzen und in das System einzudringen. Das Ziel ist nicht die Verursachung von Schäden, sondern der dokumentierte Nachweis, dass eine Schwachstelle tatsächlich ausnutzbar ist. Jeder Schritt wird streng protokolliert, um eine nachvollziehbare Berichterstattung zu gewährleisten.

Phase 5: Post-Exploitation und Privilegienausweitung

Nach erfolgreichem Zugriff prüft das Testteam, welche Möglichkeiten zur lateralen Bewegung innerhalb des Netzwerks bestehen. Dazu gehören die Eskalation von Berechtigungen, der Zugriff auf weitere Systeme und die Identifikation besonders sensibler Daten. Diese Phase demonstriert reale Angriffswege und bewertet die potenziellen Auswirkungen eines erfolgreichen Angriffs auf das gesamte Unternehmen.

Phase 6: Auswertung, Bericht und Abhilfemaßnahmen

Der Abschlussbericht fasst alle Ergebnisse zusammen und bildet die Entscheidungsgrundlage für das Management. Er enthält eine strukturierte Schwachstellenliste, Risikobewertungen nach CVSS-Standard, konkrete Abhilfemaßnahmen und eine priorisierte Roadmap. Professionelle Anbieter setzen dabei auf ein mehrstufiges Qualitätssicherungsverfahren mit technischer und sprachlicher Prüfung.

Penetrationstest erklärt: Die wichtigsten Testarten

Penetrationstests unterscheiden sich je nach Zielsetzung, Informationslage und Prüfgegenstand. Die Wahl der richtigen Testart hängt von der individuellen IT-Landschaft, dem Bedrohungsszenario und den Compliance-Anforderungen des Unternehmens ab.

Testart Fokus Typische Ziele Kosten (ca.)
Externer Pentest Internetfähige Systeme Webserver, Firewalls, VPNs 5.000–15.000 €
Interner Pentest Interne Netzwerke Active Directory, Insider-Szenarien 5.000–18.000 €
Web-App-Test Webanwendungen, APIs OWASP Top 10, SQL-Injection, XSS 3.000–10.000 €
Social Engineering Menschliche Komponente Phishing, physischer Zugang 4.000–12.000 €
Cloud-Pentest Cloud-Infrastruktur AWS, Azure, Konfigurationsfehler 6.000–20.000 €

Blackbox, Greybox und Whitebox – die Testmethoden im Penetrationstest erklärt

Neben der Testart spielt die Informationslage des Testers eine zentrale Rolle. Beim Blackbox-Test erhält der Pentester keinerlei Vorabinformationen und simuliert einen externen Angreifer. Der Greybox-Test stellt Teilinformationen bereit – etwa ein Standard-Benutzerkonto – und bietet das beste Kosten-Nutzen-Verhältnis für die meisten Unternehmen. Der Whitebox-Test gewährt vollen Zugang zu Quellcode, Dokumentation und Admin-Zugängen und ermöglicht die tiefgreifendste Analyse.

Was kostet ein Penetrationstest?

Die Kosten für einen professionellen Penetrationstest liegen in Deutschland zwischen 3.000 und 25.000 Euro (Stand 2026). Der genaue Preis hängt von Umfang, Komplexität der IT-Infrastruktur, gewählter Testmethode und Erfahrung des Anbieters ab. Tagessätze zertifizierter Pentester in der DACH-Region bewegen sich zwischen 1.200 und 2.000 Euro pro Testtag, wobei ein durchschnittliches Projekt etwa 5 Testtage umfasst.

💶 Penetrationstest: Kosten vs. Schadensrisiko

Ø Schaden pro Vorfall

4,3 Mio. €

Laut IBM Cost of Data Breach 2024

Prävention

Ø Pentest-Kosten

5.000–15.000 €

Professioneller Pentest für KMU

💰 Prävention kostet nur 0,1–0,3 % eines durchschnittlichen Schadensfalls

⚠️

Vorsicht bei Billig-Angeboten

Pentest-Angebote unter 3.000 Euro basieren in der Regel auf rein automatisierten Schwachstellenscans ohne manuelle Prüfung durch Sicherheitsexperten. Solche Scans decken nur oberflächliche Schwachstellen ab und liefern nicht die Tiefe eines echten Penetrationstests. Förderprogramme wie in NRW können bis zu 80 Prozent der Kosten für KMU übernehmen.

Warum ein Penetrationstest unverzichtbar ist: Die Bedrohungslage 2025/2026

Die IT-Sicherheitslage in Deutschland bleibt auf angespanntem Niveau. Der BSI-Lagebericht 2025 dokumentiert 950 registrierte Ransomware-Angriffe im Berichtszeitraum Juli 2024 bis Juni 2025 – wobei die Dunkelziffer laut Experten rund zehnmal höher liegt. Täglich werden 119 neue Sicherheitslücken entdeckt, ein Plus von 24 Prozent gegenüber dem Vorjahr.

202 Mrd. €

Cyberschäden 2025

119/Tag

Neue Schwachstellen

80 %

Ransomware trifft KMU

950

Ransomware-Angriffe

Laut Bitkom (November 2025) waren 87 Prozent aller deutschen Unternehmen in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen. Gleichzeitig verfügen 39 Prozent noch immer über kein Notfallmanagement und 20 Prozent verzichten vollständig auf IT-Sicherheitsschulungen. Ein professionell durchgeführter Penetrationstest deckt genau diese Lücken auf und liefert die Datengrundlage für gezielte Investitionen.

Ziele eines Penetrationstests

Der Penetrationstest verfolgt mehrere strategische und operative Ziele, die über die reine Identifikation von Schwachstellen hinausgehen. Die wichtigsten Zielsetzungen umfassen:

  • Schwachstellenidentifikation: Aufdeckung von Sicherheitslücken in Netzwerken, Anwendungen, Cloud-Diensten und organisatorischen Prozessen
  • Risikobewertung: Nachweis relevanter Angriffsvektoren und deren potenzielle Auswirkungen auf Datenschutz, Betriebskontinuität und Finanzen
  • Maßnahmenpriorisierung: Erstellung einer risikobasierten Roadmap für Abhilfemaßnahmen nach CVSS-Bewertung
  • Compliance-Nachweis: Unterstützung bei der Erfüllung regulatorischer Anforderungen wie NIS-2, ISO 27001 oder PCI-DSS
  • Sicherheitskultur: Verbesserung des Sicherheitsbewusstseins durch transparente Kommunikation realer Risiken

Penetrationstest Prozess von Scan über Bericht bis Schutz.

Vorteile und Grenzen des Penetrationstests

Ein Penetrationstest bietet erhebliche Vorteile für die IT-Sicherheit, hat aber auch systembedingte Grenzen. Unternehmen sollten beide Seiten kennen, um realistische Erwartungen an den Test zu formulieren.

Vorteile

Stärken des Penetrationstests

  • +Realistische Risikobewertung
  • +Priorisierte Handlungsempfehlungen
  • +Compliance-Nachweise für Audits
  • +Stärkt Sicherheitsbewusstsein

⚠️ Grenzen

Einschränkungen beachten

  • Nur Momentaufnahme, kein Dauerschutz
  • Scope begrenzt Ergebnisse
  • Keine Garantie für vollständige Abdeckung
  • Qualität abhängig vom Anbieter

Praxisbeispiele: So läuft ein Penetrationstest ab

Beispiel 1 – Externer Webanwendungstest: Ein Pentest auf die Unternehmenswebsite eines mittelständischen Handelsunternehmens deckt eine veraltete CMS-Version mit einer bekannten CVE-Schwachstelle auf. Der Tester demonstriert, wie über eine SQL-Injection Kundendaten extrahiert werden können. Die Maßnahmen umfassen ein CMS-Update, die Implementierung einer Web Application Firewall (WAF) und die Einführung von Multifaktor-Authentifizierung (MFA) für alle Admin-Zugänge.

Beispiel 2 – Internes Szenario: Ein Greybox-Test mit einem Standard-Mitarbeiterkonto zeigt, dass über unzureichend konfigurierte Active-Directory-Richtlinien eine Privilegieneskalation bis zum Domain-Administrator möglich ist. Konkrete Abhilfemaßnahmen: Implementierung des Least-Privilege-Prinzips, regelmäßige Audits der Zugriffsrechte und Aktivierung von Privileged Access Management (PAM).

Penetrationstest und Compliance: NIS-2, ISO 27001 und PCI-DSS

Regulatorische Anforderungen machen den Penetrationstest für zahlreiche Branchen zur Pflicht. Die NIS-2-Richtlinie der EU verpflichtet betroffene Organisationen zu regelmäßigen Sicherheitsüberprüfungen und einem nachweisbaren Schwachstellenmanagement. Der PCI-DSS-Standard (Version 4.0, Abschnitt 11.4) fordert die Durchführung externer und interner Penetrationstests für alle Unternehmen, die Kreditkarten verarbeiten.

Standard / Regelwerk Pentest-Anforderung Betroffene Branchen
NIS-2-Richtlinie Regelmäßige Sicherheitsprüfung empfohlen KRITIS, Energie, Gesundheit, Finanzen
ISO 27001 Pentests zur Wirksamkeitsprüfung Branchenübergreifend
PCI-DSS 4.0 Externe und interne Pentests vorgeschrieben Zahlungsverkehr, E-Commerce
TISAX Sicherheitstests empfohlen Automobilindustrie
IT-SiG 2.0 / KRITIS Nachweispflichtige Sicherheitsmaßnahmen Kritische Infrastrukturen

Typische Fehler beim Penetrationstest vermeiden

Auch bei der Beauftragung und Durchführung von Penetrationstests treten wiederkehrende Fehler auf, die den Nutzen erheblich schmälern. Die häufigsten Missverständnisse betreffen den Umfang, die Erwartungshaltung und die Nachbereitung des Tests.

🚫

Häufige Fehler bei Penetrationstests

Zu enger Scope: Werden kritische Systeme ausgenommen, bleiben potenzielle Schwachstellen unentdeckt. Fehlende Nachbereitung: Ohne Umsetzung der empfohlenen Maßnahmen bleibt der Test wirkungslos. Einmaliger Test: Cybersicherheit erfordert regelmäßige Überprüfungen – ein Pentest ist immer eine Momentaufnahme. Billig-Anbieter: Rein automatisierte Scans ersetzen keinen manuellen Penetrationstest durch zertifizierte Experten.

Den richtigen Pentest-Anbieter auswählen

Die Qualität eines Penetrationstests hängt maßgeblich von der Kompetenz des Anbieters ab. Bei der Auswahl sollten Unternehmen auf Zertifizierungen (OSCP, CEH, BSI-Zulassung), nachweisbare Referenzen, eine transparente Methodik und die Qualität der Berichterstattung achten. Ein erfahrener Anbieter liefert nicht nur eine Schwachstellenliste, sondern einen detaillierten Bericht mit reproduzierbaren Testszenarien, validierten Befunden und einer priorisierten Maßnahmen-Roadmap.

💡

Rechtlicher Hinweis

Ein Penetrationstest darf ausschließlich mit schriftlicher Genehmigung und klar definiertem Scope durchgeführt werden. Arbeiten außerhalb des genehmigten Rahmens stellen nach § 202a StGB (Ausspähen von Daten) eine Straftat dar. Die beauftragende Organisation kann nur Tests für Systeme in Auftrag geben, die sich unter ihrer Hoheit befinden.

Häufig gestellte Fragen

Was ist ein Penetrationstest und wie funktioniert er?
Ein Penetrationstest ist eine autorisierte Sicherheitsüberprüfung, bei der IT-Experten gezielt versuchen, in Systeme, Netzwerke oder Anwendungen einzudringen. Der Test folgt einem strukturierten Ablauf aus Zieldefinition, Informationssammlung, Schwachstellenanalyse, Exploitation und Berichterstattung. Laut BSI-Lagebericht 2025 werden täglich 119 neue Sicherheitslücken entdeckt, was regelmäßige Penetrationstests für Unternehmen unverzichtbar macht.
Was kostet ein professioneller Penetrationstest?
Die Kosten für einen professionellen Penetrationstest liegen in Deutschland zwischen 3.000 und 25.000 Euro, abhängig von Umfang, Komplexität und Testmethode. Ein einfacher Webanwendungstest beginnt bei etwa 3.000 bis 6.000 Euro, während umfassende Netzwerk-Audits oder Red-Teaming-Szenarien 10.000 Euro und mehr kosten. Tagessätze zertifizierter Pentester bewegen sich zwischen 1.200 und 2.000 Euro pro Testtag.
Welche Arten von Penetrationstests gibt es?
Die gängigsten Arten sind externe Penetrationstests (Prüfung der internetfähigen Infrastruktur), interne Penetrationstests (Simulation von Insider-Bedrohungen), Webanwendungstests (Analyse von Web-Apps und APIs auf OWASP-Top-10-Schwachstellen), Social-Engineering-Tests (Prüfung der menschlichen Sicherheitskomponente) und Cloud-Penetrationstests (Überprüfung von Cloud-Konfigurationen und Zugriffsrechten).
Wie oft sollte ein Unternehmen einen Penetrationstest durchführen?
Branchenstandards und das BSI empfehlen mindestens einen umfassenden Penetrationstest pro Jahr. Zusätzliche Tests sind nach größeren Systemänderungen, Migrationen oder Sicherheitsvorfällen sinnvoll. Regulierte Branchen und KRITIS-Betreiber sollten engere Intervalle einplanen. Die NIS-2-Richtlinie fordert zudem regelmäßige Sicherheitsüberprüfungen für betroffene Organisationen.
Was ist der Unterschied zwischen Penetrationstest und Schwachstellenscan?
Ein Schwachstellenscan ist ein automatisierter Vorgang, der bekannte Sicherheitslücken identifiziert und als priorisierte Liste ausgibt. Ein Penetrationstest geht deutlich weiter: Zertifizierte Sicherheitsexperten versuchen manuell, Schwachstellen aktiv auszunutzen, Angriffsketten zu kombinieren und reale Angriffsszenarien nachzustellen. So lässt sich bewerten, ob und wie eine Schwachstelle tatsächlich ausnutzbar ist.
Welche Compliance-Standards fordern Penetrationstests?
Mehrere regulatorische Rahmenwerke schreiben Penetrationstests vor oder empfehlen sie ausdrücklich. Dazu gehören die NIS-2-Richtlinie der EU, der PCI-DSS-Standard für Kreditkartenverarbeitung, ISO 27001 für Informationssicherheit, das IT-Sicherheitsgesetz 2.0 für KRITIS-Betreiber sowie branchenspezifische Standards wie TISAX in der Automobilindustrie oder DORA im Finanzsektor.
Wer darf einen Penetrationstest durchführen?
Penetrationstests dürfen ausschließlich mit schriftlicher Genehmigung des Systembetreibers durchgeführt werden. Ohne Autorisierung handelt es sich um eine Straftat nach § 202a StGB (Ausspähen von Daten). Qualifizierte Anbieter verfügen über Zertifizierungen wie OSCP, CEH oder BSI-Zulassungen. Bei der Auswahl ist auf nachweisbare Erfahrung, transparente Methodik und qualitätsgesicherte Berichterstattung zu achten.

🎯 Fazit

Ein Penetrationstest erklärt die tatsächliche Angreifbarkeit von IT-Systemen und liefert die Basis für gezielte Sicherheitsinvestitionen. In einer Bedrohungslage mit 202 Milliarden Euro Cyberschäden pro Jahr (Bitkom 2025) und 119 neuen Schwachstellen täglich (BSI 2025) ist regelmäßiges Pentesting kein optionaler Luxus, sondern betriebswirtschaftliche Notwendigkeit. Die Kosten eines professionellen Tests – zwischen 3.000 und 25.000 Euro – stehen in keinem Verhältnis zu den durchschnittlichen Schadenskosten eines erfolgreichen Cyberangriffs. Unternehmen, die auf erfahrene Anbieter mit transparenter Methodik setzen, erhalten nicht nur eine Schwachstellenliste, sondern eine priorisierte Roadmap für die nachhaltige Verbesserung ihrer IT-Sicherheit. Der entscheidende Schritt ist dabei nicht der Test selbst, sondern die konsequente Umsetzung der empfohlenen Maßnahmen und die Etablierung eines kontinuierlichen Sicherheitsprozesses. Wer darüber hinaus die Verbindung zu agilem Management nutzt, kann Sicherheitsverbesserungen iterativ und effizient in bestehende Prozesse integrieren.

Quellenverzeichnis

Offizielle Quellen & Behörden

Bitkom – Presseinformation zum BSI-Lagebericht 2025

https://www.bitkom.org/Presse/Presseinformation/Bitkom-zum-BSI-Lagebericht

Fachquellen & Standards

Wikipedia – Penetrationstest (Informatik)

https://de.wikipedia.org/wiki/Penetrationstest_(Informatik)

IBM – Was bedeutet Penetration Testing?

https://www.ibm.com/de-de/think/topics/penetration-testing

Ähnliche Beiträge