Was ist ein Penetrationstest? Definition, Ablauf, Kosten und der Unterschied zum Vulnerability Scan

Firewall, SIEM, EDR – und trotzdem kompromittiert. Warum?

Ein mittelständisches Unternehmen investiert sechsstellig in IT-Security. Firewall der neuesten Generation, ein SIEM das rund um die Uhr Logs auswertet, Endpoint Detection auf jedem Gerät. Auf dem Papier: bestens aufgestellt. Sechs Monate später: Ransomware im Netz, drei Wochen Ausfallzeit, Kundendaten weg.

Was hat versagt? Nicht die Technologie. Die Technologie hat genau das getan, wofür sie konfiguriert war. Was niemand je geprüft hatte: ob diese Konfiguration tatsächlich standhält, wenn jemand aktiv und kreativ dagegen arbeitet. Ein Vulnerability Scanner hätte die fehlkonfigurierte VPN-Regel nicht gefunden, weil sie technisch kein CVE war. Ein automatisiertes Tool hätte die Kombination aus schwachem Active Directory und einem vergessenen Dienstleisterzugang nicht als Angriffspfad erkannt.

Genau diese Lücke schließt ein Penetrationstest.

Was ein Penetrationstest wirklich ist – und was nicht

Ein Penetrationstest ist ein autorisierter, kontrollierter Angriffsversuch auf ein System, ein Netzwerk, eine Applikation oder eine physische Infrastruktur mit dem Ziel, Schwachstellen und Angriffspfade zu identifizieren bevor ein echter Angreifer sie findet.

Das klingt einfach. Die Präzision steckt in den Details:

• Autorisiert: Ein schriftlicher Auftrag ist keine Formalität – er ist rechtliche Grundlage. Ohne ihn ist dasselbe Vorgehen eine Straftat nach § 202a StGB (unbefugtes Ausspähen von Daten).
• Kontrolliert: Scope, Zeitfenster und Eskalationspfade sind vorab definiert. Ein Pentest verursacht keine unkontrollierten Schäden – das ist ein fundamentaler Unterschied zu einem echten Angriff.
• Ziel ist der Angriffspfad, nicht die Liste: Der Wert eines Pentests liegt nicht in der Anzahl gefundener Schwachstellen, sondern in der Antwort auf die Frage: Wie weit kommt ein Angreifer, der diese Schwachstellen kombiniert?

Der wichtigste Unterschied – und warum er für dein Budget relevant ist

Kein Begriff wird in der IT-Security häufiger verwechselt. Der Unterschied ist fundamental – und hat direkte Auswirkungen darauf, was du mit deinem Security-Budget tatsächlich bekommst.

Wann welches – die ehrliche Entscheidungshilfe

Beide Methoden sind sinnvoll – aber für unterschiedliche Zwecke. Ein Vulnerability Scanner ist kein schlechter Pentest, und ein Pentest ist kein besserer Vulnerability Scanner. Sie beantworten verschiedene Fragen.

• Vulnerability Scan: Wöchentlich oder monatlich als kontinuierliches Monitoring. Zeigt schnell ob neue bekannte Schwachstellen in der Infrastruktur aufgetaucht sind. Gut für Patch-Management und Compliance-Reporting.
• Penetrationstest: Periodisch, anlassbezogen oder als regulatorische Anforderung. Beantwortet die tiefere Frage: Kann jemand tatsächlich einbrechen – und wie weit kommt er?

Das vollständige Spektrum: Nicht nur Netzwerk

Wenn von einem Penetrationstest die Rede ist, denken die meisten an Netzwerke und Server. Das Spektrum ist erheblich breiter – und je nach Bedrohungsmodell können völlig andere Testarten relevant sein. Alle unsere Leistungen lassen sich auch individuell kombinieren.

Nach Zielobjekt

• Network / Infrastructure Pentest: Netzwerkarchitektur, Firewalls, Router, Server. Der klassische Einstieg.
• Web Application Pentest: Webanwendungen auf OWASP Top 10 und darüber hinaus – SQL Injection, XSS, CSRF, Business Logic Flaws.
• Active Directory / Entra ID Pentest: AD ist in den meisten Unternehmen das Herzstück der Identitätsverwaltung – und das häufigste Ziel nach initialem Zugang.
• Cloud Pentest: AWS, Azure, GCP – Fehlkonfigurationen, IAM-Schwächen, öffentlich exponierte Ressourcen.
• Mobile Application Pentest: iOS und Android Apps auf unsichere Datenspeicherung, schwache Authentifizierung, unsichere API-Kommunikation.
• Physical Pentest: Physische Zutrittskontrolle, Gebäudesicherheit, Hardware-Schwachstellen. Mehr dazu im Perimeter-Sicherheits-Post.
• Social Engineering Pentest: Phishing, Vishing, Pretexting – der Mensch als Angriffsvektor. Wie das in der Praxis aussieht am Beispiel des MGM-Hacks.
• AI Pentest: KI-Systeme auf Prompt Injection, Datenlecks und Manipulationen – das neue Angriffsfeld.

Nach Informationsstand: Black Box, Grey Box, White Box

Red Team Exercise vs. Penetrationstest: Wo die Grenze liegt

Die zweithäufigste Verwechslung nach Pentest und Vulnerability Scan. Beide sind legitime Sicherheitsübungen – aber mit fundamentalen Unterschieden in Scope, Zielsetzung und Erkenntnisgewinn.

Der entscheidende Unterschied: Ein Penetrationstest beantwortet „Welche Schwachstellen haben wir?" Eine Red Team Exercise beantwortet „Würden wir einen echten Angriff bemerken – und könnten wir ihn stoppen?" Für NIS2 und KRITIS-Compliance sind Penetrationstests der direkte Nachweis. Für eine reife Sicherheitsorganisation die ihre Detektionsfähigkeit testen will, ist eine Red Team Exercise der nächste Schritt. Sprich uns an, wenn du eine maßgeschneiderte Red Team Simulation planst.

Was passiert bei einem Penetrationstest – Phase für Phase

Viele Entscheider zögern bei der Beauftragung, weil sie nicht wissen was sie kaufen. Transparenz über den Ablauf schafft Vertrauen – und realistische Erwartungen.

Wo KI im Pentesting steht – eine ehrliche Einordnung

Kaum ein Thema wird in der Security-Branche gerade mehr diskutiert und kaum eines wird schlechter eingeordnet. Die ehrliche Antwort ist differenziert: KI verändert Penetrationstests – sie revolutioniert sie nicht. Wie wir KI-Systeme selbst auf Schwachstellen testen, zeigt unser AI Pentest Modul.

Was KI heute kann

Was KI nicht kann – und warum das wichtig ist

Was KI auf der Angreiferseite verändert – und warum das für dich relevant ist

Die andere Seite der KI-Gleichung wird oft vergessen: Angreifer nutzen KI bereits. Phishing-E-Mails sind durch LLMs sprachlich perfekt geworden – Rechtschreibfehler als Erkennungsmerkmal gehören der Vergangenheit an. Reconnaissance läuft schneller, Code-Generierung für Exploits ist niedrigschwelliger, Deepfake-Stimmen für Vishing-Angriffe sind mit unter 200 Euro Aufwand möglich.

Das bedeutet: Die Bedrohungslage entwickelt sich schneller als klassische Sicherheitsmaßnahmen. Ein Penetrationstest der nicht berücksichtigt wie KI-gestützte Angreifer heute vorgehen, ist nicht mehr vollständig repräsentativ.

Was rechtlich zu beachten ist – kurz und klar

Viele Entscheider haben rechtliche Bedenken bei der Beauftragung eines Pentests. Die sind verständlich – aber mit dem richtigen Rahmen vollständig ausräumbar.

• § 202a StGB – Unbefugtes Ausspähen von Daten: Ein Penetrationstest ohne schriftliche Beauftragung ist dieselbe Handlung wie ein Angriff – rechtlich nicht unterscheidbar. Der Auftrag ist keine Bürokratie, er ist Rechtsschutz für beide Seiten.
• Scope-Definition als Schutz: Was explizit im Scope steht ist autorisiert. Was nicht drin steht ist es nicht. Klarer Scope bedeutet klare Rechtslage – auch wenn ein Tester unbeabsichtigt Drittsysteme berührt.
• Drittanbieter und Cloud-Systeme: AWS, Azure und andere Cloud-Provider haben eigene Penetration-Testing-Richtlinien. Systeme die nicht dir gehören brauchen separate Genehmigung.
• NIS2 und KRITIS als rechtlicher Anlass: Für Unternehmen unter NIS2 oder dem KRITIS-Dachgesetz ist ein dokumentierter Pentest kein Nice-to-have mehr. Was das konkret bedeutet, erklärt der Compliance-Post.

Konkrete Anlässe – für Entscheider die noch zögern

Kosten ehrlich eingeordnet – ohne Preisliste, aber mit echten Orientierungspunkten

Das meistgesuchte Thema das fast kein Anbieter ehrlich beantwortet. Kein seriöser Pentest hat einen Festpreis, weil der Aufwand von zu vielen Faktoren abhängt. Aber Orientierungspunkte sind möglich – und fair. Nach einem kostenlosen Erstgespräch erhältst du von uns ein transparentes Festpreisangebot.

Einflussfaktor	Mehr Aufwand wenn...	Weniger Aufwand wenn...
Scope	Gesamte Infrastruktur, mehrere Standorte, Cloud + On-Premise	Klar abgegrenzte Einzelapplikation
Informationsstand	Black Box – Tester muss alles selbst herausfinden	White Box – Architektur und Code sind bekannt
Testtiefe	Post-Exploitation, Lateral Movement, Privilege Escalation	Oberflächliches Scanning ohne manuelle Exploitation
Testtyp	Physical + Social Engineering + Network kombiniert	Einzelner Testtyp, klar definiert
Berichttiefe	Executive Summary + technischer Bericht + Präsentation + Retest	Technischer Bericht ohne Retest
Zeitdruck	Kurzfristige Beauftragung, Abend- oder Wochenendarbeit nötig	Planbare Beauftragung mit ausreichend Vorlauf

Fazit: Ein Penetrationstest ist kein Kostenfaktor – er ist eine Investition mit messbarem Gegenwert

Sicherheitsmaßnahmen zu implementieren ist der erste Schritt. Zu wissen ob sie halten ist der zweite – und der wird in der Praxis erstaunlich oft übersprungen. Ein Penetrationstest schließt diese Lücke: Er liefert einen empirischen Befund über den tatsächlichen Sicherheitszustand, priorisiert Investitionen und ist für NIS2- und KRITIS-pflichtige Unternehmen der direkte Weg zum behördlichen Nachweis.

Die Frage ist nicht ob du einen Penetrationstest brauchst. Die Frage ist ob du wissen willst, was ein Angreifer mit deiner aktuellen Infrastruktur anstellen kann – bevor er es selbst herausfindet. Schau dir unser komplettes Blog-Archiv an für weitere Einblicke in konkrete Angriffsvektoren und Sicherheitsthemen.