Penetrationstest: Vollständiger Leitfaden für Unternehmen 2026
1. Mai 2026
21 Min. Lesezeit
Cyber Security
Ein Penetrationstest (kurz Pentest) ist eine kontrollierte Sicherheitsbewertung, bei der zertifizierte ethische Hacker mit den Methoden realer Angreifer Schwachstellen in IT-Systemen, Anwendungen und Infrastrukturen aufdecken. Der BSI-Studie A (Bundesamt für Sicherheit in der Informationstechnik) definiert die methodische Grundlage in Deutschland — ergänzt durch internationale Standards wie OWASP Testing Guide, OSSTMM und PTES. Die Kosten reichen typischerweise von 8.000 EUR für einen einzelnen Webanwendungs-Pentest bis 80.000 EUR für umfassende Red-Team-Übungen. NIS2, DORA, TISAX und ISO 27001 verlangen regelmäßige Pentests — mindestens jährlich für kritische Systeme. Bei korrekter Vorbereitung und ergebnis-orientierter Durchführung sind sie eines der wirksamsten Werkzeuge gegen Ransomware, Datenpannen und gezielte Cyberangriffe.
Kerntatsachen
Drei Test-Tiefen: Black-Box (Tester ohne Vorkenntnisse), Grey-Box (mit Basis-Informationen), White-Box (mit vollständigem Quellcode-Zugriff).
BSI-Studie A ist der deutsche Methodikstandard — kombiniert mit OWASP, OSSTMM und PTES.
NIS2 § 30 Pkt. 5 verpflichtet betroffene Unternehmen zu regelmäßigen Pentests; DORA verlangt für signifikante Finanzunternehmen alle 3 Jahre einen TLPT.
Pentest-Bericht umfasst typischerweise 50–200 Seiten mit Findings nach CVSS-Schweregrad und konkreten Behebungsempfehlungen.
Behebung kritischer Findings sollte innerhalb 30 Tagen erfolgen; Re-Test nach Abschluss zwingend.
Auswahl der Pentest-Anbieter ist kritisch — auf BSI-zertifizierte Anbieter mit OSCP/OSEP/CEH-zertifizierten Testern setzen.
Ein Penetrationstest ist eine autorisierte, simulierte Angriffsbewertung auf IT-Systeme, mit dem Ziel, Schwachstellen zu identifizieren, bevor reale Angreifer sie ausnutzen. Pentester arbeiten nach klaren ethischen und vertraglichen Grenzen — Ziel ist immer die Verbesserung der Sicherheit, niemals echter Schaden.
Abgrenzung zu anderen Sicherheitsbewertungen
Methode
Tiefe
Aufwand
Wann sinnvoll
Schwachstellenscan (automatisiert)
oberflächlich
gering
regelmäßig, monatlich
Penetrationstest (manuell + automatisiert)
mittel bis tief
mittel
jährlich oder nach größeren Änderungen
Red-Team-Übung (zielgerichtet)
sehr tief
hoch
strategisch, alle 1–3 Jahre
TLPT (DORA-spezifisch)
sehr tief, real-szenario-basiert
sehr hoch
bei signifikanten Finanzunternehmen alle 3 Jahre Pflicht
Code-Review (statisch)
code-fokussiert
mittel
im Entwicklungsprozess
Was ein guter Pentest leistet
Aufdeckung realer Angriffspfade — nicht nur Liste isolierter Schwachstellen
Verifikation der Wirksamkeit existierender Sicherheitsmaßnahmen
Quantifizierung des Risikos in CVSS-Schweregraden
Konkrete Behebungsempfehlungen mit technischer Umsetzbarkeit
Compliance-Nachweis für ISO 27001, NIS2, DORA, TISAX, DSGVO
Kennzahl
152 % Anstieg der Ransomware-Angriffe in den letzten fünf Jahren (BSI Lagebericht 2024). Über 70 % aller erfolgreichen Cyberangriffe nutzen Schwachstellen, die durch einen Pentest identifizierbar gewesen wären.
Pentest vs. Schwachstellenscan
Eine häufige Verwechslung — die zu falsch dimensionierten Sicherheitsbewertungen führt.
Seriöse Pentests folgen etablierten Methodik-Standards. Die wichtigsten:
BSI-Studie A — der deutsche Methodikstandard
Die BSI-Studie A ist die deutsche Referenz-Methodik. Sie unterteilt einen Pentest in fünf Phasen und ist Voraussetzung für BSI-IT-Grundschutz-Konformität:
Der OWASP Web Security Testing Guide (WSTG) ist die führende Methodik für Webanwendungs-Pentests — über 100 Test-Fälle in 12 Kategorien (Authentifizierung, Session-Management, Eingabevalidierung, Geschäftslogik etc.).
PTES (Penetration Testing Execution Standard)
Internationaler Standard mit sieben Hauptphasen:
Pre-Engagement Interactions
Intelligence Gathering
Threat Modeling
Vulnerability Analysis
Exploitation
Post-Exploitation
Reporting
MITRE ATT&CK
MITRE ATT&CK Framework klassifiziert Angreifer-Taktiken und -Techniken — wird zunehmend als Referenz für Red-Team-Übungen und TLPT verwendet.
OSSTMM
Open Source Security Testing Methodology Manual — wissenschaftlich fundierter Ansatz, Schwerpunkt auf Messbarkeit der Ergebnisse.
Wann erforderlich?
Pentests sind in vielen Compliance-Rahmenwerken explizit oder implizit vorgeschrieben.
Regulatorische Pflichten
Rahmenwerk
Anforderung
Frequenz
NIS2 § 30 BSIG-neu
Resilienztests für kritische Systeme
jährlich
DORA Art. 25
allgemeine Tests aller kritischen IKT-Systeme
jährlich
DORA Art. 26 (TLPT)
Threat-Led Penetration Test
alle 3 Jahre für signifikante Unternehmen
ISO 27001 A.8.29
Sicherheitstests in Entwicklung und Akzeptanz
risikoorientiert, mind. jährlich
TISAX VDA ISA 6
Schwachstellenmanagement und Tests
mind. jährlich
DSGVO Art. 32
Wirksamkeitstests technischer und organisatorischer Maßnahmen
regelmäßig
PCI-DSS
externe + interne Pentests
jährlich + nach signifikanten Änderungen
BSI-IT-Grundschutz
je nach Schutzbedarfsfeststellung
bedarfsorientiert
Geschäftliche Auslöser
Auch ohne explizite regulatorische Pflicht ist ein Pentest sinnvoll bei:
reine Pentest-Fokus, weniger Compliance-Integration
Mittelstand-Beratungen
gutes Preis-Leistungs-Verhältnis
gemischte Tester-Erfahrung
Freiberufler
sehr günstig, oft hochqualifiziert
abhängig von Einzelperson, Risiko bei Krankheit
Vorbereitung
Eine gute Vorbereitung ist der Unterschied zwischen einem oberflächlichen und einem tiefgreifenden Pentest. Fünf Schritte sind essentiell.
Schritt 1 — Scope-Definition
Frage
Antwort dokumentieren
Welche Systeme werden getestet?
IP-Bereiche, URLs, Anwendungen
Welche Systeme sind ausgeschlossen?
„No-go"-Liste
Welche Test-Tiefe?
Black/Grey/White
Welche Angriffsvektoren?
Netzwerk, Anwendung, Identität, Social Engineering
Test-Fenster?
Datum, Uhrzeit, Wochenende möglich?
Notfallkontakte?
wer wird wann informiert
Schritt 2 — Rechtliche Grundlagen
Der Pentester braucht eine schriftliche Autorisierung („Permission to Attack" / Letter of Engagement) — ohne diese wäre der Pentest strafrechtlich relevant (§ 202c StGB). Inhalt:
klare Auftraggeber-Identifikation
Scope (was darf getestet werden)
Zeitraum
Notfallkontakte
Berichtsadressat
Schritt 3 — Stakeholder-Information
Wer im Unternehmen muss informiert sein?
IT-Operations: zur Vermeidung von Notfallreaktionen auf den Test
SOC / SIEM-Team: zur Erkennung der Test-Aktivität (oder bewusst nicht — bei „Blue-Team-Test")
Management / Compliance: für rechtliche Verantwortung
Externer Cloud-Provider: wenn Tests Cloud-Ressourcen treffen, oft Vorab-Genehmigung erforderlich (AWS, Azure, GCP haben eigene Pentest-Genehmigungsverfahren)
Schritt 4 — Test-Umgebung
Drei Optionen:
Umgebung
Vorteil
Nachteil
Produktivsystem
realistisch
Verfügbarkeitsrisiko
Staging-System (1:1-Kopie)
realistisch + sicher
Aufwand für Spiegelung
dediziertes Pentest-Environment
maximal sicher
weniger realistisch
Empfehlung: Staging mit Produktiv-ähnlichen Daten, ergänzt durch ausgewählte Produktivsystem-Tests im Final-Phase.
Schritt 5 — Voraussetzungen schaffen
Test-Konten (für Grey-Box) anlegen mit dokumentierten Rechten
Logging und Monitoring vor Test-Beginn überprüfen
Backup vor Test-Beginn
Notfall-Reset-Pläne dokumentieren
Ablauf
Ein typisches Pentest-Projekt durchläuft sechs Phasen über insgesamt 4–10 Wochen.
Phase 1 — Pre-Engagement (Wochen -2 bis 0)
Vertrag, Scope, NDA, Letter of Engagement
Stakeholder-Briefing
Test-Umgebung vorbereiten
Phase 2 — Reconnaissance (Tag 1–2)
OSINT (Open-Source Intelligence)
DNS-Enumeration, Subdomain-Discovery
Service-Mapping
Threat-Modeling
Phase 3 — Vulnerability Analysis (Tag 2–4)
automatisierte Schwachstellen-Scans
manuelle Validierung der Findings
Eingrenzung der wahrscheinlichsten Angriffsvektoren
Verkettung von Schwachstellen zu kompletten Angriffsszenarien
Behebungsempfehlungen
priorisiert, mit Aufwandsschätzung
Anhang
Beweisscreenshots, Logs, technische Details
CVSS — Schweregrad-Klassifikation
CVSS-Level
Score
Behebungsfrist
Critical
9.0–10.0
sofort, max. 7 Tage
High
7.0–8.9
30 Tage
Medium
4.0–6.9
90 Tage
Low
0.1–3.9
nach Risikoanalyse
Informational
—
nach Möglichkeit
Behebungsprozess
Triage — Findings nach Schweregrad und Aufwand priorisieren
Behebungsplan mit verantwortlichen Personen und Fristen
Behebung durch Entwicklung / IT-Operations
Re-Test — vom Pentest-Anbieter verifizieren lassen
Abschluss-Bericht mit verifizierten Behebungen
Re-Test ist Pflicht — ohne verifizierte Behebung bleibt der Pentest-Bericht eine theoretische Übung. Im Auditfall (ISO 27001, TISAX, NIS2) zählt nur die nachweislich behobene Schwachstelle.
Pentest unter NIS2 und DORA
Beide Regelwerke verschärfen die Anforderungen an regelmäßige Sicherheitstests.
NIS2 — § 30 Pkt. 5 BSIG-neu
NIS2 fordert „Sicherheit beim Erwerb, der Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich der Behandlung und Offenlegung von Schwachstellen". Praktisch:
mindestens jährlicher Pentest der kritischen Systeme
Schwachstellenmanagement-Programm mit dokumentierter Behebung
Re-Tests nach Behebung kritischer Findings
Berichterstattung an Geschäftsleitung und ggf. BSI
DORA — Art. 24-27
DORA hat zwei Test-Stufen:
Stufe
Geltungsbereich
Frequenz
Allgemeine Tests (Art. 25)
alle Finanzunternehmen
jährlich
TLPT (Art. 26)
signifikante Finanzunternehmen
alle 3 Jahre
TLPT (Threat-Led Penetration Testing) nach TIBER-DE-Methodik:
Wie oft sollte ein Penetrationstest durchgeführt werden?
Mindestens jährlich — bei kritischen Systemen halbjährlich. Zusätzlich nach jeder größeren Architekturänderung oder Sicherheitsvorfall.
Was kostet ein Penetrationstest?
Typische Kostenspanne: 8.000–35.000 EUR für Standard-Pentests (Webanwendung, Netzwerk). Vollständige Red-Team-Übungen: 60.000–150.000 EUR. TLPT nach DORA: 250.000–800.000 EUR.
Was ist der Unterschied zwischen Pentest und Schwachstellenscan?
Schwachstellenscans sind automatisiert und oberflächlich (Listen bekannter CVEs). Pentests sind manuell, kreativ und tief (Verkettung von Schwachstellen, Geschäftslogik-Fehler, neue Angriffspfade).
Welche Test-Tiefe ist die richtige?
Für die meisten Unternehmen: Grey-Box-Pentest (mit Basis-Informationen) — bietet maximale Findings pro Aufwand. Black-Box nur für realistische Bedrohungs-Simulation; White-Box bei sicherheitskritischen Anwendungen oder vor wichtigen Releases.
Wie wähle ich den richtigen Pentest-Anbieter?
Auf folgende Kriterien achten: OSCP/OSEP-zertifizierte Tester, BSI-Anerkennung, Berufshaftpflicht ≥ 5 Mio. EUR, dokumentierte Methodik (BSI-Studie A, OWASP), Beispiel-Berichte, DSGVO-konforme Verarbeitung.
Was ist im Pentest-Bericht enthalten?
Executive Summary, Methodik, Scope, Findings nach CVSS-Schweregrad mit Reproduktion und Behebungsempfehlung, Angriffsketten, Anhänge mit Beweisen.
Wie lange dauert die Behebung der Findings?
Critical: max. 7 Tage. High: 30 Tage. Medium: 90 Tage. Low: nach Risikoanalyse. Re-Test nach Behebung der Critical/High-Findings ist zwingend.
Brauche ich einen Pentest unter DSGVO?
Implizit ja — Art. 32 DSGVO verlangt „Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig zu überprüfen, zu bewerten und zu evaluieren". Pentests sind die Standard-Methode dafür.
Was ist ein TLPT?
Threat-Led Penetration Test — eine fortgeschrittene Pentest-Form unter DORA, bei der reale Bedrohungsszenarien simuliert werden. Pflicht für signifikante Finanzunternehmen alle 3 Jahre.
Welche rechtlichen Grundlagen muss ein Pentest haben?
Schriftliche Autorisierung („Permission to Attack" / Letter of Engagement) durch den Auftraggeber, klar definierter Scope und Zeitraum, Notfallkontakte. Ohne klare Autorisierung wäre der Pentest nach § 202c StGB strafbar.
Ein Penetrationstest ist eines der wirksamsten Werkzeuge gegen reale Cyberbedrohungen — und Pflicht in praktisch allen relevanten Compliance-Rahmenwerken (NIS2, DORA, ISO 27001, TISAX, DSGVO). Die Investition zahlt sich mehrfach aus: durch geringeres Bußgeldrisiko, niedrigere Cyber-Versicherungsprämien, schnellere Audit-Freigaben und vor allem durch konkret behobene Schwachstellen, bevor sie ausgenutzt werden.
Drei strategische Empfehlungen:
Erstens, Tester-Qualifikation vor Anbieter-Marke priorisieren. Ein OSCP-zertifizierter Tester einer mittelständischen Firma liefert oft tiefere Ergebnisse als ein Junior-Berater einer Big-Four-Marke.
Zweitens, Re-Tests einplanen und budgetieren. Ohne nachweisbare Behebung bleibt der Pentest-Bericht eine teure Theorie.
Drittens, Pentest-Programm statt Einzeltest aufbauen. Eine kontinuierliche Sicherheitsbewertung mit Quartals-Schwachstellenscans und jährlichen Pentests ist deutlich wirksamer als sporadische Einzeltests.
Vision Compliance koordiniert Pentest-Programme im Rahmen unserer Cyber-Security-Beratung und Vorfallmanagement-Services — von der Anbieter-Auswahl über die Vorbereitung bis zur Behebungs-Begleitung. Wir verbinden technische Auditkompetenz mit Compliance-Verständnis (ISO 27001, NIS2, DORA, TISAX), damit Pentest-Ergebnisse direkt in Audit-bewährte Behebungsmaßnahmen einfließen. Sprechen Sie uns an für eine kostenlose Pentest-Bedarfsanalyse mit konkreter Anbieter-Empfehlung.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
