Penetration Test

Ein Penetration Test (auch Pentest) ist ein kontrollierter, technischer Sicherheitstest, bei dem gezielt Schwachstellen in IT-Systemen, Netzwerken, Webanwendungen oder mobilen Applikationen identifiziert und bewertet werden. Ziel ist es, reale Angreifer zu simulieren, um Sicherheitslücken aufzudecken, bevor diese missbraucht werden können. Pentests helfen Unternehmen dabei, ihre Angriffsfläche besser zu verstehen, Risiken zu priorisieren und Maßnahmen zur Härtung der Systeme umzusetzen.

Der Test folgt einem strukturierten Ablauf und wird je nach Testtyp mit unterschiedlichem Wissenstand durchgeführt: Black-Box (ohne Vorkenntnisse), Grey-Box (eingeschränkte Informationen) oder White-Box (vollständige Einsicht in Systemdetails). Penetrationstests sind ein zentraler Bestandteil eines effektiven IT-Sicherheitskonzepts und werden oft im Rahmen von Compliance-Vorgaben (z. B. ISO 27001, PCI DSS) oder Audits durchgeführt.

Ablauf eines Penetrationstests

Ein typischer Penetrationstest besteht aus folgenden Phasen:

1. Scoping
   Festlegung des Testumfangs, der Ziele, Systeme und erlaubten Methoden. Vertragliche Rahmenbedingungen (Rules of Engagement) werden dokumentiert.

2. Reconnaissance
   Informationsbeschaffung über öffentliche Quellen (OSINT), Domain-Infos, Subdomains, Netzbereiche, Anwendungen etc.

3. Scanning
   Aktive und passive Erkennung von offenen Ports, Services, Versionsnummern und potenziellen Schwachstellen mit Tools wie Nmap, Nessus oder Burp Suite.

4. Exploitation
   Versuch der gezielten Ausnutzung identifizierter Schwachstellen (z. B. SQL-Injection, Authentifizierungs-Bypass, Code Execution).

5. Post-Exploitation
   Untersuchung, welche Privilegien erlangt wurden, ob lateral movement möglich ist und welche internen Systeme erreichbar sind.

6. Reporting
   Erstellung eines strukturierten Berichts inkl. technischer Details, Risikobewertung (z. B. CVSS), Screenshots, PoCs und konkreter Handlungsempfehlungen.

Verwandte Begriffe

• Vulnerability Assessment

• Ethical Hacking

• Exploit

• OSINT

• Black Box

• Grey Box

• White Box

• Social Engineering

• CVSS

• Incident Management

Beispiel aus der Praxis

Ein mittelständisches Unternehmen beauftragt einen externen Dienstleister mit einem Black-Box-Penetrationstest seiner Kundendatenplattform. Der Tester beginnt mit OSINT und entdeckt öffentlich zugängliche Subdomains. Mittels gezielter Parameteranalyse findet er eine SQL-Injection im Login-Formular. Durch Ausnutzung dieser Schwachstelle erhält er Zugriff auf einen Administrationsbereich und legt intern weitere Schwächen offen. Nach Abschluss dokumentiert der Dienstleister alle Findings und überreicht einen ausführlichen Bericht mit Priorisierung, Risikoanalyse und konkreten Handlungsempfehlungen zur Behebung.