Mönchengladbach & Stadland +49 2166 998809-0
★★★★★ 4,7 Google Schnellhilfe
Sicherheit

Penetrationstest

IT-Lexikon · IT-Sicherheit

Kurz erklärt

Bei einem Penetrationstest greifen Experten Systeme kontrolliert an, um Schwachstellen aufzudecken. Das Ergebnis ist eine priorisierte Liste konkreter Lücken samt Empfehlungen.

Wie läuft ein Penetrationstest ab?

Bei einem Penetrationstest greifen Sicherheitsexperten Ihre Systeme kontrolliert und mit Ihrer Erlaubnis an, so wie es echte Angreifer tun würden. Ziel ist, Schwachstellen aufzudecken, bevor Kriminelle sie finden.

Der Ablauf folgt festen Phasen: Informationssammlung, Suche nach Schwachstellen, kontrollierte Ausnutzung und Abschlussbericht. Am Ende steht eine priorisierte Liste konkreter Lücken samt Handlungsempfehlungen.

Penetrationstest vs. Schwachstellenscan — wo liegt der Unterschied?

Ein Schwachstellenscan läuft automatisiert und meldet bekannte Lücken, prüft aber nicht, ob sie ausnutzbar sind.

Ein Penetrationstest geht weiter: Hier versuchen Menschen, die Lücken tatsächlich auszunutzen, Schwachstellen zu verketten und so weit wie möglich vorzudringen. Der Scan ist die Breite, der Pentest die Tiefe mit Praxisbeweis.

Welche Arten von Penetrationstests gibt es?

Je nach Wissensstand des Testers unterscheidet man drei Ansätze.

  • Black Box: Tester kennt das System nicht, simuliert einen externen Angreifer
  • White Box: Tester hat volle Einsicht in Aufbau und Code
  • Grey Box: Mischform mit Teilwissen, oft als realistische Innentäter-Sicht

FAQ

Häufige Fragen

Kurz und konkret beantwortet.

Wie oft sollte man einen Penetrationstest durchführen?+

Empfohlen wird mindestens einmal jährlich sowie nach größeren Änderungen an der IT, etwa neuen Anwendungen oder Umstellungen der Infrastruktur. Regulierte Branchen und Sicherheitsnormen wie ISO 27001 erwarten regelmäßige Tests. Zwischen den Tests deckt ein automatisierter Schwachstellenscan neue Lücken laufend auf.

Ist ein Penetrationstest gefährlich für den laufenden Betrieb?+

Bei seriöser Durchführung ist das Risiko gering. Umfang, Zeitfenster und besonders empfindliche Systeme werden vorab schriftlich vereinbart. Tester arbeiten kontrolliert und stoppen, bevor Schaden entsteht. Kritische Produktivsysteme lassen sich ausnehmen oder in einer Testumgebung prüfen, um Ausfälle zu vermeiden.

Was kostet ein Penetrationstest?+

Die Kosten hängen vom Umfang ab: Zahl der Systeme, Tiefe des Tests und Aufwand für die Auswertung. Ein eng begrenzter Test ist deutlich günstiger als die Prüfung einer kompletten Infrastruktur. Sinnvoll ist eine vorherige Abgrenzung des Geltungsbereichs, damit Aufwand und Kosten kalkulierbar bleiben.

Verwandte Begriffe

FirewallNext-Generation FirewallEDRXDRSIEM

Noch Fragen?

Sprechen wir über Ihre IT.

Ob IT-Sicherheit oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.

Kontakt aufnehmen