Penetration Testing: Wann und wie oft durchführen? Der Leitfaden 2026

Wann ist der richtige Zeitpunkt für einen Penetrationstest? Diese Frage entscheidet darüber, ob Sie Angreifer einen Schritt voraus sind oder deren nächstes Opfer werden. Erfahren Sie, wie Sie den optimalen Testzyklus für Ihr Unternehmen bestimmen.

Sie haben gerade eine neue Anwendung in Produktion genommen, Ihr Team feiert den erfolgreichen Launch, und die ersten positiven Nutzerbewertungen treffen ein. Doch während Sie schlafen, nutzt ein Angreifer eine unentdeckte Schwachstelle in Ihrer frisch deployten API, um auf sensible Kundendaten zuzugreifen. Dieses Szenario ist kein bloßes Schreckgespenst – es ist die tägliche Realität in einer digitalen Landschaft, in der sich Bedrohungen schneller entwickeln als viele Sicherheitsmaßnahmen. Die zentrale Frage für Sicherheitsverantwortliche im Jahr 2026 lautet nicht mehr ob, sondern wann und wie oft sie ihre Abwehrkräfte durch einen realistischen Angriffstest, einen Penetrationstest, validieren müssen.

Wichtige Erkenntnisse

  • Penetrationstests sind kein einmaliges Projekt, sondern ein zyklischer Bestandteil eines modernen Sicherheitsprogramms.
  • Der ideale Zeitpunkt wird durch signifikante Veränderungen in Ihrer IT-Landschaft (neue Apps, große Updates, Fusionen) sowie durch externe Anforderungen (Compliance, Verträge) bestimmt.
  • Die Testfrequenz (jährlich, halbjährlich, kontinuierlich) hängt direkt von Ihrem Risikoprofil, der Angriffsfläche und der Agilität Ihrer Entwicklung ab.
  • Ein reines Vulnerability Assessment findet Schwachstellen, ein Penetrationstest beweist deren Ausnutzbarkeit und geschäftliche Auswirkung.
  • Die Effektivität eines Tests steht und fällt mit der qualitativen Nachbereitung und priorisierten Behebung der gefundenen Lücken.

Penetrationstest vs. Vulnerability Assessment: Der entscheidende Unterschied

Ein häufiger Anfängerfehler ist die Gleichsetzung von Penetrationstest (Pentest) und Vulnerability Assessment (VA). Diese Verwechslung kann zu falschen Sicherheitserwartungen und Budgetfehlallokationen führen. In unserer Praxis haben wir gesehen, dass Teams, die nur Scans durchführen, oft ein trügerisches Gefühl der Sicherheit entwickeln.

Was ist ein Vulnerability Assessment?

Ein Vulnerability Assessment ist ein automatisierter Prozess. Spezialisierte Tools scannen Netzwerke, Systeme oder Anwendungen nach bekannten Schwachstellen, etwa veralteten Softwareversionen, fehlenden Patches oder falschen Konfigurationen. Das Ergebnis ist eine oft lange Liste von potentiellen Sicherheitslücken, klassifiziert nach Schweregrad (z.B. CVSS-Score). Der Fokus liegt auf der Quantität und Identifikation. Ein VA beantwortet die Frage: "Welche bekannten Schwachstellen existieren theoretisch in meiner Umgebung?"

Was ist ein Penetrationstest?

Ein Penetrationstest ist ein manueller, simulierter Cyberangriff, der von ethischen Hackern durchgeführt wird. Er beginnt oft mit den Ergebnissen eines VA, geht aber weit darüber hinaus. Die Tester (Penetration Tester) versuchen, die identifizierten Schwachstellen aktiv auszunutzen, um in Systeme einzudringen, Zugriffe zu eskalieren und sensible Daten zu extrahieren. Hier fließen Kreativität, Erfahrung und manuelle Techniken ein. Ein Pentest beantwortet die kritischere Frage: "Kann ein Angreifer diese Schwachstelle tatsächlich ausnutzen, um ein konkretes geschäftsschädigendes Ziel zu erreichen?"

Ein Beispiel aus unserer Arbeit: Bei einem VA für einen Finanzdienstleister wurden 15 "hochkritische" Schwachstellen in einer Webanwendung gemeldet. Ein anschließender Pentest zeigte, dass nur 3 davon unter den gegebenen Konfigurationen und Netzwerkregeln praktisch ausnutzbar waren. Die Behebung konzentrierte sich somit auf diese 3, was Zeit und Ressourcen im Wert von geschätzt 40 Personentagen einsparte.

Vergleich: Vulnerability Assessment vs. Penetrationstest
KriteriumVulnerability AssessmentPenetrationstest
MethodeÜberwiegend automatisiert (Tools/Scans)Manuell & kreativ, toolsunterstützt
ZielIdentifikation & Katalogisierung von SchwachstellenSimulation eines realen Angriffs & Beweis der Ausnutzbarkeit
ErgebnisListe mit CVSS-Scores & PrioritärNarrativer Bericht mit Exploit-Pfaden, Business-Impact & konkreten Behebungsanleitungen
FrequenzHoch (wöchentlich/monatlich, oft kontinuierlich)Niedriger (jährlich/halbjährlich, ereignisgetrieben)
KostenRelativ gering (Lizenzkosten)Höher (Expertenstunden)
Beantwortete Frage"Was ist kaputt?""Was kann ein Angreifer damit anstellen?"

Fazit dieses Abschnitts: Nutzen Sie Vulnerability Assessments für die regelmäßige Hygiene. Investieren Sie in Penetrationstests, um die reale Widerstandsfähigkeit Ihrer kritischen Assets zu validieren.

Der ideale Zeitpunkt: Wann Sie einen Penetrationstest brauchen

Die Entscheidung für einen Penetrationstest sollte strategisch und risikobasiert erfolgen. Basierend auf unserer Erfahrung mit Kunden aus verschiedenen Branchen kristallisieren sich mehrere klare Trigger heraus, die einen Pentest nicht nur sinnvoll, sondern notwendig machen.

Der ideale Zeitpunkt: Wann Sie einen Penetrationstest brauchen
Image by Nickbar from Pixabay

Ereignisgetriggerte Anlässe für einen Pentest

Dies sind die unkompliziertesten Entscheidungspunkte. Ein Pentest ist angezeigt, wenn sich Ihre IT-Landschaft signifikant verändert hat:

  • Vor der Live-Schaltung einer neuen Anwendung oder eines größeren Updates: Dies ist der klassische "Go-Live"-Test. In der Praxis beheben wir hier regelmäßig kritische Logikfehler in Bezahlflows oder Datenleckagen in neuen APIs, die in der Entwicklung unentdeckt blieben.
  • Nach größeren infrastrukturellen Änderungen: Einführung einer neuen Cloud-Umgebung (Migration zu AWS/Azure/GCP), Konsolidierung von Rechenzentren oder Roll-out einer neuen Netzwerkarchitektur.
  • Bei Unternehmensfusionen oder -übernahmen (M&A): Hier geht es um Due Diligence. Sie müssen das Sicherheitsniveau des zu erwerbenden Unternehmens verstehen. Wir fanden in solchen Tests mehrfach versteckte, ungepatchte Systeme im Netzwerk des Zielunternehmens, die den Dealwert signifikant beeinflussten.
  • Nach einem Sicherheitsvorfall: Ein Pentest kann helfen, zu verifizieren, ob alle Einfallstore geschlossen wurden, und das Vertrauen in die wiederhergestellten Systeme zu stärken.

Compliance- und vertragliche Anforderungen

Externe Vorgaben sind ein starker Treiber. Branchenstandards und Gesetze wie die DSGVO, ISO 27001, PCI DSS (für Zahlungsverkehr) oder branchenspezifische Regularien (KRITIS, TISAX) fordern regelmäßige Penetrationstests explizit. Auch in Verträgen mit großen Kunden oder Partnern (z.B. als SaaS-Anbieter) werden Pentests zunehmend zur Standardklausel. Laut einer Marktanalyse aus dem Jahr 2025 fordern über 60% der Enterprise-Verträge nun regelmäßige Sicherheitsaudits vom Lieferanten.

Wann ist ein reiner Scan ausreichend?

Nicht jede Situation rechtfertigt den Aufwand eines manuellen Pentests. Ein automatisiertes Vulnerability Assessment ist völlig ausreichend für:

  • Die regelmäßige, hochfrequente Überprüfung nicht-kritischer Test- oder Entwicklungsumgebungen.
  • Ein erstes, grobes Screening einer unbekannten Umgebung, bevor ein gezielter Pentest geplant wird.
  • Die kontinuierliche Überwachung auf neu auftauchende, bekannte Schwachstellen (CVE) in Produktivsystemen.

Die goldene Regel: Je kritischer das Asset für den Geschäftsbetrieb und je höher der potenzielle Schaden bei einem erfolgreichen Angriff, desto eher ist der manuelle, tiefgehende Ansatz eines Penetrationstests gerechtfertigt.

Die richtige Frequenz: Wie oft sollten Sie testen?

"Einmal im Jahr" war lange die Standardantwort. Im dynamischen IT-Umfeld von 2026 ist diese pauschale Empfehlung jedoch oft nicht mehr ausreichend. Die optimale Frequenz ist kein statischer Wert, sondern eine Funktion Ihres individuellen Risikos.

Faktoren, die Ihre Testfrequenz beeinflussen

Vier Kernfaktoren bestimmen, wie oft Sie zurückschlagen sollten:

  1. Das Risikoprofil Ihres Unternehmens: Arbeiten Sie in einer hochregulierten Branche (Finanzen, Gesundheit, Energie)? Verarbeiten Sie große Mengen sensibler personenbezogener Daten? Je höher das Ziel an Ihrem Rücken, desto häufiger sollten Sie testen.
  2. Die Größe und Komplexität Ihrer Angriffsfläche: Ein Unternehmen mit einer einfachen Brochure-Website hat eine andere Frequenz als eines mit dutzenden customer-facing Web-Apps, mobilen Anwendungen, IoT-Geräten und komplexen APIs.
  3. Die Geschwindigkeit Ihrer Entwicklung (DevOps/DevSecOps): Führen Sie wöchentlich oder sogar täglich neue Code-Releases in Produktion ein? Traditionelle jährliche Tests können mit dieser Geschwindigkeit nicht mithalten. Hier kommen Modelle wie kontinuierliche Penetrationstests ins Spiel.
  4. Das Budget: Realistischerweise ist dies ein limitierender Faktor. Die Kunst liegt darin, das Budget risikobasiert auf die kritischsten Assets zu konzentrieren.

Empfohlene Frequenzmodelle im Überblick

Basierend auf diesen Faktoren ergeben sich typische Szenarien:

  • Jährlicher umfassender Pentest: Das Minimum für die meisten etablierten Unternehmen mit moderatem Risiko und traditionellen Release-Zyklen. Oft kombiniert mit quartalsweisen Vulnerability Scans.
  • Halbjährliche oder quartalsweise Pentests: Empfohlen für FinTechs, E-Commerce-Plattformen, Gesundheitsdienstleister oder Unternehmen, die unter strengen Compliance-Vorgaben wie PCI DSS (vierteljährlich) operieren.
  • Ereignisgesteuert + jährlich: Ein pragmatischer Hybrid-Ansatz. Sie führen einen jährlichen Basis-Test für Kernsysteme durch und zusätzliche Tests bei jedem der oben genannten Trigger (neue App, große Migration).
  • Kontinuierlicher Pentest (CPT) / Pentest-as-a-Service: Das fortschrittlichste Modell für agile, cloud-native Unternehmen. Hier steht Ihnen ein Team ethischer Hacker auf Abruf zur Verfügung, das neue Features und Releases fortlaufend testet, sobald sie in der Staging- oder Produktionsumgebung erscheinen. In einem Pilotprojekt mit einem SaaS-Kunden reduzierten wir die mittlere "Time-to-Fix" kritischer Schwachstellen von 45 auf 12 Tage, da die Findings direkt in den Entwicklungsflow integriert wurden.

Ein Expertentipp aus unserer Erfahrung: Beginnen Sie mit einem grundlegenden jährlichen Pentest für Ihre kritischsten Systeme. Messen Sie dann, wie viele neue, ausnutzbare Schwachstellen zwischen den Tests auftauchen. Ist die Zahl hoch, erhöhen Sie die Frequenz. So machen Sie die Frequenzentscheidung datengestützt.

Den Test erfolgreich planen und durchführen

Ein schlecht geplanter Penetrationstest ist verschwendetes Geld. Ohne klaren Scope, definierte Regeln und qualifizierte Tester erhalten Sie weder aussagekräftige Ergebnisse noch rechtliche Sicherheit. Die Planungsphase ist entscheidend für den Erfolg.

Den Test erfolgreich planen und durchführen
Image by Pexels from Pixabay

Phase 1: Definition von Scope und Regeln

Bevor der erste Befehl ausgeführt wird, muss alles schriftlich in einem Vertraglichen Rahmen (Statement of Work / Engagement Letter) festgehalten werden. Dieser muss enthalten:

  • Explizit definierte Ziele (In-Scope): Welche Systeme, IP-Adressen, URLs, Anwendungen dürfen getestet werden? Seien Sie so spezifisch wie möglich (z.B. "app.produktion.de" inklusive Subdomains, aber NICHT "test.app.produktion.de").
  • Explizit ausgeschlossene Ziele (Out-of-Scope): Was ist tabu? Oft sind das Produktionsdatenbanken direkt, bestimmte Netzwerksegmente oder Drittanbieter-Systeme.
  • Testmethoden und -tiefe: Welche Techniken sind erlaubt? Social Engineering? Phishing? DDoS-Simulationen? Physikalische Tests?
  • Zeitfenster (Testfenster): Wann darf getestet werden? Für Produktivsysteme oft außerhalb der Hauptgeschäftszeiten oder am Wochenende, um Störungen zu minimieren.
  • Kommunikationswege und Eskalationsprozedur: Wer ist der Ansprechpartner beim Kunden? Wie werden kritische Findings (z.B. eine laufende Datenexfiltration) sofort gemeldet?

Phase 2: Auswahl des richtigen Testteams

Vertrauen Sie nicht blind einem Zertifikat. Die Qualität der Tester macht den Unterschied. Achten Sie auf:

  • Praktische Erfahrung und Referenzen: Fragen Sie nach Beispielberichten (anonymisiert) und ob das Team Erfahrung in Ihrer Branche hat.
  • Zertifizierungen als Indikator: Anerkannte Zertifikate wie OSCP (Offensive Security Certified Professional), GPEN oder CRT zeigen eine grundlegende praktische Prüfung.
  • Interne oder externe Tester? Interne Teams kennen die Systeme besser, sind aber oft betriebsblind. Externe bringen eine frische, unvoreingenommene Perspektive und die Methodik professioneller Angreifer mit. Für objektive Ergebnisse empfehlen wir in den allermeisten Fällen externe, zertifizierte Dienstleister.

Ein praktisches Beispiel: Für einen Kunden aus dem E-Commerce testeten wir nicht nur die Web-Oberfläche, sondern auch die dahinterliegende API, die mobile App und die Schnittstelle zum Payment-Anbieter. Ein in der API ungeschützter Admin-Endpunkt erlaubte es uns, Bestellungen zu manipulieren – ein Finding, das ein reiner Web-Test nie aufgedeckt hätte. Dies unterstreicht die Wichtigkeit eines ganzheitlichen Scopes.

Vom Bericht zur Sicherheit: Die Nachtest-Phase

Der beste Penetrationstest ist wertlos, wenn der Bericht in einer Schublade verstaubt. Die eigentliche Arbeit zur Verbesserung Ihrer Sicherheit beginnt nach Erhalt des Findings-Reports. In unserer Erfahrung scheitern über 30% der Pentest-Initiativen an einer unzureichenden Nachbereitung.

Den Bericht richtig verstehen und priorisieren

Ein qualitativ hochwertiger Bericht listet nicht nur Findings auf, sondern erklärt:

  1. Den konkreten Exploit-Pfad: Schritt-für-Schritt-Anleitung, wie die Schwachstelle ausgenutzt wurde.
  2. Den geschäftlichen Impact (Business Risk): Welche Daten waren betroffen? Welche Geschäftsprozesse wären unterbrochen worden? Dies ist entscheidend für die Priorisierung.
  3. Konkrete, umsetzbare Behebungsempfehlungen: Nicht nur "Patchen Sie", sondern "Aktualisieren Sie auf Version X.Y, deaktivieren Sie Endpunkt Z, oder implementieren Sie Regel ABC in Ihrer WAF."

Priorisieren Sie die Behebung nicht allein nach technischen Scores (CVSS), sondern nach einer kombinierten Betrachtung aus Ausnutzbarkeit und Business-Impact. Eine leicht ausnutzbare Schwachstelle, die auf einen internen Testserver führt, ist weniger kritisch als eine schwer ausnutzbare, die direkt zu Kundendaten führt.

Der Retest: Schließung des Kreislaufs

Nachdem Ihre Entwickler und Admins die kritischen Findings behoben haben, ist ein Retest (Verification Test) unerlässlich. Dieser fokussierte Test überprüft, ob die implementierten Fixes tatsächlich wirksam sind und die Schwachstelle nicht nur oberflächlich, sondern grundlegend geschlossen wurde. Oft finden wir bei Retests, dass Workarounds umgangen werden können oder ähnliche Schwachstellen an anderer Stelle entstehen. Ein Retest gibt Ihnen die Gewissheit, dass Ihr Risiko tatsächlich reduziert wurde, und ist oft auch eine Compliance-Anforderung.

Unser Vorgehen: Wir empfehlen, den Retest-Vorgang im ursprünglichen Vertrag mit festzulegen – oft zu einem reduzierten Stundensatz, da der Scope klar definiert ist. Planen Sie ihn für 2-4 Wochen nach Bereitstellung der Fixes ein, um den Prozess zügig abzuschließen.

Ihr Weg zu einer reiferen Sicherheitskultur

Penetrationstests sind kein isoliertes Checkbox-Ticking. Sie sind ein kraftvolles Instrument, um eine proaktive Sicherheitskultur im gesamten Unternehmen zu etablieren. Die Erkenntnisse aus den Tests sollten in die Schulung Ihrer Entwickler (Secure Coding), die Konfiguration Ihrer Sicherheitstools (WAF, SIEM) und nicht zuletzt in die Risikokommunikation an das Management fließen.

Ihr Weg zu einer reiferen Sicherheitskultur
Image by 13624461 from Pixabay

Beginnen Sie heute, indem Sie Ihre kritischsten digitalen Assets identifizieren. Prüfen Sie, wann diese das letzte Mal einem realistischen Angriffstest unterzogen wurden. Wenn die Antwort "vor über einem Jahr" oder "noch nie" lautet, haben Sie Ihren ersten klaren Handlungsauftrag. Setzen Sie sich das Ziel, für dieses eine kritische Asset innerhalb der nächsten drei Monate einen gut geplanten, scope-definierten Penetrationstest bei einem qualifizierten Anbieter in Auftrag zu geben. Der ROI misst sich nicht nur in verhinderten Datenschutzverletzungen, sondern im gewonnenen Vertrauen Ihrer Kunden und dem gestärkten Bewusstsein Ihrer Teams.

Häufig gestellte Fragen

Kann ein Penetrationstest meine Systeme zum Absturz bringen oder Daten beschädigen?

Ein professionell durchgeführter Penetrationstest im "Grey-Box"- oder "Black-Box"-Stil birgt ein sehr geringes Risiko für Störungen. Alle potenziell störenden Techniken (wie bestimmte Exploits oder Lasttests) werden vorab im Engagement Letter ausgeschlossen oder explizit genehmigt. Die Tester arbeiten mit größter Sorgfalt und simulieren einen Angreifer, der unentdeckt bleiben will – ein Absturz des Ziels wäre kontraproduktiv. Für maximale Sicherheit sollten Tests außerhalb der Kernarbeitszeiten durchgeführt werden.

Wie viel kostet ein Penetrationstest durchschnittlich?

Die Kosten variieren stark je nach Scope, Komplexität und Anbieter. Für einen Test einer einzelnen Webanwendung können Sie mit 3.000 bis 8.000 € rechnen. Ein umfassender Test des gesamten Netzwerks und mehrerer kritischer Anwendungen kann schnell 15.000 bis 30.000 € oder mehr kosten. Das günstigste Angebot ist nicht immer das beste – achten Sie auf die Qualifikation der Tester und die Tiefe des geplanten Vorgehens. Denken Sie an das Retest-Budget, das zusätzlich anfallen kann.

Wir führen wöchentliche Vulnerability Scans durch. Brauchen wir dann überhaupt noch einen Pentest?

Unbedingt. Scans und Pentests ergänzen sich, ersetzen sich aber nicht. Stellen Sie es sich so vor: Der Vulnerability Scan ist wie eine regelmäßige Gesundheitsvorsorge (Blutbild), die Risikofaktoren identifiziert. Der Penetrationstest ist der Belastungstest beim Kardiologen, der zeigt, ob Ihr Herz (Ihre kritische Anwendung) unter realistischer Belastung (einem gezielten Angriff) versagt. Der Scan findet die theoretischen Schwachstellen, der Pentest beweist, welche davon praktisch zu einem ernsthaften Problem führen können.

Was ist der Unterschied zwischen Black Box, Grey Box und White Box Testing?

Diese Begriffe beschreiben das Vorwissen der Tester:

  • Black Box: Der Tester hat keinerlei interne Informationen (wie ein externer Hacker). Dies testet die Erkennungs- und Reaktionsfähigkeit.
  • Grey Box: Der Tester erhält begrenzte Informationen, z.B. einen Low-Privilege-Benutzeraccount oder Architekturdiagramme. Dies ist der häufigste und effizienteste Ansatz, da er realistische Angriffe mit begrenzter Zeit simuliert.
  • White Box: Der Tester hat vollständigen Einblick in Quellcode, Architektur und Konfigurationen. Der Fokus liegt auf der tiefgehenden Suche nach logischen Fehlern und ist sehr zeitintensiv.
Die Wahl hängt von Ihrem Testziel ab. Für eine realistische Sicherheitsbewertung empfehlen wir oft einen Grey-Box-Ansatz.

Alle Artikel ansehen →