Ein Penetrationstest (Pentest) ist eine kontrollierte, zielgerichtete Sicherheitspruefung aus Sicht eines Angreifers. Ziel ist nicht, möglichst viele Findings zu sammeln, sondern die relevanten Schwachstellen zu identifizieren, deren Ausnutzbarkeit zu validieren und Risiken so zu dokumentieren, dass konkrete Massnahmen ableitbar sind.
Typische Ziele
-
Internet-exponierte Systeme (Perimeter, VPN, Mail, Admin-Interfaces)
-
interne Netzwerke und zentrale Dienste
-
kritische Server- und Service-Landschaften (on-prem oder cloudnah)
-
Netzwerksegmente, Remote-Zugaenge, privilegierte Pfade
Testvarianten
-
Blackbox: ohne oder mit minimalen Informationen (realitätsnah, weniger Abdeckung)
-
Greybox: mit ausgewaehlten Informationen (effizient, praxisnah)
-
Whitebox: mit umfassenden Details/Zugängen (maximale Abdeckung, tiefe Analyse)
Abgrenzung zum Vulnerability Scan
Ein Scan findet Hinweise auf potentielle Schwachstellen. Ein manueller Pentest, ausgeführt durch einen erfahrenen Pentester, kann komplexere Angriffen simulieren und auch Schwachstellen finden, die ein Scanner wegen mangelndem Kontext nicht finden kann. Ein Pentest klärt auch, was davon in Ihrer Umgebung tatsächlich ausnutzbar ist, welche Kette daraus entsteht und wie der Impact in der Praxis aussieht.
Ablauf
-
Scope, Ziele, Zeitfenster, Kommunikationswege
-
Discovery und Baseline-Checks (externe und/oder interne Sicht)
-
Manuelle Validierung und Exploitabilitäts-Prüfung (kontrolliert)
-
Risikobewertung und Priorisierung
-
Debrief und Report
-
Optional Re-Test
Ergebnis / Report
-
Management-Summary (Risikolage, Prioritäten, Quick Wins)
-
technische Findings mit Nachvollziehbarkeit (wo sinnvoll mit Reproduktionshinweisen)
-
konkrete Behebungs-Empfehlungen (pragmatisch, umsetzbar)
-
klare Scope-Abgrenzung und Annahmen (damit Resultate richtig eingeordnet werden)
Voraussetzungen (typisch)
-
definierter Scope (IP-Ranges, Systeme, Umgebungen)
-
erlaubte Testzeiten und Kontaktperson
-
bei Grey/Whitebox: Testaccounts, Dokumentation oder Architekturhinweise (nach Bedarf)
