Alain Rees · 12-07-2026 · 12 min leestijd
Ein Penetrationstest, in der Praxis meist Pentest genannt, ist ein kontrollierter Angriff auf Ihre eigenen Systeme, um Schwachstellen zu finden, bevor es ein echter Angreifer tut. Ein einzelner Pentest liefert einen Bericht, doch erst ein strukturierter Ansatz schafft echten Mehrwert. In diesem Artikel lesen Sie, warum Sie testen, wie Sie eine Pentest-Richtlinie und einen Pentest-Kalender aufsetzen, was in einen guten Pentest-Bericht gehört und was Sie danach mit den Erkenntnissen tun.
Kurz gefasst
- Ein Pentest bildet einen echten Angriff nach und zeigt, welche Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind.
- Eine Pentest-Richtlinie legt fest, was Sie testen, wie oft, durch wen und unter welchen Bedingungen.
- Ein Pentest-Kalender plant die Tests im Voraus und verknüpft sie mit Änderungen und neuen Systemen.
- Ein Pentest-Bericht ist erst dann nützlich, wenn Sie die Erkenntnisse nachverfolgen, beheben und erneut testen lassen.
- Nachweisbar wird das Ganze, indem Sie die Erkenntnisse in einem Register verwalten, das an Ihr ISMS anschließt.
- Der Pentest-Prozess deckt sich mit den vier Phasen des Kantyra-Modells: Erkennen, Bewerten, Beheben und Nachweisen.
Ein Pentest ist ein autorisierter, kontrollierter Versuch, in Ihre Systeme einzudringen, durchgeführt von einer sachkundigen Person, die wie ein Angreifer denkt und handelt. Das Ziel ist nicht, Schaden anzurichten, sondern zu zeigen, wo Sie verwundbar sind und welche Folgen es hätte, wenn jemand diese Schwäche ausnutzt.
Wichtig ist der Unterschied zu einem Schwachstellenscan. Ein Scan läuft automatisiert und findet bekannte Schwachstellen, sagt aber wenig über die tatsächliche Auswirkung aus. Ein Pentest geht weiter. Eine Testerin oder ein Tester kombiniert einzelne Schwächen zu einer echten Angriffskette und zeigt, wie weit jemand kommen kann. So wissen Sie nicht nur, dass eine Schwachstelle besteht, sondern auch, was ein Angreifer in Ihrer Umgebung damit erreichen kann.
Pentests sind aus mehreren Gründen sinnvoll und mitunter sogar notwendig.
Der wichtigste Grund ist, dass Sie Schwachstellen finden, bevor Angreifer es tun. Sie erhalten Einblick in echte, ausnutzbare Schwächen statt in eine theoretische Liste und können sie zu einem Zeitpunkt beheben, den Sie selbst wählen.
Hinzu kommt die Nachweisbarkeit. Die Norm ISO 27001 verlangt, dass Sie technische Schwachstellen beherrschen und Ihre Maßnahmen regelmäßig prüfen, und ein Pentest ist der übliche Weg dafür. Auch die Sorgfaltspflicht aus NIS2 verlangt angemessene Maßnahmen, und diese Maßnahmen müssen Sie belegen können. Darüber hinaus verlangen Kundinnen und Auftraggeber zunehmend einen aktuellen Testbericht, bevor sie mit Ihnen zusammenarbeiten.
Schließlich vermittelt ein Pentest Ihrer Leitung und Ihrem Sicherheitsteam ein realistisches Bild. Ein gelungener Einbruch in eine Testumgebung macht greifbar, was eine Risikoliste nie vermittelt.
Nicht jeder Pentest ist gleich. Bevor Sie testen, legen Sie den Umfang fest, also was genau untersucht wird und mit wie viel Vorwissen.
Beim Vorwissen gibt es drei Varianten. Bei einem Test ohne Vorwissen (Blackbox) beginnt der Tester bei null, genau wie ein Außenstehender. Bei einem Test mit vollständigem Vorwissen (Whitebox) erhält der Tester Dokumentation und Zugang und kann dadurch tiefer graben. Ein Test mit teilweisem Vorwissen (Greybox) liegt dazwischen und ist in der Praxis am gebräuchlichsten.
Beim Gegenstand können Sie ganz unterschiedliche Dinge prüfen lassen, etwa eine Webanwendung, Ihr externes oder internes Netzwerk, eine mobile App, eine Cloud-Umgebung oder das Täuschen von Mitarbeitenden. Diese letzte Form, das Prüfen, ob Mitarbeitende auf Täuschung hereinfallen, berührt Ihr Sicherheitsbewusstsein und Ihre Sicherheitskultur.
Die Wahl hängt davon ab, was Sie wissen möchten, und von Ihren Risiken. Ein guter Tester berät Sie dabei, doch die Endverantwortung für den Umfang liegt bei Ihnen.
Eine Pentest-Richtlinie macht aus einzelnen Tests einen zusammenhängenden Ansatz. Sie ist der Rahmen, in dem Sie festlegen, wie Ihre Organisation mit Pentests umgeht. Eine gute Pentest-Richtlinie beschreibt zumindest die folgenden Punkte:
Der letzte Punkt ist entscheidend. Ohne Vereinbarungen zur Nachverfolgung bleibt ein Pentest eine Momentaufnahme ohne Folgen.
Wo die Richtlinie den Rahmen bildet, plant der Pentest-Kalender die Tests konkret ein. Der Kalender verhindert, dass Pentests ad hoc stattfinden, und sorgt dafür, dass Ihre kritischen Systeme in fester Regelmäßigkeit an die Reihe kommen.
Im Kalender legen Sie fest, welches System wann und durch wen getestet wird. Meist testen Sie Ihre kritischen Systeme mindestens jährlich, und darüber hinaus testen Sie zu festen Zeitpunkten, zum Beispiel bevor eine neue Anwendung in Produktion geht, nach einer einschneidenden Änderung oder bei einer großen neuen Version. So verknüpfen Sie den Kalender mit Ihrem Änderungsmanagement und Ihrer Planung neuer Versionen und testen zu den Zeitpunkten, an denen sich das Risiko ändert.
Ein Kalender hilft auch bei der Planung Ihres Budgets und der Verfügbarkeit einer geeigneten Partei, denn gute Tester sind nicht immer kurzfristig verfügbar.
Ein Pentest durchläuft in der Regel eine feste Zahl von Phasen. Wenn Sie wissen, wie diese aussehen, können Sie einen Test besser begleiten.
Der Nachtest wird oft vergessen, dabei gibt gerade er Ihnen die Gewissheit, dass ein Problem wirklich gelöst ist.
Der Pentest-Bericht ist das greifbare Ergebnis, doch seine Qualität bestimmt, wie viel er Ihnen nützt. Ein guter Bericht enthält die folgenden Bestandteile:
Ein Bericht, der nur eine Liste von Schwachstellen liefert, ohne Auswirkung und Priorisierung, zwingt Sie, die eigentliche Arbeit selbst zu erledigen. Fragen Sie diese Bestandteile daher im Voraus an, damit Sie den Bericht sofort nutzen können.
Hier liegt der Schritt, der den Unterschied macht zwischen bloßem Abhaken und tatsächlich sicherer werden. Ein Bericht ist erst dann wertvoll, wenn Sie die Erkenntnisse nachverfolgen.
Je Erkenntnis benennen Sie eine verantwortliche Person und legen eine Behebungsfrist nach Schweregrad fest. Eine kritische Erkenntnis greifen Sie sofort auf, eine leichte Erkenntnis kann bis zu einem geeigneten Zeitpunkt warten. Nach der Behebung lassen Sie einen Nachtest durchführen, um zu bestätigen, dass das Problem wirklich weg ist. Die schwersten Erkenntnisse eskalieren Sie in Ihr Risikoregister, damit sie auf Leitungsebene sichtbar bleiben, bis sie gelöst sind.
Sie können Pentest-Berichte in einem Ordner ablegen, doch dann verlieren Sie den Überblick, sobald Sie mehr als ein paar Tests pro Jahr durchführen lassen. Die Grundlage eines reifen Ansatzes ist deshalb ein Erkenntnisregister, also eine aktuelle Übersicht über jede Erkenntnis, mit Schweregrad, verantwortlicher Person, Behebungsfrist, Status und Nachtestdatum.
In Kantyra erfassen Sie jede Erkenntnis aus einem Pentest mit der Quelle „Pentest", oder Sie importieren den gesamten Bericht auf einmal aus Excel, mit dem Bericht selbst als angehängtem Nachweis. Von diesem Register aus laufen die Linien zum Rest Ihrer Steuerung. Sie verknüpfen eine Erkenntnis mit den betroffenen Assets und mit den Risiken, die sie berührt, und bei einer Erkenntnis mit Schweregrad hoch oder kritisch legt Kantyra automatisch eine Neubewertungsaufgabe für das verknüpfte Risiko an, genau wie bei einem Vorfall. So eskaliert eine schwere Schwachstelle von selbst in Ihr Risikoregister, statt in einem Bericht liegen zu bleiben. Die Behebungsmaßnahme halten Sie bei der Erkenntnis selbst fest, mit einer verantwortlichen Person und einer Frist, und nach der Behebung planen Sie den Nachtest mit einem eigenen Nachtestdatum: rückt dieses näher, steht der Nachtest automatisch als Aufgabe bereit, sodass der am häufigsten vergessene Schritt nicht mehr übersprungen wird. Die Sicherheitsmaßnahmen, die aus einem Test folgen, verwalten Sie als Maßnahmen. So schließt der Pentest unmittelbar an Ihre Informationssicherheit und Ihr Risikomanagement (ISMS) im Einklang mit ISO 27001 an.
Von allen Themen dieser Reihe beginnt der Pentest am deutlichsten unten im Modell, beim Erkennen. Ein Pentest ist nämlich in erster Linie ein Signal: Er bringt ans Licht, was wirklich schiefgehen kann.
Es beginnt beim Erkennen: Der Test findet die Schwachstellen, und Sie erfassen jede Erkenntnis mit der Quelle „Pentest". Danach folgt das Bewerten: Sie gewichten jede Erkenntnis nach Schweregrad, und die schwersten eskalieren Sie in das Risikoregister. In der Phase Beheben planen Sie das Vorgehen mit der Pentest-Richtlinie und dem Kalender, beheben je nach Schweregrad mit einer verantwortlichen Person und einer Frist und lassen erneut testen; das Nachtestdatum wird dabei überwacht. Und in der Phase Nachweisen bilden das Erkenntnisregister, der Nachweis des Nachtests und der Bericht zusammen die Akte für die Prüferin oder den Prüfer und die Kundin oder den Kunden.
Genau deshalb ist ein Pentest-Bericht so oft ein totes Dokument: Viele Organisationen bleiben beim Erkennen stecken und lassen das Signal nie durch den Zyklus laufen. Ein Pentest schafft erst dann Mehrwert, wenn die Erkenntnis zu einem Risiko, einer Behebungsmaßnahme und letztlich zum Nachweis führt, dass das Problem wirklich weg ist. Das Modell erzwingt diesen Durchlauf, sodass der Test kein Endpunkt ist, sondern ein Startpunkt.
Sie können Ihre Pentest-Richtlinie, Ihren Kalender und Ihre Erkenntnisse in losen Dateien führen, und als Anfang ist das vertretbar. Doch je mehr Sie testen und je stärker die Aufsichtsbehörde oder Ihre Kundin Nachweisbarkeit verlangt, desto eher stoßen Sie an dieselben Grenzen wie bei jedem anderen Compliance-Vorhaben. Lose Dateien geraten aus dem Takt, und Ihnen fehlen der Überblick und die Historie, die Sie brauchen.
In einer GRC-Plattform verwalten Sie die Pentest-Richtlinie, die Planung und das Erkenntnisregister in einer einzigen Umgebung. Jede Erkenntnis hat eine verantwortliche Person, einen Status, eine Behebungsfrist und ein Nachtestdatum, und die Verknüpfung mit Ihrem Risikoregister und Ihren Aufgaben verhindert, dass ein offenes Risiko aus dem Blick gerät.
Mit Kantyra verwalten Sie Ihren Pentest-Prozess in derselben Umgebung wie Ihr ISMS. Die Pentest-Richtlinie halten Sie als Richtliniendokument mit Versionsverwaltung und Freigabe fest, den wiederkehrenden Test planen Sie als Wirksamkeitstest an der betroffenen Maßnahme (das geplante Testdatum mit automatischer Erinnerung bildet Ihren Kalender), und den Bericht verarbeiten Sie im Erkenntnisregister. Ob Sie Pentests nun als eigenständige Tätigkeit betrachten oder als Teil Ihrer umfassenderen Sicherheit: Ihre Erkenntnisse, Ihre Risiken und Ihre Behebungsmaßnahmen kommen an einem Ort zusammen, im Einklang mit ISO 27001. So machen Sie Ihren Pentest-Prozess ebenso nachweisbar wie den Rest Ihrer Sicherheit.
Was ist der Unterschied zwischen einem Pentest und einem Schwachstellenscan? Ein Scan läuft automatisiert und findet bekannte Schwachstellen. Ein Pentest geht weiter und zeigt, ob diese Schwachstellen in Ihrem Kontext wirklich ausnutzbar sind und welche Auswirkung sie haben. Ein Scan ist breit und schnell, ein Pentest ist tief und gezielt.
Wie oft sollten Sie Pentests durchführen? Für kritische Systeme ist mindestens jährlich üblich. Darüber hinaus testen Sie zu festen Zeitpunkten, zum Beispiel bevor eine neue Anwendung in Produktion geht oder nach einer einschneidenden Änderung. Die richtige Häufigkeit hängt von Ihren Risiken ab.
Sind Sie zu Pentests verpflichtet? Das Gesetz schreibt nicht wörtlich einen Pentest vor, aber ISO 27001 und die Sorgfaltspflicht aus NIS2 verlangen, dass Sie Ihre Maßnahmen prüfen und technische Schwachstellen beherrschen. Ein Pentest ist der übliche Weg dafür, und Kundinnen und Kunden machen ihn oft vertraglich zur Pflicht.
Wer darf einen Pentest durchführen? Ein internes Team kann testen, doch eine unabhängige externe Partei gibt ein objektiveres Bild und mehr Wert gegenüber Kundschaft und Aufsichtsbehörden. In allen Fällen sind klare Autorisierung und vorab getroffene Vereinbarungen notwendig.
Was tun Sie mit den Erkenntnissen? Sie benennen je Erkenntnis eine verantwortliche Person, beheben nach Schweregrad innerhalb einer Frist und lassen erneut testen. Die schwersten Erkenntnisse eskalieren Sie in Ihr Risikoregister, und Sie halten alles in einem Erkenntnisregister fest.
Möchten Sie Ihren Pentest-Prozess nicht in losen Dateien verwalten, sondern in einer Umgebung, die an Ihre Informationssicherheit anschließt? Mit Kantyra halten Sie Ihre Pentest-Richtlinie als Richtliniendokument fest, planen den wiederkehrenden Test als Wirksamkeitstest an der betroffenen Maßnahme und verarbeiten den Bericht im Erkenntnisregister, verknüpft mit Ihren Risiken und Ihren Aufgaben, im Einklang mit ISO 27001. So machen Sie Ihren Pentest-Prozess nachweisbar und übersichtlich, und keine einzige Erkenntnis gerät aus dem Blick. Fordern Sie eine Demo an und entdecken Sie, wie Sie Pentests auf Ihr bestehendes ISMS aufsetzen.
Kantyra ist eine ISMS- und GRC-Plattform, mit der Organisationen ihre Informationssicherheit, ihr Risikomanagement und ihre Compliance nachweisbar verwalten, im Einklang mit Normen wie ISO 27001 und ISO 22301 und mit Rechtsvorschriften wie der DSGVO, NIS2 und der KI-Verordnung.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoMessen Sie als CISO, wo Ihre Organisation und Ihr CISO Office stehen, und erfahren Sie, wie Sie mit einer Scorecard steuern und rechtzeitig nachsteuern.
Wie Sie Schwachstellenmanagement als CISO steuern, von der Richtlinie bis zur Rechenschaft gegenüber der Geschäftsleitung.
Die DSGVO verlangt, dass Sie den Umgang mit personenbezogenen Daten nicht nur sorgfältig regeln, sondern auch nachweisen können.