Kantyra Kantyra

← Alle artikelen

Algemeen

Wie richten Sie Penetrationstests strukturiert ein?

Alain Rees · 12-07-2026 · 12 min leestijd

Ein Penetrationstest, in der Praxis meist Pentest genannt, ist ein kontrollierter Angriff auf Ihre eigenen Systeme, um Schwachstellen zu finden, bevor es ein echter Angreifer tut. Ein einzelner Pentest liefert einen Bericht, doch erst ein strukturierter Ansatz schafft echten Mehrwert. In diesem Artikel lesen Sie, warum Sie testen, wie Sie eine Pentest-Richtlinie und einen Pentest-Kalender aufsetzen, was in einen guten Pentest-Bericht gehört und was Sie danach mit den Erkenntnissen tun.

Kurz gefasst

  • Ein Pentest bildet einen echten Angriff nach und zeigt, welche Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind.
  • Eine Pentest-Richtlinie legt fest, was Sie testen, wie oft, durch wen und unter welchen Bedingungen.
  • Ein Pentest-Kalender plant die Tests im Voraus und verknüpft sie mit Änderungen und neuen Systemen.
  • Ein Pentest-Bericht ist erst dann nützlich, wenn Sie die Erkenntnisse nachverfolgen, beheben und erneut testen lassen.
  • Nachweisbar wird das Ganze, indem Sie die Erkenntnisse in einem Register verwalten, das an Ihr ISMS anschließt.
  • Der Pentest-Prozess deckt sich mit den vier Phasen des Kantyra-Modells: Erkennen, Bewerten, Beheben und Nachweisen.

Was ist ein Pentest?

Ein Pentest ist ein autorisierter, kontrollierter Versuch, in Ihre Systeme einzudringen, durchgeführt von einer sachkundigen Person, die wie ein Angreifer denkt und handelt. Das Ziel ist nicht, Schaden anzurichten, sondern zu zeigen, wo Sie verwundbar sind und welche Folgen es hätte, wenn jemand diese Schwäche ausnutzt.

Wichtig ist der Unterschied zu einem Schwachstellenscan. Ein Scan läuft automatisiert und findet bekannte Schwachstellen, sagt aber wenig über die tatsächliche Auswirkung aus. Ein Pentest geht weiter. Eine Testerin oder ein Tester kombiniert einzelne Schwächen zu einer echten Angriffskette und zeigt, wie weit jemand kommen kann. So wissen Sie nicht nur, dass eine Schwachstelle besteht, sondern auch, was ein Angreifer in Ihrer Umgebung damit erreichen kann.

Warum sollten Sie Pentests durchführen?

Pentests sind aus mehreren Gründen sinnvoll und mitunter sogar notwendig.

Der wichtigste Grund ist, dass Sie Schwachstellen finden, bevor Angreifer es tun. Sie erhalten Einblick in echte, ausnutzbare Schwächen statt in eine theoretische Liste und können sie zu einem Zeitpunkt beheben, den Sie selbst wählen.

Hinzu kommt die Nachweisbarkeit. Die Norm ISO 27001 verlangt, dass Sie technische Schwachstellen beherrschen und Ihre Maßnahmen regelmäßig prüfen, und ein Pentest ist der übliche Weg dafür. Auch die Sorgfaltspflicht aus NIS2 verlangt angemessene Maßnahmen, und diese Maßnahmen müssen Sie belegen können. Darüber hinaus verlangen Kundinnen und Auftraggeber zunehmend einen aktuellen Testbericht, bevor sie mit Ihnen zusammenarbeiten.

Schließlich vermittelt ein Pentest Ihrer Leitung und Ihrem Sicherheitsteam ein realistisches Bild. Ein gelungener Einbruch in eine Testumgebung macht greifbar, was eine Risikoliste nie vermittelt.

Arten von Pentests und der Umfang

Nicht jeder Pentest ist gleich. Bevor Sie testen, legen Sie den Umfang fest, also was genau untersucht wird und mit wie viel Vorwissen.

Beim Vorwissen gibt es drei Varianten. Bei einem Test ohne Vorwissen (Blackbox) beginnt der Tester bei null, genau wie ein Außenstehender. Bei einem Test mit vollständigem Vorwissen (Whitebox) erhält der Tester Dokumentation und Zugang und kann dadurch tiefer graben. Ein Test mit teilweisem Vorwissen (Greybox) liegt dazwischen und ist in der Praxis am gebräuchlichsten.

Beim Gegenstand können Sie ganz unterschiedliche Dinge prüfen lassen, etwa eine Webanwendung, Ihr externes oder internes Netzwerk, eine mobile App, eine Cloud-Umgebung oder das Täuschen von Mitarbeitenden. Diese letzte Form, das Prüfen, ob Mitarbeitende auf Täuschung hereinfallen, berührt Ihr Sicherheitsbewusstsein und Ihre Sicherheitskultur.

Die Wahl hängt davon ab, was Sie wissen möchten, und von Ihren Risiken. Ein guter Tester berät Sie dabei, doch die Endverantwortung für den Umfang liegt bei Ihnen.

Die Pentest-Richtlinie

Eine Pentest-Richtlinie macht aus einzelnen Tests einen zusammenhängenden Ansatz. Sie ist der Rahmen, in dem Sie festlegen, wie Ihre Organisation mit Pentests umgeht. Eine gute Pentest-Richtlinie beschreibt zumindest die folgenden Punkte:

  • den Zweck der Pentests und den Umfang, also welche Systeme und Dienste Sie testen;
  • die Häufigkeit und die Ereignisse, die einen Test auslösen;
  • die Arten von Tests, die Sie einsetzen, und wie Sie den Umfang je Test bestimmen;
  • die Anforderungen an die durchführende Partei, etwa Unabhängigkeit und nachweisbare Sachkunde;
  • die Vereinbarungen zu Autorisierung und rechtlicher Freistellung, damit der Test rechtmäßig ist;
  • den Umgang mit Daten, auf die der Tester stößt, und die Vertraulichkeit des Berichts;
  • die Anforderungen an Berichterstattung, Nachverfolgung und Nachtest.

Der letzte Punkt ist entscheidend. Ohne Vereinbarungen zur Nachverfolgung bleibt ein Pentest eine Momentaufnahme ohne Folgen.

Der Pentest-Kalender

Wo die Richtlinie den Rahmen bildet, plant der Pentest-Kalender die Tests konkret ein. Der Kalender verhindert, dass Pentests ad hoc stattfinden, und sorgt dafür, dass Ihre kritischen Systeme in fester Regelmäßigkeit an die Reihe kommen.

Im Kalender legen Sie fest, welches System wann und durch wen getestet wird. Meist testen Sie Ihre kritischen Systeme mindestens jährlich, und darüber hinaus testen Sie zu festen Zeitpunkten, zum Beispiel bevor eine neue Anwendung in Produktion geht, nach einer einschneidenden Änderung oder bei einer großen neuen Version. So verknüpfen Sie den Kalender mit Ihrem Änderungsmanagement und Ihrer Planung neuer Versionen und testen zu den Zeitpunkten, an denen sich das Risiko ändert.

Ein Kalender hilft auch bei der Planung Ihres Budgets und der Verfügbarkeit einer geeigneten Partei, denn gute Tester sind nicht immer kurzfristig verfügbar.

Wie läuft ein Pentest ab?

Ein Pentest durchläuft in der Regel eine feste Zahl von Phasen. Wenn Sie wissen, wie diese aussehen, können Sie einen Test besser begleiten.

  1. Abgrenzung. Sie bestimmen gemeinsam mit dem Tester den Umfang, die Ziele und die Spielregeln.
  2. Erkundung. Der Tester sammelt Informationen über die Zielsysteme und sucht nach möglichen Einstiegspunkten.
  3. Ausnutzung. Der Tester versucht, die gefundenen Schwächen tatsächlich zu missbrauchen und weiter einzudringen.
  4. Berichterstattung. Der Tester hält die Erkenntnisse fest, mit Nachweis, Auswirkung und Empfehlungen.
  5. Nachtest. Nach der Behebung prüft der Tester, ob die Schwachstellen wirklich beseitigt sind.

Der Nachtest wird oft vergessen, dabei gibt gerade er Ihnen die Gewissheit, dass ein Problem wirklich gelöst ist.

Der Pentest-Bericht

Der Pentest-Bericht ist das greifbare Ergebnis, doch seine Qualität bestimmt, wie viel er Ihnen nützt. Ein guter Bericht enthält die folgenden Bestandteile:

  • eine Managementzusammenfassung, die ohne technisches Wissen verständlich ist;
  • eine Beschreibung des Umfangs und des gewählten Vorgehens;
  • die Erkenntnisse, jede mit einer Risikoeinstufung, zum Beispiel auf Basis von CVSS;
  • je Erkenntnis den Nachweis und die Schritte, um sie zu reproduzieren;
  • die Auswirkung jeder Erkenntnis in klarer Sprache;
  • eine konkrete Empfehlung je Erkenntnis und eine Priorisierung für die Behebung.

Ein Bericht, der nur eine Liste von Schwachstellen liefert, ohne Auswirkung und Priorisierung, zwingt Sie, die eigentliche Arbeit selbst zu erledigen. Fragen Sie diese Bestandteile daher im Voraus an, damit Sie den Bericht sofort nutzen können.

Was Sie mit den Ergebnissen tun

Hier liegt der Schritt, der den Unterschied macht zwischen bloßem Abhaken und tatsächlich sicherer werden. Ein Bericht ist erst dann wertvoll, wenn Sie die Erkenntnisse nachverfolgen.

Je Erkenntnis benennen Sie eine verantwortliche Person und legen eine Behebungsfrist nach Schweregrad fest. Eine kritische Erkenntnis greifen Sie sofort auf, eine leichte Erkenntnis kann bis zu einem geeigneten Zeitpunkt warten. Nach der Behebung lassen Sie einen Nachtest durchführen, um zu bestätigen, dass das Problem wirklich weg ist. Die schwersten Erkenntnisse eskalieren Sie in Ihr Risikoregister, damit sie auf Leitungsebene sichtbar bleiben, bis sie gelöst sind.

Vom losen Bericht zum zusammenhängenden Management

Sie können Pentest-Berichte in einem Ordner ablegen, doch dann verlieren Sie den Überblick, sobald Sie mehr als ein paar Tests pro Jahr durchführen lassen. Die Grundlage eines reifen Ansatzes ist deshalb ein Erkenntnisregister, also eine aktuelle Übersicht über jede Erkenntnis, mit Schweregrad, verantwortlicher Person, Behebungsfrist, Status und Nachtestdatum.

In Kantyra erfassen Sie jede Erkenntnis aus einem Pentest mit der Quelle „Pentest", oder Sie importieren den gesamten Bericht auf einmal aus Excel, mit dem Bericht selbst als angehängtem Nachweis. Von diesem Register aus laufen die Linien zum Rest Ihrer Steuerung. Sie verknüpfen eine Erkenntnis mit den betroffenen Assets und mit den Risiken, die sie berührt, und bei einer Erkenntnis mit Schweregrad hoch oder kritisch legt Kantyra automatisch eine Neubewertungsaufgabe für das verknüpfte Risiko an, genau wie bei einem Vorfall. So eskaliert eine schwere Schwachstelle von selbst in Ihr Risikoregister, statt in einem Bericht liegen zu bleiben. Die Behebungsmaßnahme halten Sie bei der Erkenntnis selbst fest, mit einer verantwortlichen Person und einer Frist, und nach der Behebung planen Sie den Nachtest mit einem eigenen Nachtestdatum: rückt dieses näher, steht der Nachtest automatisch als Aufgabe bereit, sodass der am häufigsten vergessene Schritt nicht mehr übersprungen wird. Die Sicherheitsmaßnahmen, die aus einem Test folgen, verwalten Sie als Maßnahmen. So schließt der Pentest unmittelbar an Ihre Informationssicherheit und Ihr Risikomanagement (ISMS) im Einklang mit ISO 27001 an.

Wo sitzt der Pentest im Kantyra-Modell?

Von allen Themen dieser Reihe beginnt der Pentest am deutlichsten unten im Modell, beim Erkennen. Ein Pentest ist nämlich in erster Linie ein Signal: Er bringt ans Licht, was wirklich schiefgehen kann.

Es beginnt beim Erkennen: Der Test findet die Schwachstellen, und Sie erfassen jede Erkenntnis mit der Quelle „Pentest". Danach folgt das Bewerten: Sie gewichten jede Erkenntnis nach Schweregrad, und die schwersten eskalieren Sie in das Risikoregister. In der Phase Beheben planen Sie das Vorgehen mit der Pentest-Richtlinie und dem Kalender, beheben je nach Schweregrad mit einer verantwortlichen Person und einer Frist und lassen erneut testen; das Nachtestdatum wird dabei überwacht. Und in der Phase Nachweisen bilden das Erkenntnisregister, der Nachweis des Nachtests und der Bericht zusammen die Akte für die Prüferin oder den Prüfer und die Kundin oder den Kunden.

Der Pentest-Prozess neben den vier Phasen des Kantyra-Modells: der Pentest selbst gehört zum Erkennen, das Gewichten und Eskalieren zum Bewerten, die Richtlinie und der Kalender, die Behebung und der Nachtest zum Beheben, und der Nachweis zum Nachweisen

Genau deshalb ist ein Pentest-Bericht so oft ein totes Dokument: Viele Organisationen bleiben beim Erkennen stecken und lassen das Signal nie durch den Zyklus laufen. Ein Pentest schafft erst dann Mehrwert, wenn die Erkenntnis zu einem Risiko, einer Behebungsmaßnahme und letztlich zum Nachweis führt, dass das Problem wirklich weg ist. Das Modell erzwingt diesen Durchlauf, sodass der Test kein Endpunkt ist, sondern ein Startpunkt.

Arbeiten Sie mit losen Dokumenten oder mit einer GRC-Plattform?

Sie können Ihre Pentest-Richtlinie, Ihren Kalender und Ihre Erkenntnisse in losen Dateien führen, und als Anfang ist das vertretbar. Doch je mehr Sie testen und je stärker die Aufsichtsbehörde oder Ihre Kundin Nachweisbarkeit verlangt, desto eher stoßen Sie an dieselben Grenzen wie bei jedem anderen Compliance-Vorhaben. Lose Dateien geraten aus dem Takt, und Ihnen fehlen der Überblick und die Historie, die Sie brauchen.

In einer GRC-Plattform verwalten Sie die Pentest-Richtlinie, die Planung und das Erkenntnisregister in einer einzigen Umgebung. Jede Erkenntnis hat eine verantwortliche Person, einen Status, eine Behebungsfrist und ein Nachtestdatum, und die Verknüpfung mit Ihrem Risikoregister und Ihren Aufgaben verhindert, dass ein offenes Risiko aus dem Blick gerät.

Mit Kantyra verwalten Sie Ihren Pentest-Prozess in derselben Umgebung wie Ihr ISMS. Die Pentest-Richtlinie halten Sie als Richtliniendokument mit Versionsverwaltung und Freigabe fest, den wiederkehrenden Test planen Sie als Wirksamkeitstest an der betroffenen Maßnahme (das geplante Testdatum mit automatischer Erinnerung bildet Ihren Kalender), und den Bericht verarbeiten Sie im Erkenntnisregister. Ob Sie Pentests nun als eigenständige Tätigkeit betrachten oder als Teil Ihrer umfassenderen Sicherheit: Ihre Erkenntnisse, Ihre Risiken und Ihre Behebungsmaßnahmen kommen an einem Ort zusammen, im Einklang mit ISO 27001. So machen Sie Ihren Pentest-Prozess ebenso nachweisbar wie den Rest Ihrer Sicherheit.

In fünf Schritten mit Pentests loslegen

  1. Legen Sie eine Pentest-Richtlinie fest. Halten Sie fest, was Sie testen, wie oft, durch wen und unter welchen Bedingungen.
  2. Bestimmen Sie den Umfang und wählen Sie eine Partei. Wählen Sie einen unabhängigen, nachweisbar sachkundigen Tester und bestimmen Sie, was getestet wird.
  3. Planen Sie die Tests in einem Kalender. Verknüpfen Sie die Tests mit Ihren kritischen Systemen, Ihren Änderungen und Ihren neuen Versionen.
  4. Lassen Sie den Test durchführen. Erhalten Sie einen Bericht mit Auswirkung, Priorisierung und konkreten Empfehlungen.
  5. Verfolgen Sie die Erkenntnisse nach. Beheben Sie nach Schweregrad, lassen Sie erneut testen und verwalten Sie alles in einem Erkenntnisregister.

Häufig gestellte Fragen zu Pentests

Was ist der Unterschied zwischen einem Pentest und einem Schwachstellenscan? Ein Scan läuft automatisiert und findet bekannte Schwachstellen. Ein Pentest geht weiter und zeigt, ob diese Schwachstellen in Ihrem Kontext wirklich ausnutzbar sind und welche Auswirkung sie haben. Ein Scan ist breit und schnell, ein Pentest ist tief und gezielt.

Wie oft sollten Sie Pentests durchführen? Für kritische Systeme ist mindestens jährlich üblich. Darüber hinaus testen Sie zu festen Zeitpunkten, zum Beispiel bevor eine neue Anwendung in Produktion geht oder nach einer einschneidenden Änderung. Die richtige Häufigkeit hängt von Ihren Risiken ab.

Sind Sie zu Pentests verpflichtet? Das Gesetz schreibt nicht wörtlich einen Pentest vor, aber ISO 27001 und die Sorgfaltspflicht aus NIS2 verlangen, dass Sie Ihre Maßnahmen prüfen und technische Schwachstellen beherrschen. Ein Pentest ist der übliche Weg dafür, und Kundinnen und Kunden machen ihn oft vertraglich zur Pflicht.

Wer darf einen Pentest durchführen? Ein internes Team kann testen, doch eine unabhängige externe Partei gibt ein objektiveres Bild und mehr Wert gegenüber Kundschaft und Aufsichtsbehörden. In allen Fällen sind klare Autorisierung und vorab getroffene Vereinbarungen notwendig.

Was tun Sie mit den Erkenntnissen? Sie benennen je Erkenntnis eine verantwortliche Person, beheben nach Schweregrad innerhalb einer Frist und lassen erneut testen. Die schwersten Erkenntnisse eskalieren Sie in Ihr Risikoregister, und Sie halten alles in einem Erkenntnisregister fest.

Mit Pentests in Kantyra loslegen

Möchten Sie Ihren Pentest-Prozess nicht in losen Dateien verwalten, sondern in einer Umgebung, die an Ihre Informationssicherheit anschließt? Mit Kantyra halten Sie Ihre Pentest-Richtlinie als Richtliniendokument fest, planen den wiederkehrenden Test als Wirksamkeitstest an der betroffenen Maßnahme und verarbeiten den Bericht im Erkenntnisregister, verknüpft mit Ihren Risiken und Ihren Aufgaben, im Einklang mit ISO 27001. So machen Sie Ihren Pentest-Prozess nachweisbar und übersichtlich, und keine einzige Erkenntnis gerät aus dem Blick. Fordern Sie eine Demo an und entdecken Sie, wie Sie Pentests auf Ihr bestehendes ISMS aufsetzen.


Kantyra ist eine ISMS- und GRC-Plattform, mit der Organisationen ihre Informationssicherheit, ihr Risikomanagement und ihre Compliance nachweisbar verwalten, im Einklang mit Normen wie ISO 27001 und ISO 22301 und mit Rechtsvorschriften wie der DSGVO, NIS2 und der KI-Verordnung.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen