Penetrationstest

« Zurück zum IT-Lexikon

Kurz gesagt: Bei einem Penetrationstest (kurz Pentest) greifen beauftragte Sicherheitsexperten Ihre IT kontrolliert an, mit denselben Methoden wie echte Angreifer, aber ohne Schaden anzurichten. Das Ergebnis ist ein Bericht, der zeigt, wo Ihr Unternehmen verwundbar ist. Ein Crashtest für Ihre IT, bevor es auf der Straße kracht.

1. Umfang festlegenWas wird getestet,was ist tabu?2. Kontrolliert angreifenwie ein echter Hacker,aber im Auftrag3. Bericht mit Risikenjede Lücke bewertetund priorisiert4. Lücken schließenMaßnahmen umsetzen,Nachtest möglich
Penetrationstest in vier Schritten: Umfang festlegen, kontrolliert angreifen, Bericht, Lücken schließen.

Wie läuft ein Penetrationstest ab?

Zuerst wird der Umfang schriftlich festgelegt: Was wird getestet (Firewall von außen, internes Netzwerk, Webanwendungen, WLAN), in welchem Zeitraum, und was ist tabu. Dann versuchen die Tester tatsächlich einzudringen: Sie suchen offene Zugänge, veraltete Software, schwache Passwörter und Konfigurationsfehler und kombinieren sie, wie es ein echter Angreifer täte.

Der Unterschied zum reinen Schwachstellen-Scan: Ein Scan prüft automatisiert in die Breite und liefert eine Rohliste möglicher Lücken. Ein Pentest prüft manuell in die Tiefe, sortiert Fehlalarme aus und zeigt, welche Lücken sich wirklich ausnutzen lassen und was das konkret bedeuten würde. Am Ende steht ein Bericht mit priorisiertem Maßnahmenplan, verständlich statt Fachchinesisch.

Warum ist das für Ihr Unternehmen wichtig?

Sie erfahren von Ihren Lücken entweder durch einen Test oder durch einen Angriff. Der Test ist deutlich günstiger. Für viele Unternehmen ist er inzwischen auch Nachweis-Pflichtprogramm: Cyber-Versicherungen fragen danach, und Regelwerke wie NIS2 oder ISO 27001 verlangen, die Wirksamkeit der Sicherheitsmaßnahmen regelmäßig zu prüfen. Sinnvoller Rhythmus: einmal jährlich sowie nach größeren Umbauten der IT.

Aktuelles zum Thema

Stand: Juli 2026. Diesen Abschnitt aktualisieren wir regelmäßig.

  • 119 neue Schwachstellen pro Tag: Das BSI registriert täglich rund 119 neue Sicherheitslücken in Software-Produkten, ein Viertel mehr als im Vorjahr. Was heute dicht ist, kann morgen offen sein (BSI-Lagebericht, PDF).
  • „FortiBleed“ als Anschauungsmaterial: Im Juni 2026 kursierten Zugangsdaten zehntausender Firewalls, Ursache waren bekannte, ungeschlossene Lücken und offene Admin-Zugänge. Genau solche Einfallstore findet ein Pentest von außen zuerst.
  • NIS2 verlangt Wirksamkeitsprüfung: Das deutsche NIS2-Gesetz verpflichtet betroffene Unternehmen, ihre Sicherheitsmaßnahmen regelmäßig zu bewerten. Penetrationstests sind dafür ein anerkannter Baustein.

Verwandte Begriffe

Firewall  ·  Ransomware  ·  NIS2

Ringo, IT-Experte bei oneserv

Wann wurde Ihre IT zuletzt richtig getestet?

Unsere Schwachstellenanalysen und Penetrationstests zeigen Ihnen, wo Ihr Unternehmen angreifbar ist, mit klarem Maßnahmenplan und Priorisierung. Für KMU in Dresden und Sachsen, verständlich erklärt.

« Zurück zum IT-Lexikon