Was ist ein Penetrationstest?

Wer sich ernsthaft mit IT-Sicherheit auseinandersetzt, kommt irgendwann an einem Punkt an, wo theoretische Schutzkonzepte nicht mehr ausreichen. Man möchte wissen, ob die eigene Infrastruktur einem echten Angriff standhält. Genau hier setzt der Penetrationstest an.

Ein Penetrationstest, kurz Pentest, ist ein autorisierter und vollständig kontrollierter Angriff auf IT-Systeme, Netzwerke oder Anwendungen. Zertifizierte Sicherheitsexperten schlüpfen dabei in die Rolle echter Angreifer und versuchen, Sicherheitslücken zu finden und auszunutzen, bevor es Kriminelle tun. Der entscheidende Unterschied zu einem echten Angriff: Alles läuft dokumentiert, abgestimmt und im gesetzlichen Rahmen ab.

Wichtig zu verstehen ist, dass ein Penetrationstest immer nur eine Momentaufnahme liefert. Sicherheit ist kein statischer Zustand, den man einmal erreicht und dann abhaken kann. Neue Systeme, neue Software-Versionen und täglich neue Angriffsmethoden verändern das Bedrohungsbild laufend. Ein Pentest zeigt konkret, wo heute Handlungsbedarf besteht und welche Risiken priorisiert werden sollten.

Welche Arten von Penetrationstests gibt es?

Je nach Ausgangslage, Ziel und Angriffsvektor gibt es verschiedene Testarten, die sich sinnvoll ergänzen. In der Praxis werden oft mehrere Typen kombiniert, um ein vollständiges Bild der Sicherheitslage zu erhalten.

Interner Penetrationstest

Dieser Testtyp simuliert einen Angreifer, der bereits im internen Netzwerk Fuss gefasst hat. Das kann ein kompromittierter Mitarbeiterrechner sein, ein infiziertes Gerät im WLAN oder ein Insider mit böswilliger Absicht. Geprüft wird, wie weit sich ein solcher Angreifer lateral bewegen kann, ob er Administratorrechte erlangen und auf kritische Systeme oder sensible Daten zugreifen kann. In der Praxis sind interne Angriffe oft unterschätzt, dabei zeigen viele Vorfälle, dass ein einziges kompromittiertes Konto bereits für erheblichen Schaden ausreicht.

Externer Penetrationstest

Beim externen Pentest startet der Tester vollständig von aussen, ohne jeglichen Vorabzugang. Getestet werden alle öffentlich erreichbaren Systeme: Webserver, Firewalls, VPN-Zugänge, E-Mail-Gateways und sonstige Dienste, die aus dem Internet erreichbar sind. Das Ziel ist zu ermitteln, was ein fremder Angreifer mit öffentlich verfügbaren Informationen und gezielten Scans tatsächlich erreichen kann. Dieser Test ist oft der erste Schritt, weil er die Perspektive eines externen Angreifers direkt abbildet.

Web Application Pentest

Webanwendungen, APIs und Login-Systeme sind häufige Angriffsziele, weil sie direkt aus dem Internet erreichbar und oft komplex in ihrer Implementierung sind. Ein Web Application Pentest prüft gezielt auf bekannte Schwachstellenklassen wie SQL Injection, Cross-Site Scripting (XSS), unsichere Authentifizierungsmechanismen, fehlerhafte Autorisierung oder ungeschützte API-Endpunkte. Für Unternehmen mit Online-Plattformen, Kundenportalen oder SaaS-Produkten ist dieser Test häufig der relevanteste Einstiegspunkt.

Social Engineering und Phishing-Simulationen

Technik allein schützt nicht ausreichend, wenn Mitarbeitende auf täuschend echte E-Mails hereinfallen oder am Telefon vertrauliche Informationen preisgeben. Bei Social-Engineering-Tests werden gezielt gefälschte E-Mails, Anrufe oder physische Täuschungsversuche eingesetzt, um die menschliche Sicherheitsebene zu prüfen. Die Ergebnisse fliessen direkt in Awareness-Trainings ein und helfen dabei, die Belegschaft gezielt zu schulen.

Red Team Exercises

Red-Team-Übungen sind die umfassendste Form des Penetrationstests. Ein spezialisiertes Angreifer-Team kombiniert technische, physische und menschliche Angriffsvektoren gleichzeitig, ähnlich einem realen, gezielten Angriff durch eine professionelle Gruppe. Interne Sicherheitsteams wissen dabei meist nicht, dass ein Test läuft. Das liefert ein realistischeres Bild davon, wie gut Erkennung und Reaktion im Ernstfall tatsächlich funktionieren.

Cloud Penetrationstests

Mit der zunehmenden Verlagerung von Systemen in Cloud-Umgebungen bei Anbietern wie AWS, Azure oder Google Cloud entstehen neue Angriffsflächen, die sich von klassischer On-Premise-Infrastruktur grundlegend unterscheiden. Fehlkonfigurierte Zugriffsrechte, ungeschützte Storage-Buckets oder unsichere IAM-Rollen sind typische Befunde. Cloud-Pentests haben in den letzten Jahren stark an Bedeutung gewonnen, weil viele Unternehmen Cloud-Umgebungen einführen, ohne die spezifischen Sicherheitsanforderungen vollständig zu kennen.

Wie läuft ein Penetrationstest ab?

Ein professioneller Pentest folgt unabhängig von der gewählten Testart einem strukturierten Ablauf. Das schafft Transparenz, Planbarkeit und rechtliche Sicherheit für alle Beteiligten. Anerkannte Standards wie NIST SP 800-115 oder der PTES (Penetration Testing Execution Standard) definieren diesen Rahmen.

Phase 1: Planung und Scopedefinition

Bevor ein einziger Test stattfindet, wird gemeinsam definiert, welche Systeme in Scope sind, welche explizit ausgeschlossen werden, in welchem Zeitfenster getestet wird und welche rechtlichen sowie vertraglichen Rahmenbedingungen gelten. Diese Phase ist entscheidend, weil ein schlecht definierter Scope zu Missverständnissen, Produktionsausfällen oder rechtlichen Problemen führen kann.

Phase 2: Informationsbeschaffung (Reconnaissance)

In dieser Phase analysieren die Tester die Zielumgebung systematisch. Bei externen Tests geschieht das aus der Perspektive eines Angreifers aus dem Internet: öffentlich verfügbare Informationen, DNS-Einträge, SSL-Zertifikate, Subdomain-Strukturen. Bei internen Tests beginnt man vom Standpunkt eines bereits eingedrungenen Angreifers. Ziel ist es, aktive Systeme, laufende Dienste und potenzielle Einstiegspunkte zu identifizieren, bevor die eigentliche Angriffssimulation beginnt.

Phase 3: Schwachstellenanalyse

Basierend auf den gesammelten Informationen werden bekannte Sicherheitslücken in Betriebssystemen, Anwendungen und Diensten identifiziert. Anders als bei reinen automatisierten Scans kombinieren erfahrene Tester Werkzeuge mit manueller Analyse. Das ist wichtig, weil automatisierte Tools zwar bekannte Muster erkennen, aber logische Fehler in der Anwendungsarchitektur oder kontextspezifische Risiken häufig übersehen.

Phase 4: Exploitation

Jetzt wird geprüft, ob und wie die identifizierten Schwachstellen tatsächlich ausgenutzt werden können. Das geschieht kontrolliert und vollständig dokumentiert, immer innerhalb des vorher vereinbarten Scopes. Ziel ist nicht das Anrichten von Schaden, sondern der Nachweis, welche realen Konsequenzen eine Lücke hätte, wenn ein echter Angreifer sie entdeckt.

Phase 5: Berichterstattung und Massnahmen

Am Ende steht ein verständlicher, praxisorientierter Bericht. Er enthält eine Beschreibung der genutzten Angriffswege, eine Risikobewertung nach Schweregrad und konkrete, priorisierte Massnahmen zur Behebung. Ein guter Pentest-Bericht richtet sich nicht nur an das technische Team, sondern auch an Entscheidungsträger, die den Handlungsbedarf bewerten und budgetieren müssen.

Frameworks und Standards

Penetrationstests sind kein Freestyle. Sie orientieren sich an international anerkannten Frameworks, die für alle Testarten gleichermassen gelten und die Vergleichbarkeit sowie Qualität sicherstellen.

Das MITRE ATT&CK Framework ist eine umfangreiche, öffentlich zugängliche Wissensbasis realer Angriffstechniken und Taktiken. Es hilft Testern dabei, gefundene Schwachstellen in einen breiteren Angriffskontext einzuordnen und Abdeckungslücken in der eigenen Verteidigung zu erkennen. NIST SP 800-115 definiert technische Leitlinien für Informationssicherheitstests aller Art und ist besonders im Behörden- und Compliance-Umfeld verbreitet. Der PTES (Penetration Testing Execution Standard) beschreibt den vollständigen Testablauf von der Vorbereitung bis zum Abschlussbericht und gibt Teams eine klare Struktur vor. Daneben gewinnt das OWASP Testing Guide für Web-Applikationstests zunehmend an Bedeutung als praxisorientierte Referenz.

Für welche Branchen ist ein Penetrationstest relevant?

Grundsätzlich gilt: Jedes Unternehmen, das IT-Systeme betreibt und sensible Daten verarbeitet, kann von einem Pentest profitieren. In bestimmten Branchen kommen jedoch regulatorische oder gesetzliche Anforderungen hinzu, die Sicherheitstests explizit fordern oder zumindest stark nahelegen.

Finanz- und Bankensektor

Banken, Versicherungen und Finanzdienstleister gehören zu den am stärksten regulierten Branchen im Bereich IT-Sicherheit. Regulatorische Vorgaben wie DORA (Digital Operational Resilience Act), FINMA-Rundschreiben 2023/1 zu operationellen Risiken sowie PCI DSS für Zahlungsverarbeitende schreiben regelmässige Sicherheitsprüfungen vor. Hinzu kommt, dass Finanzinstitute hochattraktive Ziele für organisierte Cyberkriminalität sind. Ein Pentest ist hier kein optionales Nice-to-have, sondern ein regulatorisches und geschäftliches Muss.

Gesundheitswesen

Patientendaten gehören zu den sensibelsten Informationen überhaupt. Krankenhäuser, Kliniken und Pharmaunternehmen sind durch das Schweizer Datenschutzgesetz (nDSG) sowie international durch HIPAA zur Absicherung ihrer IT-Systeme verpflichtet. Hinzu kommt die zunehmende Vernetzung von medizinischen Geräten (Medical IoT), was neue Angriffsflächen schafft, die klassische IT-Sicherheitskonzepte nicht vollständig abdecken. Ausfälle in der Gesundheits-IT haben direkte Auswirkungen auf die Patientenversorgung, was das Risikopotenzial weiter erhöht.

Kritische Infrastrukturen

Energieversorger, Wasserwerke, Verkehrsunternehmen und Telekommunikationsanbieter stehen unter besonderer staatlicher und regulatorischer Beobachtung. Angriffe auf kritische Infrastruktur sind eine reale Bedrohung, wie zahlreiche internationale Vorfälle der letzten Jahre zeigen. Penetrationstests sind hier ein zentrales Instrument, um die Resilienz gegenüber gezielten Angriffen nachzuweisen und gesetzliche Anforderungen zu erfüllen.

Industrie und Produktion

Die fortschreitende Vernetzung von Office-IT und Produktionssystemen, oft als OT (Operational Technology) bezeichnet, schafft neue Risiken. Angriffe auf OT-Systeme können den laufenden Betrieb direkt und unmittelbar beeinträchtigen. Interne wie externe Tests prüfen gezielt, ob die Netzsegmentierung zwischen IT und OT tatsächlich wirksam ist oder ob ein Angreifer von einem kompromittierten Bürorechner aus Zugriff auf Produktionsanlagen erlangen kann.

Öffentliche Verwaltung

Kommunen, Kantone und Bundesbehörden verarbeiten grosse Mengen sensibler Bürger- und Verwaltungsdaten. Gleichzeitig sind staatliche Einrichtungen zunehmend Ziel von gezielten Angriffen, teils mit politischen oder nachrichtendienstlichen Motiven. Penetrationstests helfen dabei, Sicherheit nachweisbar zu machen und gesetzliche Anforderungen an den Datenschutz zu erfüllen.

Technologieunternehmen und SaaS-Anbieter

Für Software-Unternehmen und SaaS-Anbieter ist Sicherheit ein direkter Vertrauens- und Wettbewerbsfaktor. Kunden, insbesondere im B2B-Umfeld, fordern zunehmend Nachweise über regelmässige Sicherheitsprüfungen. Penetrationstests unterstützen Zertifizierungen wie ISO 27001 oder SOC 2 und liefern das nötige Fundament für Trust-Center-Seiten und Sicherheitsnachweise in Ausschreibungen.

Handel und E-Commerce

PCI DSS verpflichtet Unternehmen, die Kreditkartenzahlungen verarbeiten, zu regelmässigen Sicherheitsprüfungen. Daneben fordern das Schweizer Datenschutzgesetz (nDSG) und die DSGVO den Nachweis angemessener Schutzmassnahmen für Kundendaten. Im E-Commerce ist Vertrauen eine der wichtigsten Währungen. Ein erfolgreicher Angriff auf eine Shop-Plattform kann nicht nur zu direkten finanziellen Schäden führen, sondern Kunden dauerhaft vertreiben.

Was bringt ein Penetrationstest konkret?

Ein Penetrationstest beantwortet eine Frage, die viele Unternehmen beschäftigt, aber nur selten ehrlich gestellt wird: Wie sicher sind wir wirklich? Nicht wie sicher wir laut Dokumentation sein sollten oder wie sicher wir uns fühlen, sondern was ein realer Angreifer heute bei uns erreichen könnte. Das ist ein fundamentaler Unterschied.

Die Erkenntnisse aus einem Pentest helfen dabei, Sicherheitsbudgets gezielt einzusetzen, weil klar wird, wo die grössten Risiken tatsächlich liegen. Statt in Massnahmen zu investieren, die nur auf dem Papier wirksam klingen, werden echte Schwachstellen priorisiert und behoben. Gleichzeitig liefert ein Pentest-Bericht handfeste Nachweise gegenüber Aufsichtsbehörden, Geschäftskunden und Versicherern, dass IT-Sicherheit nicht nur deklariert, sondern aktiv überprüft wird.

Für viele Unternehmen ist der erste Pentest auch ein Augenöffner: Man entdeckt Schwachstellen, die intern schlicht nicht sichtbar waren, weil man zu nah am System ist oder weil der Blick von aussen fehlt. Diese externe Perspektive ist ein eigenständiger Mehrwert, der über die reine Schwachstellenliste hinausgeht.

Ihr Partner für Penetrationstests in der Schweiz

Swiss Infosec AG führt Penetrationstests aller Art für Unternehmen jeder Grösse und Branche durch. Ob internen Test, externen Test, Web Application Pentest oder Red-Team-Übung: Unsere zertifizierten Experten mit Zertifizierungen wie OSCP, CEH und CISM arbeiten nach anerkannten Standards und liefern klare, handlungsorientierte Berichte, sodass Sie genau wissen, was zu tun ist und in welcher Reihenfolge.

Quellen

Die Angaben in diesem Beitrag basieren auf öffentlich zugänglichen Dokumenten und offiziellen Quellen der jeweiligen Standardisierungsgremien und Aufsichtsbehörden:

Share This Story, Choose Your Platform!

Related Posts

Penetrationstest für KMU: Was kostet Sicherheit wirklich?
Penetrationstest für KMU: Was kostet Sicherheit wirklich?

Penetrationstest für KMU: Was kostet Sicherheit wirklich?

Mai 10th, 2026|0 Comments
Cyber Security Beratung Schweiz 2026: Was KMU wirklich brauchen – und was sie vermeiden sollten
Cyber Security Beratung Schweiz 2026: Was KMU wirklich brauchen – und was sie vermeiden sollten

Cyber Security Beratung Schweiz 2026: Was KMU wirklich brauchen – und was sie vermeiden sollten

April 16th, 2026|0 Comments
Cyberangriff auf Ihr KMU: Die 5 Sofortmassnahmen in den ersten 60 Minuten
Cyberangriff auf Ihr KMU: Die 5 Sofortmassnahmen in den ersten 60 Minuten

Cyberangriff auf Ihr KMU: Die 5 Sofortmassnahmen in den ersten 60 Minuten

März 27th, 2026|0 Comments