Was ist ein Penetrationstest?

Ein Penetrationstest ist eine kontrollierte Sicherheitsprüfung, bei der ein IT System, eine Webanwendung, eine Schnittstelle, ein Netzwerk oder eine Organisation aus Sicht eines realistischen Angreifers geprüft wird. Ziel ist es, Schwachstellen nicht nur theoretisch zu finden, sondern ihre praktische Ausnutzbarkeit und ihr Risiko nachvollziehbar zu bewerten.

Im Unterschied zu einem einfachen Schwachstellenscan kombiniert ein professioneller Penetrationstest automatisierte Werkzeuge, manuelle Analyse, technische Erfahrung und ein klares Prüfkonzept. Dadurch werden auch Risiken erkannt, die reine Scanner oft nicht sauber bewerten können. Dazu gehören fehlerhafte Berechtigungen, unsichere Geschäftslogik, schwache Authentisierung, Session Probleme, Fehlkonfigurationen und kombinierte Angriffspfade.

Ziel eines Penetrationstests

Das Ziel eines Penetrationstests ist nicht, möglichst viele technische Einzelbefunde zu sammeln. Entscheidend ist, ob ein Angreifer mit realistischen Methoden Zugriff auf sensible Daten, Systeme oder Funktionen erhalten könnte.

• Risiken sichtbar machen: Schwachstellen werden im technischen und geschäftlichen Kontext bewertet.
• Angriffspfade verstehen: Einzelne Schwachstellen werden zu realistischen Angriffsszenarien zusammengeführt.
• Schutzmassnahmen prüfen: Firewalls, Zugriffskontrollen, Rollenmodelle, Protokollierung und Alarmierung werden auf Wirksamkeit geprüft.
• Massnahmen priorisieren: Der Bericht zeigt, welche Schwachstellen zuerst behoben werden müssen.
• Vertrauen schaffen: Ein professioneller Bericht unterstützt Geschäftsleitung, IT, Revision, Kunden und Partner.

Unsere Erfahrung aus der Praxis

Unsere Stärke liegt in der Verbindung von technischer Sicherheitsprüfung, Audit Erfahrung und Risikomanagement. Wir betrachten Penetrationstests nicht als reinen Werkzeuglauf, sondern als fachliche Prüfung mit nachvollziehbaren Ergebnissen, klaren Risiken und umsetzbaren Empfehlungen.

Unsere Erfahrung umfasst unter anderem folgende Organisationen und Tätigkeiten:

• Hewlett Packard Enterprise: Identifikation einer High Risk Sicherheitslücke.
• Medipack AG: Penetrationstest und Audit.
• Exigo AG: Security Check.
• KV Luzern: Security Audit im Bildungsumfeld.
• Hypothekarbank: Security Check im Finanzumfeld.
• Dozententätigkeit: Unterricht in IT Sicherheit, Risikomanagement und Informationssicherheit.

Warum Penetrationstests wichtig sind

• Angriffe werden realistischer: Unternehmen sind nicht nur durch bekannte Schwachstellen gefährdet, sondern auch durch Fehlkonfigurationen, schwache Prozesse und unzureichende Zugriffskontrollen.
• Scanner reichen nicht aus: Automatisierte Tools erkennen viele technische Probleme, verstehen aber selten Geschäftslogik, Berechtigungsketten oder reale Angriffspfade.
• Compliance verlangt Nachweise: Viele Standards und Kundenanforderungen verlangen regelmässige Sicherheitsprüfungen.
• Management braucht Klarheit: Ein guter Penetrationstest übersetzt technische Schwachstellen in verständliche Risiken.
• IT Teams brauchen Prioritäten: Nicht jede Schwachstelle ist gleich kritisch. Die Priorisierung entscheidet über wirksame Verbesserung.

Arten von Penetrationstests

• Web Application Penetrationstest: Prüfung von Webseiten, Portalen, Login Bereichen, Formularen, Rollenmodellen und Geschäftslogik.
• API Security Testing: Prüfung von Schnittstellen, Token, Berechtigungen, Datenzugriffen, Rate Limits und fehlerhaften Objektberechtigungen.
• Network Penetrationstest: Prüfung interner oder externer Netzwerke, Dienste, Ports, Systeme und Fehlkonfigurationen.
• Active Directory Security Assessment: Prüfung von Domänenstrukturen, Berechtigungen, Gruppen, Kennwortrisiken und möglichen Ausbreitungswegen.
• Cloud Security Assessment: Prüfung von Cloud Konfigurationen, Identitäten, Rollen, Speicherberechtigungen und Protokollierung.
• Mobile Application Test: Prüfung mobiler Anwendungen, Schnittstellen, lokaler Datenspeicherung und Authentisierung.
• Social Engineering Test: Prüfung menschlicher und organisatorischer Schutzmassnahmen nach klar definiertem Auftrag.

Black Box, Grey Box und White Box

• Black Box: Die Tester erhalten nur wenige Informationen. Diese Methode simuliert einen externen Angreifer mit begrenztem Vorwissen.
• Grey Box: Die Tester erhalten ausgewählte Informationen, zum Beispiel Benutzerkonten, technische Dokumentation oder Systemübersichten. Diese Methode ist oft besonders effizient.
• White Box: Die Tester erhalten umfassende Informationen, zum Beispiel Quellcode, Architektur, Konfigurationen oder interne Zugänge. Diese Methode eignet sich für tiefe technische Prüfungen.

Was wir konkret prüfen

Ein professioneller Penetrationstest prüft nicht nur einzelne bekannte Schwachstellen, sondern die Sicherheit eines Systems im Zusammenspiel von Technik, Konfiguration und Nutzung.

• Authentisierung: Login Verfahren, Passwortschutz, Mehrfaktor Schutz, Reset Prozesse und Session Sicherheit.
• Autorisierung: Rollen, Rechte, Objektzugriffe, Mandantentrennung und unzulässige Privilegien.
• Injection Risiken: SQL Injection, Command Injection, Template Injection und ähnliche Angriffsklassen.
• Session Management: Cookies, Token, Ablaufzeiten, Schutzattribute und Wiederverwendung von Sessions.
• Business Logic: Manipulation von Preisen, Abläufen, Rollen, Freigaben, Workflows und Berechnungen.
• API Sicherheit: Unsichere Endpunkte, fehlende Berechtigungsprüfung, Datenabfluss und fehlerhafte Objektzugriffe.
• Konfiguration: Fehlkonfigurationen in Webservern, Frameworks, Cloud Diensten, Firewalls und Zugriffskontrollen.
• Verschlüsselung: Transportverschlüsselung, Zertifikate, Protokolle und sichere Kommunikation.
• Logging und Monitoring: Erkennbarkeit von Angriffen, Protokollqualität und Alarmierung.
• CVE Validierung: Bewertung bekannter Schwachstellen und Prüfung der tatsächlichen Ausnutzbarkeit.

Ablauf eines Penetrationstests

1. Planung und Scope
   Ziele, Systeme, Grenzen, Testzeiten, Ansprechpartner, erlaubte Methoden und Ausschlüsse werden definiert.
2. Informationssammlung
   Öffentliche Informationen, DNS Einträge, Dienste, Technologien, Zertifikate und erreichbare Systeme werden analysiert.
3. Angriffsoberfläche erfassen
   Die relevanten Anwendungen, Schnittstellen, Ports, Funktionen und Rollen werden strukturiert aufgenommen.
4. Schwachstellenanalyse
   Automatisierte Prüfungen und manuelle Tests werden kombiniert, um technische und logische Schwachstellen zu identifizieren.
5. Manuelle Verifikation
   Funde werden geprüft, Fehlalarme werden entfernt und Risiken werden im Kontext bewertet.
6. Ausnutzbarkeitsprüfung
   Schwachstellen werden kontrolliert validiert, soweit dies im vereinbarten Scope erlaubt ist.
7. Risikobewertung
   Die Befunde werden nach Schweregrad, Ausnutzbarkeit, Auswirkung und Priorität bewertet.
8. Bericht
   Der Bericht enthält Management Summary, technische Details, Nachweise, Screenshots, Risiken und konkrete Massnahmen.
9. Nachbesprechung
   Die Ergebnisse werden mit den Verantwortlichen besprochen und offene Fragen werden geklärt.
10. Retest
    Nach der Behebung kann geprüft werden, ob die Massnahmen wirksam umgesetzt wurden.

Typische Schwachstellen aus der Praxis

• Fehlende oder schwache Mehrfaktor Authentisierung.
• Unsichere Passwort Reset Prozesse.
• Unzureichende Prüfung von Rollen und Berechtigungen.
• Direkter Zugriff auf fremde Objekte oder Datensätze.
• Fehlende Mandantentrennung in Portalen und Anwendungen.
• Unsichere API Endpunkte.
• Veraltete Software und bekannte CVE Schwachstellen.
• Fehlkonfigurierte Cloud Speicher oder öffentliche Dienste.
• Unzureichende Protokollierung sicherheitsrelevanter Ereignisse.
• Zu weit geöffnete Firewall Regeln.
• Sensible Informationen in Fehlermeldungen, Quellcode oder Metadaten.
• Fehlende Härtung von Servern, Anwendungen oder Admin Bereichen.

Was ein guter Bericht enthalten muss

Ein Penetrationstest ist nur dann wertvoll, wenn die Ergebnisse verständlich, nachvollziehbar und umsetzbar sind.

• Management Summary: Verständliche Zusammenfassung für Geschäftsleitung und Entscheidungsträger.
• Scope: Klare Beschreibung der geprüften Systeme, Methoden und Grenzen.
• Risikobewertung: Priorisierung nach Auswirkung, Wahrscheinlichkeit und Ausnutzbarkeit.
• Technische Nachweise: Reproduzierbare Beschreibung der Befunde mit Screenshots oder Belegen.
• Konkrete Massnahmen: Klare Empfehlungen zur Behebung.
• Prioritäten: Sofortmassnahmen, kurzfristige Massnahmen und strukturelle Verbesserungen.
• Retest Empfehlung: Prüfung der Wirksamkeit nach Umsetzung.

Penetrationstest in der Schweiz

Für Schweizer Unternehmen ist ein Penetrationstest besonders relevant, wenn Kundendaten, Personendaten, Geschäftsgeheimnisse, Finanzdaten, Gesundheitsdaten oder kritische Systeme verarbeitet werden.

• nDSG: Das Schweizer Datenschutzgesetz verlangt angemessene technische und organisatorische Massnahmen zum Schutz von Personendaten.
• ISO 27001: Penetrationstests unterstützen die Prüfung technischer Kontrollen und die Verbesserung des Informationssicherheitsmanagementsystems.
• FINMA Umfeld: Finanznahe Organisationen müssen operationelle Risiken und Sicherheitskontrollen nachvollziehbar steuern.
• Gesundheitswesen: Patientendaten und medizinische Systeme benötigen besonders hohe Schutzmassnahmen.
• Bildung: Schulen und Bildungsinstitutionen verarbeiten sensible Daten von Lernenden, Mitarbeitenden und Erziehungsberechtigten.
• Industrie und OT: Produktionsnahe Systeme erfordern besondere Vorsicht, klare Testgrenzen und risikobasierte Methodik.

Für wen ist ein Penetrationstest sinnvoll?

• Unternehmen mit öffentlich erreichbaren Webanwendungen.
• Organisationen mit Kundenportalen oder Login Bereichen.
• Betreiber von Schnittstellen und APIs.
• KMU mit wachsender digitaler Angriffsfläche.
• Schulen und Bildungsinstitutionen.
• Gesundheitsorganisationen und medizintechnische Unternehmen.
• Finanznahe Dienstleister.
• Industriebetriebe mit IT und OT Systemen.
• Unternehmen vor ISO 27001 Zertifizierung oder Audit.
• Organisationen nach grösseren Systemänderungen oder Migrationen.

Warum Cybersecurity Schweiz

Cybersecurity Schweiz verbindet technische Sicherheitsprüfung, Audit Erfahrung und verständliche Beratung. Unsere Arbeit endet nicht beim Fund einer Schwachstelle. Entscheidend ist, dass Unternehmen verstehen, warum ein Risiko besteht, wie kritisch es ist und wie es wirksam behoben werden kann.

• CISA zertifizierte Auditkompetenz.
• Erfahrung mit Penetrationstests, Security Checks und technischen Sicherheitsprüfungen.
• Praxis aus Finanzwesen, Bildung, Medizintechnik, Industrie und Schweizer KMU.
• Technisches Verständnis für Netzwerke, Webanwendungen, APIs, Zugriffskontrollen, Logging und Schwachstellen.
• Klare Berichte mit priorisierten Massnahmen.
• Schweizer Kontext mit nDSG, ISO 27001, FINMA Umfeld und regulierten Branchen.

Häufige Fragen

Wie lange dauert ein Penetrationstest?

Die Dauer hängt vom Scope ab. Ein kleiner Web Application Penetrationstest kann wenige Tage dauern. Grössere Netzwerke, komplexe Portale, APIs oder interne Umgebungen benötigen deutlich mehr Zeit.

Was kostet ein Penetrationstest?

Die Kosten hängen vom Umfang, der Komplexität, der Anzahl Systeme, der Testtiefe und dem gewünschten Bericht ab. Kleine Prüfungen starten typischerweise im unteren vierstelligen Bereich. Für eine genaue Einschätzung muss der Scope definiert werden.

Ist ein automatischer Schwachstellenscan ein Penetrationstest?

Nein. Ein Schwachstellenscan kann Teil eines Penetrationstests sein, ersetzt aber keine manuelle Analyse. Ein professioneller Penetrationstest bewertet Ausnutzbarkeit, Kontext, Angriffspfade und geschäftliche Auswirkungen.

Kann ein Penetrationstest Systeme beschädigen?

Ein sauber geplanter Penetrationstest arbeitet mit klaren Regeln, definierten Testgrenzen und kontrollierten Methoden. Kritische Aktionen werden vorher abgestimmt. Bei produktiven Systemen ist eine sorgfältige Planung besonders wichtig.

Was passiert nach dem Penetrationstest?

Nach dem Test erhalten Sie einen Bericht mit Befunden, Risiken und Massnahmen. Danach können Schwachstellen behoben und in einem Retest erneut geprüft werden.

Welche Standards werden bei Penetrationstests verwendet?

Je nach Scope orientieren wir uns an OWASP, NIST SP 800 115, MITRE ATT&CK, NIST Cybersecurity Framework und relevanten Anforderungen aus ISO 27001.

Offizielle Quellen und Standards

• OWASP Web Security Testing Guide
• OWASP Top 10 Web Application Security Risks
• OWASP API Security Project
• NIST SP 800 115 Technical Guide to Information Security Testing and Assessment
• NIST SP 800 53 Security and Privacy Controls
• NIST Cybersecurity Framework
• MITRE ATT&CK Knowledge Base
• ISO/IEC 27001 Information Security Management
• EDÖB Schweizer Datenschutzaufsicht
• Nationales Zentrum für Cybersicherheit der Schweiz

Weiterführende Informationen

• Penetrationstest Schweiz
• Penetrationstest Konfigurator
• Warum MITRE ATT&CK für einen Penetrationstest wichtig ist
• Was ist ein Audit nach ISO 27001?
• IT Audit in der Schweiz