Penetration Test

Ein Penetration Test, kurz Pentest, ist ein autorisierter, kontrollierter Angriff auf Systeme, Netzwerke oder Anwendungen mit dem Ziel, ausnutzbare Schwachstellen aufzudecken, bevor echte Angreifer dies tun. Im Unterschied zu einem rein automatisierten Vulnerability Scan kombiniert ein Pentest Werkzeuge mit der Kreativität und Erfahrung erfahrener Testerinnen und Tester.

Pentests werden nach dem Informationsstand der Testenden unterschieden: Beim Black-Box-Test liegen kaum Vorabinformationen vor, beim White-Box-Test stehen Quellcode und Architekturwissen zur Verfügung, und der Grey-Box-Test liegt dazwischen. Der Umfang, etwa Webanwendung, Netzwerk oder Social Engineering, wird vorab in einem Scope verbindlich festgelegt.

Ergebnis ist ein Bericht, der gefundene Schwachstellen nach Risiko priorisiert, die Ausnutzbarkeit nachvollziehbar belegt und konkrete Empfehlungen zur Behebung gibt. Ein Pentest ist eine Momentaufnahme und ersetzt keine fortlaufenden Sicherheitsmassnahmen, liefert aber wertvolle, praxisnahe Erkenntnisse über die tatsächliche Widerstandsfähigkeit.