Start
ÜbersichtOnline-KurseLive-Trainings & BootcampsISO 27001Penetration TestingSecurity AwarenessIT-Audit & Compliance
ÜbersichtSecurity-AuditsISO 27001Penetration TestingTeam-SchulungenBeratungReferenzen
ÜbersichtBlogGuidesGlossarRessourcenWebinare
ÜbersichtTeam & ExpertiseAkkreditierung & PartnerZertifizierungKarriere
Experte · 14 Min. Lesezeit

Penetration Test beauftragen: Vorbereitung und Auswertung

Wie Sie einen Penetrationstest sinnvoll scopen, den passenden Dienstleister auswählen und die Ergebnisse so auswerten, dass aus dem Bericht echte Verbesserung wird.

Was ein Penetrationstest leistet und was nicht

Ein Penetrationstest simuliert einen realen Angriff auf definierte Systeme, um ausnutzbare Schwachstellen aufzudecken, bevor es echte Angreifer tun. Anders als ein automatisierter Schwachstellenscan beruht er auf manueller Analyse und kreativem Vorgehen erfahrener Testerinnen und Tester.

Wichtig ist die richtige Erwartung. Ein Pentest ist eine Momentaufnahme eines abgegrenzten Bereichs, kein Persilschein für das gesamte Unternehmen. Er ersetzt weder kontinuierliche Sicherheitsmassnahmen noch ein Schwachstellenmanagement.

Den Scope richtig festlegen

Der Scope ist die wichtigste Stellschraube. Er bestimmt, welche Systeme, Anwendungen und Netzwerke getestet werden und welche ausdrücklich nicht. Ein zu enger Scope lässt gefährliche Lücken aus, ein zu breiter verteilt das Budget zu dünn.

Legen Sie auch fest, welche Art von Test Sie wünschen. Bei einem Black-Box-Test erhält das Team keinerlei Vorwissen, bei einem White-Box-Test vollen Einblick in Architektur und Quellcode. Grey-Box liegt dazwischen und ist oft der praktischste Kompromiss.

  • Definieren Sie präzise, welche Ziele in und welche ausserhalb des Scopes liegen.
  • Wählen Sie den Testansatz, der zu Ihrem Ziel passt: Black-Box, Grey-Box oder White-Box.
  • Klären Sie Testfenster, erlaubte Methoden und Tabus, etwa keine Tests gegen Produktionssysteme zu Stosszeiten.

Den richtigen Dienstleister auswählen

Die Qualität eines Pentests steht und fällt mit den Menschen, die ihn durchführen. Achten Sie auf nachweisbare Erfahrung, anerkannte Qualifikationen und Referenzen aus vergleichbaren Umgebungen.

Lassen Sie sich vorab einen Beispielbericht zeigen. Ein guter Bericht erklärt Schwachstellen nachvollziehbar, bewertet ihr Risiko realistisch und liefert konkrete Empfehlungen. Ein schlechter besteht aus rohem Scanner-Output.

  • Prüfen Sie Qualifikationen, Erfahrung und branchenspezifische Referenzen.
  • Verlangen Sie einen anonymisierten Beispielbericht zur Beurteilung der Qualität.
  • Klären Sie, ob ein Nachtest zur Prüfung behobener Schwachstellen enthalten ist.

Rechtliche und organisatorische Vorbereitung

Ein Penetrationstest greift gezielt in Systeme ein. Ohne ausdrückliche, schriftliche Genehmigung ist das rechtlich heikel. Eine klare Beauftragung mit definierten Grenzen schützt beide Seiten.

Organisatorisch sollten Sie einen Notfallkontakt benennen, der während des Tests erreichbar ist. Falls der Test unerwartete Auswirkungen hat oder die Tester auf einen echten, bereits laufenden Angriff stossen, muss schnell reagiert werden können.

  • Holen Sie eine schriftliche Beauftragung mit klar definierten Grenzen ein.
  • Benennen Sie einen während des Tests erreichbaren Notfallkontakt.
  • Informieren Sie betroffene interne Stellen und gegebenenfalls Provider vorab.

Den Bericht auswerten

Nach dem Test erhalten Sie einen Bericht mit den gefundenen Schwachstellen, ihrer Risikobewertung und Empfehlungen. Widerstehen Sie der Versuchung, nur auf die als kritisch markierten Punkte zu schauen. Auch eine Kette aus mehreren kleinen Schwachstellen kann gravierend sein.

Bewerten Sie jeden Befund im Kontext Ihres Unternehmens. Die generische Risikoeinstufung im Bericht berücksichtigt nicht, wie kritisch ein betroffenes System für Ihren Betrieb ist. Priorisieren Sie deshalb anhand des tatsächlichen Geschäftsrisikos.

  • Lesen Sie die Zusammenfassung für die Leitung und die technischen Details getrennt und vollständig.
  • Bewerten Sie jeden Befund im Kontext der Bedeutung des betroffenen Systems.
  • Unterschätzen Sie nicht die Kombination mehrerer einzeln harmlos wirkender Schwachstellen.

Aus Befunden Verbesserung machen

Ein Pentest entfaltet seinen Wert erst durch die Behebung der Befunde. Erstellen Sie aus dem Bericht einen Massnahmenplan mit klaren Verantwortlichkeiten und Fristen und verfolgen Sie dessen Umsetzung nach.

Schliessen Sie den Kreis mit einem Nachtest, der bestätigt, dass die Schwachstellen tatsächlich behoben sind. Suchen Sie ausserdem nach Mustern: Wenn viele Befunde dieselbe Ursache haben, behandeln Sie diese Ursache statt nur die Symptome.

  • Überführen Sie jeden relevanten Befund in einen Massnahmenplan mit Verantwortlichkeit und Frist.
  • Lassen Sie behobene Schwachstellen in einem Nachtest verifizieren.
  • Identifizieren Sie gemeinsame Ursachen und beheben Sie diese grundlegend.

Setzen Sie dieses Wissen in die Praxis um

Unsere Kurse begleiten Sie Schritt für Schritt — mit Praxisübungen und verifizierbarem Zertifikat.

Zu den KursenWeitere Guides