Penetrationstest (Pentest)
Penetrationstest: Scope, Kosten und Anbieterauswahl
Der Praxis-Guide für Web, Network, Cloud & Red Team
Ein Penetrationstest (Pentest) ist eine kontrollierte Angriffssimulation, um ausnutzbare Schwachstellen aufzudecken, Risiken zu priorisieren und konkrete Fixes abzuleiten.
Diese Seite hilft Ihnen dabei, drei Dinge sauber zu lösen:
- Welcher Pentest-Typ passt?
- Wie scope ich korrekt (ohne Überraschungen)?
- Wie erkenne ich seriöse Anbieter – und realistische Kosten?
Nachweis statt Scan-Output
Pentests belegen Exploitpfade – inkl. Impact und Reproduktion.
Prioritäten für Fixes
Sie wissen, was zuerst behoben werden muss (und warum).
Sauberes Scoping
Klare Grenzen, Regeln, Accounts, Zeitfenster – keine Überraschungen.
Wann ist ein Pentest sinnvoll?
Typische Auslöser
- Go-Live / Launch oder große Releases
- Architekturänderungen (z. B. neue Auth, neue Segmente)
- Cloud-Migration / Kubernetes Einführung
- Enterprise-Kunden verlangen Pentest-Nachweis
- Wiederkehrende Findings / Security Incidents
Was ein Pentest nicht ersetzt
- kein dauerhaftes Vulnerability Management
- keine Code-Review-Only Qualitätssicherung
- kein Ersatz für SIEM/MDR oder Incident Response Reife
Welcher Pentest passt? (Decision Guide)
| Wenn Ihr Risiko… | Dann ist meist sinnvoll… |
|---|---|
Webapp/API ist internet-exponiert oder verarbeitet sensible Daten | Webapplikations-Pentest |
AD/Netzwerk/Segmentierung ist kritisch (Standorte, VPN, Serverlandschaft) | Netzwerk-Pentest |
IAM/Cloud-Konfiguration/Kubernetes ist Kern Ihrer Infrastruktur | Cloud-Pentest |
Sie wollen Detection & Response realistisch testen (SOC/MDR vorhanden) | Red Team Test |
Pentest-Typen
Webapplikations-Pentest
Webapps & APIs: Auth, Rollen, Business Logic, OWASP & API Security.
Netzwerk-Pentest
Intern/extern: Services, Segmentierung, AD, Privilege Escalation.
Cloud-Pentest
AWS/Azure/Kubernetes: IAM, Storage, Netzwerke, Workloads.
Red Team Test
Zielorientierte Angriffssimulation für Detection & Response.
Scope Template
- Targets: (URLs / IP-Ranges / Accounts / Cluster / Subscriptions)
- Auth/Rollen: (Rollenliste + Testaccounts je Rolle)
- Umgebung: (Staging bevorzugt / Produktion möglich mit Regeln)
- Ziele: (z. B. Data Access, Admin Takeover, Tenant Escape)
- DoS/Lasttests
- Social Engineering (falls nicht vereinbart)
- Physischer Zugang
- Testfenster: (Datum/Zeiten)
- Monitoring: (wer überwacht / wie eskalieren)
- Notfall-Stop: (Kontakt + Prozess)
Ergebnisse & Deliverables (was Sie am Ende bekommen)
Executive Summary
Management-taugliche Risikoübersicht inkl. Prioritäten.
Technischer Bericht
Reproduktion, Nachweise, betroffene Assets, klare Schritte.
Angriffspfade
Wie ein Angreifer von A nach B kommt – inkl. Impact.
Maßnahmenplan
Fix-first Liste, Ownership, optional Retest/Verification.
Kosten: womit Sie rechnen sollten
5k–25k €
6k–30k €
6k–35k €
20k–80k €
- Anzahl Targets & Komplexität (Rollen/Flows/Segmente/Accounts)
- Staging vs Produktion (Regeln, Monitoring, Koordination)
- Reporting-Tiefe & Compliance-Anforderungen
- Retest / Fix-Verifikation
Faustregel: Wenn ein Anbieter extrem billig ist, bekommen Sie meist einen Scan + PDF – aber keinen belastbaren Pentest.
Anbieter auswählen: Scorecard & Red Flags
Scorecard (seriös)
- Methodik erklärt (manuell + verifiziert, nicht nur Tools)
- Beispielreport vorhanden
- Klare RoE & Abbruchregeln
- Priorisierung nach Impact & Exploitbarkeit
- Debrief/Walkthrough inklusive
- Retest-Regelung transparent
Red Flags
- „Wir liefern innerhalb von 24h“ ohne Scoping
- Keine Fragen zu Rollen/Flows/Architektur
- Report ohne Reproduktion/Beweise
- Nur CVSS-Liste ohne Kontext
- DoS/Lasttests „einfach so“
- Wie scopt ihr (In/Out-of-scope) und wie sieht eure RoE aus?
- Wie viel ist manuell vs. toolbasiert?
Wie sieht ein Beispielreport aus (inkl. Priorisierung und Fix-Hinweisen)?
- Ist ein Debrief enthalten? Wer nimmt teil?
- Wie ist Retest/Verification geregelt?
Häufige Fehler bei Pentests
Fehler
- Scope unklar → falscher Aufwand, falsche Erwartung
- Nur Tool-Scan statt manueller Prüfung
- Kein Retest eingeplant
- Prod-Tests ohne Regeln/Monitoring
Besser
- Scope Template nutzen + RoE sauber fixieren
- Rollen/Flows/Architektur erklären
- Fix-first Prioritäten + Ownership definieren
- Retest als Teil des Plans betrachten
FAQ
Wie lange dauert ein Pentest?
Typisch wenige Tage bis mehrere Wochen – abhängig von Targets, Rollen/Flows und Komplexität. Red Team Tests dauern meist mehrere Wochen.
Muss es Staging sein oder geht Produktion?
Beides ist möglich. Produktion braucht klare Regeln, Monitoring, Abbruchprozesse und abgestimmte Zeitfenster.
Ist ein Vulnerability Scan das gleiche wie ein Pentest?
Nein. Ein Pentest beinhaltet manuelle Prüfung, Exploitpfade und Priorisierung nach Impact – ein Scan liefert Hinweise.
Bekomme ich einen Bericht für Management?
Ja – typischerweise inklusive Executive Summary, Risikoübersicht und priorisiertem Maßnahmenplan.
Ressourcen
Guides
Pentest anfragen
Wenn Sie Scope oder Testtyp noch nicht sicher wissen: Beschreiben Sie kurz Ihre Situation. Wir helfen bei der Einordnung.