Die drei wichtigsten Erkenntnisse aus dem Artikel:
- Definition: Ein Penetrationstest (kurz: Pentest) ist eine kontrollierte, autorisierte Simulation eines Cyberangriffs auf Ihre IT-Systeme – mit dem Ziel, Sicherheitslücken zu finden, bevor es echte Angreifer tun.
- Regulatorische Pflicht: Seit Inkrafttreten des NIS-2-Umsetzungsgesetzes in Deutschland (Dezember 2025) gelten regelmäßige Penetrationstests als anerkannter Nachweis für Artikel 21 des Gesetzes – für rund 30.000 betroffene Organisationen.
- Vorbereitung ist die halbe Miete: Der Wert eines Pentests hängt direkt davon ab, wie gut Sie ihn vorbereiten und wie lückenlos Sie die Ergebnisse dokumentieren. Ohne nachvollziehbaren Nachweis ist der Test für Audits und Cyberversicherungen wertlos.
Ihr nächstes Audit steht in drei Monaten an. Der Versicherungsvertreter fragt nach dem letzten Pentest-Bericht. Die Geschäftsführung will wissen, ob die IT wirklich sicher ist.
Diese drei Fragen landen regelmäßig auf dem Schreibtisch von IT-Verantwortlichen – und alle drei lassen sich mit einem sauber durchgeführten und dokumentierten Penetrationstest beantworten. Das Problem: Viele Unternehmen lassen Tests durchführen, ohne die Ergebnisse systematisch festzuhalten oder den nächsten Test vorzuplanen. Der Pentest bleibt eine Einmal-Maßnahme statt eines kontinuierlichen Instruments.
Dieser Artikel erklärt, was ein Penetrationstest ist, wie er abläuft, welche Typen es gibt und – entscheidend für IT-Verantwortliche im DACH-Raum – wie Sie Pentests unter den aktuellen NIS-2-Anforderungen nachvollziehbar planen und dokumentieren.
Was ist ein Penetrationstest?
Ein Penetrationstest (Pentest) ist eine autorisierte Simulation eines Cyberangriffs auf Ihr IT-System. Sicherheitsexperten nutzen dabei dieselben Methoden und Werkzeuge, die echte Angreifer einsetzen würden – mit dem Unterschied: Sie handeln im Auftrag und mit dem Ziel, Schwachstellen zu finden, bevor diese ausgenutzt werden.
Ein Pentest ist keine automatisierte Prüfung – er erfordert menschliches Urteilsvermögen. Der Tester versucht aktiv, in Systeme einzudringen, Schwachstellen zu verketten und das tatsächliche Schadenspotenzial zu ermitteln. Das unterscheidet ihn vom Schwachstellenscan, der nur bekannte Lücken aus einer Datenbank abgleicht, ohne sie tatsächlich auszunutzen.
Wichtig: Jeder Penetrationstest ist eine Momentaufnahme. Ein System, das heute sicher ist, kann morgen durch eine neue Schwachstelle angreifbar werden. Deshalb empfiehlt das BSI, Pentests regelmäßig – je nach Schutzbedarf mindestens ein- bis zweimal jährlich – zu wiederholen.
Welche Arten von Penetrationstests gibt es?
Nicht jeder Pentest ist gleich. Die Wahl der Methode hängt davon ab, was Sie prüfen wollen und wie viel Vorwissen der Tester haben soll:
- Black-Box-Test: Der Tester erhält keinerlei Vorinformation über Ihre Systeme. Er agiert wie ein externer Angreifer ohne Insider-Wissen. Vorteil: Realistischste Simulation. Nachteil: Zeitaufwändiger, weil zunächst Informationen gesammelt werden müssen.
- White-Box-Test: Der Tester erhält vollständige Informationen – Netzwerkpläne, Konfigurationen, Zugangsdaten. Vorteil: Tiefster Prüfumfang, keine unnötige Suchphase. Geeignet für gezielte Code-Audits und interne Prüfungen.
- Grey-Box-Test: Mischform: Der Tester hat eingeschränkten Zugang – etwa die Rolle eines normalen Mitarbeiters. Damit wird simuliert, was passiert, wenn ein Account kompromittiert wurde. In der Praxis der häufigste Ansatz.
Darüber hinaus unterscheidet man externe Pentests (Angriff von außen über das Internet) und interne Pentests (Angriff aus dem internen Netzwerk). Wer seinen vollständigen Sicherheitsstatus kennen will, braucht beide Perspektiven.
Warum ist das Ziel eines Penetrationstests so wichtig?
Hier liegt ein typisches Missverständnis: Ein Pentest soll keine Mitarbeiter kontrollieren oder bloßstellen. Er soll Schwachstellen im System aufdecken – egal ob diese aus Konfigurationsfehlern, veralteter Software oder fehlenden Prozessen entstanden sind.
In IT-Abteilungen entsteht schnell der Eindruck, der Test sei eine Kontrolle der eigenen Arbeit. Wer das Ziel des Pentests klar dokumentiert und in der Belegschaft kommuniziert, vermeidet diese Reibung – und erhöht die Akzeptanz für regelmäßige Wiederholungen.
Das dokumentierte Ziel gehört deshalb in Ihr IT-Handbuch: Warum führen wir Pentests durch? Was ist der Schutzbedarf? Welche Systeme werden geprüft? Wer beauftragt – intern oder extern?
Wie bereiten Sie einen Penetrationstest vor?
Die Vorbereitung auf den nächsten Pentest sollte ein laufender Prozess sein, kein Sprint kurz vor dem Termin. Jede wesentliche Änderung an Ihrer IT-Landschaft ist ein Anlass, das Prüfobjekt zu ergänzen.
Konkrete Auslöser für eine Aufnahme in den Pentest-Plan:
- Neue Webanwendung oder neuer Webservice geht in Betrieb
- Hardwaretausch an kritischen Systemen (Server, Firewall, Router)
- Wechsel oder Update einer sicherheitsrelevanten Software
- Fusion oder Zusammenschaltung von Netzwerken
- Erster Pentest nach längerer Pause (mehr als 12 Monate)
Für neue Anwendungen gilt: Ein Pentest vor dem Go-Live stört den laufenden Betrieb nicht – danach kostet jede Verzögerung mehr.
Wie dokumentieren Sie Penetrationstests strukturiert?
Hier wird der Pentest für viele Unternehmen zur Schwachstelle: nicht der Test selbst, sondern die fehlende Dokumentation danach. Ohne nachvollziehbaren Nachweis – wann wurde was getestet, was wurde gefunden, was wurde behoben – verliert der Pentest seinen Wert für Audits, Versicherungen und Compliance-Prüfungen.
Wenn Sie Docusnap zur IT-Dokumentation einsetzen, können Sie Pentests direkt am jeweiligen IT-System oder an der Systemgruppe dokumentieren – ohne zusätzliche Tools:
- Kommentartyp „Penetrationstest": Legen Sie einen eigenen Kommentartyp an. So können Sie für jedes System vermerken, wann es zuletzt geprüft wurde und was dabei festgestellt wurde.
- Erinnerungsfunktion: Setzen Sie Erinnerungen für Systeme, die beim nächsten Regeltermin geprüft werden sollen. Zu Beginn des Pentests können Sie dem Prüfer eine aktuelle Liste direkt aus der Software übergeben.
- Chronologischer Nachweis: Bei periodisch wiederholten Tests entsteht automatisch eine historische Übersicht der durchgeführten Maßnahmen – für Audits und Behörden jederzeit abrufbar.
Alternative Tools sind möglich (Ticketsystem, Excel), aber der Vorteil einer IT-Dokumentationslösung liegt in der Verknüpfung mit dem tatsächlichen Asset: Sie sehen sofort, welche Systeme zuletzt geprüft wurden und welche noch ausstehen.
Intern oder extern – wer sollte Ihren Pentest durchführen?
Beide Wege haben Berechtigung. Externe Dienstleister bringen Neutralität und spezialisiertes Wissen mit – sie sind nicht durch interne Betriebsblindheit eingeschränkt. Für die meisten Unternehmen ist ein externer Dienstleister die bessere Wahl, besonders wenn keine eigene interne Revision existiert.
Ein zusätzlicher Vorteil externer Tests: Wer den Anbieter gelegentlich wechselt oder mit zwei Anbietern im Wechsel arbeitet, erhält unterschiedliche Perspektiven. Keine zwei Tester haben dieselbe Herangehensweise.
Wichtig: Klären Sie vor dem Start alle rechtlichen Aspekte schriftlich. Ohne ausdrückliche Genehmigung ist ein Penetrationstest eine Straftat – auch wenn er gut gemeint ist. Das gilt besonders für Cloud-Services und Anwendungen externer Dienstleister, für die Sie keine alleinige Verfügungsgewalt haben.
Penetrationstests 2025/2026: Was hat sich durch NIS-2 geändert?
Der Deutsche Bundestag hat im November 2025 das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) verabschiedet. Seit Dezember 2025 ist es in Kraft. Rund 30.000 Organisationen in Deutschland fallen nun unter die neuen Anforderungen – gegenüber weniger als 2.000 bisher.
Was bedeutet das für Penetrationstests? Artikel 21 des Gesetzes fordert von betroffenen Einrichtungen technische und organisatorische Maßnahmen, darunter explizit Schwachstellenmanagement und die regelmäßige Überprüfung der Wirksamkeit von Schutzmaßnahmen. Regelmäßige Pentests gelten als anerkannter Nachweis für die Erfüllung dieser Anforderung.
Neu ist auch die Nachweispflicht: Auditoren wollen nicht wissen, ob Sie einen Pentest gemacht haben – sie wollen nachvollziehbare Dokumentation sehen. Datum, Prüfobjekt, Methode, Befunde, Abhilfemaßnahmen. Ohne diese Dokumentation ist der Pentest für Compliance-Zwecke wertlos. Wie ein IT-Security-Audit als übergeordneter Rahmen dabei hilft, die Einzelnachweise zu strukturieren, lesen Sie im verlinkten Artikel.
Auch Cyberversicherungen haben nachgezogen: Viele Versicherer setzen 2025 regelmäßige Pentests als Obliegenheit voraus. Wer im Schadensfall keine Nachweise vorlegen kann, riskiert eine Leistungskürzung. Mehr dazu, was Versicherer konkret fordern, lesen Sie im Artikel Cyberversicherung: Was Versicherer 2025 von IT-Verantwortlichen erwarten.
FAQs
Ein Schwachstellenscan ist ein automatisierter Prozess, der Ihre Systeme mit einer Datenbank bekannter Sicherheitslücken abgleicht. Er ist schnell und kostengünstig, aber er überprüft nicht, ob die gefundenen Schwachstellen tatsächlich ausnutzbar sind. Ein Penetrationstest geht weiter: Ein Experte versucht aktiv, Schwachstellen zu verketten und das tatsächliche Schadenspotenzial zu ermitteln. Für NIS-2-Nachweiszwecke gilt der manuelle Pentest als substanziell wirksamer.
Das BSI empfiehlt mindestens ein- bis zweimal jährlich, abhängig vom Schutzbedarf. Zusätzliche Tests sind sinnvoll nach wesentlichen Änderungen an der IT-Infrastruktur, nach Sicherheitsvorfällen und vor dem Go-Live neuer Anwendungen. Unternehmen, die unter NIS-2 fallen, sollten den Zyklus mit ihrem Compliance-Berater abstimmen.
Nein – aber externe Tests sind in der Regel neutraler und liefern eine unvoreingenommenere Einschätzung. Für Unternehmen ohne interne Revision empfiehlt sich ein spezialisierter Dienstleister. Wichtig: Wer den Anbieter regelmäßig wechselt oder mit mehreren Anbietern arbeitet, profitiert von unterschiedlichen Perspektiven.
Der Prüfer erstellt einen Bericht mit den gefundenen Schwachstellen, ihrer Kritikalität und konkreten Handlungsempfehlungen. Ihre Aufgabe danach: Schwachstellen priorisiert beheben, die Behebung dokumentieren und – falls vereinbart – einen Nachtest durchführen. Für NIS-2-Nachweiszwecke ist die vollständige Dokumentation des gesamten Zyklus entscheidend.
Ohne ausdrückliche, schriftliche Genehmigung ist ein Penetrationstest strafbar. Der Auftraggeber muss klären, für welche Systeme die Genehmigung gilt – das ist bei Cloud-Services und Anwendungen externer Anbieter nicht immer eindeutig. Das BSI hat ein detailliertes Durchführungskonzept veröffentlicht, das die Anforderungen an autorisierte Pentests beschreibt.
Nächste Schritte
Für NIS-2-Prüfungen brauchen Sie nicht nur einen Pentest – Sie brauchen den nachvollziehbaren Nachweis. Docusnap hilft IT-Teams, Penetrationstests direkt an den geprüften Assets zu dokumentieren: mit Kommentarfunktionen, Erinnerungen und automatisch generierter Prüfhistorie. Kein Extra-Tool, kein Mehraufwand.
Jetzt 30 Tage testen
