Dokumentation
Pentesting

Grundlagen des Pentesting

Definition, Ziele, Abgrenzung zu Vulnerability Assessment und Black-Box-, Grey-Box- und White-Box-Ansätze.

Grundlagen des Pentesting

Penetration Testing ist das kontrollierte Testen von IT-Systemen mit Methoden, die auch echte Angreifer verwenden könnten.

Der Unterschied ist entscheidend: Ein Pentest findet mit Erlaubnis, definiertem Umfang und dem Ziel statt, Systeme sicherer zu machen.

Definition

Ein Pentest simuliert einen Angriff auf Systeme, Anwendungen oder Netzwerke.

Ziel ist es:

  • Schwachstellen zu finden
  • Sicherheitsmaßnahmen zu überprüfen
  • Auswirkungen erfolgreicher Angriffe sichtbar zu machen
  • Risiken verständlich zu dokumentieren
  • konkrete Empfehlungen zur Behebung zu geben

Ziele eines Pentests

Ein Pentest soll:

  • Sicherheitslücken identifizieren
  • technische und organisatorische Schwächen sichtbar machen
  • die Wirksamkeit vorhandener Schutzmaßnahmen prüfen
  • Sicherheitsbewusstsein erhöhen
  • Compliance-Anforderungen unterstützen
  • Prioritäten für Verbesserungen liefern

Ein guter Pentest endet nicht mit „Wir haben etwas gefunden“, sondern mit „So kann es behoben werden“.

Pentesting vs. Vulnerability Assessment

PunktPentestingVulnerability Assessment
ZielAngriff simulieren und Auswirkungen zeigenSchwachstellen identifizieren
Tiefetiefergehendeher breit und automatisiert
Exploitationkontrolliert möglichmeist keine Ausnutzung
ErgebnisRisiko, Auswirkung, Nachweis und EmpfehlungListe möglicher Schwachstellen
Kontextstark abhängig vom Scopestärker tool- und scanbasiert

Beide Ansätze sind nützlich, aber nicht dasselbe.

Black Box

Beim Black-Box-Pentest haben Tester keine oder fast keine Vorabinformationen.

Eigenschaften:

  • simuliert externe Angreifer
  • sehr realistisch
  • zeitaufwendig
  • stark abhängig von Reconnaissance

Grey Box

Beim Grey-Box-Pentest gibt es teilweise Informationen.

Beispiele:

  • IP-Adressen
  • Benutzerkonto
  • grobe Systembeschreibung
  • API-Dokumentation

Das simuliert etwa einen Insider oder einen kompromittierten Account.

White Box

Beim White-Box-Pentest liegen umfassende Informationen vor.

Beispiele:

  • Quellcode
  • Architekturdiagramme
  • Systemdokumentation
  • Adminzugänge für Testzwecke
  • Konfigurationsdetails

White Box ist effizient, aber weniger nah an einem typischen externen Angriff.

Scope

Der Scope legt fest, was getestet werden darf.

Er sollte klären:

  • Zielsysteme
  • erlaubte Testarten
  • verbotene Aktionen
  • Zeitfenster
  • Ansprechpartner
  • Umgang mit sensiblen Daten
  • Abbruchkriterien
  • Reporting-Format

Merksatz

Ein Pentest ohne Scope ist wie ein Test ohne Aufgabenstellung. Erst der klare Rahmen macht die Arbeit kontrollierbar und verantwortbar.

Zuletzt aktualisiert: 6. Juni 2026

Pentesting

Überblick über Penetration Testing, Phasen, Ethik, Reconnaissance, Nmap, Enumeration, Web Security, OWASP Top 10, Juice Shop, CVSS und Reporting.

Ethik und Recht

Ethische Grundsätze, rechtliche Grenzen in Österreich, Responsible Disclosure und Verhaltensregeln für Pentesting.