Was steckt wirklich
hinter einem
Penetrationstest?
Penetrationstest, Red Teaming, NIS2, TISAX — zentrale Begriffe der IT-Sicherheit, fundiert erklärt. Für CISOs, IT-Leiter und Sicherheitsverantwortliche, die verstehen wollen, was hinter den Methoden steckt.
Illustration: typischer Reconnaissance- und Exploitation-Ablauf — nur zu Bildungszwecken
Offensive Security ist mehr
als ein automatischer Scan
Jede Methode verfolgt ein spezifisches Ziel, erfordert unterschiedliche Voraussetzungen und liefert andere Ergebnisse. Ein Überblick ohne Marketingsprache.
Penetrationstest
Ein Penetrationstest ist ein autorisierter, kontrollierter Angriff auf Systeme, Netzwerke oder Anwendungen. Im Unterschied zum automatisierten Vulnerability Scan setzt er auf menschliches Urteilsvermögen, Erfahrung und Kreativität, um komplexe Exploit-Ketten nachzuvollziehen, die kein Scanner findet.
Regulatorik trifft Pentesting
NIS2, TISAX, KRITIS, DORA, CER — die regulatorische Landschaft hat sich fundamental verändert. Penetrationstests sind in vielen Frameworks nicht mehr optional. Eine Übersicht der relevanten Standards und ihrer Anforderungen.
NIS2
EU-Direktive (ab 10/2024): Erweitert den Kreis betroffener Unternehmen drastisch. Verpflichtende Sicherheitsmaßnahmen, Meldepflichten binnen 24h, signifikante Bußgelder. Penetrationstests sind Teil der geforderten Risikomaßnahmen.
TISAX
Trusted Information Security Assessment Exchange: Branchenstandard der Automobilindustrie (VDA ISA). Prüflabel Voraussetzung für Zulieferer von BMW, Mercedes, VW. Penetrationstests in Assessment Level 3 verpflichtend.
KRITIS
BSI-Gesetz (§ 8a BSIG): Betreiber kritischer Infrastrukturen in Energie, Wasser, IT, Transport und Gesundheit müssen alle 2 Jahre Sicherheitsaudits nachweisen. Penetrationstests sind anerkannter Prüfnachweis.
DORA
Digital Operational Resilience Act: Ab Januar 2025 verpflichtend für Banken, Versicherungen und kritische IKT-Drittanbieter. TLPT (Threat-Led Penetration Testing) nach TIBER-EU alle 3 Jahre für systemrelevante Institute.
CER-Richtlinie
Critical Entities Resilience: Ergänzt NIS2 um physische Resilienzanforderungen. Betreiber kritischer Einrichtungen müssen Resilienzpläne erstellen und Risikoanalysen durchführen — Physical Penetration Tests relevant.
Welcher Standard verlangt was?
Übersicht: Test-Intervalle, Scope-Anforderungen und Nachweis-Formate je Framework — als interaktive Tabelle.
Zur Compliance-Matrix| Standard | Betroffene Unternehmen | Pentest-Pflicht | Test-Intervall | Prüfnachweis |
|---|---|---|---|---|
| NIS2 | 18 Sektoren, ab 50 MA / 10 Mio. € Umsatz | ⚠ Empfohlen | Risikobasiert (mind. jährlich) | Interner Report, BSI-Meldung |
| TISAX AL3 | Automobilzulieferer (sensitiv/vertraulich) | ● Verpflichtend | Alle 3 Jahre | TISAX-Zertifizierung (ENX-Portal) |
| KRITIS § 8a | Energie, Wasser, IT/TK, Transport, Gesundheit | ● Verpflichtend | Alle 2 Jahre | BSI-Nachweis, anerkannte Prüfer |
| DORA TLPT | Banken, Versicherungen, krit. IKT-Anbieter | ● Verpflichtend | Alle 3 Jahre | TIBER-EU-Report, Aufsicht |
| ISO 27001 | Alle zertifizierten / zertifizierungswilligen Org. | ⚠ Empfohlen | Risikobasiert | ISMS-Dokumentation, Auditor |
| PCI DSS 4.0 | Alle, die Kartenzahlungen verarbeiten | ● Verpflichtend | Jährlich + nach Änderungen | QSA-Bericht, ASV-Scan |
Prävention vs. Ransomware:
Die Rechnung ist eindeutig
Offensive Security ist keine Kostenstelle — sie ist Risikomanagement mit messbarem ROI. Die Zahlen sprechen eine klare Sprache.
- → Lösegeld + Wiederherstellung
- → Betriebsausfall (Ø 21 Tage)
- → Reputationsschaden
- → Regulatorische Bußgelder
- → Forensik & Incident Response
- → Schwachstellen vor Angriff finden
- → CVSS-bewerteter Report
- → Compliance-Nachweis
- → Retest-Service inklusive
- → Kontrollierter, dokumentierter Prozess
Basierend auf Ø Breach-Kosten vs. Ø Pentest-Investment. Berücksichtigt keine Wahrscheinlichkeitsgewichtung — die tatsächlichen Zahlen variieren stark nach Branche und Unternehmensgröße.
Quellen: IBM Cost of a Data Breach 2023, Bitkom Cyberstudie 2023
"Organisationen, die Penetrationstests und Red-Team-Übungen einsetzen, identifizieren Sicherheitsvorfälle um durchschnittlich 54 Tage schneller."
IBM Cost of a Data Breach Report 2023
Sicherheitsanforderungen sind branchenspezifisch
Ein generischer Pentest-Ansatz greift zu kurz. Branchenspezifische Bedrohungsmodelle, regulatorische Anforderungen und Systemlandschaften erfordern angepasste Methodik.
TISAX & Fahrzeugsicherheit
TISAX-Assessment Level 3, ISO/SAE 21434 (Fahrzeug-Cybersecurity), OBD-Schnittstellen-Tests, Zulieferer-Compliance. Pentest des Infotainment-Systems ebenso wie der Produktions-IT.
Mehr erfahren →DORA & TIBER-EU
TLPT nach TIBER-EU, SWIFT CSP, PCI DSS 4.0, BAIT/VAIT-Konformität. Threat-Intelligence-gestützte Red-Team-Engagements für Banken, Versicherungen und Zahlungsdienstleister.
Mehr erfahren →KRITIS & OT-Security
ICS/SCADA-Penetrationstests, OT-Netzwerksegmentierung, SPS-Sicherheitsanalyse, IEC 62443. Besondere Herausforderung: Verfügbarkeit hat in Industrieumgebungen höchste Priorität — Zero-Impact-Testing.
Mehr erfahren →CVSS v3.1 Score interaktiv berechnen
Wählen Sie die Eigenschaften einer Schwachstelle und sehen Sie in Echtzeit, wie sich der Score zusammensetzt. Der vollständige Rechner steht unter /resources/cvss bereit.
Bin ich bereit für einen Penetrationstest?
Diese Checkliste zeigt, welche Voraussetzungen vor einem Pentest-Engagement sinnvollerweise erfüllt sein sollten. Haken Sie ab, was bereits vorhanden ist.
Die vollständige Checkliste als PDF → Pentest-Vorbereitung: In 10 Schritten zum Audit
Pentest-Vorbereitung:
In 10 Schritten zum Audit
Dieser Leitfaden zeigt IT-Verantwortlichen, was vor einem Penetrationstest-Engagement zu klären ist: von der Scope-Definition über rechtliche Rahmenbedingungen bis zur Auswahl des richtigen Prüfansatzes.
- Scope-Definition und Ausschlusskriterien
- Rules of Engagement und rechtliche Absicherung
- Auswahl des richtigen Dienstleisters
- Report-Interpretation und Remediation-Priorisierung
Bereit für einen
professionellen Sicherheitstest?
Diese Seite liefert das Wissen — unsere Partneragentur führt den Pentest durch. Professionell, nach Maß, mit echtem Report statt Tool-Output-Dump. Erstgespräch kostenlos und unverbindlich.
Antwort innerhalb von 24h · Kein Standardangebot · Vertraulich