Pentest vs. Schwachstellenscan: Was prüft Ihre Sicherheit wirklich?
„Wir lassen unsere IT prüfen" kann zwei sehr unterschiedliche Dinge bedeuten. Ein Schwachstellenscan sucht nach bekannten Lücken. Ein Penetrationstest prüft, ob sich diese Lücken tatsächlich ausnutzen lassen. Und es gibt eine dritte Kategorie, die viele nicht kennen. Dieser Leitfaden erklärt die Unterschiede — und wann welche Prüfung für Ihr Unternehmen sinnvoll ist.
Veröffentlicht: 5. Juni 2026 · 10 Min. Lesezeit · AEGYS DATALYTICS Redaktion
Kurz gesagt: Ein Schwachstellenscan ist eine automatisierte Suche nach bekannten Sicherheitslücken — schnell, günstig, oberflächlich. Ein Penetrationstest geht weiter: Sicherheitsexperten versuchen, gefundene Lücken tatsächlich auszunutzen und zu verketten — tiefgehend, aber als einmalige Momentaufnahme. Eine automatisierte Angriffssimulation kombiniert beides: Sie beweist reale Angriffspfade wie ein Pentest, lässt sich aber wiederholt durchführen statt nur einmal im Jahr.
Listet bekannte Lücken — sagt nicht, ob ausnutzbar.
Warum „prüfen lassen" nicht gleich „prüfen lassen" ist
Wenn ein Unternehmen beschließt, seine IT-Sicherheit „prüfen zu lassen", steht am Anfang oft ein Missverständnis: Die Annahme, es gäbe die eine Sicherheitsprüfung. Tatsächlich unterscheiden sich die Verfahren erheblich — in Tiefe, Kosten, Aussagekraft und darin, welche Frage sie überhaupt beantworten.
Der entscheidende Unterschied vorweg: Ein Scan sagt Ihnen, welche Türen unverschlossen sein könnten. Ein Penetrationstest geht durch und zeigt, wohin sie führen. Das eine ist eine Liste möglicher Schwächen. Das andere ist der Beweis, was ein Angreifer damit tatsächlich anrichten könnte.
Schwachstellenscan: schnell, automatisiert, oberflächlich
Ein Schwachstellenscan (englisch Vulnerability Scan) ist ein automatisierter Prozess. Eine Software gleicht Ihre Systeme gegen Datenbanken bekannter Sicherheitslücken ab und meldet, wo eine bekannte Schwachstelle vorliegen könnte — veraltete Software-Versionen, offene Ports, Fehlkonfigurationen.
Stärken:
- Schnell und kostengünstig
- Lässt sich regelmäßig wiederholen (wöchentlich, monatlich)
- Gut für die laufende Hygiene und einen schnellen Überblick
Grenzen:
- Findet nur bekannte Lücken aus der Datenbank
- Sagt nichts darüber, ob eine Lücke tatsächlich ausnutzbar ist
- Erkennt keine Fehler in der Geschäftslogik und keine verketteten Angriffe
- Produziert oft lange Listen ohne Priorisierung nach realem Risiko
Ein Scan ist eine sinnvolle Basismaßnahme — aber er beantwortet nicht die Frage, die im Ernstfall zählt: Kann jemand das wirklich ausnutzen, und wie weit kommt er damit?
Penetrationstest: tiefgehend, realistisch, aber eine Momentaufnahme
Ein Penetrationstest geht über den Scan hinaus. Spezialisierte Sicherheitsexperten — oft Ethical Hacker genannt — versuchen aktiv, in Systeme einzudringen. Sie verketten einzelne Schwächen zu echten Angriffspfaden, eskalieren Zugriffe und zeigen die tatsächlichen Auswirkungen eines erfolgreichen Angriffs.
Stärken:
- Beweist, ob und wie eine Lücke ausnutzbar ist
- Deckt verkettete und logische Schwachstellen auf, die ein Scan übersieht
- Liefert einen priorisierten Bericht nach realem Risiko, nicht nur eine Liste
- Oft Bestandteil von Audit- und Compliance-Anforderungen
Grenzen:
- Aufwendiger und teurer als ein Scan
- In der klassischen Form eine Momentaufnahme: Das Ergebnis gilt für den Tag des Tests. Ändert sich die IT-Landschaft danach — neue Systeme, neue Konfigurationen — altert das Ergebnis.
- Wird deshalb meist nur einmal im Jahr durchgeführt, was zwischen den Tests blinde Zeiträume lässt
Hinweis zu Kosten: Seriöse manuelle Penetrationstests im DACH-Raum bewegen sich bei Tagessätzen, die die hohe Qualifikation der Tester widerspiegeln. Sehr günstige Angebote sind in der Praxis oft reine Schwachstellenscans, die als „Pentest" verkauft werden. Wer ausschreibt, sollte gezielt nach dem Vorgehen fragen: automatisierter Scan oder tatsächlicher Ausnutzungsversuch?
Die dritte Kategorie: automatisierte Angriffssimulation
Zwischen dem schnellen, oberflächlichen Scan und dem tiefen, aber einmaligen Pentest ist in den letzten Jahren eine dritte Kategorie entstanden: die autonome oder automatisierte Angriffssimulation.
Sie verbindet die Stärken beider Welten. Wie ein Pentest versucht sie nicht nur, Lücken zu finden, sondern sie tatsächlich auszunutzen und zu verketten — sie beweist reale Angriffspfade. Anders als ein manueller Pentest ist sie aber wiederholbar: Sie lässt sich punktuell durchführen (etwa vor einem Audit) oder fortlaufend, ohne dass jedes Mal ein mehrtägiges Beraterprojekt nötig ist.
Damit schließt sie die größte Schwäche des klassischen Pentests — die Momentaufnahme. Statt einmal im Jahr eine Aussage zu bekommen, die danach altert, lässt sich die Sicherheitslage so oft überprüfen, wie es die Veränderung der IT-Landschaft erfordert.
| Schwachstellenscan | Penetrationstest | Angriffssimulation | |
|---|---|---|---|
| Findet bekannte Lücken | ja | ja | ja |
| Beweist Ausnutzbarkeit | nein | ja | ja |
| Verkettete Angriffspfade | nein | ja | ja |
| Wiederholbar / fortlaufend | ja | eingeschränkt | ja |
| Aufwand | gering | hoch | mittel |
| Aussage gilt | laufend | für den Testtag | laufend bzw. punktuell |
Welche Prüfung ist für den Mittelstand sinnvoll?
Die drei Verfahren konkurrieren nicht — sie ergänzen sich. Welche Kombination sinnvoll ist, hängt von Reifegrad, Ressourcen und Anlass ab.
- Schwachstellenscan als laufende Grundhygiene — regelmäßig, automatisiert, günstig.
- Penetrationstest oder Angriffssimulation, um die entscheidende Frage zu beantworten: Sind die gefundenen Lücken real ausnutzbar, und wie weit käme ein Angreifer?
- Wiederholbarkeit wird wichtig, sobald sich die IT-Landschaft häufig ändert oder regelmäßige Nachweise gefragt sind. Hier spielt die automatisierte Angriffssimulation ihre Stärke aus.
Für viele mittelständische Organisationen ist die pragmatischste Kombination: ein laufender Scan für die Hygiene plus eine Angriffssimulation, die beweist, was davon tatsächlich gefährlich ist — punktuell vor einem Audit oder fortlaufend, je nach Bedarf.
Kontext NIS2 und Audits: Im Zuge von NIS2 und gängigen Standards wie ISO 27001 etabliert sich die regelmäßige technische Sicherheitsprüfung als fester Bestandteil des Risikomanagements. Ob und in welchem Umfang das für Sie gilt, hängt vom Einzelfall ab. Wichtig ist die Aussagekraft: Eine Prüfung, die reale Angriffspfade beweist, ist als Nachweis belastbarer als eine reine Lückenliste.
Wo AEGYS Pentest in dieses Bild passt
AEGYS Pentest ist eine autonome Angriffssimulation. Statt einmal im Jahr eine Momentaufnahme zu liefern, prüft der Pentest die Angreifbarkeit Ihrer Umgebung und beweist konkrete Angriffspfade — nachvollziehbar dokumentiert, mit Bezug zu etablierten Angriffsmodellen.
Je nach Bedarf lässt sich AEGYS Pentest punktuell einsetzen — etwa vor einem Audit oder nach einer größeren Änderung — oder fortlaufend, um die Sicherheitslage kontinuierlich zu überprüfen. Das Ergebnis ist kein Rohdaten-Dump, sondern eine priorisierte, verständliche Auswertung: Was ist tatsächlich angreifbar, wie kritisch ist es, was sollte zuerst behoben werden.
15 Minuten zur Einordnung. Wenn es nicht passt, sagen wir das.
Take-Away in drei Sätzen
- Ein Schwachstellenscan findet mögliche Lücken — er beweist nicht, dass sie ausnutzbar sind. Gut als laufende Hygiene, nicht als alleinige Aussage.
- Ein Penetrationstest beweist reale Angriffspfade, ist aber meist eine jährliche Momentaufnahme. Stark, aber zwischen den Tests altert das Ergebnis.
- Die automatisierte Angriffssimulation verbindet beides — sie beweist Angriffspfade und ist wiederholbar, punktuell oder fortlaufend.