AEGYS DATALYTICS

WISSEN — SICHERHEITSPRÜFUNG

Penetrationstest

Ein Penetrationstest ist eine autorisierte Sicherheitsprüfung, bei der Fachleute reale Angriffe nachstellen, um Schwachstellen nicht nur zu finden, sondern tatsächlich auszunutzen. Anders als ein Schwachstellenscan beweist er, ob und wie weit ein Angreifer mit einer Lücke tatsächlich käme — er liefert belegte Angriffspfade statt einer reinen Liste.

Einfach erklärt

Ein Schwachstellenscan sagt: „Diese Tür könnte unverschlossen sein." Ein Penetrationstest geht durch die Tür und zeigt, wohin sie führt — welcher Raum dahinterliegt, welche weitere Tür sich öffnen lässt, wie tief jemand vordringen könnte. Aus einzelnen Schwächen werden so nachvollziehbare Angriffsketten.

Wie es abläuft

Ein Test folgt anerkannten Vorgehensmodellen und läuft typischerweise in Phasen: Informationssammlung, Identifikation von Schwachstellen, aktiver Ausnutzungsversuch, Rechteausweitung und Dokumentation. Das Ergebnis ist ein priorisierter Bericht — nicht nach Anzahl der Funde, sondern nach realem Risiko. Je nach Informationsstand spricht man von Black-Box (kein Vorwissen), White-Box (volle Information) oder Grey-Box (Teilinformation).

Wozu es dient und wo die Grenze liegt

Ein Penetrationstest beantwortet die Frage „Was könnte ein Angreifer bei uns wirklich erreichen?" und ist oft Teil von Audit- und Compliance-Anforderungen, etwa im Rahmen von ISO 27001. Seine klassische Grenze ist die Momentaufnahme: Das Ergebnis gilt für den Testzeitpunkt. Ändert sich die IT-Landschaft danach, altert die Aussage — weshalb wiederholbare Verfahren wie die automatisierte Angriffssimulation an Bedeutung gewinnen.

Verwandte Begriffe

Den Unterschied zwischen Scan, Penetrationstest und Angriffssimulation erklärt der Ressource-Artikel Pentest vs. Schwachstellenscan. AEGYS Pentest ist eine autonome Angriffssimulation — mehr dazu.

Zuletzt aktualisiert: 5. Juni 2026 · 4 Min. Lesezeit