Teil unserer Security & Cybersecurity-Serie
Den vollständigen Leitfaden lesenLeitfaden für Penetrationstests für Unternehmen: Umfang, Methoden und Abhilfe
Ein Penetrationstest (Pentest) simuliert reale Angriffe auf Ihre Systeme, um Schwachstellen zu finden, bevor es Angreifer tun. Im Gegensatz zum automatisierten Schwachstellen-Scanning sind beim Penetrationstest qualifizierte Sicherheitsexperten beteiligt, die wie Angreifer denken, Schwachstellen miteinander verketten und Ihre Abwehrmaßnahmen auf eine Weise testen, die automatisierte Tools nicht können.
Untersuchungen von Coalfire zeigen, dass 73 Prozent der Penetrationstests mindestens eine kritische Schwachstelle entdecken und 42 Prozent einen Weg zu einer vollständigen Systemkompromittierung finden. Dennoch führen viele Unternehmen Penetrationstests schlecht durch – sie fassen den Umfang zu eng, wählen den falschen Anbieter aus oder reagieren nicht auf die Ergebnisse. Dieser Leitfaden stellt sicher, dass Sie den größtmöglichen Nutzen aus Ihrer Investition in Penetrationstests ziehen.
Arten von Penetrationstests
| Geben Sie | ein Geltungsbereich | Typische Dauer | Kostenspanne |
|---|---|---|---|
| Externes Netzwerk | Mit dem Internet verbundene Systeme und Dienste | 3-5 Tage | 5.000 $ bis 25.000 $ |
| Internes Netzwerk | Vom Netzwerk aus zugängliche Systeme | 3-7 Tage | 8.000 $ bis 30.000 $ |
| Webanwendung | Spezifische Webanwendungen | 3-10 Tage pro App | 5.000–20.000 $ pro App |
| Mobile Anwendung | iOS- und/oder Android-Anwendungen | 3-7 Tage pro Plattform | 5.000–15.000 $ pro Plattform |
| Social Engineering | Phishing, Vishing, physische Tests | 5-10 Tage | 5.000 $ bis 20.000 $ |
| Rotes Team | Vollständige Gegnersimulation (alle Methoden) | 2-4 Wochen | 30.000 $ bis 100.000 $+ |
| Cloud-Sicherheit | AWS/Azure/GCP-Konfiguration und -Dienste | 3-7 Tage | 8.000 $ bis 25.000 $ |
| API-Tests | API-Endpunkte und Authentifizierung | 3-5 Tage | 5.000 $ bis 15.000 $ |
Wissensniveaus
| Ebene | Beschreibung | Simuliert |
|---|---|---|
| Blackbox | Tester hat keine Informationen über das Ziel | Externer Angreifer ohne Insiderwissen |
| Grauer Kasten | Der Tester verfügt über einige Informationen (Anmeldeinformationen, Architekturdokumente) | Angreifer, der sich Erstzugriff verschafft hat |
| Weiße Box | Tester hat vollen Zugriff auf Quellcode und Architektur | Insider-Bedrohung, umfassende Bewertung |
Umfang Ihres Penetrationstests
Schritt 1: Ziele definieren
| Ziel | Testtyp | Priorität |
|---|---|---|
| Erfüllen Sie die PCI DSS-Anforderung 11.3 | Externes + internes Netzwerk | Regulatorisch |
| Validieren Sie die Sicherheit der neuen Anwendung vor dem Start | Webanwendung | Hoch |
| Testen Sie die Anfälligkeit Ihrer Mitarbeiter für Phishing | Social Engineering | Mittel |
| Vollständige Gegnersimulation vor der Vorstandssitzung | Rotes Team | Strategisch |
| Validieren Sie den Sicherheitsstatus der Cloud | Cloud-Sicherheitsbewertung | Hoch |
Schritt 2: Umfang definieren
Enthalten:
- Alle mit dem Internet verbundenen IP-Adressen und Domänen
- Kritische interne Systeme (ERP, HR, Finanzen)
- Webanwendungen (Produktions-URLs)
- API-Endpunkte
- Cloud-Umgebungen und -Dienste
- Authentifizierungsmechanismen
Ausschließen (mit Begründung):
- Von Drittanbietern gehostete Dienste, die Ihnen nicht gehören
- Systeme in aktiver Entwicklung (stattdessen Test-Staging)
- Produktionssysteme während der Hauptgeschäftszeiten (Planung außerhalb der Geschäftszeiten)
- Zerstörende Tests (DoS, Datenvernichtung), sofern nicht ausdrücklich genehmigt
Schritt 3: Regeln für das Engagement festlegen
Dokumentieren Sie diese, bevor Sie mit dem Test beginnen:
| Regel | Spezifikation |
|---|---|
| Testfenster | Werktags von 18:00 bis 06:00 Uhr, am Wochenende jederzeit |
| Notfallkontakt | [Name, Telefon], wenn das Testen zu Störungen führt |
| Tabu-Systeme | [Liste der Systeme, die niemals getestet werden sollen] |
| Datenverarbeitung | Tester darf auf reale Daten zugreifen, diese jedoch nicht exfiltrieren |
| Umfang des Social Engineering | Nur E-Mail-Phishing, keine physische Zugriffsprüfung |
| Ausbeutungstiefe | Zugriff nachweisen, Produktionsdaten jedoch nicht ändern |
| Kommunikationshäufigkeit | Tägliche Statusaktualisierung, sofortige Benachrichtigung bei kritischen Befunden |
Auswahl eines Anbieters für Penetrationstests
Bewertungskriterien
| Kriterium | Gewicht | Zu stellende Fragen |
|---|---|---|
| Zertifizierungen | 20 % | OSCP, CREST, GPEN, CEH unter den Teammitgliedern? |
| Erfahrung | 25 % | Jahre im Geschäft? Branchenerfahrung? Ähnliche Engagements? |
| Methodik | 20 % | Welche Methodik (OWASP, PTES, NIST)? Wie testen sie? |
| Berichtsqualität | 15 % | Können Sie einen Beispielbericht sehen? Sanierungsanleitung enthalten? |
| Referenzen | 10 % | Können Sie mit drei früheren Kunden sprechen? |
| Versicherung | 10 % | Berufshaftpflicht- und Cyberversicherung aktuell? |
Rote Fahnen
– Der Anbieter bietet nur automatisiertes Scannen an (keine echten Penetrationstests)
- Keine benannten Tester mit anerkannten Zertifizierungen
- Extrem niedriger Preis (<3.000 $ für ein mehrtägiges Engagement)
- Keine Diskussion über die Regeln des Engagements – Die Berichtsvorlage enthält keine Anleitung zur Behebung
- Der Anbieter kann seine Methodik nicht erklären
Verstehen Sie Ihren Penetrationstestbericht
Bewertung des Schweregrads der Sicherheitslücke
| Schweregrad | CVSS-Score | Beschreibung | Zeitplan für die Behebung |
|---|---|---|---|
| Kritisch | 9,0-10,0 | Sofortige Systemkompromittierung möglich | Innerhalb von 48 Stunden |
| Hoch | 7,0-8,9 | Erhebliche Auswirkungen auf die Sicherheit | Innerhalb von 2 Wochen |
| Mittel | 4,0-6,9 | Mäßige Auswirkung, möglicherweise besondere Bedingungen erforderlich | Innerhalb von 30 Tagen |
| Niedrig | 0,1-3,9 | Geringe Auswirkung, eingeschränkte Ausnutzbarkeit | Innerhalb von 90 Tagen |
| Informativ | 0 | Best-Practice-Empfehlungen | Nächste geplante Wartung |
Was ein guter Bericht enthält
- Zusammenfassung --- Geschäftsrisikosprache, kein Fachjargon
- Methodik --- Was wurde getestet und wie
- Befunde mit Schweregrad, Beweisen und geschäftlichen Auswirkungen
- Behebungsanleitung für jede Feststellung (spezifisch, umsetzbar)
- Positive Erkenntnisse --- Was Sie gut machen
- Strategische Empfehlungen zur Sicherheitsverbesserung
- Anhänge mit Rohdaten und detaillierten technischen Nachweisen
Sanierungsprozess
Schritt 1: Triage (Tag 1-2)
- Überprüfen Sie alle Ergebnisse mit dem IT- und Sicherheitsteam
- Validieren Sie die Ergebnisse (bestätigen Sie, dass sie echt und nicht falsch positiv sind)
- Weisen Sie jedem Fund Besitzer zu
- Priorisieren Sie basierend auf Schweregrad und Geschäftsrisiko
Schritt 2: Planen (Tag 3–7)
| Finden | Eigentümer | Sanierungsansatz | Zeitleiste | Abhängigkeiten |
|---|---|---|---|---|
| SQL-Injection im Login | Entwicklungsleiter | Eingabevalidierung + parametrisierte Abfragen | 48 Stunden | Keine |
| Standard-Administratorkennwort | IT-Administrator | Passwortrotation + Richtliniendurchsetzung | 24 Stunden | Keine |
| Fehlendes TLS auf interner API | Plattformteam | Zertifikatbereitstellung | 2 Wochen | Zertifikatsbeschaffung |
| Veraltetes Server-Betriebssystem | IT-Operationen | Patch-Planung | 30 Tage | Fenster ändern |
Schritt 3: Beheben (variiert)
- Beheben Sie kritische und schwerwiegende Befunde sofort
- Gruppieren Sie mittlere Ergebnisse im nächsten Wartungsfenster
- Planen Sie niedrige Ergebnisse für das nächste Quartal ein
Schritt 4: Überprüfen (nach der Behebung)
- Fordern Sie einen erneuten Test kritischer und hoher Ergebnisse an (die meisten Anbieter bieten begrenzte erneute Tests an).
- Dokumentieren Sie den Sanierungsnachweis
- Risikoregister aktualisieren
Zeitplan für Penetrationstests
| Bewertung | Häufigkeit | Auslöser |
|---|---|---|
| Externes Netzwerk | Jährlich (mindestens) | Auch nach großen Infrastrukturänderungen |
| Webanwendung | Jährlich + vor Hauptveröffentlichungen | Neue Anwendungseinführung, bedeutendes Update |
| Internes Netzwerk | Jährlich | Auch nach Änderungen im Büronetzwerk |
| Cloud-Sicherheit | Jährlich | Auch nach großen Änderungen der Cloud-Architektur |
| Social Engineering | Halbjährlich | Laufende Phishing-Simulationen ergänzen dies |
| Rotes Team | Alle 2 Jahre | Sicherheit auf Vorstandsebene nach großen Sicherheitsinvestitionen |
Verwandte Ressourcen
- Vorlage für einen Incident Response Plan --- Was zu tun ist, wenn Schwachstellen ausgenutzt werden
- Zero Trust Implementation Guide --- Architektonische Verteidigungsmaßnahmen
- Best Practices für Cloud-Sicherheit --- Cloud-spezifische Sicherheit
- API-Sicherheit und Authentifizierung --- Sichern von APIs, die Pentests durchführen
Penetrationstests sind der Realitätscheck für Ihr Sicherheitsprogramm. Es zeigt die Lücke zwischen Ihrer Einschätzung Ihrer Sicherheitslage und dem, was ein Angreifer finden würde. Kontaktieren Sie ECOSIRE für die Sicherheitsbewertung und die Koordinierung von Penetrationstests.
Geschrieben von
ECOSIRE Research and Development Team
Entwicklung von Enterprise-Digitalprodukten bei ECOSIRE. Einblicke in Odoo-Integrationen, E-Commerce-Automatisierung und KI-gestützte Geschäftslösungen.
Verwandte Artikel
Best Practices für die Sicherheit von KI-Agenten: Schutz autonomer Systeme
Umfassender Leitfaden zur Sicherung von KI-Agenten, einschließlich sofortiger Injektionsabwehr, Berechtigungsgrenzen, Datenschutz, Audit-Protokollierung und Betriebssicherheit.
KI-Betrugserkennung für E-Commerce: Schützen Sie Ihren Umsatz, ohne gute Kunden zu blockieren
Setzen Sie eine KI-Betrugserkennung ein, die mehr als 95 % der betrügerischen Transaktionen erkennt und gleichzeitig Fehlalarme um 50–70 % reduziert. Behandelt Modelle, Regeln und Implementierung.
Best Practices für Cloud-Sicherheit für KMU: Schützen Sie Ihre Cloud ohne ein Sicherheitsteam
Sichern Sie Ihre Cloud-Infrastruktur mit praktischen Best Practices für IAM, Datenschutz, Überwachung und Compliance, die KMU ohne ein spezielles Sicherheitsteam implementieren können.
Mehr aus Security & Cybersecurity
Best Practices für die Sicherheit von KI-Agenten: Schutz autonomer Systeme
Umfassender Leitfaden zur Sicherung von KI-Agenten, einschließlich sofortiger Injektionsabwehr, Berechtigungsgrenzen, Datenschutz, Audit-Protokollierung und Betriebssicherheit.
Best Practices für Cloud-Sicherheit für KMU: Schützen Sie Ihre Cloud ohne ein Sicherheitsteam
Sichern Sie Ihre Cloud-Infrastruktur mit praktischen Best Practices für IAM, Datenschutz, Überwachung und Compliance, die KMU ohne ein spezielles Sicherheitsteam implementieren können.
Regulierungsanforderungen für Cybersicherheit nach Regionen: Eine Compliance-Karte für globale Unternehmen
Navigieren Sie zu den Cybersicherheitsvorschriften in den USA, der EU, Großbritannien, APAC und im Nahen Osten. Deckt NIS2-, DORA- und SEC-Regeln, kritische Infrastrukturanforderungen und Compliance-Zeitpläne ab.
Endpoint Security Management: Schützen Sie jedes Gerät in Ihrem Unternehmen
Implementieren Sie ein Endpoint-Sicherheitsmanagement mit Best Practices für Geräteschutz, EDR-Bereitstellung, Patch-Management und BYOD-Richtlinien für moderne Arbeitskräfte.
Vorlage für einen Incident-Response-Plan: Vorbereiten, Erkennen, Reagieren, Wiederherstellen
Erstellen Sie einen Reaktionsplan für Vorfälle mit unserer vollständigen Vorlage, die Vorbereitung, Erkennung, Eindämmung, Beseitigung, Wiederherstellung und Überprüfung nach dem Vorfall umfasst.
Gestaltung des Schulungsprogramms für Sicherheitsbewusstsein: Reduzieren Sie das menschliche Risiko um 70 Prozent
Entwerfen Sie ein Schulungsprogramm für das Sicherheitsbewusstsein, das die Phishing-Klickraten durch ansprechende Inhalte, Simulationen und messbare Ergebnisse um 70 Prozent reduziert.