Pentesting (Penetrationstest)

Pentesting (Penetrationstest) bezeichnet die kontrollierte, autorisierte Simulation von Angriffen auf IT-Systeme, Anwendungen oder Netzwerke, um ausnutzbare Schwachstellen aufzudecken, bevor es echte Angreifer tun.

Ein Test beginnt mit einem klar definierten Auftrag (Scope, Zeitraum, Regeln) und folgt je nach Vorwissen unterschiedlichen Ansätzen: Black-Box ohne interne Informationen, White-Box mit vollem Einblick, Grey-Box dazwischen. Anders als automatisierte Scans versuchen Tester, gefundene Schwachstellen tatsächlich auszunutzen und zu verketten – das Ergebnis ist ein priorisierter Bericht mit nachvollziehbaren Angriffspfaden und konkreten Empfehlungen. Genau darin liegt die Abgrenzung zum Vulnerability Management: Dieses identifiziert und verwaltet Schwachstellen kontinuierlich und automatisiert, während ein Pentest punktuell und manuell die reale Ausnutzbarkeit prüft.

Da Momentaufnahmen schnell veralten, kombinieren viele Organisationen regelmäßige Pentests mit kontinuierlicher, automatisierter Angriffssimulation (Automated Security Validation), um die Wirksamkeit ihrer Abwehr laufend zu überprüfen.