Pentest-Ablauf & Prozess
Ein professioneller Penetrationstest folgt einem strukturierten Prozess in mehreren Phasen. Erfahren Sie, wie ein Pentest von der Planung bis zum Report abläuft.
Die 7 Phasen eines Penetrationstests
Die Penetration Testing Execution Standard (PTES) definiert sieben Hauptphasen, die jeder professionelle Pentest durchlaufen sollte. Diese Struktur stellt sicher, dass keine wichtige Phase übersprungen wird und der Kunde nachvollziehen kann, was wann geschieht.
Phase 1: Pre-Engagement Interactions (Planung & Vorbereitung)
Vor dem ersten Scan steht die intensive Planung. In dieser Phase werden Ziele, Scope, Zeitplan, Testansatz und rechtliche Rahmenbedingungen definiert. Ein schriftliches Mandat (Rules of Engagement) wird erstellt, das alle Beteiligten schützt. Themen: IP-Ranges, Ausnahmen (Systeme, die nicht getestet werden dürfen), Notfallkontakte, Testing-Zeitfenster (z.B. nur ausserhalb der Geschäftszeiten) und Eskalationswege.
Phase 2: Intelligence Gathering (Reconnaissance / Aufklärung)>>
Der Pentester sammelt so viele Informationen wie möglich über das Ziel. Dies umfasst passive Reconnaissance (OSINT: LinkedIn, Shodan, WHOIS, DNS-Records, GitHub-Leaks) und aktive Reconnaissance (Port-Scanning, Banner-Grabbing, Service-Enumeration). Ziel ist es, ein möglichst vollständiges Bild der Angriffsfläche zu erhalten.
Phase 3: Threat Modeling (Bedrohungsmodellierung)
Basierend auf den gesammelten Informationen wird ein Bedrohungsmodell erstellt: Welche Assets sind am wichtigsten? Welche Angreiferprofile sind relevant (Script Kiddies, APTs, Insider)? Welche Angriffspfade sind denkbar? Diese Phase hilft, die Testing-Prioritäten zu setzen und den Fokus auf die kritischsten Systeme zu legen.
Phase 4: Vulnerability Analysis (Schwachstellenanalyse)
In dieser Phase werden die identifizierten Systeme und Anwendungen auf Schwachstellen geprüft. Dies umfasst sowohl automatisierte Scans (Nessus, OpenVAS) als auch manuelle Analyse (Code-Review, Konfigurationsprüfung, Testen von Default-Credentials). Die Schwachstellen werden nach Schweregrad kategorisiert.
Phase 5: Exploitation (Ausnutzung)
Der Pentester versucht, die gefundenen Schwachstellen tatsächlich auszunutzen, um die reale Auswirkung zu demonstrieren. Das Ziel ist nicht maximale Zerstörung, sondern Proof-of-Concept: Kann ein Angreifer über diese Lücke tatsächlich Daten stehlen, Systeme übernehmen oder lateral bewegen? Alle Exploits werden dokumentiert und falls möglich mit Screenshots belegt.
Phase 6: Post-Exploitation (Nach der Ausnutzung)
Nach erfolgreicher Kompromittierung analysiert der Tester, was ein Angreifer nach dem initialen Zugriff tun könnte: Datenextraktion, Persistenz-Mechanismen (Backdoors), Privilege Escalation, Lateral Movement im Netzwerk, Pivoting durch weitere Systeme. Diese Phase zeigt die gesamte Auswirkung einer einzelnen Schwachstelle.
Phase 7: Reporting (Berichterstattung)
Der Pentest-Report ist das zentrale Deliverable. Er umfasst typischerweise: Executive Summary (für Management), technische Details (für Entwickler/Admins), Risikobewertung nach CVSS, Exploitation-Proofs, Remediation-Guide (schrittweise Behebung) und einen Abschlussworkshop zur Besprechung der Ergebnisse.
Zeitplan: Wie lange dauert ein Pentest?
| Phase | Zeitaufwand | Beteiligte |
|---|---|---|
| Planung & Mandat | 1-3 Tage | Kunde + Pentester |
| Reconnaissance | 1-3 Tage | Pentester |
| Threat Modeling | 0,5-1 Tag | Pentester |
| Vulnerability Analysis | 2-5 Tage | Pentester |
| Exploitation | 2-5 Tage | Pentester |
| Post-Exploitation | 1-3 Tage | Pentester |
| Reporting & Workshop | 2-4 Tage | Pentester + Kunde |
| Gesamt | 10-24 Tage | – |
Hinweis: Die tatsächliche Dauer hängt stark vom Scope ab. Ein gezielter Web-App-Pentest kann in 5-10 Tagen abgeschlossen sein, während ein umfassendes Red-Teaming mehrere Wochen beansprucht.
Möchten Sie den Ablauf persönlich besprechen?
Ich erkläre Ihnen gerne in einem kostenlosen Gespräch, wie ein Pentest in Ihrem Unternehmen konkret ablaufen würde.