Pentest vs. Schwachstellenanalyse
Penetrationstest und Schwachstellenanalyse werden oft verwechselt. Doch die Unterschiede sind fundamental. Erfahren Sie, wann welcher Test sinnvoll ist.
Die wichtigsten Unterschiede auf einen Blick
| Kriterium | Penetrationstest | Schwachstellenanalyse |
|---|---|---|
| Ansatz | Manuell + Tool-unterstützt | Automatisiert |
| Ziel | Ausnutzbarkeit und Impact | Existenz von Schwachstellen |
| Tester | Erfahrener Ethical Hacker | Automatisiertes Tool (Nessus, Qualys) |
| Scope | Definierter, oft komplexer | Breit, gesamte Infrastruktur |
| Tiefe | Tief: Exploitation, Lateral Movement | Oberflächlich: CVE-Identifikation |
| False Positives | Sehr gering (manuelle Verifikation) | Hoch (viele false positives) |
| Kosten | Höher (Expertenzeit) | Geringer (Tool-Lizenz) |
| Häufigkeit | Jährlich / nach Änderungen | Monatlich / wöchentlich |
| Report | Narrativ, mit Proof-of-Concept | Liste von CVEs mit CVSS |
Wann brauchen Sie eine Schwachstellenanalyse?
Eine Schwachstellenanalyse (Vulnerability Assessment) ist sinnvoll, wenn Sie:
- Einen schnellen Überblick über Ihre Patch-Lage benötigen
- Compliance-Anforderungen erfüllen müssen (z.B. monatliche Scans für PCI DSS)
- Viele Systeme haben und diese regelmässig auf bekannte CVEs prüfen wollen
- Ein begrenztes Budget haben und zunächst die «low-hanging fruits» beseitigen wollen
Tools wie Nessus, Qualys, Rapid7 InsightVM oder OpenVAS sind hierfür geeignet. Sie finden bekannte Schwachstellen, veraltete Software und Fehlkonfigurationen – aber sie können nicht beurteilen, ob eine Schwachstelle tatsächlich ausnutzbar ist.
Wann brauchen Sie einen Penetrationstest?
Ein Penetrationstest ist notwendig, wenn Sie:
- Wissen wollen, ob ein Angreifer tatsächlich in Ihre Systeme eindringen kann
- Komplexe, kundenseitige Anwendungen betreiben (Web-Apps, APIs, Mobile Apps)
- Business-Logic-Fehler finden wollen, die keine Tool erkennt
- Ein Audit oder eine Zertifizierung vorbereiten (ISO 27001, BSI, PCI DSS)
- Ihre Incident-Response-Fähigkeiten testen wollen
Die ideale Kombination: Vulnerability Management + Pentest
Die beste Sicherheitsstrategie kombiniert beides: Regelmässige automatisierte Schwachstellen-Scans (z.B. monatlich) für die kontinuierliche Überwachung der Patch-Lage und jährliche (oder halbjährliche) Penetrationstests für die tiefgehende, realistische Angriffssimulation.
Ich empfehle meinen Kunden typischerweise folgenden Ansatz: Schwachstellen-Scans alle 30 Tage (automatisiert, intern) und Penetrationstests alle 6-12 Monate (extern, manuell). Kritische Systeme oder stark regulierte Branchen (FINMA, PCI DSS, KRITIS) profitieren von einer höheren Pentest-Frequenz.
Beratung zum richtigen Testansatz
Ich helfe Ihnen, die optimale Kombination aus Schwachstellenanalyse und Penetrationstest für Ihr Unternehmen zu finden.