Pentesting ist eine effektive Maßnahme, um die Wirksamkeit von IT-Security-Maßnahmen zu überprüfen – und ist für einige Unternehmen bereits gesetzlich vorgeschrieben. Lange galt es als aufwendige manuelle Sicherheitsintervention, die nur große Konzerne ohne unverhältnismäßigen Ressourcenaufwand umsetzen konnten. Mit der der Automated Security Validation erhalten auch kleine und mittelständische Betriebe erschwinglichen Zugriff auf diese Security-Maßnahme. Worum geht es beim Pentesting?
Pentesting, kurz für „Penetrationstests“ ist ein Verfahren, bei dem Security-Experten versuchen, gezielt in die IT-Infrastruktur eines Unternehmens einzudringen – ähnlich wie ein Angreifer es tun würde. So sollen kritische Schwachstellen identifiziert und im Anschluss geschlossen werden, bevor Cyberkriminelle sie ausnutzen. Das Verfahren hilft Firmen dabei, ihre Sicherheitsmaßnahmen zu evaluieren und zu verbessern sowie die Risikoexposition realistisch einzuschätzen. Reine Vulnerability-Management-Systeme reichen dafür nicht aus. Diese priorisieren Schwachstellen zwar standardisiert nach einem CVSS-Wert (Common Vulnerability Scoring System), liefern aber keine realistische und individuelle Einschätzung über deren Risikopotenzial. Pentesting ist somit ein unverzichtbarer Bestandteil einer modernen IT-Security-Infrastruktur.
Bisher fand Pentesting vor allem manuell statt. Dabei nehmen IT-Experten die Perspektive von Angreifern ein und führen in begrenzten Zeiträumen realistische Angriffe auf das Unternehmensnetzwerk durch. Automatisiertes Pentesting, auch als Automated Security Validation bezeichnet, hingegen nutzt Software und Künstliche Intelligenz, um kontinuierlich und zu jedem beliebigen Zeitpunkt kritische Schwachstellen zu identifizieren. Beide Methoden haben ihre Vor- und Nachteile, je nach Anwendungsfall und Bedarf des Unternehmens.
Manuelle Pentests bieten tiefgehende, individuelle Analysen, die speziell auf die Gegebenheiten eines Unternehmens zugeschnitten sind. Besonders bei komplexen Szenarien mit sozialer Komponente, wie beim Red Teaming oder beim Test von Social-Engineering-Angriffen, sind menschliche Experten unverzichtbar. Manuelle Pentests bieten zudem Flexibilität etwa für spezifische Schwachstellen oder dynamische Angriffsszenarien. Allerdings zeigen sie lediglich eine Momentaufnahme – und da Pentesting mit menschlichen Testern aus Kostengründen in der Regel höchstens einmal im Jahr stattfindet, sind die Erkenntnisse meist nur kurze Zeit aktuell.
Automatisiertes Pentesting beziehungsweise Automated Security Validation bringt Standardisierung und Effizienz. Es ermöglicht eine kontinuierliche Überprüfung der IT-Sicherheit von beliebig vielen vordefinierten Bereichen im Unternehmensnetzwerk, bietet vergleichbare Berichte und erfordert weniger personellen Aufwand. Mithilfe von KI-gestützten Tools lassen sich Schwachstellen über eine zentrale Plattform schnell und zuverlässig aufspüren und bewerten. Integrierte Kontrollen gewährleisten im Hintergrund den ununterbrochenen Betrieb. Erfahrene Security Researcher sorgen dafür, dass die Pentesting-Plattform stets über die neuesten Bedrohungsinformationen verfügt. So haben Unternehmen ihre Sicherheitslage jederzeit im Blick, sehen kontinuierlich, wie sich Angriffsflächen verändern – etwa nach System-Updates oder -Patches – und können bei Bedarf schnell eingreifen.
Manuelles Pentesting ist in der Regel kostenintesiv, da es spezialisierte Fachkräfte erfordert, die über Kompetenzen auf dem Niveau professioneller Hacker verfügen. Bei der Automated Security Validation übernehmen hingegen die eingesetzten Tools kontinuierlich die Hauptarbeit, was insgesamt Kosten reduziert. Trotzdem ist automatisiertes Pentesting nicht per se kostengünstiger. Vielmehr hängt der Investitionsbedarf von der Anzahl der zu überprüfenden Assets und IP-Adressen ab. Dafür können aber zu kalkulierbaren Kosten beliebig viele Pentests pro Jahr durchgeführt werden.
Noch ist Pentesting teuer und aufwändig. Doch automatisierte Security-Validierung gibt es seit Kurzem auch als Managed Security Service zu buchen. Das macht Pentesting nun auch für kleine und mittelständische Unternehmen erschwinglich. Dank Pentesting-as-a-Service können mit überschaubarem Aufwand kontinuierliche Sicherheitsüberprüfungen durchgeführt werden, ohne unverhältnismäßig Ressourcen zu binden. So lässt sich auch im Mittelstand mit neuesten Tools der Schutz vor Cyberkriminellen deutlich erhöhen.
Für viele Betriebe ist Pentesting mittlerweile nicht mehr nur optional, sondern Pflicht. Vor allem Organisationen, die unter die NIS2-Verordnung oder den Digital Operational Resilience Act (DORA) fallen, sind gesetzlich verpflichtet, regelmäßige Sicherheitsüberprüfungen durchzuführen. Pentesting ist dafür ein mögliches und wirksames Instrument. Auch für Betriebe, die eine Cyberversicherung abschließen möchten, ist Pentesting oft eine Voraussetzung. Zu erwarten ist, dass sich die Vorgaben nach und nach auch in andere Bereiche ausweiten. Daher sollten sich Verantwortliche in Unternehmen aller Branchen bereits jetzt Gedanken über den Einsatz von Pentesting machen.
Pentesting ist nur dann sinnvoll, wenn Unternehmen bereits über ein solides Sicherheitsniveau verfügen. Ohne grundlegende Security-Maßnahmen könnten die Pentest-Ergebnisse und die schiere Anzahl der empfohlenen Maßnahmen überwältigend sein. Zugang zu der Automated Security Platform der Wahl lässt sich meist schnell einrichten – oft sind auch keine lokalen Installationen erforderlich. Falls das Know-how im eigenen Haus fehlt, können sich Firmen Unterstützung durch externe Spezialisten oder einen Managed Security Service Provider (MSSP) holen. Letzterer hilft sowohl in der Anfangsphase beim Aufsetzen der Pentests als auch im weiteren Verlauf, um die Automated Security Validation kontinuierlich durchzuführen, Ergebnisse zu besprechen, Handlungsempfehlung abzuleiten und bei Bedarf auch bei deren Umsetzung zu unterstützen. Zudem bieten MSSPs dank ihres Pentesting-as-a-Service-Angebots auch flexible Lizenzierungsoptionen.
Pentesting entwickelt sich dank Automatisierung zunehmend vom Luxusgut zu einem unverzichtbaren Bestandteil jeder IT-Sicherheitsstrategie. Im Gartner Hype Cycle 2024 für Security Operations wurde Pentesting beziehungsweise die Oberkategorie „Adversarial Exposure Validation“ als Innovation Trigger hinzugefügt. Sowohl manuelle als auch automatisierte Methoden haben dabei ihre Berechtigung und lassen sich je nach Anforderung kombinieren. Mit den richtigen Maßnahmen und Tools können Unternehmen ihre IT-Systeme so kontinuierlich auf Angriffsvektoren hin überprüfen und sich besser vor potenziellen Cyberangriffen schützen. Wer inhouse nicht über die notwendige Expertise verfügt, kann sich Hilfe von einem erfahrenen Experten wie einem Managed Security Service Provider (MSSP) einholen.
Mareen Dose
ist Presales Consultants bei indevis.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…