Warum dieser Leitfaden existiert
Den Kauf von Penetrationstest-Dienstleistungen zum ersten Mal – oder auch zum fünften Mal – kann verwirrend sein. Der Markt ist voll von Fachjargon, die Preise variieren erheblich, und es ist schwer zu beurteilen, ob Sie eine gründliche Bewertung erhalten oder lediglich einen automatisierten Scan, der in einem professionellen Bericht verpackt wurde. Dieser Leitfaden richtet sich an IT-Manager, CISOs und Geschäftsinhaber in Luxemburg, die fundierte Entscheidungen über Penetrationstests treffen müssen.
Wir erläutern, was ein Penetrationstest tatsächlich ist, welche verschiedenen Typen verfügbar sind, welche Faktoren die Kosten beeinflussen, wie ein Auftrag richtig definiert wird und wie Sie Ihr Unternehmen vorbereiten, um den größtmöglichen Nutzen aus dem Test zu ziehen.
Was ist ein Penetrationstest?
Ein Penetrationstest ist ein kontrollierter, autorisierter Versuch, Schwachstellen in Ihren Systemen, Netzwerken oder Anwendungen auszunutzen, indem die Techniken echter Angreifer simuliert werden. Im Gegensatz zu einem Schwachstellen-Scan, der bekannte Schwächen automatisch identifiziert, umfasst ein Penetrationstest erfahrene menschliche Tester, die Schwachstellen miteinander verknüpfen, kreative Angriffspfade nutzen und versuchen, einen tatsächlichen geschäftlichen Schaden nachzuweisen.
Das Ergebnis ist keine Liste von CVEs. Es ist eine Schilderung, die zeigt, wie ein Angreifer Ihre Umgebung kompromittieren könnte, auf was er Zugriff hätte und welche geschäftlichen Konsequenzen das hätte.
Wesentlicher Unterschied: Ein Schwachstellen-Scan zeigt, was ausgenutzt werden könnte. Ein Penetrationstest zeigt, was ausgenutzt werden kann und was als nächstes passiert.
Arten von Penetrationstests
Externer Netzwerk-Penetrationstest
Testet Ihre internetexponierte Infrastruktur: Webserver, E-Mail-Gateways, VPN-Endpunkte, Cloud-Dienste, DNS. Der Tester arbeitet vom Internet aus ohne internen Zugang und simuliert dabei einen externen Angreifer.
Typische Dauer: 3–5 Tage
Wann einsetzen: Jährlich oder nach wesentlichen Änderungen Ihrer extern erreichbaren Infrastruktur.
Interner Netzwerk-Penetrationstest
Simuliert einen Angreifer, der bereits initialen Zugang zu Ihrem internen Netzwerk erlangt hat – etwa durch einen kompromittierten Mitarbeiter-Arbeitsplatz, eine physische Intrusion oder ein nicht autorisiertes Gerät. Testet die Active Directory-Sicherheit, Netzwerksegmentierung, laterale Bewegungspfade und Privilege Escalation.
Typische Dauer: 5–10 Tage
Wann einsetzen: Jährlich. Unverzichtbar für Organisationen in regulierten Sektoren (von CSSF beaufsichtigte Unternehmen werden häufig zu internen Tests verpflichtet).
Webanwendungs-Penetrationstest
Konzentriert sich auf eine spezifische Webanwendung und testet auf OWASP-Top-10-Schwachstellen, Fehler in der Geschäftslogik, Authentifizierungs- und Session-Management-Probleme sowie API-Sicherheit. Geht über automatisierte Scans hinaus und testet komplexe, mehrstufige Angriffsszenarien.
Typische Dauer: 5–10 Tage pro Anwendung (je nach Komplexität)
Wann einsetzen: Vor größeren Releases, jährlich für Produktionsanwendungen und bei jeder Bereitstellung wesentlicher Änderungen.
Wireless-Penetrationstest
Testet die Sicherheit Ihrer Drahtlosnetzwerke: WPA2/WPA3-Konfiguration, Erkennung von Rogue Access Points, Isolation des Gastnetzwerks und Wireless-to-Wired-Pivoting.
Typische Dauer: 2–3 Tage (erfordert Vor-Ort-Präsenz)
Wann einsetzen: Jährlich, insbesondere wenn Sie Gast-WLAN oder BYOD-Richtlinien haben.
Social-Engineering-Bewertung
Testet den menschlichen Faktor: Phishing-Simulationen, Vishing (telefonbasiertes Social Engineering), physisches Social Engineering (Tailgating, Identitätsbetrug). Kein traditioneller Penetrationstest, wird aber oft mit technischen Tests für einen umfassenden Überblick kombiniert.
Typische Dauer: 5–10 Tage
Wann einsetzen: Jährlich, insbesondere zur Vorbereitung von Aktualisierungen des Security-Awareness-Trainings.
Cloud-Penetrationstest
Testet Ihre Cloud-Infrastruktur (AWS, Azure, GCP) auf Fehlkonfigurationen, übermäßige Berechtigungen, unsichere Speicherung und cloud-spezifische Angriffsvektoren. Erfordert Tester mit spezifischer Cloud-Plattform-Expertise.
Typische Dauer: 5–8 Tage
Wann einsetzen: Jährlich oder nach wesentlichen Änderungen der Cloud-Architektur.
Die Test-Methodik verstehen
Professionelle Penetrationstester folgen einer strukturierten Methodik. Obwohl sich spezifische Vorgehensweisen unterscheiden, folgen die meisten einem Muster, das auf Branchenstandards wie dem PTES (Penetration Testing Execution Standard) oder dem OWASP Testing Guide basiert:
- Aufklärung: Sammeln von Informationen über das Ziel mittels passiver (OSINT) und aktiver Techniken. Domainnamen, IP-Bereiche, Mitarbeiternamen, Technologie-Stack, geleakte Zugangsdaten.
- Scanning und Enumeration: Identifikation aktiver Hosts, offener Ports, laufender Dienste und potenzieller Einstiegspunkte.
- Schwachstellenidentifikation: Erkennung ausnutzbarer Schwächen. Kombiniert automatisiertes Scanning mit manueller Analyse.
- Exploitation: Versuch, identifizierte Schwachstellen auszunutzen, um Zugang zu erlangen. Hier unterscheidet menschliche Kompetenz einen Penetrationstest von einem Scan.
- Post-Exploitation: Wenn Zugang erlangt wird – was kann der Tester erreichen? Privilege Escalation, laterale Bewegung, Datenzugriff, Persistenz.
- Berichterstattung: Dokumentation der Ergebnisse mit Belegen, Risikobewertungen und umsetzbaren Handlungsempfehlungen.
Was kostet ein Penetrationstest in Luxemburg?
Die Preise in Luxemburg spiegeln die lokalen Kosten für qualifizierte Fachleute und das regulatorische Umfeld wider. Hier sind realistische Preisspannen auf Basis aktueller Marktpreise:
| Testtyp |
Dauer |
Preisspanne (EUR) |
| Externer Netzwerk-Pentest |
3–5 Tage |
4.000 – 10.000 |
| Interner Netzwerk-Pentest |
5–10 Tage |
8.000 – 20.000 |
| Webanwendungs-Pentest |
5–10 Tage |
7.000 – 18.000 |
| Wireless-Pentest |
2–3 Tage |
3.000 – 7.000 |
| Social Engineering |
5–10 Tage |
5.000 – 15.000 |
| Cloud-Pentest |
5–8 Tage |
8.000 – 18.000 |
| Umfassend (Extern + Intern + Anwendung) |
15–25 Tage |
18.000 – 45.000 |
Was die Kosten erhöht: Großer Scope (viele IPs, mehrere Anwendungen), komplexe Umgebungen (Hybrid-Cloud, Legacy-Systeme), Compliance-Anforderungen (CSSF, PCI DSS), Berichte in mehreren Sprachen, enge Zeitpläne, Retests nach der Behebung.
Was die Kosten senkt: Klare Scope-Definition, gute Dokumentation, die den Testern bereitgestellt wird, jährliche Retainer-Vereinbarungen, Kombination mehrerer Testtypen in einem Auftrag.
Warnsignale bei der Preisgestaltung: Wenn jemand einen „vollständigen Penetrationstest" für 2.000 EUR anbietet, erhalten Sie wahrscheinlich einen automatisierten Schwachstellen-Scan mit einem Template-Bericht. Umgekehrt: Wenn das Angebot für eine unkomplizierte KMU-Umgebung 50.000 EUR übersteigt, stellen Sie sicher, dass der Scope dies rechtfertigt.
Wie Sie einen Penetrationstest definieren
Eine schlechte Scope-Definition ist der häufigste Grund dafür, dass Penetrationstests enttäuschende Ergebnisse liefern. Entweder ist der Scope zu weit gefasst (der Tester verbringt die gesamte Zeit mit wenig relevanten Zielen) oder zu eng (kritische Systeme sind ausgeschlossen).
Bereiten Sie bei der Scope-Definition folgende Informationen vor:
- Ziele: Was möchten Sie herausfinden? „Kann ein Angreifer unsere Kundendatenbank erreichen?" ist ein besseres Ziel als „alles testen".
- IP-Bereiche und Domains: Welche Systeme gehören genau zum Scope? Stellen Sie eine vollständige Liste externer IP-Adressen, Domainnamen und interner Netzwerkbereiche bereit.
- Anwendungen: Listen Sie für Webanwendungstests jede Anwendung mit URL, Authentifizierungsanforderungen und den zu testenden Benutzerrollen auf.
- Ausschlüsse: Sind bestimmte Systeme off-limits? Produktionssysteme, die keine Unterbrechung tolerieren? Extern gehostete Dienste?
- Testzeitraum: Wann können Tests stattfinden? Nur während der Geschäftszeiten? Wochenenden? Gibt es Sperrzeiten?
- Rules of Engagement: Darf der Tester einen Denial-of-Service versuchen? Social Engineering? Physischen Zugang? Was erfordert eine vorherige Genehmigung?
- Ansprechpartner: Wen soll der Tester benachrichtigen, wenn er während des Tests eine kritische Schwachstelle entdeckt? Wer ist der Notfallkontakt, wenn etwas schiefläuft?
Wie Sie sich vorbereiten: Die Checkliste vor dem Auftrag
Eine gute Vorbereitung maximiert den Wert jedes Testtages. Das sollten Sie tun, bevor die Tester eintreffen:
- Unterzeichnen Sie das Autorisierungsschreiben. Dies ist rechtlich unerlässlich. Es autorisiert das Testunternehmen ausdrücklich dazu, Ihre Systeme zu untersuchen. Ohne es könnte das Testen nach luxemburgischem Recht eine Straftat darstellen (Artikel 509-1 bis 509-7 des Strafgesetzbuches).
- Benachrichtigen Sie Ihre Hosting- und Cloud-Anbieter. AWS, Azure und die meisten Hosting-Anbieter verlangen eine Voranmeldung vor Penetrationstests. Das Versäumnis, sie zu benachrichtigen, kann dazu führen, dass Ihre Infrastruktur markiert oder gesperrt wird.
- Informieren Sie Ihr SOC oder Ihren Managed-Security-Anbieter. Wenn Sie ein Sicherheits-Überwachungsteam haben (intern oder extern), informieren Sie es darüber, dass während des angegebenen Zeitfensters Tests stattfinden werden. Entscheiden Sie, ob es normal reagieren soll (was Ihre Erkennungsfähigkeiten testet) oder die IP-Adressen der Tester auf die Whitelist setzen soll.
- Bereiten Sie Testkonten vor. Erstellen Sie für authentifizierte Tests (Webanwendungen, interne Netzwerke) dedizierte Testkonten auf jeder Berechtigungsebene. Teilen Sie nicht Ihre eigenen Zugangsdaten.
- Dokumentieren Sie Ihre Umgebung. Stellen Sie Netzwerkdiagramme, Dokumentation der Anwendungsarchitektur und eine Liste der eingesetzten Technologien bereit. Dadurch können Tester ihre Zeit damit verbringen, Schwachstellen zu finden, anstatt Ihre Umgebung zu kartieren.
- Legen Sie den Kommunikationskanal fest. Einigen Sie sich darauf, wie das Testteam während des Auftrags kommunizieren wird. Ein gemeinsamer Slack- oder Teams-Kanal eignet sich gut für Echtzeit-Updates.
- Definieren Sie das Protokoll für kritische Befunde. Was soll der Tester tun, wenn er eine kritische, aktiv ausnutzbare Schwachstelle findet? Vereinbaren Sie einen sofortigen Benachrichtigungsprozess.
Wie Sie einen Penetrationstest-Anbieter bewerten
Nicht alle Penetrationstest-Firmen sind gleich. Achten Sie auf folgende Punkte:
- Zertifizierungen: OSCP-, OSCE-, OSWE-, GPEN-, GXPN- und CREST-Zertifizierungen belegen praktische technische Fähigkeiten. Seien Sie vorsichtig bei Unternehmen, die nur über Management-Zertifizierungen (CISSP, CISM) ohne technische Test-Qualifikationen verfügen.
- Transparenz der Methodik: Ein seriöses Unternehmen wird seine Methodik klar erläutern und sie auf Ihre Umgebung abstimmen. Fordern Sie einen Musterbericht an, um Tiefe und Qualität zu bewerten.
- Luxemburg-Erfahrung: Lokales Wissen ist wichtig. Das Verständnis von CSSF-Anforderungen, luxemburgischen Rechtsrahmen und der lokalen Bedrohungslandschaft schafft echten Mehrwert.
- Versicherung: Eine Berufshaftpflichtversicherung ist nicht verhandelbar. Tests sind inhärent mit Risiken verbunden, und das Unternehmen sollte gegen versehentliche Schäden versichert sein.
- Retest-Richtlinie: Gute Unternehmen schließen einen Retest kritischer und hoher Befunde in den Auftrag ein oder bieten ihn zu einem reduzierten Preis an.
- Kommunikation während des Tests: Die besten Tester liefern tägliche Statusupdates und benachrichtigen Sie sofort bei kritischen Befunden – nicht erst am Ende des Auftrags.
Was mit dem Bericht zu tun ist
Ein Penetrationstest-Bericht ist nur dann wertvoll, wenn Sie darauf reagieren. Hier ist ein strukturierter Ansatz zur Behebung:
- Überprüfen Sie mit den Testern. Planen Sie ein Meeting zur Ergebnispräsentation. Stellen Sie Fragen. Verstehen Sie die Angriffsketten, nicht nur einzelne Schwachstellen.
- Priorisieren Sie nach Geschäftsrisiko. Nicht alle „kritischen" Befunde tragen das gleiche Geschäftsrisiko. Eine kritische Schwachstelle auf einem isolierten Testserver ist weniger dringend als eine mittlere Schwachstelle in Ihrem Zahlungsverarbeitungssystem.
- Erstellen Sie einen Behebungsplan mit Fristen. Kritische Befunde: 30 Tage. Hoch: 60 Tage. Mittel: 90 Tage. Niedrig: nächstes geplantes Wartungsfenster.
- Führen Sie nach der Behebung einen Retest durch. Überprüfen Sie, ob die Korrekturen wirksam sind. Nehmen Sie nicht an, dass das Einspielen eines Patches bedeutet, dass die Schwachstelle behoben ist – Konfigurationsfehler und unvollständige Fixes sind häufig.
- Verfolgen Sie Kennzahlen im Laufe der Zeit. Vergleichen Sie Ergebnisse über jährliche Tests hinweg. Wiederholen sich dieselben Probleme? Sinkt die Gesamtzahl der Befunde? Verschieben sich die Befunde von grundlegenden Problemen zu anspruchsvolleren? Diese Entwicklung zeigt Ihnen, ob Ihr Sicherheitsprogramm reift.
Penetrationstests und luxemburgische Regulierung
Wenn Sie der CSSF-Aufsicht unterliegen, sind Penetrationstests faktisch verpflichtend. Das CSSF-Rundschreiben 20/750 zum ICT-Risikomanagement verpflichtet Unternehmen des Finanzsektors zur Durchführung von Sicherheitstests, einschließlich Penetrationstests. Im Rahmen von DORA (Digital Operational Resilience Act) werden Finanzunternehmen verpflichtet sein, bedrohungsgeleitete Penetrationstests (TLPT) auf Basis des TIBER-EU-Rahmens für bestimmte systemrelevante Institute durchzuführen.
Auch außerhalb des Finanzsektors verlangt NIS2 von Unternehmen, die Wirksamkeit ihrer Cybersicherheits-Risikomanagementmaßnahmen zu testen, was implizit Sicherheitstestaktivitäten wie Penetrationstests umfasst.
Ein Penetrationstest ist keine Ausgabe. Es ist eine Investition in das Verständnis Ihrer tatsächlichen Sicherheitslage – nicht der Lage, die Sie zu haben glaubten.
