Vom Luxus zum Standard: Was Unternehmen über modernes Pentesting wissen müssen

Pentesting ist eine effektive Maßnahme, um die Wirksamkeit von IT-Security-Maßnahmen zu überprüfen – und ist für einige Unternehmen bereits gesetzlich vorgeschrieben. Lange galt es als aufwendige manuelle Sicherheitsintervention, die nur große Konzerne ohne unverhältnismäßigen Ressourcenaufwand umsetzen konnten. Mit der automatisierten Version, der sogenannten Automated Security Validation, erhalten auch kleine und mittelständische Betriebe erschwinglichen Zugriff auf diese unverzichtbare Security-Maßnahme. Mareen Dose und Daniel Hoyer, Presales Consultants bei indevis, erklären den Status quo modernen Pentestings und wie Unternehmen davon mit Expertenhilfe profitieren können.

1. Was ist Pentesting und warum ist es wichtig?

Pentesting, kurz für „Penetrationstests“ ist ein Verfahren, bei dem Security-Experten versuchen, gezielt in die IT-Infrastruktur eines Unternehmens einzudringen – ähnlich wie ein Angreifer es tun würde. So sollen kritische Schwachstellen identifiziert und im Anschluss geschlossen werden, bevor Cyberkriminelle sie ausnutzen. Das Verfahren hilft Firmen dabei, ihre Sicherheitsmaßnahmen zu evaluieren und zu verbessern sowie die Risikoexposition realistisch einzuschätzen. Reine Vulnerability-Management-Systeme reichen dafür nicht aus. Diese priorisieren Schwachstellen zwar standardisiert nach einem CVSS-Wert (Common Vulnerability Scoring System), liefern aber keine realistische und individuelle Einschätzung über deren Risikopotenzial. Pentesting ist somit ein unverzichtbarer Bestandteil einer modernen IT-Security-Infrastruktur.

2. Manuelles vs. automatisiertes Pentesting – was ist der Unterschied?

Bisher fand Pentesting vor allem manuell statt. Dabei nehmen IT-Experten die Perspektive von Angreifern ein und führen in begrenzten Zeiträumen realistische Angriffe auf das Unternehmensnetzwerk durch. Automatisiertes Pentesting, auch als Automated Security Validation bezeichnet, hingegen nutzt Software und Künstliche Intelligenz, um kontinuierlich und zu jedem beliebigen Zeitpunkt kritische Schwachstellen zu identifizieren. Beide Methoden haben ihre Vor- und Nachteile, je nach Anwendungsfall und Bedarf des Unternehmens.

3. Manuelle Pentests: Gut für tiefgehende Analysen

Manuelle Pentests bieten tiefgehende, individuelle Analysen, die speziell auf die Gegebenheiten eines Unternehmens zugeschnitten sind. Besonders bei komplexen Szenarien mit sozialer Komponente, wie beim Red Teaming oder beim Test von Social-Engineering-Angriffen, sind menschliche Experten unverzichtbar. Manuelle Pentests bieten zudem Flexibilität etwa für spezifische Schwachstellen oder dynamische Angriffsszenarien. Allerdings zeigen sie lediglich eine Momentaufnahme – und da Pentesting mit menschlichen Testern aus Kostengründen in der Regel höchstens einmal im Jahr stattfindet, sind die Erkenntnisse meist nur kurze Zeit aktuell.

4. Automated Security Validation bietet Effizienz und Vergleichbarkeit

Automatisiertes Pentesting beziehungsweise Automated Security Validation bringt Standardisierung und Effizienz. Es ermöglicht eine kontinuierliche Überprüfung der IT-Sicherheit von beliebig vielen vordefinierten Bereichen im Unternehmensnetzwerk, bietet vergleichbare Berichte und erfordert weniger personellen Aufwand. Mithilfe von KI-gestützten Tools lassen sich Schwachstellen über eine zentrale Plattform schnell und zuverlässig aufspüren und bewerten. Integrierte Kontrollen gewährleisten im Hintergrund den ununterbrochenen Betrieb. Erfahrene Security Researcher sorgen dafür, dass die Pentesting-Plattform stets über die neuesten Bedrohungsinformationen verfügt. So haben Unternehmen ihre Sicherheitslage jederzeit im Blick, sehen kontinuierlich, wie sich Angriffsflächen verändern – etwa nach System-Updates oder -Patches – und können bei Bedarf schnell eingreifen.

5. Welche Variante ist kostengünstiger?

Manuelles Pentesting ist in der Regel kostenintesiv, da es spezialisierte Fachkräfte erfordert, die über Kompetenzen auf dem Niveau professioneller Hacker verfügen. Bei der Automated Security Validation übernehmen hingegen die eingesetzten Tools kontinuierlich die Hauptarbeit, was insgesamt Kosten reduziert. Trotzdem ist automatisiertes Pentesting nicht per se kostengünstiger. Vielmehr hängt der Investitionsbedarf von der Anzahl der zu überprüfenden Assets und IP-Adressen ab. Dafür können aber zu kalkulierbaren Kosten beliebig viele Pentests pro Jahr durchgeführt werden.

6. Automated Security Validation als Managed Service

Noch ist Pentesting teuer und aufwändig. Doch automatisierte Security-Validierung gibt es seit Kurzem auch als Managed Security Service zu buchen. Das macht Pentesting nun auch für kleine und mittelständische Unternehmen erschwinglich. Dank Pentesting-as-a-Service können mit überschaubarem Aufwand kontinuierliche Sicherheitsüberprüfungen durchgeführt werden, ohne unverhältnismäßig Ressourcen zu binden. So lässt sich auch im Mittelstand mit neuesten Tools der Schutz vor Cyberkriminellen deutlich erhöhen.

7. Compliance und gesetzliche Vorgaben: Pentesting oft schon verpflichtend

Für viele Betriebe ist Pentesting mittlerweile nicht mehr nur optional, sondern Pflicht. Vor allem Organisationen, die unter die NIS2-Verordnung oder den Digital Operational Resilience Act (DORA) fallen, sind gesetzlich verpflichtet, regelmäßige Sicherheitsüberprüfungen durchzuführen. Pentesting ist dafür ein mögliches und wirksames Instrument. Auch für Betriebe, die eine Cyberversicherung abschließen möchten, ist Pentesting oft eine Voraussetzung. Zu erwarten ist, dass sich die Vorgaben nach und nach auch in andere Bereiche ausweiten. Daher sollten sich Verantwortliche in Unternehmen aller Branchen bereits jetzt Gedanken über den Einsatz von Pentesting machen.

8. Wie gelingt die Einführung einer Pentesting-Plattform?

Pentesting ist nur dann sinnvoll, wenn Unternehmen bereits über ein solides Sicherheitsniveau verfügen. Ohne grundlegende Security-Maßnahmen könnten die Pentest-Ergebnisse und die schiere Anzahl der empfohlenen Maßnahmen überwältigend sein. Zugang zu der Automated Security Platform der Wahl lässt sich meist schnell einrichten – oft sind auch keine lokalen Installationen erforderlich. Falls das Know-how im eigenen Haus fehlt, können sich Firmen Unterstützung durch externe Spezialisten oder einen Managed Security Service Provider (MSSP) holen. Letzterer hilft sowohl in der Anfangsphase beim Aufsetzen der Pentests als auch im weiteren Verlauf, um die Automated Security Validation kontinuierlich durchzuführen, Ergebnisse zu besprechen, Handlungsempfehlung abzuleiten und bei Bedarf auch bei deren Umsetzung zu unterstützen. Zudem bieten MSSPs dank ihres Pentesting-as-a-Service-Angebots auch flexible Lizenzierungsoptionen.

Fazit: Jetzt Vorbereitungen treffen

Pentesting entwickelt sich dank Automatisierung zunehmend vom Luxusgut zu einem unverzichtbaren Bestandteil jeder IT-Sicherheitsstrategie. Im Gartner Hype Cycle 2024 für Security Operations wurde Pentesting beziehungsweise die Oberkategorie „Adversarial Exposure Validation“ als Innovation Trigger hinzugefügt. Sowohl manuelle als auch automatisierte Methoden haben dabei ihre Berechtigung und lassen sich je nach Anforderung kombinieren. Mit den richtigen Maßnahmen und Tools können Unternehmen ihre IT-Systeme so kontinuierlich auf Angriffsvektoren hin überprüfen und sich besser vor potenziellen Cyberangriffen schützen. Wer inhouse nicht über die notwendige Expertise verfügt, kann sich Hilfe von einem erfahrenen Experten wie einem Managed Security Service Provider (MSSP) einholen. Mareen Dose und Daniel Hoyer von indevis sind sich einig: „Verantwortliche sollten sich jetzt mit dem Thema auseinandersetzen und sich um die notwendige Security-Reife für Pentesting kümmern. So können sie ihr Unternehmen effektiv und außerdem Compliance-konform vor kritischen Cyberangriffen schützen und den Geschäftserfolg langfristig sicherstellen.“

Über die Autoren:

Mareen Dose und Daniel Hoyer sind Presales Consultants bei indevis und verfügen über langjährige Berufserfahrung im IT-Security-Umfeld. Sie beraten Kunden in allen Belangen rund um die Abwehr und Bekämpfung von Cyberbedrohungen.

Weitere Informationen zu indevis sind im Lösungskatalog verfügbar.