InspectWP Logo
Glossar

Was ist Penetration Testing?

20. Mai 2026

Penetration Testing (auch Pentesting, Ethical Hacking) ist ein autorisierter, simulierter Cyberangriff gegen ein System, eine Anwendung, eine API oder ein Netzwerk. Ziel ist es, Sicherheitsschwachstellen (Vulnerabilities, Fehlkonfigurationen, Designfehler) zu finden, bevor bösartige Angreifer sie ausnutzen. Ein Pentester folgt einer strukturierten Methodik aus automatisiertem Scannen, manueller Exploitation, Post Exploitation und Reporting. Das Ergebnis ist ein schriftlicher Bericht, der jeden Befund nach Schweregrad bewertet (Critical, High, Medium, Low, Informational) und Reproduktionsschritte, Screenshots, Business Impact und eine empfohlene Lösung enthält. Penetration Testing ist regulatorische Pflicht in vielen Frameworks: PCI DSS Anforderung 11.4 (mindestens jährlich), ISO 27001:2022 Control A.8.29, NIS2-Richtlinie Artikel 21, HIPAA Security Rule, SOC 2 und die EU Digital Operational Resilience Act (DORA) Artikel 26 seit 17. Januar 2025. Preise 2025 reichen von 5.000 EUR für einen fokussierten Web-Pentest bei einem KMU bis über 150.000 EUR für einen Enterprise-Scope. Continuous Pentest as a Service (Cobalt, HackerOne PTaaS, NetSPI) startet bei 800 bis 2.000 EUR im Monat.

Wie unterscheidet sich Penetration Testing von einem Vulnerability Scan?

AspektVulnerability ScanPenetration Test
AutomatisierungVoll automatisiert (Nessus, Qualys, Acunetix, OpenVAS, InspectWP)Überwiegend manuell mit Tool-Unterstützung
TiefeOberflächlich, signaturbasiertVerkettete Exploitation, Business-Logik
False PositivesHoch (10 bis 40 Prozent)Niedrig (von Menschen verifiziert)
ExploitationKeine, nur ErkennungTatsächliche Exploitation und Post Exploitation
DauerMinuten bis StundenTage bis Wochen
KostenKostenlos bis ein paar hundert EUR pro ScanAb 5.000 EUR
FrequenzKontinuierlich, wöchentlichJährlich oder nach großen Releases

Scans finden bekannte Probleme schnell und günstig. Pentests verifizieren sie, finden Ketten von Schwachstellen, die kein Scanner erkennt (Business-Logik, Authorization Bypass, Race Conditions) und zeigen reale Auswirkungen. Beides ergänzt sich.

Welche Pentest-Typen gibt es?

  • Web Application Pentest: OWASP Top 10, Authentifizierung, Autorisierung, Session Management, Business-Logik.
  • API Pentest: REST, GraphQL, SOAP. OWASP API Security Top 10 (Edition 2023).
  • Mobile Pentest: iOS und Android, Reverse Engineering, statische und dynamische Analyse (Frida, Objection, MobSF).
  • Netzwerk- und Infrastruktur-Pentest: extern und intern. Ungepatchte Dienste, schwache SMB, offene RDP, Kerberoasting in Active Directory.
  • Cloud Pentest: AWS, Azure, GCP. IAM-Fehlkonfigurationen, öffentliche S3-Buckets, Metadata-Endpunkte. Anbieter verlangen teilweise Vorabgenehmigung.
  • Wireless Pentest: WiFi, Evil Twin, WPA2/WPA3-Cracking.
  • Social Engineering und Phishing: simulierte Phishing-Kampagnen, Vishing, USB Drops, Physical Intrusion.
  • Red Team: vollständige Adversary Simulation über Wochen oder Monate.
  • Purple Team: Red und Blue arbeiten zusammen, um Detection und Response zu verbessern.
  • IoT und Embedded: Firmware-Extraktion, JTAG, Hardware Tampering.

Wissensmodelle

  • Black Box: nur URL oder IP, wie ein externer Angreifer.
  • Grey Box: Pentester hat normalen Benutzer-Account und Basisdokumentation.
  • White Box: voller Zugriff auf Source Code, Architektur, Admin-Zugangsdaten.

Welche Methodik wird angewandt?

  1. Scoping und Rules of Engagement: Ziele, Techniken, Zeitfenster, Kontakte, schriftliche Autorisierung.
  2. Information Gathering / Reconnaissance: passiv (Shodan, Google Dorks, Censys, Certificate Transparency, Wayback Machine, HaveIBeenPwned) und aktiv (Nmap, Amass, Subfinder, feroxbuster, gobuster).
  3. Threat Modeling.
  4. Vulnerability Identification: Burp Suite Pro, Acunetix, Nuclei, Nessus plus manueller Code Review.
  5. Exploitation: Metasploit, sqlmap, hashcat, BloodHound.
  6. Post Exploitation: Pivot, Persistenz, Datenexfiltration.
  7. Reporting: Executive Summary, technische Details, CVSS 3.1 oder 4.0, Business Impact, Remediation, Retest-Plan.
  8. Remediation und Retest.

Standards und Frameworks

  • OWASP Web Security Testing Guide (WSTG), aktuelle Version 4.2 (2020), Update 2025 in Arbeit.
  • OWASP API Security Top 10 Edition 2023.
  • OWASP Mobile Security Testing Guide (MSTG) und MASVS.
  • PTES.
  • NIST SP 800-115.
  • OSSTMM von ISECOM.
  • MITRE ATT&CK.
  • PCI DSS 11.4.
  • TIBER-EU der EZB.

Welche Tools werden genutzt?

  • Burp Suite von PortSwigger (Community kostenlos, Professional 449 USD pro Nutzer und Jahr).
  • OWASP ZAP.
  • Metasploit Framework von Rapid7.
  • Nmap.
  • sqlmap.
  • Nuclei von ProjectDiscovery.
  • hashcat.
  • BloodHound.
  • Kali Linux und Parrot OS.
  • Cobalt Strike.
  • WPScan.

Qualifikationen eines Pentesters

  • OSCP von OffSec.
  • OSCE3 (OSWE + OSEP + OSED).
  • CRTO / CRTL von Zero Point Security.
  • CREST CRT und CCT.
  • PNPT von TCM Security.
  • GPEN, GWAPT, GXPN von SANS GIAC.
  • CEH von EC-Council.

Was ist beim WordPress-Pentest besonders?

  • Plugin- und Theme-CVEs via WPScan oder Wordfence Threat Intelligence.
  • Unauthentifizierte REST-API-Endpunkte (User-Enumeration über /wp-json/wp/v2/users).
  • XML-RPC-Missbrauch und Brute Force.
  • Author-Archive-Enumeration über /?author=N.
  • Backup-Dateien im Webroot (wp-config.php.bak, .git, .env).
  • Anfällige File-Upload-Pfade.
  • SQL Injection in Custom Plugins und Themes.
  • Stored XSS in Kommentaren, Formularen, Theme-Options.
  • Fehlende 2FA und fehlende CSRF-Nonces.
  • Schwache Passwortrichtlinie und geteilte Admin-Konten.

Wie bereite ich einen Pentest vor?

  1. Klaren Scope definieren. Drittanbieter-Services ausschließen.
  2. Test-Accounts pro Rolle bereitstellen, keine Produktivdaten.
  3. Staging-Umgebung spiegelt Produktion, aber ist isoliert.
  4. SOC, IT, Hoster und WAF über Zeitfenster und Quell-IPs informieren.
  5. Bekannte Issues dokumentieren, damit der Tester sich auf Neues fokussiert.
  6. Kommunikationskanal vereinbaren (Slack, Signal) für kritische Funde.
  7. Budget für Retest einplanen.

Bug Bounty als Ergänzung

Bug-Bounty-Programme (HackerOne, Bugcrowd, Intigriti, YesWeHack, Open Bug Bounty) öffnen die Anwendung für ein globales Forscher-Netzwerk, das pro gültigem Befund bezahlt wird. Bounty ersetzt keinen Pentest, ergänzt aber: Pentest liefert Breite zum Termin, Bounty Long-Tail-Funde.

Wie passt InspectWP in den Pentest?

InspectWP führt automatisierte Reconnaissance und Oberflächen-Analyse durch: WordPress-Version, Plugins, Themes, fehlende Security-Header, exponierte sensible Dateien, schwache TLS-Konfiguration, fehlende 2FA auf der Loginseite und fehlende WAF. Es ersetzt keinen manuellen Pentest, liefert aber den Input, den ein Pentester zu Beginn braucht, oft den ersten Reconnaissance-Tag.

Vorheriger Artikel

Was ist Interaction to Next Paint (INP)?

Nächster Artikel

Was sind AVIF und WebP im Vergleich?

Verwandte Artikel

Was sind HTTP/2 und HTTP/3? Ein praktischer Leitfaden für WordPress-Seiten

Was sind WordPress Custom Post Types?

Was ist ein WordPress-Block-Theme (Full Site Editing)?

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren