Penetrationstest ist ein simulierter Angriff auf IT-Systeme, Anwendungen oder Prozesse, um aus Sicht eines Angreifers verwertbare Schwachstellen zu identifizieren. Für NIS2-betroffene Unternehmen bedeutet Penetrationstest vor allem, die Wirksamkeit bestehender Sicherheitsmaßnahmen nachweisbar zu prüfen, statt nur Richtlinien auf Papier zu dokumentieren.
Was bedeutet Penetrationstest?
Ein Penetrationstest, oft auch Pentest genannt, geht weiter als eine reine technische Bestandsaufnahme. Anders als ein automatisierter Schwachstellenscan prüft er, ob sich Sicherheitslücken tatsächlich ausnutzen lassen. Genau deshalb ist der Begriff für Cybersicherheit, Schwachstellenmanagement und Audit besonders relevant.
In der Praxis werden drei Grundformen unterschieden: Black Box ohne Vorwissen, White Box mit tiefem internen Einblick und Grey Box als Mischform. Welche Variante passt, hängt von Ziel, Kritikalität und gewünschter Testtiefe ab.
Wichtig ist die Abgrenzung zum Vulnerability Scan. Ein Scan erkennt bekannte Schwachstellen automatisiert. Ein Penetrationstest bewertet dagegen manuell und szenariobasiert, ob diese Schwachstellen tatsächlich zu einem Einbruch oder Datenabfluss führen können. Ein Pentest ersetzt daher keinen Scan, sondern ergänzt ihn.
Warum ist Penetrationstest für NIS2 relevant?
Für NIS2-betroffene Unternehmen ist ein Penetrationstest kein Selbstzweck, sondern ein Mittel zur Wirksamkeitskontrolle. Art. 21 Abs. 2 Buchst. f der Richtlinie (EU) 2022/2555 verlangt Konzepte und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheits-Risikomanagementmaßnahmen. Im deutschen Umsetzungsrecht greift § 30 Abs. 2 Nr. 6 BSIG denselben Gedanken auf. Ein Penetrationstest ist deshalb besonders geeignet, um diese Wirksamkeitsbewertung praktisch zu belegen.
Entscheidend ist ein risikobasierter Ansatz: kritische externe Systeme, Kundenportale, VPN-Zugänge oder Cloud-Administrationsoberflächen sollten in angemessenen Abständen getestet werden. Das BSI ordnet Penetrationstests in seinem Leitfaden als praxisnahe Methode ein, um reale Angriffswege zu analysieren und Maßnahmen belastbar zu priorisieren. Wer NIS2 im Überblick einordnen will, sollte zusätzlich den NIS2-Hub lesen.
Praxisbeispiel für ein deutsches Unternehmen
Ein deutscher Medizintechnik-Zulieferer mit 180 Mitarbeitenden betreibt ein Kundenportal, ein ERP-System und einen extern erreichbaren VPN-Zugang. Im Rahmen seines Schwachstellenmanagements zeigt ein automatisierter Scan mehrere Befunde, aber die Priorisierung bleibt unklar.
Der beauftragte Grey-Box-Test zeigt, dass sich eine veraltete Webkomponente, zu weit gefasste Rollenrechte und schwache Segmentierung zu einem realen Angriffspfad verbinden lassen. Ein Angreifer könnte dadurch vom Portal in interne Systeme vordringen. Das Unternehmen priorisiert daraufhin Patches, Rechtekonzept und Netzwerksegmentierung neu. Zugleich dient der Bericht im internen Audit als Nachweis, dass Maßnahmen auf Wirksamkeit geprüft wurden.
Wer sollte Penetrationstests durchführen und wie oft?
Penetrationstests sollten von erfahrenen Fachleuten mit nachweisbarer Methodik durchgeführt werden. Viele Unternehmen achten auf ein OSCP- oder CEH-Zertifikat, belastbare Referenzen und eine saubere Dokumentation von Scope, Annahmen, Angriffspfaden und Ergebnissen.
Zur Regelmäßigkeit gibt es keine starre NIS2-Frist. Sinnvoll sind anlassbezogene Tests nach größeren Architekturänderungen, neuen Internet-Exponierungen oder Sicherheitsvorfällen. Für viele betroffene Unternehmen ist zusätzlich ein jährlicher externer Penetrationstest ein realistischer Mindeststandard. Wenn Sie tiefergehende adversariale Übungen gegen Erkennung und Reaktion prüfen wollen, ist Red Teaming die anspruchsvollere Form.
FAQ
Was ist Penetrationstest?
Penetrationstest ist ein kontrollierter, simulierter Angriff auf IT-Systeme, Anwendungen oder Netze. Ziel ist nicht nur das Finden, sondern das praktische Verifizieren von Schwachstellen, Fehlkonfigurationen und realistischen Angriffspfaden.
Warum ist Penetrationstest für NIS2 wichtig?
Penetrationstests helfen bei der Bewertung, ob Sicherheitsmaßnahmen tatsächlich wirksam sind. Genau diese Wirksamkeitsbewertung verlangt Art. 21 Abs. 2 Buchst. f NIS2; in Deutschland greift § 30 Abs. 2 Nr. 6 BSIG denselben Prüfgedanken auf.
CTA
Wenn Sie NIS2-relevante Sicherheitsmaßnahmen nicht nur dokumentieren, sondern belastbar bewerten wollen, hilft eine klare Schulungs- und Umsetzungslogik. Die NIS2-Schulung unterstützt dabei, Rollen, Nachweise und Maßnahmen sauber aufzusetzen.