Penetrationstest oder Schwachstellenanalyse: worin sie sich unterscheiden

Sie zahlen für einen Penetrationstest und bekommen den Bericht eines automatischen Scanners. Das ist einer der häufigsten und teuersten Fehler beim Einkauf von Sicherheitsleistungen. Schwachstellenanalyse und Penetrationstest klingen ähnlich, doch sie beantworten völlig verschiedene Fragen, kosten unterschiedlich viel und schützen Ihr Unternehmen auf unterschiedliche Weise. Dieser Beitrag zeigt, worin sie sich unterscheiden, wann Sie welches Verfahren brauchen und woran Sie erkennen, dass ein Anbieter Ihnen einen Scan unter dem Namen Pentest verkauft.
Schwachstellenanalyse: der breite Scan bekannter Schwächen
Eine Schwachstellenanalyse (Vulnerability Assessment, VA) ist eine weitgehend automatisierte Prüfung Ihrer Umgebung auf bekannte Schwächen. Scanner wie Nessus, OpenVAS oder Qualys prüfen Softwareversionen, Konfigurationen, offene Dienste und fehlende Patches und liefern am Ende eine Liste der Lücken, sortiert nach Schweregrad, meist auf der CVSS-Skala.
Das ist eine günstige, schnelle Hygienekontrolle. Sie beantwortet die Frage: Was ist potenziell falsch. Sie beantwortet nicht die Frage: Was davon lässt sich tatsächlich ausnutzen.
Was Ihnen eine Schwachstellenanalyse bringt:
- Breite Abdeckung: Sie scannt viele Hosts, Dienste und Anwendungen auf einmal, um möglichst viele bekannte Lücken zu finden.
- Automatisierung: Sie stützt sich auf Werkzeuge, mit minimalem menschlichem Anteil.
- Priorisierung: Am Ende erhalten Sie eine Liste der Schwächen und die Reihenfolge, in der Sie sie schließen sollten.
- Wiederholbarkeit: Sie eignet sich für einen regelmäßigen, häufigen Turnus.
Penetrationstest: ein kontrollierter Angriff auf Ihr Unternehmen
Ein Penetrationstest (Penetration Test, PT) ist ein kontrollierter, simulierter Angriff. Der Pentester schlüpft in die Rolle des Angreifers und prüft, wie weit man mit den gefundenen Schwächen wirklich kommt. Oft beginnt er wie ein Scan, hört dort aber nicht auf: Die Fachperson bestätigt die Lücken von Hand, verkettet sie und zeigt die tatsächliche Wirkung.
Der Unterschied ist praktisch. Ein Scanner sagt Ihnen, dass ein Formular für SQL Injection anfällig sein könnte. Ein Pentester nutzt sie aus, liest Ihre Kundendatenbank aus und zeigt Ihnen einen Screenshot der Daten. In der Sprache des Geschäfts ist das ein fertiges Szenario für einen Datenabfluss, ein DSGVO-Bußgeld und eine Meldepflicht bei der Aufsichtsbehörde.
Deshalb hängt die Qualität eines Pentests an den Menschen, nicht an den Werkzeugen. Fragen Sie nach der Methodik (PTES, OWASP, NIST) und nach den Zertifikaten der Pentester, etwa OSCP und OSEP. Das ist Ihr Beleg, dass Sie für die Arbeit von Fachleuten zahlen und nicht für einen exportierten Scanner-Bericht.
Was Ihnen ein Penetrationstest bringt:
- Tiefe statt Breite: Er konzentriert sich auf das tatsächliche Ausnutzen ausgewählter Lücken und zeigt deren praktische Folgen.
- Menschliche Arbeit: manuelle Tests, kreatives Verketten von Schwächen und Taktiken, die kein Automat nachbildet.
- Ein reales Angriffsszenario: Phishing, seitliche Bewegung im Netz, Rechteausweitung, Datenabfluss.
- Ein Bericht mit Nachweisen: die beschriebenen Exploits, übernommene Konten und Daten, ein Zeitstrahl des Angriffs und ein konkreter Weg zur Behebung, am besten mit einem Retest nach der Umsetzung.
VA oder Pentest? Die wichtigsten Unterschiede
Am einfachsten sehen Sie es im direkten Vergleich.
Warum dieser Unterschied Sie Geld kostet
Einen Scan mit einem Pentest zu verwechseln, hat drei konkrete Folgen.
Regulatorische Compliance. Standards und Vorschriften wie PCI DSS, ISO 27001, NIST, DORA oder NIS2 unterscheiden zwischen Schwachstellen-Scan und Penetrationstest. Verlangt eine Prüferin oder eine Aufsichtsbehörde einen Pentest und Sie legen einen Scanner-Bericht vor, erfüllen Sie die Anforderung formal nicht. Das bedeutet Beanstandungen im Audit oder ein Bußgeld.
Ein falsches Sicherheitsgefühl. Eine bloße Liste von Lücken, ohne Bestätigung, welche davon ausnutzbar sind, beruhigt die Geschäftsleitung ohne reale Grundlage. Das eigentliche Risiko bleibt unangetastet.
Verschwendetes Budget. Eine VA ist günstiger und eignet sich gut für die regelmäßige Kontrolle. Ein PT kostet mehr, zeigt aber, welche Korrekturen das Risiko wirklich senken. Den Preis eines Pentests für einen Scan zu zahlen, ist das schlechteste aller Ergebnisse.
Woran Sie einen als Pentest verkauften Scan erkennen
Manche Anbieter verkaufen einen automatischen Scan unter dem Namen Penetrationstest, weil das seriöser klingt und mehr Geld für weniger Arbeit bringt. Hier sind die Warnzeichen.
- Keine Nachweise der Ausnutzung. Der Bericht zählt Lücken auf, zeigt aber nicht, wie sie ausgenutzt oder verkettet wurden. Das ist ein Zeichen, dass Sie einen Scan bekommen haben.
- Keine manuelle Arbeit. Kein Hinweis auf manuelle Tests, eigene Payloads oder nicht standardisierte Exploits. Ein echter Pentest ist menschliche Arbeit.
- Ein oberflächlicher Bericht. Nur automatische Befunde und Ratschläge im Stil von 'aktualisieren Sie die Software', ohne Screenshots, Logs und Angriffsbeschreibung.
- Kein Kontakt zum Tester. Ein seriöser Pentester steckt den Umfang ab, fragt nach Details und bespricht die Befunde laufend. Stille und nur eine exportierte Datei sind das Merkmal eines Scans.
Wann Sie eine VA und wann einen Pentest einsetzen
Beide Ansätze ergänzen sich. Die VA hält die laufende Hygiene in Schuss, der Pentest prüft die reale Widerstandskraft.
Greifen Sie zur Schwachstellenanalyse, wenn:
- Sie regelmäßige, wiederkehrende Kontrollen durchführen (monatlich, quartalsweise),
- Sie ein System nach einer Änderung oder einem Update schnell prüfen wollen,
- Sie ein Sicherheitsprogramm aufbauen und zu Beginn bekannte Schwächen aufspüren wollen.
Beauftragen Sie einen Penetrationstest, wenn:
- eine Vorschrift oder ein Vertrag es verlangt (oft ein- oder zweimal im Jahr),
- Sie ein neues Produkt, eine neue Leistung oder eine große Systemänderung einführen,
- Sie prüfen wollen, wie gut Ihre Schutzmaßnahmen und Ihr Notfallplan standhalten,
- Sie ein reales Angriffsszenario brauchen, um Ihre Sicherheitsinvestitionen mit offenen Augen zu planen.
Was das für Ihr Unternehmen bedeutet
Eine Schwachstellenanalyse sagt Ihnen, was falsch sein könnte. Ein Penetrationstest zeigt Ihnen, warum das zählt und was es Sie wirklich kosten würde. Sie sind keine Konkurrenten, sondern zwei Schichten derselben Strategie.
Bevor Sie unterschreiben, verlangen Sie Klarheit. Lassen Sie sich Umfang und Methodik schriftlich geben und fragen Sie direkt nach manueller Ausnutzung, Nachweisen im Bericht und einem Retest nach der Behebung. Hören Sie darauf nur von Werkzeugen, kaufen Sie wahrscheinlich einen Scan.
Wenn Sie nicht sicher sind, was Sie wirklich brauchen, vereinbaren Sie ein kurzes Gespräch mit einer Beraterin oder einem Berater. In 30 Minuten sagen wir Ihnen, ob in Ihrer Lage ein regelmäßiger Schwachstellen-Scan, ein vollständiger Penetrationstest oder beides passt.
Vereinbaren Sie eine kostenlose Beratung. Gemeinsam klären wir, ob eine Schwachstellenanalyse genügt oder ob Sie einen vollständigen Penetrationstest brauchen.