Der Umfang eines Penetrationstests: die eine Seite, die entscheidet, ob der Test sein Geld wert war

Black Box oder Grey Box, die Rules of Engagement, die Methodik und das, was Sie bewusst aus dem Testumfang ausnehmen. Wir nehmen das Dokument auseinander, das die meisten ungeprüft unterschreiben und das über alles Weitere entscheidet.
„Und haben Sie auch das Partnerportal geprüft?“
Diese Frage kommt meist etwa drei Wochen nach dem Test, im Abschlussgespräch, wenn der Bericht längst verschickt ist und die meisten kurz durchgeatmet haben. Und die Antwort lautet meist: nein, denn das Partnerportal war nicht im Umfang. Niemand hat es aufgeschrieben. Nicht, weil jemand einen Fehler gemacht hätte, sondern weil bei der Festlegung des Umfangs alle an die Hauptanwendung dachten, während das Partnerportal still auf einer eigenen Subdomain lebte, die gerade niemand erwähnte.
Und hier liegt der Kern, über den Leistungsseiten selten sprechen: Über das Ergebnis eines Penetrationstests entscheidet nicht in erster Linie, wie gut der Tester ist. Es entscheidet, was Sie in den Umfang schreiben, bevor der Tester überhaupt an der Tastatur sitzt.
Der Umfang klingt nach Formalität. Er ist ein Vertrag darüber, was wirklich geprüft wird
„Umfang“ ist das unspektakulärste Wort dieser Branche. Man verbindet es mit einer Anlage, die man ungeprüft unterschreibt, um zum spannenderen Teil mit dem „Hacken“ zu kommen. In der Praxis zieht genau diese Anlage die Grenze: Was ist im Spiel und was nicht. Was wirklich geprüft wird und was wir bewusst nicht anfassen.
Das Problem: Der Angreifer hat keine Kopie Ihres Umfangs bekommen. Die Asset-Liste, die Sie in Meetings festgelegt haben, bindet ihn nicht. Er geht dort hinein, wo es am schwächsten ist, und nicht unbedingt dort, wo der Test bequem ins Budget passte. Ein Umfang, der nicht abbildet, wie ein Angreifer denkt, kann Ihnen deshalb einen Bericht mit grüner Zusammenfassung liefern und dabei null echte Abdeckung dort, wo es wirklich weh tut.
Zu eng oder zu weit? Beide Extreme haben ihren Preis
Ein enger Umfang hat einen Vorteil: Der Tester geht in die Tiefe, zerlegt eine einzelne Anwendung in ihre Einzelteile und findet Dinge, die kein Scanner je berührt. Er hat auch einen Nachteil. Wurde die Grenze an der falschen Stelle gezogen, liegt diese ganze Tiefe direkt neben der echten Tür.
Ein weiter Umfang hat die umgekehrte Bilanz. „Testen Sie alles“ klingt sicher, bis man dieses „alles“ der Zahl der Tage im Zeitplan gegenüberstellt. Fünf Tage für die gesamte Infrastruktur sind kein Penetrationstest, eher ein kurzer Spaziergang mit der Taschenlampe. Sie berühren viele Dinge, keines davon so gründlich, dass es etwas bedeutet.
Die Grenze verläuft nicht dort, wo das Budget endet. Sie verläuft dort, wo jemand mit bösen Absichten tatsächlich hineinkäme.
Was wir außerhalb des Umfangs fanden (und warum es doppelt weh tut)
Ein konkreter Fall. Ein Kunde beauftragte den Test einer Produktivanwendung. Bewusst, vernünftig, mit einer klaren Liste. Außerhalb des Umfangs blieb eine Subdomain mit einem Reporting-Panel, behandelt als „internes Werkzeug, von dem kaum jemand weiß“.
Nebenbei, völlig legal, im Rahmen der Informationsbeschaffung, stießen wir aus dem Internet auf dieses Werkzeug. Einer seiner Endpunkte gab Daten anhand einer ID-Nummer zurück, ohne zu prüfen, wem sie gehören. Nummer in der Anfrage austauschen, und schon kamen die Berichte eines anderen Mandanten der Plattform heraus.
Technisch ist das ein klassisches Broken Access Control. Geschäftlich ist es ein Datenabfluss zwischen Kunden, ein Bruch der Vertraulichkeitsvereinbarung und ein Fall für eine Meldung an die Datenschutzbehörde. Formal lag es außerhalb des Umfangs, also landete es im Bericht in einem eigenen Abschnitt „außerhalb des Umfangs, aber Sie müssen das sehen“. Hätte man die Grenze ein paar Meter weiter gezogen, wäre es der Befund Nummer eins gewesen und keine Fußnote.
Die Lehre lautet nicht „testen Sie alles um jeden Preis“. Sie lautet: Fragen Sie beim Ziehen der Grenze zuerst, wo Ihre Daten tatsächlich liegen, und nicht, wo die bequeme Linie im Vertrag verläuft.
Was in einen guten Umfang gehört
Wenn Sie ein Testangebot vor sich haben, ist dieser Teil für die Menschen, die es am genauesten lesen werden. Ein guter Umfang beantwortet sieben Fragen:
- Was genau getestet wird. Konkrete Domains, IP-Adressen, Webanwendungen, APIs, mobile Apps. Einzeln benannt. „Die ganze Firma“ ist kein Umfang, sondern eine Absicht.
- Aus welcher Perspektive. Black Box (der Tester startet wie jemand von der Straße, ohne Wissen), Grey Box (er bekommt ein Konto und etwas Kontext), White Box (er bekommt Dokumentation und Code). Das entscheidet, wie viel er in derselben Zeit tatsächlich prüfen kann. Ohne Vorwissen geht die Hälfte des Einsatzes für die Informationsbeschaffung drauf, die Grey Box auf Minuten verkürzt.
- Woher wir angreifen. Aus dem Internet oder aus dem Inneren des Netzwerks. Mit Benutzerkonto oder ohne. Ein anderes Szenario bedeutet ein anderes Ergebnis, und „von außen und von innen“ sind zwei getrennte Tests, nicht ein längerer.
- Die Rules of Engagement. Wann getestet wird, ob Social Engineering erlaubt ist, ob wir überhaupt die Produktion anfassen oder eine Kopie, wie weit die Folgen reichen und wer ans Telefon geht, wenn etwas ins Rollen kommt. Dieser Punkt rettet allen am häufigsten die Nerven.
- Die Methodik. PTES, OWASP (WSTG für Web, MASTG für Mobile), NIST. Es geht um ein Ergebnis, das wiederholbar und überprüfbar ist und nicht davon abhängt, wozu ein bestimmter Tester an einem Tag Lust hatte.
- Die Zeit, also wie viele Personentage. Das ist kein Verwaltungsdetail, sondern die reale Obergrenze dafür, wie tief man kommt. Ein ehrlicher Anbieter sagt Ihnen offen, wenn das Budget den Umfang nicht schließt, statt den Test zu einem Scan mit hübscherem Deckblatt zu verdünnen.
- Was Sie am Ende bekommen. Ein Bericht mit Nachweisen, Risikoprioritäten und einem konkreten Weg zur Behebung, dazu ein Retest, nachdem die Korrekturen umgesetzt sind. Ohne Retest wissen Sie nicht, ob die Lücke wirklich weg ist oder nur aus diesem einen Blickwinkel nicht mehr sichtbar.
Die Liste „was draußen bleibt“ ist genauso wichtig wie die Liste „was drin ist“. Etwas bewusst aus dem Umfang zu streichen ist eine geschäftliche Entscheidung. Es unbewusst wegzulassen ist eine Lücke, von der Sie durch jemand anderen erfahren.
Der Umfang, DORA und NIS2: den Prüfer interessiert nicht nur, dass ein Test stattfand
Wenn Sie den Test wegen regulatorischer Pflichten durchführen, gibt es einen weiteren Grund, den Umfang nicht stiefmütterlich zu behandeln. DORA und NIS2 verlangen regelmäßige Tests, aber der Prüfer schaut auch darauf, was tatsächlich getestet wurde. Ein auf eine einzige Anwendung zusammengeschnittener Umfang schließt die Pflicht für die gesamte kritische Infrastruktur nicht ab. Ein Bericht, der glänzend aussieht, aber nur einen Bruchteil dessen abdeckt, was die Aufsichtsbehörde für relevant hält, überzeugt im Gespräch mit einem Prüfer nicht. Der Umfang ist die Stelle, an der Compliance entweder beginnt oder zerbricht, lange vor der ersten Zeile eines Befunds.
Zum Schluss
Der Umfang klingt nach Hausaufgabe. Ein Dokument über Grenzen, das sich leicht ungelesen unterschreiben lässt, damit der Test endlich losgeht. Und genau diese eine Seite entscheidet, ob Sie eine Karte der echten Lücken bekommen oder ein höfliches PDF mit grüner Zusammenfassung, neben dem die echte Tür unberührt steht.
Wenn Sie einen Absatz über Formalitäten bis hierher gelesen haben, gehören Sie vermutlich zu denen, die auch die Anlagen zu Verträgen lesen. Eine seltene und praktische Eigenschaft in diesem Job. Eine Frage zum Schluss: Wann hat zuletzt jemand in den Umfang Ihres letzten Tests geschaut und in Ruhe gezählt, was tatsächlich außerhalb geblieben ist?
Möchten Sie sehen, wie das in der Praxis aussieht? Hier ist ein Beispielumfang - ein echtes, anonymisiertes Dokument, das zeigt, wie wir die Grenze ziehen und was wir in den Abschnitt „außerhalb des Umfangs“ schreiben.
Möchten Sie lieber gleich über Ihren eigenen Fall sprechen? Vereinbaren Sie eine kostenlose Beratung. 30 Minuten, unverbindlich, ein Gespräch mit einem Berater. Sie gehen mit einem ersten Entwurf eines sinnvollen Umfangs heraus, unabhängig davon, ob Sie sich für den Test bei uns entscheiden.
Vereinbaren Sie eine kostenlose Beratung. Ein Gespräch mit einem Berater - Sie gehen mit einem Umfangsvorschlag heraus, der auf Ihren Fall zugeschnitten ist.