Die Suchanfragen nach Penetrationstest-Dienstleistungen in Grossbritannien stiegen zwischen 2023 und 2025 um ueber 35%, angetrieben durch eine Kombination aus Ransomware-Vorfaellen, scharfer werdenden regulatorischen Pflichten und einer Welle von Versicherern, die vor Ausstellung von Cyber-Policen Nachweise aktiver Sicherheitstests verlangen. Trotz dieser Nachfrage besteht nach wie vor grosse Verwirrung darueber, was ein Penetrationstest tatsaechlich ist, wie er sich von einem Schwachstellenscan unterscheidet und was ein guter kostet.

Dieser Leitfaden deckt das gesamte Bild ab: Was Penetrationstests sind und was nicht, die wichtigsten Typen, wie der Prozess ablauft, was die Ergebnisse enthalten sollten, welche Zertifizierungen in Grossbritannien relevant sind und realistische Kostenbereiche fuer 2026.

Kurzfassung

  • Ein Penetrationstest ist ein simulierter Angriff durch einen autorisierten Tester, der dieselben Techniken wie echte Angreifer einsetzt. Er ist nicht dasselbe wie ein Schwachstellenscan, der automatisiert laeuft und keine Schwachstellen verketten oder reale Auswirkungen bewerten kann.
  • Tester verketten mehrere Schwachstellen, um tatsaechliche Auswirkungen nachzuweisen, und listen nicht bloss einzelne Probleme auf. Das macht die Methodik besonders und wertvoll.
  • In Grossbritannien schreibt PCI DSS jaehrliche Penetrationstests vor, und UK GDPR Artikel 32, ISO 27001 sowie NCSC-Leitlinien verweisen alle auf regelmaessige Penetrationstests als Nachweis angemessener technischer Kontrollen.
  • Bei CREST-akkreditierten Anbietern sollten Sie nach CRT (Web-App), CCT App (Webanwendung) oder CCT Inf (Infrastruktur) Qualifikationen suchen. Fuer den oeffentlichen Sektor gilt das CHECK-Schema.

Was ein Penetrationstest ist (und was nicht)

Ein Penetrationstest ist eine strukturierte, autorisierte Simulation eines Angriffs gegen ein definiertes Ziel. Der Tester verwendet dieselben Tools, Techniken und Denkprozesse wie ein boesartiger Angreifer, handelt jedoch innerhalb eines vereinbarten Umfangs und Regelwerks. Das Ziel ist es, Schwachstellen zu identifizieren und ihre reale Ausnutzbarkeit zu demonstrieren, bevor ein echter Angreifer dies tut.

Ein Schwachstellenscan ist kein Penetrationstest. Ein automatisierter Scanner prueft Systeme gegen eine Datenbank bekannter Schwachstellen und erstellt eine Ergebnisliste. Er ist schnell und wiederholbar, kann jedoch nicht kontextbezogen denken, Ergebnisse verketten, Geschaeftslogik bewerten oder die tatsaechlichen Auswirkungen seiner Funde demonstrieren. Viele Organisationen verwechseln beides, und manche Anbieter verwischen die Grenze absichtlich. Wenn ein Anbieter Ihnen ein Angebot fuer “Penetrationstests” macht und das Engagement voellig von einem Tool ohne manuelle Analyse abhaengt, haben Sie einen Schwachstellenscan zum Premiumpreis gekauft.

Der Unterschied ist praktisch relevant. Ein Schwachstellenscan koennte feststellen, dass Ihre Anwendung ein Anmeldeformular ohne Kontosperrung hat. Ein Penetrationstest geht weiter: Der Tester versucht, dies zusammen mit einer Schwachstelle zur Benutzernamensaufzaehlung und einem vorhersagbaren Sitzungstoken zu nutzen, um eine vollstaendige Konto-Uebernahme-Kette zu demonstrieren. Das ist der Unterschied zwischen dem Auflisten eines Risikos und dem Beweisen desselben.

Arten von Penetrationstests

Nach Wissensstand. Tests werden typischerweise als Black Box, Grey Box oder White Box beschrieben, je nachdem, wie viele Informationen dem Tester zu Beginn bereitgestellt werden:

  • Black Box: Der Tester beginnt ohne Vorkenntnisse ueber das Ziel und simuliert einen externen Angreifer, der seine eigene Aufklaerung durchgefuehrt hat. Am naechsten an einem realen Angriffsszenario, kann jedoch zeitineffizient sein, da der Tester Engagement-Zeit mit Aufgaben verbringt (wie der Kartierung der Anwendung), die Sie bereitstellen koennten.
  • Grey Box: Der Tester erhaelt einige Informationen, typischerweise Benutzeranmeldedaten und Dokumentation, aber keinen Quellcode oder vollstaendige Architekturdiagramme. Die haeufigste Wahl fuer Webanwendungstests, da es Realismus mit Effizienz verbindet.
  • White Box: Der Tester hat vollen Zugriff einschliesslich Quellcode, Architekturdokumentation und Infrastrukturdiagrammen. Wird fuer umfassende Bewertungen und compliance-getriebene Code-Reviews verwendet. Findet den hoechsten Anteil an Schwachstellen, erfordert aber die meiste Vorbereitung von Ihrem Team.

Nach Zieltyp. Gaengige Kategorien umfassen:

  • Netzwerk-Penetrationstest: externe oder interne Infrastruktur, Firewall-Regeln, VPN-Konfiguration, Moeglichkeiten zur lateralen Bewegung
  • Webanwendungs-Penetrationstest: OWASP Top 10 und darueber hinaus, einschliesslich Authentifizierung, Sitzungsverwaltung, Eingabevalidierung und Geschaeftslogik
  • API-Penetrationstest: REST- und GraphQL-Endpunkte, Authentifizierungsumgehung, Massenzuweisung, Rate-Limiting und Datenexposition
  • Mobile-Anwendungs-Penetrationstest: Android- und iOS-Apps, unsichere Datenspeicherung, Certificate-Pinning-Umgehung und Backend-API-Probleme ueber die mobile Schicht
  • Social Engineering: Phishing-Simulation, Pretexting und Vishing (Voice Phishing) zum Testen der menschlichen Ebene
  • Physischer Penetrationstest: Tailgating, RFID-Klonen, Zugangskontrollumgehung, Angriff auf physische Raeumlichkeiten

Die meisten britischen Unternehmen beginnen mit einem Webanwendungs- oder Netzwerktest und erweitern den Umfang, wenn ihr Sicherheitsprogramm reift.

Der Penetrationstest-Prozess

Ein gruendlicher Penetrationstest folgt einer definierten Methodik. Die CREST- und PTES-Frameworks (Penetration Testing Execution Standard) beschreiben beide eine aehnliche Abfolge:

Scoping und Regelwerk

Bevor Tests beginnen, einigen Sie und der Anbieter sich auf das Ziel, den Testtyp, Testfenster (einige Organisationen verlangen Tests ausserhalb der Geschaeftszeiten, um Produktionsauswirkungen zu vermeiden), Eskalationsverfahren bei Entdeckung eines kritischen Befunds mitten im Test und was explizit ausser Umfang liegt. Halten Sie dies schriftlich fest. Ein Autorisierungsschreiben schuetzt beide Parteien.

Aufklaerung

Der Tester sammelt Informationen ueber das Ziel durch passive Mittel (Open-Source-Intelligence, Zertifikatstransparenzprotokolle, Stellenausschreibungen, die den Technologie-Stack verraten, geleakte Anmeldedaten in Breach-Datenbanken) und aktive Mittel (DNS-Enumeration, Port-Scanning, Service-Fingerprinting). Bei einem Black-Box-Test kann diese Phase einen erheblichen Teil der Engagement-Zeit beanspruchen.

Ausnutzung

Der Tester versucht, identifizierte Schwachstellen auszunutzen, um initialen Zugang zu erlangen oder Auswirkungen zu demonstrieren. Hier weicht die Methodik vom Scanning ab: Ein erfahrener Tester versucht mehrere Wege, passt sich an, wenn ein Weg blockiert ist, und sucht nach Kombinationen aus Problemen geringerer Schwere, die zusammen ein hochgradig wirkungsvolles Ergebnis erzeugen.

Post-Exploitation und Schwachstellen-Verkettung

Dies ist die Phase, die das meiste Anbieter-Marketing ignoriert. Nach dem Erlangen des initialen Zugangs: Was kann ein Angreifer tatsaechlich tun? Ein Tester, der eine Webanwendung bewertet, koennte eine XSS-Schwachstelle mit einer CSRF-Schwaeche und einem vorhersagbaren Sitzungsbezeichner verketten, um eine vollstaendige Konto-Uebernahme zu demonstrieren. Bei der Infrastruktur umfasst die Post-Exploitation Privilege-Escalation, laterale Bewegung und die Bestimmung, auf welche Daten oder Systeme vom initialen Foothold aus zugegriffen werden kann.

Verkettung ist entscheidend, weil sie Risiken neu bewertet. Ein einzelner Befund mit CVSS 5.5 (Mittel) wird zu einem anderen Gespraech, wenn Sie zeigen koennen, dass er in Kombination mit zwei anderen zur Exfiltration Ihrer Kundendatenbank ausnutzbar ist.

Berichterstattung

Der Tester dokumentiert alle Befunde, verfasst den Bericht und liefert ihn innerhalb des vereinbarten Zeitrahmens (typischerweise fuenf bis zehn Geschaeftstage nach Testabschluss). Was der Bericht enthaelt, wird im naechsten Abschnitt behandelt.

Was ein qualitativ hochwertiger Penetrationstest-Bericht enthaelt

Ein professioneller Penetrationstest-Bericht ist ein Arbeitsdokument fuer Ihr Team, kein Verkaufstool fuer den Anbieter. Er sollte enthalten:

Zusammenfassung fuer die Geschaeftsfuehrung. Ein nicht-technischer Ueberblick ueber das Engagement, die allgemeine Risikolage, die Anzahl und Schwere der Befunde sowie die kritischsten Probleme. Geschrieben fuer einen Leser auf Vorstandsebene, der Entscheidungen treffen muss, nicht fuer einen Entwickler, der Code reparieren muss.

Umfang und Methodik. Was getestet wurde, wie es getestet wurde und etwaige Einschraenkungen (z. B. wenn bestimmte URLs ausgeschlossen wurden oder Tests auf Geschaeftszeiten beschraenkt waren).

Risikobewertete Befunde. Jede Schwachstelle aufgelistet mit einer Schwerebewertung. Die meisten professionellen britischen Anbieter verwenden CVSS 3.1-Scores zusammen mit einer kontextuellen Risikobewertung, die Ihre spezifische Umgebung beruecksichtigt. Ein CVSS-Score isoliert kann irrefuehren; ein 7.5-Befund ohne externen Zugriffsvektor ist ein anderes Risiko als dieselbe Bewertung an einem oeffentlich zugaenglichen Endpunkt.

Technische Details und Reproduktionsschritte. Ausreichende Informationen fuer Ihre Entwickler, um den Befund zu reproduzieren, zu verstehen, warum er ausnutzbar ist, und zu bestaetigen, dass ihre Korrektur funktioniert. Das bedeutet: genaue Anfragen und Antworten, verwendete Payloads, Screenshots wo hilfreich.

Behebungsempfehlungen. Spezifische, umsetzbare Ratschlaege fuer jeden Befund. Nicht “aktualisieren Sie Ihre Abhaengigkeiten”, sondern “aktualisieren Sie Bibliothek X von Version 2.3.1 auf 2.4.0 und entfernen Sie den veralteten Serialisierungsaufruf in Zeile 247 von UserController.php.”

Nachtest-Erklaerung. Bestaetigung, ob ein Nachtest enthalten ist, und wenn ja, wie Befunde geschlossen werden. Ein Befund gilt erst als geloest, wenn ein Tester dies bestaetigt.

Britische Compliance-Treiber fuer Penetrationstests

PCI DSS. Jedes Unternehmen, das Karteninhaberdaten verarbeitet, speichert oder uebertraegt, muss mindestens jaehrlich Penetrationstests durchfuehren und nach bedeutenden Infrastruktur- oder Anwendungsaenderungen. PCI DSS v4.0, das im Maerz 2024 zur einzigen aktiven Version wurde, enthaelt aktualisierte Anforderungen fuer Penetrationstest-Umfang und -Methodik. Dies ist eine verbindliche Anforderung, keine Empfehlung.

UK GDPR Artikel 32. Verlangt von Organisationen, angemessene technische Massnahmen zur Gewaehrleistung einer dem Risiko angemessenen Sicherheit zu implementieren. Penetrationstests sind der direkteste Weg nachzuweisen, dass Sie aktiv bewertet haben, ob Ihre technischen Kontrollen funktionieren. Das ICO hat in Vollstreckungsentscheidungen auf Sicherheitstests Bezug genommen.

ISO 27001. Anhang-A-Kontrolle 8.8 behandelt das Management technischer Schwachstellen, und Penetrationstests sind eine Standardmethode zur Erfuellung dieser Kontrolle. Wenn Sie eine ISO 27001-Zertifizierung anstreben, wird Ihr Prufer Nachweise von Tests erwarten.

Cyber Essentials Plus. Die hoehere Stufe des britischen Cyber-Essentials-Programms der Regierung umfasst eine Vor-Ort-Bewertung und Schwachstellenscanning. Obwohl Cyber Essentials Plus kein Penetrationstest ist, ist das Erreichen und Aufrechterhalten der etablierten Basis eine sinnvolle Vorstufe.

NCSC-Leitlinien. Das National Cyber Security Centre empfiehlt Penetrationstests als Teil seines “10 Schritte zur Cyber-Sicherheit”-Frameworks, insbesondere unter den Schritten “Schwachstellenmanagement” und “Netzwerksicherheit”.

CREST-Qualifikationen und warum sie wichtig sind

CREST ist die primaere britische Akkreditierungsstelle fuer Penetrationstest-Unternehmen und einzelne Tester. CREST-registrierte Anbieter werden hinsichtlich ihrer Prozesse, Methodik und Faehigkeit zur angemessenen Handhabung sensibler Daten bewertet. Einzelne Tester koennen folgende Qualifikationen halten:

  • CREST Registered Tester (CRT): Einsteiger-Qualifikation, die technische Kompetenz im Webanwendungs- oder Infrastrukturtest nachweist.
  • CREST Certified Tester - Application (CCT App): Fortgeschrittene Qualifikation fuer Webanwendungs-Penetrationstests. Erfordert das Bestehen einer praktischen Pruefung.
  • CREST Certified Tester - Infrastructure (CCT Inf): Entsprechende Qualifikation fuer Netzwerk- und Infrastrukturtests.

Fuer britische oeffentliche Einrichtungen gilt das CHECK-Schema. CHECK ist ein vom NCSC verwaltetes Schema, das verlangt, dass Penetrationstester den Status CHECK Team Member oder CHECK Team Leader haben. Wenn Sie eine Regierungsabteilung, NHS-Einrichtung oder lokale Behoerde sind, muss Ihr Anbieter den CHECK-Status haben.

Bei der Bewertung von Anbietern bitten Sie darum, die spezifischen Qualifikationen der Tester zu sehen, die an Ihrem Engagement arbeiten werden, nicht die Qualifikationen der erfahrensten Mitarbeiter des Unternehmens. Die Person, die Ihren Bericht schreibt und Ihren Test durchfuehrt, ist die Qualifikation, die zaehlt.

Wie oft sollten Sie testen?

Die richtige Antwort haengt von Ihrem Risikoprofil ab, aber die praktischen Minima sind:

  • Jaehrlich mindestens fuer jede internet-zugewandte Anwendung, die persoenliche oder Zahlungsdaten verarbeitet
  • Nach grossen Releases, die neue Funktionalitaet, neue Authentifizierungsablaeufe oder neue Integrationen einfuehren
  • Vor dem Live-Gang mit einem neuen Produkt, einer Anwendung oder einem Dienst, der erstmalig persoenliche oder Zahlungsdaten verarbeitet
  • Nach einem Sicherheitsvorfall, um zu verstehen, ob der Angreifer Persistenzmechanismen hinterlassen oder Schwachstellen ausgenutzt hat, die noch nicht geschlossen wurden
  • Wenn sich Ihr Risikoprofil aendert, z. B. nach einer Fusion, Uebernahme oder erheblichen Erweiterung Ihrer Nutzerbasis

Kosten fuer Penetrationstests in Grossbritannien

Engagement-TypTypischer KostenbereichHinweise
Black-Box-Webanwendungstest£2.000 bis £8.000Extern, keine Anmeldedaten bereitgestellt
Grey/White-Box-Webanwendungstest£5.000 bis £15.000Authentifiziertes Testen, kann Code-Review einschliessen
API-Penetrationstest£3.000 bis £8.000REST/GraphQL, haengt von der Endpunkt-Anzahl ab
Infrastruktur-Penetrationstest (extern)£3.000 bis £10.000Perimeter, exponierte Dienste
Infrastruktur-Penetrationstest (intern)£4.000 bis £12.000Simuliert Insider- oder Post-Breach-Szenario
Red-Team-Uebung£15.000 bis £50.000+Vollstaendige Angreifer-Simulation, Multi-Vektor
Social-Engineering-Engagement£2.000 bis £6.000Phishing, Vishing oder kombinierte Kampagne

Die Saetze spiegeln die britischen Marktpreise 2026 wider. Angebote deutlich unter diesen Bereichen deuten typischerweise auf automatisiertes Scanning mit minimaler manueller Analyse hin.

Der Mecanik-Penetrationstest-Dienst deckt Webanwendungs-, API- und Infrastrukturtests fuer britische Unternehmen ab, unter Verwendung von PTES- und OWASP-Methodik, mit Proof-of-Concept-Exploits und einem priorisierten Behebungsbericht.

Wichtigste Erkenntnisse

  • Ein Penetrationstest ist eine manuelle, autorisierte Simulation eines Angriffs. Er unterscheidet sich kategorisch von einem automatisierten Schwachstellenscan.
  • Tester verketten mehrere Schwachstellen, um reale Auswirkungen zu demonstrieren, und zaehlen nicht bloss einzelne Probleme isoliert auf.
  • Britische Compliance-Pflichten (PCI DSS, UK GDPR Artikel 32, ISO 27001, NCSC-Leitlinien) verweisen alle auf regelmaessige Penetrationstests als grundlegende Sicherheitspraxis.
  • Ein qualitativ hochwertiger Bericht enthaelt risikobewertete Befunde, technische Reproduktionsschritte, CVSS-Scores mit kontextuellen Bewertungen und spezifische Behebungsempfehlungen fuer jedes Problem.
  • Achten Sie bei Qualifikationen auf CREST CRT, CCT App oder CCT Inf fuer die einzelnen Tester in Ihrem Engagement. Fuer den oeffentlichen Sektor ist der CHECK-Schema-Status erforderlich.
  • Testen Sie mindestens jaehrlich, nach grossen Releases und vor dem Live-Gang eines neuen Dienstes, der persoenliche oder Zahlungsdaten verarbeitet.

Haeufig gestellte Fragen (FAQ)

Was ist der Unterschied zwischen einem Penetrationstest und einem Schwachstellenscan? Ein Schwachstellenscan verwendet automatisierte Tools, um Systeme gegen eine Datenbank bekannter Probleme zu pruefen. Ein Penetrationstest umfasst einen menschlichen Tester, der ueber das Ziel nachdenkt, Schwachstellen verkettet und tatsaechliche Ausnutzbarkeit demonstriert. Scans sind schnell und nuetzlich fuer die Basislinienbestimmung; sie sind kein Ersatz fuer manuelles Testen.

Wie lange dauert ein Penetrationstest? Ein Webanwendungstest fuer eine Seite mittlerer Komplexitaet dauert typischerweise drei bis fuenf Tage Testzeit. Grosse Anwendungen, White-Box-Engagements mit Code-Review oder Infrastrukturtests ueber viele Hosts dauern laenger. Scoping-Gespraech und Berichterstattung kommen hinzu, planen Sie also zwei bis vier Wochen vom Engagement-Start bis zur endgueltigen Berichtlieferung.

Muss ich meinen Hosting-Anbieter vor einem Penetrationstest informieren? Pruefen Sie die Nutzungsbedingungen Ihres Hosting- oder Cloud-Anbieters. AWS, Azure und GCP erlauben alle Penetrationstests Ihrer eigenen Ressourcen ohne vorherige Benachrichtigung fuer die meisten Dienste, obwohl einige Einschraenkungen gelten. Shared-Hosting-Anbieter verlangen oft eine Vorankuendigung. Ihr Penetrationstest-Anbieter sollte dies waehrend des Scopings bestaetigen.

Was passiert, wenn der Tester waehrend des Tests eine kritische Schwachstelle findet? Ihr Regelwerk sollte ein Eskalationsverfahren fuer kritische Befunde definieren. Ein renommierter Tester wird Sie sofort kontaktieren, anstatt auf den Bericht zu warten. Sie entscheiden dann, ob Sie Tests pausieren, waehrend Sie beheben, mit dem dokumentierten Befund fortfahren oder den Umfang anpassen.

Kann ein Penetrationstest Ausfallzeiten verursachen? Die meisten Testtechniken sind nicht-destruktiv und verursachen keine Ausfallzeiten. Denial-of-Service-Tests erfordern eine ausdrueckliche Vereinbarung und werden typischerweise ausserhalb der Geschaeftszeiten durchgefuehrt. Ihr Tester sollte das Risiko jeder potenziell stoerenden Technik besprechen, bevor er sie versucht.

Wie verifiziere ich die Qualifikationen eines CREST-Penetrationstesters? CREST fuehrt ein oeffentliches Register registrierter Unternehmen und zertifizierter Personen unter crest-approved.org. Suchen Sie nach Unternehmens- oder Testernamen, um den Status zu verifizieren. Fuer CHECK veroeffentlicht das NCSC eine Liste CHECK-genehmigter Dienstleister.