Resilienz & Krisen
Säule 8NIS2DORATISAXBSI-GRUNDSCHUTZ

Penetrationstests

Praxis-Szenario

Ein Online-Händler lässt erstmals einen Penetrationstest durchführen. Ergebnis: In 2 Stunden hat der Tester Admin-Zugriff auf den Shop und die Kundendatenbank. SQL-Injection, Standard-Passwörter, fehlende Updates — alles offensichtlich, aber intern nie überprüft. Penetrationstests sind der ehrlichste Spiegel Ihrer IT-Sicherheit: Ein ethischer Hacker zeigt Ihnen, was ein Krimineller finden würde.

Rechtsfundament

NIS2NIS2 Art. 21 Abs. 2 lit. f

Bewertung der Wirksamkeit von Sicherheitsmaßnahmen durch Tests

DORADORA Art. 26-27

Bedrohungsbasierte Penetrationstests (TLPT) für kritische Finanzunternehmen

TISAXTISAX AL 5.3

Prüfung der Wirksamkeit von Informationssicherheitsmaßnahmen

BSI IT-GrundschutzBSI DER.3.3

Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch Audits und Tests

Lösung & Umsetzung

1. Scope definieren: Was wird getestet? (Extern, intern, Web-Apps, Social Engineering) 2. Anbieter auswählen: BSI-zertifiziert oder CREST-akkreditiert bevorzugen 3. Zeitrahmen: Externer Test 3-5 Tage, interner Test 5-10 Tage 4. Ergebnisse priorisieren: Kritisch → Hoch → Mittel → Niedrig 5. Nachtest: 3 Monate nach Behebung kritischer Findings erneut testen 6. Budget: Ab 5.000 € für externen Test, ab 10.000 € für umfassenden internen + externen Test

Ihr Mehrwert

Pentests finden Schwachstellen, bevor Angreifer sie ausnutzen. Der ROI: Ein verhinderter Vorfall spart im Schnitt 50-100× die Testkosten. DORA fordert bedrohungsbasierte Tests (TLPT) für Finanzunternehmen.

Nächster Schritt

Holen Sie Angebote von 2-3 Pentesting-Anbietern ein. Starten Sie mit einem externen Test Ihrer Webpräsenz.

Verwandte Maßnahmen

Incident Response Plan & Melde-Timer

Business Continuity Plan (BCP)