{"id":20189,"date":"2024-05-14T16:01:00","date_gmt":"2024-05-14T14:01:00","guid":{"rendered":"https:\/\/contabo.com\/blog\/penetrationstests-cheat-sheet\/"},"modified":"2025-06-29T21:40:20","modified_gmt":"2025-06-29T19:40:20","slug":"penetrationstests-cheat-sheet","status":"publish","type":"post","link":"https:\/\/contabo.com\/blog\/de\/penetrationstests-cheat-sheet\/","title":{"rendered":"Penetrationstests: Ein praktischer Cheat Sheet"},"content":{"rendered":"\n
\"Penetrationstests<\/figure>\n\n\n\n
<\/div>\n\n\n\n

Penetrationstests, auch Pentests genannt, sind eine unerl\u00e4ssliche Praxis in der IT-Sicherheit. Dabei geht es darum, gezielt Cyber-Angriffe auf das eigene Netzwerk zu simulieren, um Schwachstellen zu identifizieren, bevor b\u00f6swillige Angreifer sie ausnutzen k\u00f6nnen. Dieser Prozess tr\u00e4gt entscheidend zum Schutz sensibler Daten und zur Aufrechterhaltung der Systemintegrit\u00e4t bei. Angesichts der zunehmenden Komplexit\u00e4t und H\u00e4ufigkeit von Cyber-Bedrohungen ist ein strukturierter Ansatz f\u00fcr Penetrationstests entscheidend, um die digitalen Werte deines Unternehmens zu sch\u00fctzen.<\/p>\n\n\n\n

Dieser Leitfaden soll dich als IT-Systemadministrator oder IT-Sicherheitsexperte durch die wesentlichen Schritte eines Penetrationstests f\u00fchren \u2013 von der Einholung der n\u00f6tigen Berechtigungen \u00fcber die Definition des Testumfangs bis hin zur Sammlung von Informationen, der Bewertung von Schwachstellen und der abschlie\u00dfenden Berichterstattung. Am Ende dieser Anleitung wirst du ein klares Verst\u00e4ndnis davon haben, wie du jede Phase eines Pentests angehst und welche Werkzeuge dir bei dieser wichtigen Aufgabe helfen k\u00f6nnen.<\/p>\n\n\n\n

Schritt 1: Berechtigung f\u00fcr den Test einholen<\/strong><\/h3>\n\n\n\n

Bevor du mit einem Penetrationstest beginnst, ist es zwingend erforderlich, die schriftliche Genehmigung der relevanten Stakeholder wie der Gesch\u00e4ftsf\u00fchrung sowie der IT- und Sicherheitsteams einzuholen. Dies ist keine blo\u00dfe Formalit\u00e4t, sondern eine entscheidende rechtliche Anforderung, die sowohl dich als Tester als auch das Unternehmen vor m\u00f6glichen rechtlichen Konsequenzen sch\u00fctzt.<\/p>\n\n\n\n

Penetrationstests beinhalten Techniken, die den normalen Gesch\u00e4ftsbetrieb st\u00f6ren und auf sensible Daten zugreifen k\u00f6nnten. Die Durchf\u00fchrung solcher Aktivit\u00e4ten ohne explizite Genehmigung kann als illegal angesehen werden und schwerwiegende Folgen haben.<\/p>\n\n\n\n

Beginne mit der Erstellung einer formellen Anfrage, die den geplanten Penetrationstest beschreibt. Dieses Dokument sollte klar angeben, welche Systeme getestet werden, welche Methoden und Werkzeuge du verwenden m\u00f6chtest und was die Beweggr\u00fcnde f\u00fcr den Test sind. Es ist auch ratsam, die potenziellen Auswirkungen und den erwarteten Nutzen des Tests zu definieren.<\/p>\n\n\n\n

Falls deine Tests Systeme oder Dienste von Drittanbietern betreffen, stelle sicher, dass du auch deren Zustimmung einholst. Diese schriftlichen Berechtigungen definieren nicht nur den Umfang deiner Tests, sondern sichern auch dein Recht ab, diese durchzuf\u00fchren, und stellen sicher, dass alle Aktivit\u00e4ten innerhalb rechtlicher und ethischer Grenzen stattfinden.<\/p>\n\n\n\n

Schritt 2: Testumfang und Ziele definieren<\/strong><\/h3>\n\n\n\n

Die genaue Definition des Umfangs und der Parameter deines Penetrationstests ist f\u00fcr eine effektive Pr\u00fcfung unerl\u00e4sslich. Beginne damit, die zu testenden Systeme, Netzwerke und Anwendungen zu spezifizieren. Kl\u00e4re, ob der Schwerpunkt auf externen, \u00fcber das Internet erreichbaren Systemen, internen Netzwerken oder beidem liegt.<\/p>\n\n\n\n

Umfang und Zeitplan<\/strong><\/h4>\n\n\n\n

Definiere den Geltungsbereich klar und lege einen realistischen Zeitplan fest. Bestimme die Dauer jeder Testphase vom Start bis zum Abschluss und stelle sicher, dass der Plan an den normalen Gesch\u00e4ftsbetrieb angepasst ist, um St\u00f6rungen zu minimieren.<\/p>\n\n\n\n

Ressourcen und Ziele<\/strong><\/h4>\n\n\n\n

Identifiziere die notwendigen Ressourcen, einschlie\u00dflich Personal und Tools, und lege die Ziele des Tests fest. Definiere die Erfolgskriterien, wie zum Beispiel die Identifizierung bestimmter Schwachstellen oder das Testen der Widerstandsf\u00e4higkeit des Systems gegen spezifische Angriffsarten.<\/p>\n\n\n\n

Schritt 3: Informationssammlung (Reconnaissance)<\/strong><\/h3>\n\n\n\n

Die Erfassung detaillierter Informationen \u00fcber die Zielumgebung ist ein grundlegender Schritt. Die Qualit\u00e4t und Tiefe der hier gesammelten Informationen beeinflussen den Erfolg des gesamten Tests erheblich, da sie die Grundlage f\u00fcr einen gezielten Ansatz zur Identifizierung von Schwachstellen bilden.<\/p>\n\n\n\n

Analyse kompromittierter Konten<\/strong><\/h4>\n\n\n\n

Beginne mit der Recherche nach \u00f6ffentlich verf\u00fcgbaren Daten \u00fcber geleakte oder kompromittierte Konten, die mit deinem Zielunternehmen in Verbindung stehen. Diese Informationen k\u00f6nnen Einblicke in das Nutzerverhalten, die Passwortst\u00e4rke und m\u00f6gliche Einstiegspunkte geben.<\/p>\n\n\n\n

Analyse der Netzwerktopologie<\/strong><\/h4>\n\n\n\n

Verwende Tools wie DNSDumpster<\/code>, um die Netzwerktopologie des Ziels abzubilden. Dieses Tool hilft dir, DNS-Eintr\u00e4ge aufzudecken, die Struktur des Netzwerks zu verstehen, Schl\u00fcsselserver zu identifizieren und potenzielle Einstiegspunkte zu ermitteln.<\/p>\n\n\n\n

Analyse von Webseiten und sozialen Medien<\/strong><\/h4>\n\n\n\n

Untersuche die offiziellen Webseiten und Social-Media-Profile des Ziels. Suche nach Details zum Technologie-Stack, nach Informationen zu System\u00e4nderungen in Beitr\u00e4gen und nach Mitarbeiterinformationen, die f\u00fcr die Vorbereitung von Phishing-Angriffen oder Social-Engineering-Versuchen n\u00fctzlich sein k\u00f6nnten.<\/p>\n\n\n\n

Schritt 4: Erstellung eines digitalen Fu\u00dfabdrucks (Footprinting)<\/strong><\/h3>\n\n\n\n

Footprinting ist die Phase, in der du aktiv Informationen sammelst und analysierst, um ein umfassendes Profil der digitalen Pr\u00e4senz des Ziels zu erstellen. Dieser Schritt umfasst die Identifizierung von Live-Systemen, erreichbaren Hosts und aktiven Diensten.<\/p>\n\n\n\n

Einsatz von Netzwerk-Scanning-Tools<\/strong><\/h4>\n\n\n\n

Setze Netzwerk-Scanning-Tools wie Nmap<\/code> ein, um nach aktiven Ger\u00e4ten, offenen Ports und laufenden Diensten zu suchen. Nmap<\/code> zeigt dir, welche Systeme in Betrieb sind, welche Dienste sie anbieten und welche Art von Paketfiltern oder Firewalls verwendet werden. Diese Informationen sind entscheidend f\u00fcr die Planung von Angriffsvektoren.<\/p>\n\n\n\n

Analyse von Web- und Netzwerkdiensten<\/strong><\/h4>\n\n\n\n

Verwende Tools wie Web-Crawler (z.B. Spider), um weitere Details \u00fcber die Webanwendungen des Ziels zu sammeln. Suche nach Einstiegspunkten, verwendeten Skriptplattformen und der eingesetzten Server-Software. Analysiere die gesammelten Daten, um die Netzwerkarchitektur zu verstehen und Muster oder Schw\u00e4chen zu erkennen. Achte besonders auf veraltete Systeme oder fehlkonfigurierte Dienste.<\/p>\n\n\n\n

Schritt 5: Schwachstellenanalyse<\/strong><\/h3>\n\n\n\n

In dieser Phase setzt du spezialisierte Werkzeuge ein, um Sicherheitsl\u00fccken in den Zielsystemen zu identifizieren. Dieser Schritt ist entscheidend, um herauszufinden, welche Schwachstellen vorhanden sind und wie gravierend ihre potenziellen Auswirkungen sind.<\/p>\n\n\n\n

Verwendung automatisierter Scan-Tools<\/strong><\/h4>\n\n\n\n

Nutze automatisierte Scanner wie Legion<\/code> oder Greenbone Vulnerability Manager<\/code> (ehemals OpenVAS), um systematisch nach Schwachstellen zu suchen. Diese Tools pr\u00fcfen eine breite Palette von Schwachstellen, von veralteter Software und Fehlkonfigurationen bis hin zu potenziellen Sicherheitsl\u00fccken.<\/p>\n\n\n\n

Analyse und Priorisierung<\/strong><\/h4>\n\n\n\n

Sobald die Scans abgeschlossen sind, analysiere die Ergebnisse sorgf\u00e4ltig. Suche nach Schwachstellen mit hohem Risiko, die sofortige Aufmerksamkeit erfordern, aber auch nach Problemen mit mittlerem und niedrigem Risiko, die unter bestimmten Umst\u00e4nden eskalieren k\u00f6nnten. Basierend auf dieser Bewertung priorisierst du die Behebungsma\u00dfnahmen und konzentrierst dich zuerst auf die kritischsten L\u00fccken.<\/p>\n\n\n\n

Schritt 6: Ausnutzung und Verifizierung der Schwachstellen<\/strong><\/h3>\n\n\n\n

Nach der Identifizierung potenzieller Schwachstellen musst du diese \u00fcberpr\u00fcfen, um sicherzustellen, dass es sich um echte Bedrohungen und nicht um Fehlalarme (False Positives) handelt. Dieser Schritt ist entscheidend, um die Behebungsma\u00dfnahmen auf die wirklich relevanten Probleme zu konzentrieren.<\/p>\n\n\n\n

Verifizierungsprozess<\/strong><\/h4>\n\n\n\n

Beginne mit den Schwachstellen, die du als besonders riskant eingestuft hast. Nutze Frameworks wie Metasploit<\/code>, um diese L\u00fccken in einer kontrollierten Umgebung gezielt auszunutzen. Diese praktischen Tests best\u00e4tigen, ob die Schwachstellen tats\u00e4chlich ausnutzbar sind.<\/p>\n\n\n\n

Durchf\u00fchrung des Tests<\/strong><\/h4>\n\n\n\n

Simuliere nun realistische Cyber-Angriffe. Mit Tools wie dem Metasploit Framework<\/code>, OWASP ZAP<\/code> oder Burp Suite<\/code> versuchst du, die verifizierten Schwachstellen auszunutzen. Wende dabei Techniken wie SQL-Injection oder Brute-Force-Angriffe an, je nachdem, welche Schwachstellen identifiziert wurden.<\/p>\n\n\n\n

Beobachtung und Dokumentation<\/strong><\/h4>\n\n\n\n

Beobachte w\u00e4hrend des Tests genau, wie das System auf jeden Angriff reagiert. Dokumentiere jeden Schritt, die verwendeten Tools, die angewandten Techniken und den Erfolg jedes Angriffsversuchs. Diese umfassende Dokumentation ist f\u00fcr die abschlie\u00dfende Berichterstattung unerl\u00e4sslich.<\/p>\n\n\n\n

Schritt 7: Berichterstattung (Reporting)<\/strong><\/h3>\n\n\n\n

Die letzte Phase des Penetrationstests besteht darin, einen umfassenden Bericht \u00fcber deine Ergebnisse zu erstellen und zu pr\u00e4sentieren. Dieser Bericht ist entscheidend, damit die Stakeholder die Sicherheitsl\u00fccken, deren potenzielle Auswirkungen und die notwendigen Schritte zur Behebung verstehen.<\/p>\n\n\n\n

Struktur des Berichts<\/strong><\/h4>\n\n\n\n

Ein gut organisierter Bericht sollte folgende Abschnitte enthalten:<\/p>\n\n\n\n

    \n
  • Zusammenfassung f\u00fcr die F\u00fchrungsebene (Executive Summary):<\/strong> Ein allgemeiner \u00dcberblick \u00fcber den Testprozess, die wichtigsten Ergebnisse und die Top-Empfehlungen.<\/li>\n\n\n\n
  • Methodik:<\/strong> Eine Beschreibung der Methoden und Werkzeuge, die w\u00e4hrend des Tests verwendet wurden.<\/li>\n\n\n\n
  • Detaillierte Ergebnisse:<\/strong> Eine Pr\u00e4sentation jeder entdeckten Schwachstelle, geordnet nach Schweregrad, inklusive detaillierter Beschreibungen und Beweise (Proof of Concept).<\/li>\n\n\n\n
  • Empfehlungen:<\/strong> Klare, praktische und priorisierte Ma\u00dfnahmen zur Behebung oder Minderung jeder Schwachstelle.<\/li>\n\n\n\n
  • Anhang:<\/strong> Unterst\u00fctzende Materialien wie Protokolle, Screenshots und Tool-Ausgaben.<\/li>\n<\/ul>\n\n\n\n

    Pr\u00e4sentation und Follow-Up<\/strong><\/h4>\n\n\n\n

    Pr\u00e4sentiere die Ergebnisse den relevanten Stakeholdern in einer Weise, die f\u00fcr das jeweilige Publikum (technisch oder nicht-technisch) verst\u00e4ndlich ist. Plane Folgetreffen, um die Umsetzung der empfohlenen Sicherheitsma\u00dfnahmen zu verfolgen und sicherzustellen, dass die identifizierten Risiken wirksam angegangen werden.<\/p>\n\n\n\n

    Fazit<\/strong><\/h3>\n\n\n\n

    Dieser Leitfaden dient als umfassende Anleitung f\u00fcr Fachleute, die ihre Systeme durch ethisches Hacken absichern wollen. Er bietet einen strukturierten Ansatz f\u00fcr Penetrationstests, der bei der unerl\u00e4sslichen Einholung von Genehmigungen beginnt und bei einer gr\u00fcndlichen Berichterstattung endet. Durch die Umsetzung der beschriebenen Schritte \u2013 von der anf\u00e4nglichen Datenerfassung bis zur detaillierten Ausnutzung von Schwachstellen \u2013 kannst du sicherstellen, dass potenzielle Sicherheitsrisiken effektiv erkannt und gemindert werden. Letztlich hilft dieser Leitfaden nicht nur bei der Absicherung von Systemen, sondern verbessert auch das allgemeine Sicherheitsbewusstsein und ist ein unsch\u00e4tzbares Werkzeug f\u00fcr jedes IT-Sicherheitsteam, das seine digitalen Werte gegen die sich st\u00e4ndig weiterentwickelnden Bedrohungen sch\u00fctzen will.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Erforschen Sie wichtige Penetrationstests mit unserem Cheat-Blatt, das rechtliche Aspekte, Werkzeuge und Berichte f\u00fcr verbesserte Cybersicherheit abdeckt.<\/p>\n","protected":false},"author":50,"featured_media":19618,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"_uag_custom_page_level_css":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1399],"tags":[],"ppma_author":[1491],"class_list":["post-20189","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tutorials"],"uagb_featured_image_src":{"full":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2024\/05\/blog-head_penetration-testing-cheat-sheet.jpg",1200,630,false],"thumbnail":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2024\/05\/blog-head_penetration-testing-cheat-sheet-150x150.jpg",150,150,true],"medium":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2024\/05\/blog-head_penetration-testing-cheat-sheet-600x315.jpg",600,315,true],"medium_large":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2024\/05\/blog-head_penetration-testing-cheat-sheet-768x403.jpg",768,403,true],"large":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2024\/05\/blog-head_penetration-testing-cheat-sheet.jpg",1200,630,false],"1536x1536":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2024\/05\/blog-head_penetration-testing-cheat-sheet.jpg",1200,630,false],"2048x2048":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2024\/05\/blog-head_penetration-testing-cheat-sheet.jpg",1200,630,false]},"uagb_author_info":{"display_name":"Tobias Mildenberger","author_link":"https:\/\/contabo.com\/blog\/de\/author\/tobias\/"},"uagb_comment_info":0,"uagb_excerpt":"Erforschen Sie wichtige Penetrationstests mit unserem Cheat-Blatt, das rechtliche Aspekte, Werkzeuge und Berichte f\u00fcr verbesserte Cybersicherheit abdeckt.","authors":[{"term_id":1491,"user_id":50,"is_guest":0,"slug":"tobias","display_name":"Tobias Mildenberger","avatar_url":"https:\/\/secure.gravatar.com\/avatar\/077178d5dce6c3d4c0c0396857a7e544bfdf8adf04145fff5160b33a22e28b1f?s=96&d=mm&r=g","0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts\/20189","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/comments?post=20189"}],"version-history":[{"count":6,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts\/20189\/revisions"}],"predecessor-version":[{"id":24443,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts\/20189\/revisions\/24443"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/media\/19618"}],"wp:attachment":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/media?parent=20189"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/categories?post=20189"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/tags?post=20189"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/ppma_author?post=20189"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}