PENTEST ABLAUF
27. Feb 2026

Pentest Ablauf: Wie läuft ein Penetrationstest wirklich ab? (2026)

Schritt für Schritt erklärt: Wie läuft ein professioneller Penetrationstest ab? Von der Auftragsklärung über die aktive Testphase bis zum fertigen Report – der vollständige Pentest-Ablauf.

Kerim K.
12 Min. Lesezeit

Was ist ein Penetrationstest – und warum ist der Ablauf entscheidend?

Ein Penetrationstest – kurz Pentest – ist ein autorisierter, simulierter Angriff auf Ihre IT-Infrastruktur. Ziel ist es, Schwachstellen zu finden, bevor es ein echter Angreifer tut. Doch nicht der Tool-Einsatz macht einen guten Pentest aus – sondern der strukturierte Ablauf. Wer die Phasen kennt, weiß, was er bekommt, kann den Anbieter bewerten und versteht den Bericht. Dieser Artikel erklärt den vollständigen Pentest-Ablauf Schritt für Schritt.

Das Wichtigste vorab

Ein professioneller Pentest folgt einem definierten Ablauf in mehreren Phasen – von der Auftragsklärung über die aktive Exploitation bis zur Abschlusspräsentation. Jede Phase liefert spezifische Ergebnisse und baut auf der vorherigen auf.

Ein Pentest ohne klaren Ablauf ist kein Test – er ist ein Experiment auf Kosten Ihrer Infrastruktur.

Die 8 Phasen des Penetrationstest-Ablaufs

  • Phase 1 – Auftragsklärung & Scope-Definition: Gemeinsame Festlegung von Testgrenzen, Zielsystemen, Ansprechpartnern und Zeitfenster. Alles schriftlich im Pentest-Vertrag fixiert.
  • Phase 2 – Reconnaissance (Aufklärung): Passive und aktive Informationssammlung über das Ziel – OSINT, DNS-Analyse, Subdomains, öffentliche Leaks, Mitarbeiterdaten.
  • Phase 3 – Scanning & Enumeration: Systematisches Erfassen offener Ports, Dienste, Betriebssysteme und Softwareversionen mit manueller Verifizierung jedes Befundes.
  • Phase 4 – Schwachstellenanalyse: Identifikation ausnutzbarer Schwachstellen – CVEs, Fehlkonfigurationen, Business Logic Flaws, schwache Authentifizierung.
  • Phase 5 – Exploitation (Aktive Ausnutzung): Manueller Versuch, identifizierte Schwachstellen auszunutzen und nachzuweisen, dass sie real angreifbar sind – kein False-Positive-Reporting.
  • Phase 6 – Post-Exploitation & Lateral Movement: Nach erstem Zugriff: Privilege Escalation, Netzwerk-Pivoting, Domain-Admin-Versuch, Persistenz – wie weit kommt ein echter Angreifer?

Wie lange dauert ein Penetrationstest?

Die Dauer eines Pentests hängt stark vom Scope ab. Als grobe Orientierung gelten folgende Zeitrahmen – die aktive Testphase ist dabei nur ein Teil des Gesamtaufwands.

Typische Durchlaufzeiten nach Pentest-Typ

3–5 Tage
Focused Webapplikations-Pentest (1 Anwendung, definierter Scope)
1–2 Wochen
Externer Pentest (Netzwerk + Web + Cloud, KMU-Größe)
2–4 Wochen
Vollständiger KMU-Pentest (Extern + Active Directory + Phishing)

Vorbereitung: Was Sie vor dem Pentest tun sollten

Ein gut vorbereitetes Unternehmen bekommt mehr aus dem Pentest heraus. Diese Checkliste hilft Ihnen, den Ablauf optimal zu gestalten – und Ihre Infrastruktur gut aufgestellt in den Test zu schicken.

Pentest-Vorbereitung: Checkliste für Unternehmen

  • Schriftliche Autorisierung: Pentest-Vertrag mit expliziter Genehmigung – schützt beide Seiten rechtlich.
  • Ansprechpartner benennen: IT-Verantwortlichen und Notfall-Kontakt für den Testzeitraum festlegen.
  • Scope schriftlich definieren: IP-Ranges, Domains, Anwendungen und explizite Ausschlüsse dokumentieren.
  • Testzeitraum abstimmen: Störungsarme Zeiten wählen – Produktionssysteme nach Möglichkeit schützen.
  • Vollständige Backups sicherstellen: Alle Zielsysteme vor Testbeginn vollständig sichern.
  • Logging maximieren: SIEM/Logging-Tiefe für die Testphase erhöhen – wertvolles Lernmaterial.
  • Incident-Response-Plan bereithalten: Für den unwahrscheinlichen Fall echter Störungen während des Tests.
  • Retest einplanen: Zeit und Budget für Nachverifizierung der behobenen Befunde reservieren.

Pentest beauftragen: Was jetzt zu tun ist

Wenn Sie den Ablauf eines Penetrationstests verstehen, können Sie gezielt den richtigen Anbieter auswählen, realistische Erwartungen setzen und den Test optimal vorbereiten. SODU Secure begleitet Sie durch alle 8 Phasen – transparent, strukturiert und mit nachvollziehbaren Ergebnissen.

Berliner KMUs können sich noch für unser kostenloses Pilotprogramm 2026 bewerben: vollständiger Pentest im Wert von bis zu 15.000 € kostenfrei. Nur 2 Plätze verfügbar. Jetzt bewerben unter sodusecure.com/berlin-kmu-pilot.

#Pentest Ablauf#Penetrationstest Phasen#wie läuft ein Pentest ab#Pentest Vorbereitung#Pentest Berlin#Pentest KMU

Pentest beauftragen

Erhalten Sie innerhalb von 24 Stunden ein transparentes Festpreis-Angebot für Ihren Penetrationstest.

Kein Spam, jederzeit abbestellen

Verwandte Artikel

PENTEST BERLIN14 Min. Lesezeit

Pentest Berlin 2026: Der vollständige Leitfaden

Was kostet ein Pentest in Berlin? Kosten, Ablauf und Anbieter-Auswahl kompakt erklärt.

KMU SECURITY10 Min. Lesezeit

5 Sicherheitslücken, die wir bei nahezu jedem KMU finden

Welche kritischen Schwachstellen Berliner KMUs am häufigsten gefährden – und was dagegen hilft.

Kerim K.

Geschäftsführer & Offensive Security, SODU Secure GmbH

Informatikstudent TU Berlin, Gründer von SODU Secure. Spezialisiert auf Penetration Testing, Red Teaming und KMU-Sicherheit in Berlin.

War dieser Artikel hilfreich?

Mit Ihrem Netzwerk teilen

Pentest Berlin – Preis sofort berechnen | SODU Secure