Was ist Penetration Testing? Legal und ethisch

Ein Penetrationstest (kurz: Pentest) ist ein autorisierter, simulierter Angriff auf ein IT-System oder eine Anwendung – durchgeführt, um Sicherheitsschwachstellen zu finden, bevor echte Angreifer es tun. Das Schlüsselwort ist autorisiert: Ohne explizite schriftliche Genehmigung des Systemeigentümers ist genau dieselbe Tätigkeit eine Straftat. Penetration Testing ist das Werkzeug; die Erlaubnis ist der Unterschied zwischen Sicherheitsexperte und Kriminellem.

In Deutschland ist das rechtliche Fundament eindeutig: §202a–c StGB (Ausspähen von Daten, Abfangen von Daten, Vorbereitung einer Computerstraftat) macht den Zugriff auf fremde IT-Systeme ohne Erlaubnis strafbar – unabhängig von der Absicht. „Ich wollte nur Schwachstellen finden" ist keine Verteidigung. Der IT-Rechts-Rahmen ist hier unmissverständlich.

1) Die Hacker-Typen: White, Grey, Black Hat

In der Sicherheitsbranche hat sich eine Farbmetapher etabliert, die die Motivation und Legalität von Hacking beschreibt. Diese Begriffe tauchen in der IHK-Prüfung auf und sind in der Branche allgemein verständlich.

Hacker-Typen – Klicke für Details

🤍

White Hat

Ethical Hacker · autorisiert

🩶

Grey Hat

Ohne Erlaubnis, gute Absichten

🖤

Black Hat

Kriminell · keine Erlaubnis

Klicke auf einen Typ für Details, typische Tätigkeiten und rechtliche Einordnung.

Weitere Begriffe in der Branche: Red Team (Angreifer-Seite), Blue Team (Verteidiger), Purple Team (beide kombiniert). Security Operations Center (SOC) = organisiertes Blue Team. Bug Bounty Hunter = autorisierter Vulnerability-Finder, meist für Prämien. Penetration Tester = bezahlter professioneller White Hat.

2) Rechtliche Voraussetzungen: was muss vor dem Pentest vorliegen

Ein professioneller Pentest beginnt lange vor dem ersten Nmap-Scan mit rechtlicher Absicherung. Die folgende Checkliste zeigt, was zwingend vorliegen muss, was empfohlen wird, und was einen Pentest sofort illegitim macht.

Rechtliche Checkliste für Penetration Testing

✅Schriftliche Auftragserteilung: Explizite Erlaubnis des Systemeigentümers (nicht nur des IT-Leiters) – idealerweise als Vertrag mit Scope, Zeitraum und zulässigen Methoden. Mündliche Genehmigungen sind rechtlich unsicher.

✅Klarer Scope (Geltungsbereich): Exakte Liste der Systeme, IPs, Domains und Anwendungen, die getestet werden dürfen. Alles außerhalb des Scopes ist tabu – auch wenn es technisch erreichbar wäre.

✅Zeitfenster definiert: Start- und Enddatum/-uhrzeit des Tests. Aktionen außerhalb des vereinbarten Zeitfensters sind nicht durch die Genehmigung gedeckt.

✅Notfall-Kontakt: Wen ruft der Pentester an, wenn ein System unerwartet nicht mehr reagiert? Ein direkter Ansprechpartner muss jederzeit erreichbar sein.

⚠️Dritte benachrichtigen: Wenn der Kunde Cloud-Services oder Hosting-Provider nutzt, muss auch deren Erlaubnis eingeholt werden. AWS, Azure und Co. haben eigene Pentest-Richtlinien – ohne deren Zustimmung ist ein Test ihrer Infrastruktur verboten.

🚫Niemals ohne Erlaubnis: „Ich teste nur, um zu helfen" ist keine Rechtfertigung. §202a StGB kennt keine Ausnahme für gute Absichten. Das gilt auch für eigene frühere Arbeitgeber, Kundenumgebungen nach Vertragsende, oder Systeme „die öffentlich erreichbar sind".

3) Scope-Dokument: was ist In-Scope, was Out-of-Scope

Das Scope-Dokument ist das wichtigste rechtliche Instrument eines Pentests. Es definiert exakt, was getestet werden darf – und was nicht. Ein gut definierter Scope schützt sowohl den Kunden als auch den Tester.

Beispiel-Scope-Dokument – Webshop-Pentest

Auftraggeber:Shop GmbH, vertreten durch GF Müller

Zeitraum:15.–19.05.2026, 08:00–18:00 Uhr

✓ In Scope:shop.example.de, api.example.de, 91.1.2.0/24 (eigene Server)

✗ Out of Scope:Zahlungs-Gateway (PayPal), CDN (Cloudflare), Mitarbeiter-Phishing

Erlaubte Methoden:Black-Box-Webtest, Authentifizierter Test mit Testaccounts. Kein DoS.

Notfall-Kontakt:IT-Leiter Schmidt, +49 170 123456 (24/7 erreichbar)

Produktivdaten:Nicht herunterladen, bei Fund sofort melden und vernichten

Bericht:Vertraulich, verschlüsselt übermitteln, 30 Tage Aufbewahrung

DoS (Denial-of-Service) ist in fast keinem Pentest-Scope erlaubt – die Kosten eines Produktionsausfalls übersteigen den Nutzen des Tests. Ausnahme: explizit beauftragter Resilienztest in einer dedizierten Testumgebung.

4) Pentest-Typen nach Wissensstand

Typ	Wissensstand des Testers	Typischer Einsatz
Black Box	Kein Vorwissen – wie ein echter externer Angreifer	Realitätsnähe, externe Angriffssimulation
White Box	Voller Zugriff: Code, Architektur, Zugangsdaten	Tiefe Code-Analyse, maximale Abdeckung
Grey Box	Teilwissen: z.B. normaler Nutzeraccount	Kompromiss aus Realitätsnähe und Tiefe
Red Team	Kein Vorwissen, aber längere Kampagne mit sozialen Angriffsvektoren	Gesamte Verteidigungsfähigkeit testen

Zusammenfassung

Penetration Testing ist autorisiertes ethisches Hacking zur Schwachstellenfindung. Ohne schriftliche Erlaubnis: Straftat nach §202a StGB. White Hat = autorisiert, Grey Hat = ohne Erlaubnis aber gute Absichten (trotzdem illegal), Black Hat = kriminell. Zwingend vor jedem Pentest: Scope-Dokument, Zeitfenster, Notfall-Kontakt, Genehmigung aller betroffenen Systemeigentümer. Typen: Black Box, White Box, Grey Box, Red Team. Details zum Ablauf: Phasen eines Pentests.

Was ist Penetration Testing? Legal und ethisch

1) Die Hacker-Typen: White, Grey, Black Hat

2) Rechtliche Voraussetzungen: was muss vor dem Pentest vorliegen

3) Scope-Dokument: was ist In-Scope, was Out-of-Scope

4) Pentest-Typen nach Wissensstand

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title