Die optimale Pentest-Frequenz hängt von Risikoexposition, regulatorischen Anforderungen und IT-Veränderungen ab. Dieser Artikel gibt konkrete Empfehlungen für verschiedene Unternehmenstypen.
Wie oft empfehlen Standards einen Penetrationstest
Standardempfehlungen: ISO 27001 Annex A.8.8: regelmäßige Schwachstellentests (keine feste Frequenz). PCI-DSS: mindestens jährlich und nach wesentlichen Änderungen. DORA (Finanzsektor): TLPT alle 3 Jahre für systemrelevante Institute. NIS2: regelmäßige Wirksamkeitsbewertung (Pentest als Instrument empfohlen). BSI: kritische Infrastrukturen jährlich.
Welche Pentest-Frequenz ist für KMU sinnvoll
KMU-Empfehlung: erstmaliger vollständiger Pentest, danach jährlich für kritische Systeme/Netzwerk, Webanwendungen: bei jeder wesentlichen Änderung, nach Sicherheitsvorfällen immer, wenn neue Technologien eingeführt werden. Pragmatischer Ansatz: Scope rotieren (Jahr 1: Netzwerk, Jahr 2: Webanwendungen, Jahr 3: Social Engineering).
Wann ist ein anlassbezogener Pentest sinnvoll
Anlassbezogene Pentests: nach Sicherheitsvorfällen (was wurde übersehen?), vor Produktivsetzung kritischer neuer Systeme, nach wesentlichen Infrastrukturänderungen (Cloud-Migration, neue Standorte), vor ISO-27001-Zertifizierungsaudit, nach Veröffentlichung kritischer CVEs in genutzter Software, bei Verdacht auf Kompromittierung.
Wie priorisiert man Pentest-Scope bei begrenztem Budget
Scope-Priorisierung: externe Angriffsfläche (was ist aus dem Internet erreichbar?) zuerst, dann: Web-Applikationen mit sensiblen Daten, VPN und Remote-Access-Systeme, Kritische interne Systeme (AD, Produktionssteuerung). Vulnerability Scan als günstigere Ergänzung für breite Abdeckung, manueller Pentest für tiefe Analyse der wichtigsten Ziele.
Wie plant man ein kontinuierliches Pentest-Programm
Continuous Penetration Testing: moderne Alternative zu jährlichem Pentest. Konzept: kontinuierliche automatisierte Schwachstellenscans + quartalsweise manuelle Tests + jährlicher Red-Team-Test. Vorteile: neue Schwachstellen werden zeitnah erkannt statt nur einmal jährlich. Erfordert: Pentest-as-a-Service oder eigenes Red-Team. Für reife Sicherheitsprogramme empfohlen.
✓ Checkliste: Wie oft sollte ein Penetrationstest durchgeführt werden?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Wie oft sollte ein Penetrationstest durchgeführt werden? ist für Unternehmen jeder Größe relevant. Professionelle Umsetzung schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen. APASEC begleitet Sie von der ersten Analyse bis zur nachhaltigen Implementierung.
APASEC unterstützt Sie — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
Standardempfehlungen: ISO 27001 Annex A.8.8: regelmäßige Schwachstellentests (keine feste Frequenz). PCI-DSS: mindestens jährlich und nach wesentlichen Änderungen. DORA (Finanzsektor): TLPT alle 3 Jahre für systemrelevante Institute. NIS2: regelmäßige Wirksamkeitsbewertung (Pentest als Instrument empfohlen). BSI: kritische Infrastrukturen jährlich.
KMU-Empfehlung: erstmaliger vollständiger Pentest, danach jährlich für kritische Systeme/Netzwerk, Webanwendungen: bei jeder wesentlichen Änderung, nach Sicherheitsvorfällen immer, wenn neue Technologien eingeführt werden. Pragmatischer Ansatz: Scope rotieren (Jahr 1: Netzwerk, Jahr 2: Webanwendungen, Jahr 3: Social Engineering).
Anlassbezogene Pentests: nach Sicherheitsvorfällen (was wurde übersehen?), vor Produktivsetzung kritischer neuer Systeme, nach wesentlichen Infrastrukturänderungen (Cloud-Migration, neue Standorte), vor ISO-27001-Zertifizierungsaudit, nach Veröffentlichung kritischer CVEs in genutzter Software, bei Verdacht auf Kompromittierung.
Scope-Priorisierung: externe Angriffsfläche (was ist aus dem Internet erreichbar?) zuerst, dann: Web-Applikationen mit sensiblen Daten, VPN und Remote-Access-Systeme, Kritische interne Systeme (AD, Produktionssteuerung). Vulnerability Scan als günstigere Ergänzung für breite Abdeckung, manueller Pentest für tiefe Analyse der wichtigsten Ziele.
Continuous Penetration Testing: moderne Alternative zu jährlichem Pentest. Konzept: kontinuierliche automatisierte Schwachstellenscans + quartalsweise manuelle Tests + jährlicher Red-Team-Test. Vorteile: neue Schwachstellen werden zeitnah erkannt statt nur einmal jährlich. Erfordert: Pentest-as-a-Service oder eigenes Red-Team. Für reife Sicherheitsprogramme empfohlen.