← Zurück zu Ressourcen Red Teaming

Wie oft sollten Unternehmen Penetrationstests durchführen?

Von Dennis Kionga 21. Juni 2022 6 MIN Aktualisiert: 14. Juni 2026

„Wie oft sollten wir einen Penetrationstest durchführen?” ist eine der häufigsten Fragen, die uns erreichen — und die ehrliche Antwort lautet: Es gibt keine pauschale Frequenz. Wer einmal im Jahr testet und sich damit sicher fühlt, verwechselt eine Momentaufnahme mit einem Programm. Sinnvoller ist ein individuell zugeschnittenes Pentest-Programm, das sich an Ihrem tatsächlichen Risiko orientiert.

Was ein gutes Pentest-Programm definiert

Ein durchdachtes Programm beantwortet vier Fragen:

  • Welche Tests werden benötigt? Externe Infrastruktur, interne Infrastruktur, Webanwendungen, IoT, Cloud?
  • Welcher Scope — und wo ergänzt regelmäßiges Schwachstellenscanning den manuellen Test sinnvoll?
  • Welche Frequenz je Testart?
  • Welche Auslöser rechtfertigen einen außerplanmäßigen Test?

Die Faktoren, die die Frequenz bestimmen

Wie oft getestet werden sollte, hängt von mehreren Größen ab: Unternehmensgröße, Kritikalität der Daten, Bedrohungslage der Branche, Compliance-Anforderungen (PCI DSS, ISO 27001, DORA, NIS2) und nicht zuletzt dem Budget. Ein Online-Händler mit Zahlungsdaten hat ein anderes Profil als ein lokaler Handwerksbetrieb.

Die belastbare Mindestlinie

Eine Konstante gibt es: Ein externer Infrastruktur-Penetrationstest einmal im Jahr sollte Teil jedes Programms sein. Größere Organisationen (ab etwa 100 Mitarbeitenden) sollten zusätzlich interne Tests durchführen, da hier laterale Bewegung und Insider-Risiken stärker ins Gewicht fallen.

Wann ein außerplanmäßiger Test fällig ist

Unabhängig vom Kalender gibt es drei Situationen, die einen Test sofort rechtfertigen:

  1. Wesentliche Netzwerk- oder Architekturänderungen
  2. Nach einem Sicherheitsvorfall — um Wiederholung auszuschließen
  3. Bei der Einführung neuer, exponierter Systeme

Wer nur dem Jahresrhythmus folgt, testet genau die Veränderungen nicht, die das Risiko erhöht haben.

Wie Cloud Cape unterstützt

Wir verkaufen keinen Einzeltest von der Stange, sondern bauen mit Ihnen ein Pentest-Programm, das zu Ihrem Risiko, Ihrer Compliance und Ihrem Veränderungstempo passt — mit klarer Mindestlinie und definierten Auslösern für Ad-hoc-Tests. Wo kontinuierliche Validierung sinnvoller ist als periodisches Testen, verbinden wir das mit unserem Continuous Threat Exposure Management.

Sprechen Sie mit uns über Pentesting & Red Teaming — wir definieren die richtige Frequenz für Ihr Risiko, nicht für eine Checkliste.