Ja, ein Pentest (Penetrationstest) kann Cyberangriffe deutlich reduzieren, aber nicht zu 100 % verhindern.
Warum ein Pentest Angriffe nicht vollständig verhindern kann
- Er ist eine Momentaufnahme – neue Schwachstellen entstehen ständig
- Menschliche Fehler (z. B. Phishing-Klicks) lassen sich nicht vollständig testen
- Zero-Day-Schwachstellen sind unbekannt und daher nicht testbar
- Angreifer entwickeln ihre Methoden kontinuierlich weiter
Auch in Deutschland gab es mehrere reale Cyberangriffe, bei denen ein professioneller Penetrationstest sehr wahrscheinlich kritische Schwachstellen vorab aufgedeckt hätte, damit man entsprechende Gegenmaßnahmen einleiten gekonnt hätte. So hätte man den Schaden verhindern oder zumindest deutlich reduzieren können.
Hier sind gut bekannte und technisch nachvollziehbare Beispiele:
1. Deutsche Bahn (2017)
Schaden: Kundendaten von ca. 5 Mio. Nutzern öffentlich einsehbar
Angriffsursache:
- Öffentlich erreichbarer Server ohne ausreichende Zugriffsbeschränkung
- Fehlkonfiguration in Web- und Datenbankdiensten
- Unzureichendes Monitoring
Warum ein Pentest geholfen hätte:
- External Infrastructure Pentest hätte:
- exponierte Systeme identifiziert
- fehlende Authentifizierung erkannt
- Zugriff auf personenbezogene Daten demonstriert
2. Universitätsklinikum Düsseldorf (2020)
Schaden: IT-Ausfall, Notaufnahme musste Patienten abweisen
Angriffsursache:
- Verwundbare Citrix-Gateway-Instanz
- Bekannte, ungepatchte Schwachstelle
- Ransomware-Einfallstor über externen Zugriff
Warum ein Pentest geholfen hätte:
- Perimeter- / Remote-Access-Pentest hätte:
- die Citrix-Schwachstelle identifiziert
- Exploitbarkeit nachgewiesen
- fehlendes Patch-Management aufgezeigt
3. Bundestag (2015)
Schaden: Langfristige Kompromittierung des Regierungsnetzes
Angriffsursache:
- Spear-Phishing
- Schwache interne Segmentierung
- Mangelnde Erkennung lateraler Bewegungen
Warum ein Pentest geholfen hätte:
- Red-Team-orientierter Pentest hätte:
- Phishing-Erfolgsraten gemessen
- Privilege Escalation demonstriert
- Persistenz im Netzwerk aufgezeigt
4. MediaMarktSaturn (2021)
Schaden: europaweiter IT-Ausfall, >100 Mio. € Kosten
Angriffsursache:
- Active-Directory-Kompromittierung
- Zu weitreichende Admin-Rechte
- Fehlende Trennung kritischer Systeme
Warum ein Pentest geholfen hätte:
- Internal Pentest hätte:
- überprivilegierte Accounts identifiziert
- Kerberoasting / Pass-the-Hash gezeigt
- Domain-Takeover-Szenarien simuliert
