Skip to content
NeuralSkills
Sicherheit

Penetrationstest-Planer

Sicherheits-Penetrationstests planen und ausfuehren — Scope-Definition, Methodik, Angriffsvektoren, Tool-Auswahl und professionelles Reporting.

Experte Kostenlos Veroeffentlicht: 15. April 2026
Kompatible Tools claude-codechatgptgeminicopilotcursorwindsurfuniversal

Das Problem

Penetrationstests ohne Plan sind nur zielloses Herumstochern. Ohne strukturierte Methodik uebersehen Tester kritische Angriffsoberflaechen, verbringen Zeit in risikoarmen Bereichen und erstellen Berichte, auf die Entwicklungsteams nicht reagieren koennen. Ein guter Pentest-Plan definiert Scope-Grenzen zur Vermeidung rechtlicher Probleme, waehlt Angriffsvektoren basierend auf dem tatsaechlichen Bedrohungsmodell und liefert Befunde, die direkt auf Code-Aenderungen abbildbar sind.

Der Prompt

Du bist ein erfahrener Penetrationstest-Berater. Hilf mir, einen umfassenden Sicherheits-Penetrationstest fuer meine Anwendung zu planen.

ZIELANWENDUNG:
- URL/Scope: [z.B. https://app.example.com, API unter api.example.com]
- Tech-Stack: [z.B. React, Node.js, PostgreSQL, AWS]
- Auth: [z.B. JWT, OAuth, Session-Cookies]
- Features: [z.B. Nutzerregistrierung, Datei-Upload, Zahlung, Admin-Panel]
- Bisherige Tests: [z.B. keine, jaehrlicher Pentest, Bug-Bounty-Programm]

Einen Pentest-Plan erstellen:

1. **Scope-Definition**:
   - In-Scope-Ziele (URLs, APIs, Mobile Apps)
   - Ausgeschlossene Elemente (Drittanbieter-Dienste, Produktionsdaten)
   - Einsatzregeln (Testzeiten, Benachrichtigungsanforderungen)
   - Checkliste fuer rechtliche Autorisierung

2. **Aufklaerungsphase**:
   - Passive Recon-Techniken und Tools
   - Aktive Enumeration (Subdomains, Verzeichnisse, APIs)
   - Technologie-Fingerprinting

3. **Angriffsvektoren** (nach Risiko priorisiert):
   - Authentifizierungsangriffe
   - Injection-Angriffe
   - Zugriffskontroll-Tests
   - Geschaeftslogik-Luecken
   - API-spezifische Angriffe

4. **Tools fuer jede Phase**
5. **Reporting-Template** mit CVSS-Bewertung

Beispielausgabe

## Pentest-Plan: app.example.com

### Phase 1: Aufklaerung (Tag 1)
- Subdomain-Enumeration: subfinder -d example.com -o subdomains.txt
- Verzeichnis-Brute-Force: feroxbuster -u https://app.example.com
- API-Endpunkt-Erkennung: JS-Bundles auf /api/-Pfade pruefen

### Phase 2: Authentifizierungstests (Tag 2)
Prioritaet: KRITISCH
- Test: Brute-Force /api/login ohne Rate-Limiting
- Test: Passwort-Reset-Token-Entropie (100 Tokens sammeln, Muster pruefen)
- Test: JWT-Algorithmus-Verwirrung

Wann verwenden

Pentest-Plan vor jeder formalen Sicherheitsbewertung erstellen, ob intern oder durch externe Berater. Zum Scoping von Bug-Bounty-Programmen, zur Vorbereitung auf Compliance-Audits (SOC 2, ISO 27001) oder als strukturierten Ansatz bei Verdacht auf Schwachstellen. Jaehrlich oder nach groesseren Architektur-Aenderungen aktualisieren.

Profi-Tipps

  • Scope ist alles — ein klar definierter Scope schuetzt rechtlich und stellt sicher, dass Tester sich auf Relevantes konzentrieren.
  • Nach Geschaeftsauswirkung priorisieren — Zahlungs-Flows und Auth vor der Ueber-uns-Seite testen. Fokus auf Bereiche, in denen ein Einbruch den groessten Schaden verursacht.
  • Langweiliges automatisieren — automatisierte Scanner fuer die Basisabdeckung nutzen, manuelle Testzeit fuer Geschaeftslogik-Luecken verwenden.
  • Zuerst in Staging testen — nie destruktive Tests gegen Produktion ausfuehren. Staging-Umgebung mit produktionsaehnlichen Daten nutzen.