Warum der jährliche Pentest nicht mehr ausreicht: Echtzeit statt Momentaufnahme

Der klassische Penetrationstest hat ein grundlegendes Problem: Zum Zeitpunkt der Berichtsfertigstellung bildet er oft nur noch eine begrenzte Momentaufnahme ab. Angreifer finden heute teils binnen Stunden neue Wege in Systeme, sobald sie eine Sicherheitslücke erkannt haben. Ein jährlicher Check stößt unter diesen Bedingungen an seine Grenzen. Getrieben durch neue regulatorische Anforderungen ist daher ein Umdenken erforderlich: weg von der punktuellen Momentaufnahme, hin zu einer kontinuierlichen Überprüfungsmethodik.

Viele Unternehmen verlassen sich dennoch weiterhin auf den jährlichen Penetrationstest als zentralen Sicherheitsnachweis. Traditionell lag der Fokus dabei stark auf der Technik: Server, Netzwerke und Firewalls wurden geprüft. Doch die Angriffsziele haben sich verschoben. Die moderne IT-Landschaft verändert sich ständig: Durch Cloud-Nutzung und schnelle Software-Updates (CI/CD) kann die Infrastruktur bereits nach kurzer Zeit deutlich anders aussehen als zum Testzeitpunkt. Ein Test, der nur einmal im Jahr stattfindet, lässt den Angreifern unter Umständen längere Zeiträume, um unentdeckte Schwachstellen auszunutzen.

Ein Beispiel dafür ist ein Vorfall aus dem Jahr 2023. Dabei nutzten Angreifer eine Schwachstelle in einer weitverbreiteten Dateiaustausch-Software aus. Zwar hätte auch ein kontinuierlicher Test diesen Zero-Day-Exploit in der Fremdsoftware nicht per se verhindert, doch er ändert die Reaktionsfähigkeit drastisch: Anstatt erst beim nächsten Audit zu prüfen, zeigt eine kontinuierliche Überwachung sofort, wo sich die verwundbare Komponente im eigenen Netz befindet. Diese Transparenz kann die Reaktionszeiten verkürzen und potenzielle Schäden begrenzen.

DORA und NIS-2 erhöhen den Druck auf Unternehmen

Mit dem Digital Operational Resilience Act (DORA) für die Finanzbranche und der NIS-2-Richtlinie für wesentliche und wichtige Einrichtungen, deren Ausfall erhebliche Auswirkungen auf Wirtschaft oder Gesellschaft haben kann, hat der Gesetzgeber die Anforderungen deutlich verschärft. Es reicht nicht mehr, ein Sicherheitskonzept nur auf dem Papier zu haben – die Widerstandsfähigkeit muss im operativen Alltag bewiesen werden.

DORA fordert von Banken und Versicherungen ein Testprogramm, das sich am tatsächlichen Risiko orientiert. Das schafft Budget-Effizienz durch Differenzierung: Für weniger bedrohte Assets wie eine statische Marketing-Webseite, die nicht von der Bank selbst betrieben wird und isoliert von anderen Assets agiert, genügen einfache, automatisierte Scans. Aber für das Herzstück der Bank – etwa den Zahlungsverkehr – sieht der Gesetzgeber fortgeschrittene Methoden wie Threat-Led Penetration Tests (TLPT) vor.

Viele Institute haben sich deshalb vom pauschalen Ansatz verabschiedet und priorisieren ihre Maßnahmen risikobasiert: Hochriskante Bereiche wie Kunden-Apps werden quasi permanent überwacht. Automatisierte Systeme suchen laufend nach Standardlücken, während sich die menschlichen Experten auf die komplexen, logischen Schwachstellen konzentrieren.

KI als Helfer und Risiko zugleich

Künstliche Intelligenz (KI) spielt in diesem neuen Ansatz eine Doppelrolle. Einerseits kann sie die Verteidigung unterstützen, indem sie beispielsweise die Identifikation potenzieller Einfallstore automatisiert oder Angriffsszenarien simuliert, die früher einen deutlich höheren manuellen Aufwand erforderten.

Gleichzeitig bleibt der Mensch unverzichtbar – besonders vor dem Hintergrund noch nicht vollständig umgesetzter Regulierung wie des EU AI Act. Fachliche Expertise ist erforderlich, um Ergebnisse einzuordnen und zu bewerten, welche Schwachstellen tatsächlich geschäftskritisch sind. Zudem schafft KI neue Risiken: Wenn Unternehmen ihre KI-Anwendungen unzureichend absichern, können Angreifer diese etwa durch Prompt Injection manipulieren. Hier greifen klassische Scanner zu kurz. Es braucht neue „Adversarial Testing“-Ansätze, bei denen spezialisierte KI-Modelle gezielt gegen die eigenen Systeme antreten, um diese logischen Lücken aufzudecken.

CTEM als umfassender Sicherheitsansatz

Vor diesem Hintergrund gewinnt das Continuous Threat Exposure Management (CTEM) an Bedeutung. CTEM ist dabei kein Ersatz für den Penetrationstest, sondern eine konzeptionelle Weiterentwicklung. Es fungiert als strategische Klammer, die verschiedene Maßnahmen wie Pentests, Schwachstellen-Scans und Threat Intelligence bündelt und priorisiert. Während der Pentest die technische Validierung liefert, sorgt CTEM für den kontinuierlichen Prozess dahinter. Vereinfacht gesagt: Der Weg führt vom isolierten, statischen Bericht zu einem integrierten Echtzeit-Dashboard für Entscheidungsträger.

Auch aus Compliance-Sicht bedeutet der Abschied vom jährlichen Report keinen Verlust an Nachweisfähigkeit. Moderne Dashboards können relevante Informationen für Audits fortlaufend und strukturiert bereitstellen. Werden neue Angriffsmethoden bekannt, kann geprüft werden, ob eigene Systeme betroffen sind. Sicherheit entwickelt sich damit zunehmend von einer reinen Pflichtaufgabe zu einem Faktor für Vertrauen und Stabilität in der Zusammenarbeit mit Kunden und Partnern.

Vom Reagieren zum Agieren

Der Wandel zur kontinuierlichen Prüfung ist heute ein wesentlicher Bestandteil eines zeitgemäßen Risikomanagements. Entscheidend ist dabei der strategische Dreiklang aus Transparenz, Automatisierung und Business-Bezug. Nur wer seine kritischen Assets kennt, kann sie effektiv schützen. Gleichzeitig sollte die Routine automatisiert werden, damit Expertenkapazitäten für komplexe Bedrohungsszenarien frei werden.

Zentral ist zudem, technische Erkenntnisse zeitnah in geschäftliche Risikobewertungen zu übersetzen. Unternehmen, die sich ausschließlich auf periodische Sicherheitsberichte verlassen, laufen Gefahr, zu spät auf neue Bedrohungen zu reagieren. Dynamische, risikobasierte Testzyklen leisten daher einen wichtigen Beitrag zur nachhaltigen Stärkung der digitalen Resilienz.