Penetration‑Testing ist autorisierter Angriff: Mit Erlaubnis des Auftraggebers werden Schwachstellen gesucht, ausgenutzt und dokumentiert — bevor echte Angreifer es tun. Das Ziel ist nicht, das System zu zerstören, sondern es robuster zu machen.
Pentest‑Typen nach Wissen:
- Black Box: kein Vorwissen, wie ein externer Angreifer.
- Grey Box: Teilwissen (z. B. Test‑Account).
- White Box: volles Wissen inkl. Quellcode.
Pentest vs. Bug Bounty vs. Red Team:
- Pentest: zeitlich begrenzt, definierter Scope.
- Bug Bounty: dauerhaft offen, Belohnung pro Fund.
- Red Team: simuliert echten Angreifer inkl. Social Engineering, ohne dass IT‑Team weiß.
Faustregel: „Vor dem ersten Klick: Schreiberlaubnis. Sonst Strafanzeige."
Zurück zu Technik