Opsio - Cloud and AI Solutions
5 min read· 1,066 words

Penetrationstests zur Einhaltung von NIS2: Ein Leitfaden

Veröffentlicht: ·Aktualisiert: ·Geprüft vom Opsio-Ingenieurteam
Johan Carlsson
Johan Carlsson

Country Manager, Sweden

AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia

Die NIS2-Richtlinie (EU 2022/2555) hat den Kreis der betroffenen Unternehmen in Deutschland erheblich ausgeweitet. Neben klassischen KRITIS-Betreibern müssen nun auch mittlere und große Unternehmen aus über 18 Sektoren – von Energie über Gesundheit bis hin zu digitalem Infrastrukturmanagement – nachweisen, dass sie geeignete technische und organisatorische Maßnahmen zum Schutz ihrer Netz- und Informationssysteme ergriffen haben. Penetrationstests (kurz: Pentests) sind in diesem Kontext kein Luxus, sondern ein methodisch fundiertes Mittel, um Sicherheitslücken systematisch zu identifizieren, zu bewerten und gegenüber Aufsichtsbehörden zu dokumentieren. Wer die gesetzlichen Anforderungen ohne regelmäßige Penetrationstests erfüllen möchte, bewegt sich auf dünnem Eis.

Was NIS2 konkret von Unternehmen verlangt

Artikel 21 der NIS2-Richtlinie schreibt vor, dass betroffene Einrichtungen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen" ergreifen, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen. Zu den explizit genannten Maßnahmen gehören unter anderem:

  • Risikoanalyse und Sicherheitskonzepte für Informationssysteme
  • Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen
  • Schwachstellenmanagement einschließlich regelmäßiger Überprüfungen
  • Sicherheit in der Lieferkette und bei Drittanbietern
  • Evaluierung der Wirksamkeit der getroffenen Sicherheitsmaßnahmen
  • Grundlegende Cyberhygiene und Schulungen für Mitarbeitende

Penetrationstests adressieren insbesondere die Punkte Schwachstellenmanagement und Wirksamkeitsevaluierung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt im Rahmen des BSI-Grundschutzes (insbesondere DER.3.2: Penetrationstests) regelmäßige Tests als Nachweisinstrument. Ergänzend gilt in Deutschland die DSGVO, die technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten fordert – ein Pentest liefert hier Nachweise gemäß Art. 32 DSGVO.

Arten von Penetrationstests und ihre Relevanz für NIS2

Nicht jeder Pentest ist gleich. Je nach Bedrohungsmodell, Scope und Reifegrad der eigenen Sicherheitsarchitektur kommen unterschiedliche Testformen zum Einsatz. Die folgende Tabelle gibt einen Überblick:

Testart Wissensstand Tester Typischer Einsatz NIS2-Relevanz
Black-Box-Test Kein Vorwissen Außenperimeter, externe Angreifersimulation Hoch – realistische Angreiferpers­pektive
Grey-Box-Test Partielles Wissen (z. B. Nutzerkonten) Web-Applikationen, interne Systeme Sehr hoch – deckt privilegierten Missbrauch ab
White-Box-Test Vollständiges Wissen (Source Code, Architektur) Entwicklungsumgebungen, Cloud-Infrastruktur Hoch – tiefgreifende Schwachstellenanalyse
Red-Team-Exercise Variabel, über mehrere Wochen Gesamte Organisation, Detection & Response Mittel bis hoch – misst Reaktionsfähigkeit
Cloud-Pentest Grey- oder White-Box AWS, Azure, GCP – IAM, Storage, APIs Sehr hoch für Cloud-native Einrichtungen

Für NIS2-pflichtige Unternehmen empfehlen die meisten Umsetzungsleitfäden mindestens einen jährlichen Penetrationstest des Außenperimeters sowie anlassbezogene Tests nach größeren Infrastrukturveränderungen – etwa nach Cloud-Migrationen oder dem Einführen neuer Kubernetes-Cluster.

Kostenlose Expertenberatung

Brauchen Sie Unterstützung bei Penetrationstests zur Einhaltung von NIS2: Ein Leitfaden?

Unsere Cloud-Architekten unterstützen Sie bei Penetrationstests zur Einhaltung von NIS2: Ein Leitfaden — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.

Solution ArchitectKI-SpezialistSicherheitsexperteDevOps-Ingenieur
50+ zertifizierte IngenieureAWS Advanced Partner24/7 Support
Völlig kostenlos — keine VerpflichtungAntwort innerhalb 24h

Technische Tiefe: Worauf es beim Cloud-Pentest ankommt

Da ein erheblicher Teil der heutigen IT-Infrastruktur in der Cloud betrieben wird, hat sich der Cloud-Pentest zur eigenen Disziplin entwickelt. Dabei geht es nicht mehr nur um offene Ports oder veraltete Bibliotheken, sondern um fehlkonfigurierte IAM-Rollen, übermäßig permissive S3-Bucket-Policies oder ungeschützte Kubernetes-API-Server.

In einer AWS-Umgebung etwa prüfen Tester systematisch:

  • IAM-Konfigurationen: Prinzip der minimalen Rechte, fehlende MFA-Erzwingung, Verwendung langlebiger Zugangsdaten
  • GuardDuty-Abdeckung: Ist der AWS-eigene Bedrohungserkennungsdienst aktiviert und werden Befunde in ein SIEM wie Microsoft Sentinel weitergeleitet?
  • Netzwerksegmentierung: Security Groups, NACLs, VPC-Peering-Konfigurationen
  • Kubernetes-Sicherheit: RBAC-Einstellungen, Pod Security Standards, exponierte Dashboards, unsichere Secrets-Verwaltung
  • Infrastructure-as-Code: Terraform-Konfigurationen auf hartcodierte Zugangsdaten, unsichere Default-Werte und fehlende Verschlüsselungserzwingung
  • Backup-Integrität: Prüfung, ob Velero-Backups verschlüsselt und isoliert gespeichert sind und nicht durch einen Angreifer löschbar sind

Dieser technische Scope ist direkt auf die in Artikel 21 NIS2 geforderten Maßnahmen zur Kontinuität und Wiederherstellung abgestimmt. Ein Pentest-Bericht, der diese Punkte dokumentiert, liefert zugleich die Nachweisgrundlage für Aufsichtsbehörden und interne Compliance-Teams.

Bewertungskriterien für Pentest-Dienstleister

Die Auswahl eines qualifizierten Pentest-Anbieters ist entscheidend für den Wert des Tests. Folgende Kriterien sollten bei der Ausschreibung und Bewertung berücksichtigt werden:

  • Zertifizierungen der Tester: OSCP (Offensive Security Certified Professional), CEH, GPEN oder vergleichbare anerkannte Abschlüsse sind Mindestanforderung
  • Methodische Grundlage: Orientierung an PTES (Penetration Testing Execution Standard), OWASP Testing Guide oder BSI-Leitfaden für Penetrationstests
  • Scope-Definition und Einbeziehung des Rechtsrahmens: Klare schriftliche Genehmigungen, Haftungsregelungen und Datenschutzvereinbarungen nach DSGVO
  • Cloud-Plattformkompetenz: Nachgewiesene Erfahrung mit AWS, Azure oder GCP, idealerweise durch Partnerschaftsstatus belegt
  • Berichtsqualität: Technische Befunde mit CVSS-Bewertung, Risikopriorisierung, reproduzierbaren Nachweisen und konkreten Handlungsempfehlungen
  • Retesting: Angebot eines kostenlosen oder vergünstigten Nachtests nach Behebung der Befunde
  • Geheimhaltung und Datenschutz: NDAs, Datenlokalisierung innerhalb der EU, Umgang mit sensiblen Testdaten

Im DACH-Kontext ist außerdem die Fähigkeit relevant, Befunde direkt dem BSI-Grundschutz-Kompendium oder der ISO 27001 zuzuordnen – viele Unternehmen betreiben beides parallel zur NIS2-Konformität.

Typische Fehler bei der Umsetzung

Trotz wachsendem Bewusstsein für NIS2 beobachten wir in der Praxis wiederkehrende Fehler, die den Wert von Penetrationstests erheblich mindern:

  • Zu enger Scope: Unternehmen beschränken den Test auf einzelne Webserver und lassen Cloud-Infrastruktur, Lieferketten-APIs oder OT-Systeme ungeprüft – ein gefährlicher blinder Fleck.
  • Kein Remediation-Prozess: Der Pentest-Bericht landet im Archiv, ohne dass Befunde in ein Ticketsystem überführt und verfolgt werden. NIS2 verlangt nachweislich behobene oder mitigierte Schwachstellen.
  • Einmalige Tests statt Continuous Security: Ein Pentest pro Jahr ohne kontinuierliches Schwachstellenscanning (z. B. durch AWS Inspector oder Microsoft Defender for Cloud) hinterlässt zu große Zeitfenster.
  • Fehlende Integration in den Entwicklungsprozess: Wenn Terraform-Templates oder Container-Images nicht in der CI/CD-Pipeline auf Sicherheitsprobleme geprüft werden, entstehen täglich neue Angriffsflächen.
  • Unzureichende Dokumentation für Behörden: NIS2-Aufsichtsbehörden erwarten strukturierte Nachweise. Ein Pentest-Bericht ohne Executive Summary, CVSS-Tabelle und Maßnahmenplan erfüllt diese Anforderung nicht.

Wie Opsio Unternehmen bei der NIS2-konformen Pentest-Integration unterstützt

Opsio ist ein Cloud-Managed-Service-Provider mit Hauptsitz in Karlstad, Schweden, und einem Delivery-Center in Bangalore, Indien. Als AWS Advanced Tier Services Partner mit AWS Migration Competency, Microsoft Partner und Google Cloud Partner verfügt Opsio über plattformübergreifende Kompetenz, die für moderne, Multi-Cloud-Umgebungen entscheidend ist. Das Team umfasst mehr als 50 zertifizierte Ingenieure, darunter CKA- und CKAD-zertifizierte Kubernetes-Spezialisten, und betreibt einen 24/7-NOC mit einer garantierten Verfügbarkeit von 99,9 %.

Im Kontext von NIS2-Konformität und Penetrationstests bringt Opsio folgende konkrete Mehrwerte:

  • Cloud-native Pentest-Vorbereitung: Vor dem eigentlichen Pentest analysiert Opsio die bestehende Infrastruktur – IAM-Policies, Terraform-Konfigurationen, Kubernetes-RBAC, GuardDuty- und Sentinel-Einstellungen – und schließt offensichtliche Schwachstellen, sodass der Pentest tiefer gehen kann.
  • Remediation-Management: Pentest-Befunde werden direkt in den Managed-Service-Prozess integriert. Kritische und hochkritische Findings werden priorisiert und im Rahmen der laufenden Betreuung behoben, dokumentiert und nachgewiesen.
  • Continuous Security Posture: Ergänzend zu periodischen Pentests implementiert Opsio kontinuierliches Schwachstellenscanning und SIEM-Anbindung, sodass neue Angriffsvektoren nicht erst beim nächsten Jahrestest sichtbar werden.
  • Compliance-Dokumentation: Opsio unterstützt bei der Erstellung BSI-Grundschutz-kompatibler Nachweisdokumente und bei der Vorbereitung auf Audits durch NIS2-Aufsichtsbehörden.
  • Backup- und Wiederherstellungssicherheit: Velero-basierte Backup-Strategien werden auf Manipulationsresistenz und Wiederherstellbarkeit geprüft – ein oft übersehener Aspekt der NIS2-Anforderungen an Betriebskontinuität.

Mit über 3.000 abgeschlossenen Projekten seit 2022 und dem ISO 27001-zertifizierten Delivery-Center in Bangalore versteht Opsio die betriebliche Realität von Unternehmen, die unter Zeitdruck und Ressourcenknappheit NIS2-Konformität herstellen müssen. Penetrationstests sind kein Selbstzweck – sie sind das Werkzeug, mit dem Sicherheitsmaßnahmen beweisbar werden. Opsio stellt sicher, dass dieser Beweis trägt.

Verwandte Artikel

Mehr aus unserer Wissensdatenbank: Leitfaden zur Bewertung von Schwachstellen vs. Pen-Tests – Opsio

Über den Autor

Johan Carlsson
Johan Carlsson

Country Manager, Sweden at Opsio

AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia

View all articles →LinkedIn

Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.