Zum Inhalt springen

Penetrationstests und ASV-Scans richtig auswerten

|  (aktualisiert am 23.07.2025)
Penetrationstest prüfen Webseiten auf Sicherheitsrisiken. Die Ergebnisse sind nicht immer eindeutig.
©AdobeStock_434245084

Geht es um Sicherheit, wird es schnell emotional. Denn hundertprozentige Sicherheit gibt es nicht. Gleichzeitig geht es in vielen Fällen um Kunden-, Geschäfts- oder Kreditkartendaten. In dieser Gemengelage helfen Penetrationstests und ASV-Scans. Sie prüfen die Verwundbarkeit deiner Webprojekte und zeigen potentielle Schwachstellen auf. Doch die Auswertung der Testergebnisse ist in vielen Fällen nicht ganz einfach. Worauf du dabei achten solltest und wie du die richtigen Schlüsse aus dem Reporting ziehst, erfährst du hier.  

  1. Penetrationstest, was ist das?
  2. Was ist ein ASV-Scan? 
  3. Was ist der PCI DSS Standard?
  4. Wie unterscheiden sich Pentests und ASV-Scans? 
  5. Was muss ich bei der Auswertung eines Penetrationstests beachten?
  6. Das solltest du beachten, wenn du einen Penetrationstest und ASV-Scans beauftragst
  7. So schützt du deine Seite gegen Angreifer
  8. Sicherheit für deine Daten

Penetrationstest, was ist das?

Bei einem Penetrationstest, kurz Pentest, versucht man, Sicherheitslücken eines Webprojektes offen zu legen. Dazu werden alle Bestandteile des Projektes, etwa der Webserver, die Server-Software oder auch die Webseite, künstlich verschiedenen Angriffsszenarien ausgesetzt. Das geschieht mit dem Ziel, Schwachpunkte frühzeitig zu erkennen und Sicherheitslücken zu schließen. 

Grundsätzlich gilt: Die Durchführung eines Pentests ist gesetzlich verboten. Dieser Umstand lässt sich allerdings durch eine vertragliche Vereinbarung (Permission to Attack, kurz PTA) zwischen der zu testenden und der den Test durchführenden Organisation umgehen. 

vServer – Der Agenturliebling

Top Performance für viele Projekte

Jetzt buchen

Was ist ein ASV-Scan? 

Ein ASV Scan ist ein externer Schwachstellenscan, der von einem PCI SSC zugelassenen Unternehmen durchgeführt wird. Ein solcher Scan ist bei der Verarbeitung von Kreditkartendaten ein wichtiger Bestandteil der PCI DSS-Konformität und wird von Zahlungsdienstleistern gefordert. mittwald ist nicht PCI DSS-konform da sich dieser Standard an Unternehmen richtet, die Kreditkartendaten verarbeiten oder speichern. mittwald verarbeitet oder speichert keine Zahlungsdaten, sondern stellt ausschließlich die technische Plattform bereit, auf der du deine Anwendungen betreibst. 

Was ist der PCI DSS Standard?

Der PCI DSS Standard regelt weltweit Verarbeitungsprozesse von Kreditkarteninhaber- und Authentifizierungsdaten. Er soll helfen, sicherheitsrelevante Ereignisse zu vermeiden oder sie zu erkennen. Der Standard gilt für alle Händler, die Kredit-, Debit- oder Prepaidkarten akzeptieren. 

Wie unterscheiden sich Pentests und ASV-Scans? 

Sowohl ein Pentest als auch ein ASV-Scan ist eine Sicherheitsprüfung deines Webprojektes. Sie unterscheiden sich jedoch in Umfang und Durchführung. Der Pentest ist eine umfassende, manuelle Sicherheitsüberprüfung, die darauf abzielt, Schwachstellen zu identifizieren und zu exploitieren. Ein ASV-Scan ist ein automatisierter Schwachstellenscan, der eine Liste bekannter Schwachstellen identifiziert, um die Einhaltung von PCI DSS zu gewährleisten. 

Was muss ich bei der Auswertung eines Penetrationstests beachten?

Das Reporting beider Tests ist oftmals sehr ausführlich. Häufig werden vom Anbieter extrem viele Daten ausgeliefert, die konzentriert und priorisiert abgearbeitet werden müssen. Oftmals stellt sich dabei heraus, dass den vielen Angaben weitaus weniger Maßnahmen folgen müssen. Starte am besten mit den Problemen, die als “High” klassifiziert wurden. Als “Medium” oder “Low” eingestufte Issues sind selten dringlich und können in der Regel im nächsten Entwicklungszyklus, wenn du sowieso am Code arbeitest, betrachtet werden.

Typische Probleme, die ein Pentest und ein ASV-Scan offen legen:

 

  • Fehlende SSL Verschlüsselung: Der Klassiker unter den Sicherheitsanforderungen an ein Webprojekt. Das SSL-Zertifikat lässt sich ohne großen Aufwand implementieren. Hostest du deine Projekte bei mittwald, stehen dir sowohl kostenlose als auch kostenpflichtige Zertifikate für unterschiedliche Anwendungsbereiche zur Verfügung.
     
  • Weak cipher: Schwache TLS-Chiffren sind ein Sicherheitsrisiko. Deshalb wird etwa bei mittwald standardmäßig TLS nur noch ab Version 1.2 aufwärts angewendet. Infos, wie du deine Verschlüsselungsprotokolle anpasst, findest du in unserem FAQ-Artikel.
     
  • Offene Ports: Die offenen Ports 21, 22, 80 und 443 und 3306 werden häufig als Sicherheitsrisiko ausgezeichnet. Allerdings wird kaum eine Webseite ohne zumindest einen dieser Ports auskommen.

    Zur Erklärung:

 

Port
21
22
80
443 
3306 

Verwendungszweck

FTP

SSH

http://

https://

MySQL

Kommentar

wird von verschiedenen Systemen noch genutzt. Ist FTP nicht zwingend erforderlich, raten wir zur Deaktivierung. Ein erfolgreicher Zugriff auf den Port ist nur mit Benutzernamen und Passwort möglich. 

für fast alle Entwickler erforderlich. Kann aber temporär deaktiviert werden, wenn gerade nicht an der Seite gearbeitet wird. Ein Zugriff ist nur mit Benutzernamen und Passwort möglich. 

unverschlüsselte Zugriffe auf die Webseite, z.B. per Browser. Das kann man vermeiden, indem der Zugriff per 443 erzwungen wird. Wie das funktioniert, erfährst du in diesem Artikel.

verschlüsselter Zugriff auf deine Webseite

Ein Zugriff auf die Datenbank ist mit einem entsprechenden Benutzer und dem dazugehörigen Passwort möglich. 

Hierüber greift deine Webseite auf ihre Datenbank zu. Bei mittwald wird der Port zwar als offen angezeigt, ist jedoch nur mit einem zusätzlichen Datenbanknutzer (der explizit berechtigt werden muss) nutzbar. Jeder Versuch die Datenbank auf andere Weise zu öffnen, läuft ins Leere. Zugriffe sind nur im internen Netz möglich

  • Fehlende security header: Können über PHP gesetzt werden , zum Beispiel so:
    <?php
    header("Strict-Transport-Security: max-age=63072000; includeSubDomains; preload");
    Weitere Informationen findest du in diesem Artikel.
  • Veraltete Software: Ein alter Hut. Nur wer seine Systeme regelmäßig updated, hält sie geschützt. Tipp: Nutze die Auto-Update-Funktion. Damit bist du diese Sorge los.

Jetzt aber mal reinfolgen!

Abonniere Tipps für CMS und Dev-Tools, Hosting Hacks und den ein oder anderen Gag. Unsere schnellen Takes für dich per E-Mail.

Wie dürfen wir dich ansprechen?

Das solltest du beachten, wenn du einen Penetrationstest und ASV-Scans beauftragst

Das 
Macht deine Arbeit leichter Hosting

mittwald
Hosting neu gedacht

Jetzt  loslegen!

Es gibt zahlreiche Anbieter für Pentests. Jeder legt den Fokus auf andere Stellen im System. Um den richtigen zu finden, solltest du also vorab genau definieren, was geprüft werden soll. Nur so findest du den für dich passenden Test. Einige Anbieter bitten dich um sogenannte Whitelistings für IP-Adressen, die den Test durchführen. Das kann unter Umständen bestehende Sicherungsmechanismen deaktivieren. Wir raten daher davon ab. Ein Test sollte immer auf das Gesamtsystem durchgeführt werden. Nur so erlangst du ein klares Bild.

So schützt du deine Seite gegen Angreifer

In manchen fällen reicht es aus, dein Projekt manuell zu überprüfen und Maßnahmen zu ergreifen. Die folgende Liste hilft dir dabei.

Checkliste
 

  • Ist dein SSL Zertifikat aktuell? Benötigst du evtl. ein besonderes SSL Zertifikat?
  • Werden deine Daten sicher gehostet? Achte auf Online Gütesiegel für Web Security und Rechtssicherheit
    Mach den Security Headers Check, z.B. über securityheaders oder wao.
  • Schütze dich vor DDoS Angriffen durch ein Content Delivery Network
  • Verwende eine Web Application Firewall (WAF)
  • Halte deine Software aktuell: CMS, Shop, Plugins, Extensions, …

Sicherheit für deine Daten

Der Pentest sowie alle anschließenden Maßnahmen dienen der Sicherheit deiner Projekte. Ein weiterer wichtiger Security-Baustein für deine Projekte ist das Hosting. Hier spielen viele Facetten eine Rolle - vom Monitoring über die Anomalieerkennung bis hin zur Gebäudesicherheit. All das bekommst du bei mittwald ab dem kleinsten Tarif. Zudem liegen deine Daten in einem Rechenzentrum in Deutschland, das mit der ISO 27001 zertifiziert ist.

Mehr erfahren

Sebastian Menacher

Als Redakteur hält Sebastian die Fäden des Blogs zusammen, ist stets auf der Suche nach spannenden Themen und schreibt und schreibt und schreibt. Früher rutschte er gerne mit dem Skateboard Treppengeländer runter, heute fährt er lieber mit dem Rennrad Berge hoch.

Ähnliche Artikel:

Reidar Janssen und Katharina Hoffmann, beide aus unserem Security Team, halten das ISO 27001 Zertifikat in den Händen.
© Mittwald

Safety first: mittwald ist mit der ISO 27001 zertifiziert

Kristina Dahl15.02.2024

Bei uns sind deine Daten sicher. Deshalb hat uns der TÜV Rheinland gemäß der international anerkannten Norm ISO 27001 zertifiziert. Alles Infos dazu hier.

©Mediocre Studio on Unsplash

Kontaktformular als Spam-Schleuder? Nicht mit uns!

Mira Kottmann29.03.2022

Eure Kontaktformulare sollen nicht zweckentfremdet und von Spammern gekapert werden. Darum überprüfen wir die Formulare regelmäßig.

Architektur des SSH-Tunnels
© Mittwald

SSH-Tunnel zu einer Datenbank erstellen

Andrej Neufeldt17.03.2022

Wie baue ich eine verschlüsselte Verbindung zur Mittwald Datenbank auf? Welche Vorteile ein SSH-Tunnel bietet, erklärt Mittwald Support-Profi Andrej.

Minimalistische Darstellung Laptop + SSL-Zertifikat
© Tobias Schmidt

SSL-Zertifikat: Was ist das und wann brauche ich es?

Tobias Schmidt03.03.2022

Was ist ein SSL-Zertifikat? Welche Zertifikate gibt es? Wie unterscheiden sie sich? Wir bringen Licht ins Dunkel.

Kommentare

Ubuntu am

Hallo, vielen Dank für den informativen Beitrag über Hacker Schutz! Sicherheit ist wichtig heute! Viele Grüsse

vServer – Der Agenturliebling

Top Performance für viele Projekte

Jetzt buchen

Developer-Portal

Fragen oder Probleme?

Check unsere Statusseite


Schicke uns eine Mail
supportmittwald.de

oder ruf uns einfach an
+49 5772 293 600 (mStudio)
+49 5772 293 100 (Kundencenter)
+49 5772 293 150 (Tarifberatung)

oder starte unseren
Live-Chat

* Angebote richten sich ausschließlich an Gewerbetreibende. Alle Preise zzgl. gesetzlicher Umsatzsteuer. (Bitte beachten Sie, dass im EU-Ausland für elektronische Dienstleistungen andere Steuersätze gelten können.)