Zum Inhalt springen

Penetrationstests und ASV-Scans richtig auswerten

|  (aktualisiert am 01.10.2025)
Penetrationstest prüfen Webseiten auf Sicherheitsrisiken. Die Ergebnisse sind nicht immer eindeutig.
©AdobeStock_434245084

Geht es um Sicherheit, wird es schnell emotional. Denn hundertprozentige Sicherheit gibt es nicht. Gleichzeitig geht es oftmals um Kunden-, Geschäfts- oder Kreditkartendaten. In dieser Gemengelage helfen Penetrationstests und ASV-Scans. Sie prüfen die Verwundbarkeit deiner Webprojekte und zeigen potentielle Schwachstellen auf. Doch die Auswertung der Testergebnisse ist in vielen Fällen nicht ganz einfach. Worauf du achten solltest und wie du die richtigen Schlüsse aus dem Reporting ziehst, erfährst du hier.  

  1. Penetrationstest, was ist das?
  2. Wichtig: Pentests sind kein Muss
  3. Was ist ein ASV-Scan? 
  4. Was ist der PCI DSS Standard?
  5. Wie unterscheiden sich Pentests und ASV-Scans? 
  6. Was muss ich bei der Auswertung eines Penetrationstests beachten?
  7. Netzwerk-Ports, die häufig in Testberichten moniert werden:
    1. Port 21 (FTP)
    2. Port 22 (SSH und SFTP)
    3. Port 80 (HTTP)
    4. Port 443 (HTTPS)
    5. Port 3306 (MySQL)
  8. Das solltest du beachten, wenn du einen Penetrationstest und ASV-Scans beauftragst
  9. Sicherheit für deine Daten

Penetrationstest, was ist das?

Bei einem Penetrationstest, kurz Pentest, versucht man, Sicherheitslücken eines Webprojektes offen zu legen. Dazu werden alle Bestandteile des Projektes, etwa der Webserver, die Server-Software oder auch die Webseite, künstlich verschiedenen Angriffsszenarien ausgesetzt. Das geschieht mit dem Ziel, Schwachpunkte frühzeitig zu erkennen und Sicherheitslücken zu schließen. 

Grundsätzlich gilt: Die unautorisierte Durchführung eines Penetrationstests erfüllt unter Umständen die Straftatbestände des unbefugten Ausspähens und Abfangens von Daten (nach §§202a und 202b StGB) und ist somit grundsätzlich – also, sofern nicht ausdrücklich erlaubt – strafbar

Dieser Umstand lässt sich durch eine vertragliche Vereinbarung (Permission to Attack, kurz PTA) zwischen der zu testenden und der den Test durchführenden Organisation umgehen. 

vServer – Der Agenturliebling

Top Performance für viele Projekte

Jetzt buchen

Wichtig: Pentests sind kein Muss

In letzter Zeit haben sich immer wieder Kunden bei uns gemeldet, weil sie E-Mails erhielten, die eine vermeintliche Pentest-Pflicht angaben. Hierbei handelt es sich um Spam. Niemand ist verpflichtet, solch einen Penetrationstest durchzuführen. Eine Ausnahme stellen die ASV-Scans dar, die unter bestimmten Umständen von Zahlungsdienstleistern eingefordert werden, wenn du in einem Online-Shop Kreditkartendaten verarbeitest (bzw. entsprechende Integrationen der Zahlungsdienstleister dafür nutzt). In diesen Fällen wird diese Aufforderung direkt von deinem Zahlungsdienstleister kommen, auf keinen Fall von Dritten! Solltest du dir dennoch unsicher sein, melde dich bei unserem Kundenservice.

Was ist ein ASV-Scan? 

Ein ASV Scan ist ein externer Schwachstellenscan, der von einem PCI SSC zugelassenen Unternehmen durchgeführt wird. Ein solcher Scan ist bei der Verarbeitung von Kreditkartendaten ein wichtiger Bestandteil der PCI DSS-Konformität und wird von Zahlungsdienstleistern gefordert. mittwald ist nicht PCI DSS-konform da sich dieser Standard an Unternehmen richtet, die Kreditkartendaten verarbeiten oder speichern. mittwald verarbeitet oder speichert keine Zahlungsdaten, sondern stellt ausschließlich die technische Plattform bereit, auf der du deine Anwendungen betreibst. 

Was ist der PCI DSS Standard?

Der PCI DSS Standard regelt weltweit Verarbeitungsprozesse von Kreditkarteninhaber- und Authentifizierungsdaten. Er soll helfen, sicherheitsrelevante Ereignisse zu vermeiden oder sie zu erkennen. Der Standard gilt für alle Händler, die Kredit-, Debit- oder Prepaidkarten akzeptieren. 

Wie unterscheiden sich Pentests und ASV-Scans? 

Sowohl ein Pentest als auch ein ASV-Scan ist eine Sicherheitsprüfung deines Webprojektes. Sie unterscheiden sich in Umfang und Durchführung. Der Pentest ist eine umfassende, manuelle Sicherheitsüberprüfung, die darauf abzielt, Schwachstellen zu identifizieren und zu exploitieren. Ein ASV-Scan ist ein automatisierter Schwachstellenscan, der eine Liste bekannter Schwachstellen identifiziert, um die Einhaltung von PCI DSS zu gewährleisten. 

Was muss ich bei der Auswertung eines Penetrationstests beachten?

Das Reporting beider Tests ist oftmals sehr ausführlich. Häufig werden vom Anbieter extrem viele Daten ausgeliefert, die konzentriert und priorisiert abgearbeitet werden müssen. Meist stellt sich heraus, dass den vielen Angaben weitaus weniger Maßnahmen folgen müssen. Starte am besten mit den Problemen, die als “High” klassifiziert wurden. Als “Medium” oder “Low” eingestufte Issues sind selten dringlich und können im nächsten Entwicklungszyklus betrachtet werden, wenn du sowieso am Code arbeitest. Auch gibt es gelegentlich False Positives in den Reports, welche du anfechten kannst.

Typische Probleme, die ein Pentest und ein ASV-Scan offenlegen:

  • Fehlende Transportverschlüsselung (SSL, bzw. TLS): Der Klassiker unter den Sicherheitsanforderungen. Das SSL-Zertifikat lässt sich ohne großen Aufwand implementieren. Hostest du deine Projekte bei mittwald, stehen dir sowohl kostenlose als auch kostenpflichtige Zertifikate für unterschiedliche Anwendungsbereiche zur Verfügung. Im mStudio bekommt jede Domain sogar automatisch ein SSL-Zertifikat ausgestellt.
  • Weak cipher: Schwache TLS-Chiffren sind ein Sicherheitsrisiko. Deshalb wird bei mittwald standardmäßig TLS nur noch ab Version 1.2 aufwärts angewendet. Die standardmäßig aktiven TLS-Chiffren werden von uns zudem regelmäßig an den aktuellen Stand der Technik angepasst. Infos, wie du deine Verschlüsselungsprotokolle anpasst, findest du in unserem FAQ-Artikel.
  • Offene Ports: Bestimmte Netzwerkports werden häufig als Sicherheitsrisiko ausgezeichnet. Während manche Ports wie 80 und 443 für den Betrieb einer Webseite oder eines Onlineshops zwingend erforderlich sind, kommt es bei anderen Ports auf den jeweiligen Anwendungsfall (und die ergriffenen Sicherheitsmaßnahmen) an. Eine Auflistung oft monierter Ports findest du unten.
  • Fehlende Security-Header: Dieses Finding bezieht sich in der Regel auf übliche HTTP-Security-Header, wie z. B. für die HTTP Strict Transport Security oder Content Security Policies. Diese Header müssen i.d.R. anwendungsspezifisch konfiguriert werden. Sie können beispielsweise direkt in PHP über die Header-Funktion gesetzt werden oder über Konfigurationsmöglichkeiten, die die jeweilige Anwendungssoftware anbietet (TYPO3 hat z. B. seit Version 12 native Unterstützung für Content Security Policies und kann über die additionalHeaders-Einstellung beliebige zusätzliche HTTP-Header ausliefern. Shopware liefert ebenfalls bereits ab Werk sinnvoll vorkonfigurierte Content Security Policies aus).
  • Veraltete Software: Nur wer seinen Softwarestack auf dem aktuellen Stand hält, schützt ihn. Für bestimmte Softwarekomponenten (z. B. den Datenbank-, Web- und SSH-Server sowie andere Infrastruktur-Komponenten) übernimmt mittwald als Hoster diese Updates automatisch. Andere sollte man als Website- oder Shopbetreiber selbst auf dem Schirm haben (und wenn es nur über die Auto-Update-Funktion im Kundencenter bzw. eine eigene Automatisierung für das mStudio ist). Wichtig: Dieser Grundsatz umfasst nicht nur die Anwendungssoftware selbst, sondern auch Plugins und Extensions, die innerhalb deines CMS oder Onlineshops installiert werden. Auch diese müssen regelmäßig auf aktuellem Stand gehalten werden.
  • “Subject Common Name Does Not Match Server FQDN”: Das ist ein Fehler, der häufig darauf zurückzuführen ist, dass der Pentest mit einem falschen HTTP-Hostnamen ausgeführt wurde. Da auf jedem mittwald Server mehrere TLS-Zertifikate hinterlegt sind (selbst dedizierte Server liefern zusätzlich zu der Website- oder Shop-Domain immer noch mind. ein Standard-Zertifikat aus), muss der Tester darauf achten, den Test nicht einfach nur gegen die Server-IP auszuführen, sondern per TLS Server Name Indication (SNI) auch den korrekten Hostnamen (also die tatsächliche Domain des zu testenden Projekts) angeben.
  • Possible Scan Interference”: Hierbei wird in einem Testergebnis moniert, dass ein Intrusion Prevention System (IPS) die Ausführung des Penetrationstests behindert hat. In der Regel ist genau das gewollt – denn dafür sind IPS-Systeme da. Manche Test-Agenturen bestehen jedoch darauf, IPS-Systeme für einen Pentest zu deaktivieren. Bitte melde dich in solchen Fällen beim mittwald Kundenservice, um eine gemeinsame Lösung zu finden.

Jetzt aber mal reinfolgen!

Abonniere Tipps für CMS und Dev-Tools, Hosting Hacks und den ein oder anderen Gag. Unsere schnellen Takes für dich per E-Mail.

Wie dürfen wir dich ansprechen?

Netzwerk-Ports, die häufig in Testberichten moniert werden:

Port 21 (FTP)

FTP dient zur Dateiübertragung auf den Server und wird allgemein als unsicher erachtet, da die Übertragung unverschlüsselt erfolgt.

Aus Gründen der Abwärtskompatibilität ist FTP auf vielen mittwald Servern noch aktiv, kann aber auf vServer- und Managed-Server-Tarifen in Rücksprache mit unserem Kundenservice deaktiviert werden.

In den mStudio-basierten Hosting-Produkten ist kein unverschlüsseltes FTP mehr verfügbar. 

Port 22 (SSH und SFTP)

Ein SSH-Zugriff ist für den Fernzugriff auf einen Server (z. B. für Administrations- und Wartungszwecke, aber auch für das Deployment deiner Software) zwingend erforderlich. 

Ein offener SSH-Port wird in Testberichten zuweilen moniert, lässt sich meist aber gegenüber dem Tester begründen. In solchen Fällen solltest du angeben, dass der SSH-Zugriff für Fernwartungszwecke zwingend benötigt wird. Idealerweise kannst du Angaben zu deinen (eigenen) Sicherheitsrichtlinien machen, was den Umgang mit SSH-Passwörtern angeht. Verwende am besten ausschließlich SSH-Schlüssel. 

Hier kannst du zudem damit argumentieren, dass die Plattform einen benutzerspezifischen SSH-Zugriff mit individuellen SSH-Schlüsseln ermöglicht, der dir eine feingranulare und benutzerspezifische Zugriffskontrolle erlaubt (du kannst einzelnen Benutzern den Zugriff erlauben oder entziehen). 

Port 80 (HTTP)

Dieser Port dient für (unverschlüsseltes) HTTP. Vor allem in E-Commerce-Projekten sollte er nur noch dazu dienen, eine Weiterleitung auf die HTTPS-Version der Seite (Port 443) auszuliefern. Ist dies nicht der Fall (bzw. findet diese Weiterleitung nicht statt), wird das gerne in Testberichten moniert. Ist beispielsweise sogar ein Login-Formular über unverschlüsseltes HTTP abrufbar, kann es schnell zu einem größeren Problem werden, das das Bestehen eines Pentests verhindert. 

Wie du eine Weiterleitung von HTTP zu HTTPS konfigurierst, erfährst du in diesem Artikel. 

Hier erzwingen wir den Redirect direkt auf den Port 443. 

Port 443 (HTTPS)

Dient dem verschlüsselten Zugriff auf deine Webseite bzw. deinen Onlineshop. Dieser Netzwerkport dürfte in keinem Testbericht angekreidet werden. 

Port 3306 (MySQL)

Dieser Port dient dem direkten Zugriff auf die MySQL-Datenbank eines Projekts. Dies wird häufig als Sicherheitsrisiko betrachtet, kann aber im Einzelfall ggf. gerechtfertigt werden – vor allem, wenn bestimmte Sicherheitsmaßnahmen ergriffen werden.

Ein Zugriff auf die Datenbank ist mit einem entsprechenden Benutzer und dem dazugehörigen Passwort möglich. Bei mittwald wird der Port zwar als offen angezeigt, ist jedoch nur mit einem zusätzlichen Datenbanknutzer,der explizit berechtigt werden muss, nutzbar. Jeder Versuch, die Datenbank auf andere Weise zu öffnen, läuft ins Leere. Vorbehaltlich, dass ein speziell berechtigter Datenbankbenutzer erstellt wurde, sind Zugriffe auf den MySQL-Server nur im internen Netz möglich. Solltest du solch einen Benutzer benötigten (z. B. für den Datenabgleich mit einem externen Warenwirtschaftssystem), kannst du den Test dennoch bestehen, wenn du eine Richtlinie für die Vergabe sicherer Passwörter oder den MySQL-Zugriff auf einen bestimmten IP-Bereich eingeschränkt hast. 

Sollte diese Argumentation nicht ziehen, kannst du den Port 3306 auf vServer- und Managed-Server-Tarifen über unseren Kundenservice auf Zuruf komplett deaktivieren lassen.  

In mStudio-Produkten ist unter der Webserver-IP kein MySQL-Server öffentlich erreichbar. Hier ist ein externer MySQL-Zugriff über ein separates MySQL-Gateway möglich, das jedoch separat und auf anderen IP-Adressen als dein Webserver betrieben wird. Auch hier gilt: Der Zugriff ist nur für speziell berechtigte Datenbankbenutzer möglich. 

Das solltest du beachten, wenn du einen Penetrationstest und ASV-Scans beauftragst

Das 
Macht deine Arbeit leichter Hosting

mittwald
Hosting neu gedacht

Jetzt  loslegen!

Es gibt zahlreiche Anbieter für Pentests. Jeder legt den Fokus auf andere Stellen im System. Um den richtigen zu finden, solltest du also vorab genau definieren, was geprüft werden soll. Nur so findest du den für dich passenden Test. Einige Anbieter bitten dich um sog. Whitelistings für IP-Adressen, die den Test durchführen. Das kann unter Umständen bestehende Sicherungsmechanismen deaktivieren. Wir raten daher davon ab. Ein Test sollte immer auf das Gesamtsystem durchgeführt werden.

Sicherheit für deine Daten

Der Pentest sowie alle anschließenden Maßnahmen dienen der Sicherheit deiner Projekte. Ein weiterer wichtiger Security-Baustein für deine Projekte ist das Hosting. Hier spielen viele Facetten eine Rolle – vom Monitoring über die Anomalieerkennung bis hin zur Gebäudesicherheit. All das bekommst du bei mittwald ab dem kleinsten Tarif. Zudem liegen deine Daten in einem Rechenzentrum in Deutschland, das mit der ISO 27001 zertifiziert ist.

Mehr erfahren

Sebastian Menacher

Als Redakteur hält Sebastian die Fäden des Blogs zusammen, ist stets auf der Suche nach spannenden Themen und schreibt und schreibt und schreibt. Früher rutschte er gerne mit dem Skateboard Treppengeländer runter, heute fährt er lieber mit dem Rennrad Berge hoch.

Ähnliche Artikel:

Reidar Janssen und Katharina Hoffmann, beide aus unserem Security Team, halten das ISO 27001 Zertifikat in den Händen.
© Mittwald

Safety first: mittwald ist mit der ISO 27001 zertifiziert

Kristina Dahl15.02.2024

Bei uns sind deine Daten sicher. Deshalb hat uns der TÜV Rheinland gemäß der international anerkannten Norm ISO 27001 zertifiziert. Alles Infos dazu hier.

©Mediocre Studio on Unsplash

Kontaktformular als Spam-Schleuder? Nicht mit uns!

Mira Kottmann29.03.2022

Eure Kontaktformulare sollen nicht zweckentfremdet und von Spammern gekapert werden. Darum überprüfen wir die Formulare regelmäßig.

Architektur des SSH-Tunnels
© Mittwald

SSH-Tunnel zu einer Datenbank erstellen

Andrej Neufeldt17.03.2022

Wie baue ich eine verschlüsselte Verbindung zur Mittwald Datenbank auf? Welche Vorteile ein SSH-Tunnel bietet, erklärt Mittwald Support-Profi Andrej.

Minimalistische Darstellung Laptop + SSL-Zertifikat
© Tobias Schmidt

SSL-Zertifikat: Was ist das und wann brauche ich es?

Tobias Schmidt03.03.2022

Was ist ein SSL-Zertifikat? Welche Zertifikate gibt es? Wie unterscheiden sie sich? Wir bringen Licht ins Dunkel.

Kommentare

Ubuntu am

Hallo, vielen Dank für den informativen Beitrag über Hacker Schutz! Sicherheit ist wichtig heute! Viele Grüsse

vServer – Der Agenturliebling

Top Performance für viele Projekte

Jetzt buchen

Developer-Portal

Fragen oder Probleme?

Check unsere Statusseite


Schicke uns eine Mail
supportmittwald.de

oder ruf uns einfach an
+49 5772 293 600 (mStudio)
+49 5772 293 100 (Kundencenter)
+49 5772 293 150 (Tarifberatung)

oder starte unseren
Live-Chat

* Angebote richten sich ausschließlich an Gewerbetreibende. Alle Preise zzgl. gesetzlicher Umsatzsteuer. (Bitte beachten Sie, dass im EU-Ausland für elektronische Dienstleistungen andere Steuersätze gelten können.)