Connect with us

Der Zustand des Pentestings im Jahr 2025: Warum AI-gesteuerte Sicherheitsvalidierung jetzt ein strategisches Gebot ist

Cybersicherheit

Der Zustand des Pentestings im Jahr 2025: Warum AI-gesteuerte Sicherheitsvalidierung jetzt ein strategisches Gebot ist

mm
Published
Updated

Der Bericht zum Zustand des Pentestings 2025 von Pentera zeichnet ein eindringliches Bild einer Cybersicherheitslandschaft, die belagert ist und sich schnell verändert. Dies ist nicht nur eine Geschichte über die Verteidigung digitaler Grenzen, sondern ein Blueprint dafür, wie Unternehmen ihren Ansatz zur Sicherheit verändern, getrieben von Automatisierung, AI-basierten Tools und dem unerbittlichen Druck realer Bedrohungen.

Verletzungen bestehen trotz größerer Sicherheitsstapel

Trotz der Bereitstellung zunehmend komplexer Sicherheitsstapel berichteten 67% der US-Unternehmen, dass sie in den letzten 24 Monaten eine Verletzung erlebt haben. Diese waren nicht nur geringfügige Vorfälle – 76% berichteten über einen direkten Einfluss auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten, und 36% erlebten ungeplante Ausfallzeiten, während 28% finanzielle Verluste erlitten.

Die Korrelation ist klar: Wenn die Komplexität des Stapels steigt, steigen auch die Warnungen – und die Verletzungen. Unternehmen, die mehr als 100 Sicherheits-Tools verwenden, erlebten im Durchschnitt 3.074 wöchentliche Warnungen, während diejenigen, die zwischen 76-100 Tools verwendeten, 2.048 Warnungen pro Woche erlebten

Dieser Schwall an Daten überwältigt jedoch oft die Sicherheitsteams, verzögert die Reaktionszeiten und lässt echte Bedrohungen durch die Lücken fallen.

Cyber-Versicherungen prägen die Technologie-Adoption

Cyber-Versicherer sind zu unerwarteten Treibern der Cybersicherheits-Innovation geworden. Ein auffallender Prozentsatz von 59% der US-Unternehmen implementierte neue Sicherheits-Tools speziell auf Anfrage ihres Versicherers, und 93% der CISOs berichteten, dass Versicherer ihre Sicherheits-Postionen beeinflussten. In vielen Fällen gingen diese Empfehlungen über die Einhaltung von Vorschriften hinaus – sie prägten die Technologie-Strategie.

Der Aufstieg des software-basierten Pentestings

Manuelles Pentesting ist nicht mehr die Norm. Mehr als 55% der Organisationen verlassen sich jetzt auf software-basiertes Pentesting innerhalb ihrer internen Programme, während weitere 49% Drittanbieter-Provider verwenden. Im Gegensatz dazu verlassen sich nur 17% noch ausschließlich auf internes manuelles Testen.

Dieser Übergang zu automatisiertem adversarialen Testen spiegelt einen umfassenderen Trend wider: die Notwendigkeit von skalierbarer, wiederholbarer und Echtzeit-Validierung in einer Ära ständig evolvierender Bedrohungen. Diese automatisierten Plattformen simulieren Angriffe, die von Datei-losem Schadcode bis hin zu Privilegien-Eskalation reichen, und ermöglichen es Unternehmen, ihre Widerstandsfähigkeit kontinuierlich und ohne Unterbrechung zu bewerten.

Sicherheits-Budgets wachsen – schnell

Sicherheit wird nicht billiger, aber Organisationen priorisieren sie dennoch. Das durchschnittliche jährliche Pentesting-Budget beträgt 187.000 US-Dollar und macht 10,5% des gesamten IT-Sicherheits-Aufwands aus. Größere Unternehmen (10.000+ Mitarbeiter) geben sogar mehr aus – im Durchschnitt 216.000 US-Dollar pro Jahr.

Im Jahr 2025 planen 50% der Unternehmen, ihre Pentesting-Budgets zu erhöhen, und 47,5% erwarten, ihren gesamten Sicherheits-Aufwand zu erhöhen. Nur 10% erwarten eine Verringerung der Investitionen. Diese Zahlen unterstreichen den Aufstieg der Sicherheit von einer operativen Notwendigkeit zu einer Vorstands-Priorität.

Sicherheitstests hinken noch immer hinterher

Hier ist eine erstaunliche Diskrepanz: 96% der Unternehmen berichten über Infrastruktur-Änderungen mindestens quartalsweise, aber nur 30% führen Pentests mit der gleichen Frequenz durch. Das Ergebnis? Neue Schwachstellen fallen durch ungetestete Änderungen, und die Angriffsfläche vergrößert sich mit jedem Software-Push oder Konfigurations-Update.

Nur 13% der großen Unternehmen mit über 10.000 Mitarbeitern führen quartalsweise Pentests durch. Währenddessen testen fast die Hälfte noch immer nur einmal pro Jahr – eine gefährliche Verzögerung in der heutigen dynamischen Bedrohungs-Umgebung.

Risiko-Abstimmung ist schärfer denn je

Ermutigend ist, dass Sicherheits-Führer Tests dort priorisieren, wo tatsächlich Verletzungen auftreten. Fast 57% priorisieren web-orientierte Vermögenswerte, gefolgt von internen Servern, APIs, Cloud-Infrastrukturen und IoT-Geräten. Diese Abstimmung spiegelt ein wachsendes Bewusstsein wider, dass Angreifer nicht diskriminieren – sie nutzen jede verfügbare Schwachstelle über die gesamte Angriffsfläche hinweg.

APIs sind insbesondere ein wichtiges Ziel, sowohl für Angreifer als auch für Verteidiger. Diese Schnittstellen sind für Geschäfts-Operationen immer wichtiger, aber oft fehlt es an Sichtbarkeit und Standard-Überwachung, was sie anfällig für Ausbeutung macht.

Operationalisierung von Pentest-Ergebnissen

Pentest-Berichte werden nicht mehr auf die Seite gelegt. Stattdessen übertragen 62% der Unternehmen die Ergebnisse sofort an das IT-Team zur Priorisierung der Behebung, während 47% die Ergebnisse mit der Geschäftsleitung teilen und 21% direkt an ihre Vorstände oder Aufsichtsbehörden berichten.

Diese Verschiebung hin zu einer Handlung spiegelt eine tiefere Integration von Pentesting in das strategische Risiko-Management wider – nicht nur die Einhaltung von Vorschriften. Sicherheits-Validierung wird Teil des Geschäfts-Gesprächs.

Was behindert einen noch schnelleren Fortschritt?

Während die Trendlinien positiv sind, bleiben wichtige Hemmnisse bestehen. Die beiden größten Barrieren für häufigeres Pentesting sind Budget-Beschränkungen (44%) und ein Mangel an verfügbaren Pentestern (48%) – letzteres spiegelt einen globalen Mangel von 4 Millionen Cyber-Sicherheits-Profis wider, laut Weltwirtschaftsforum.

Operatives Risiko, wie die Angst vor Ausfällen während des Testens, bleibt ein Anliegen für 30% der CISOs.

Von Compliance-Verpflichtung zu strategischer Waffe

Pentesting hat sich weit über seine Ursprünge als regulatorische Anforderung hinaus entwickelt. Heute unterstützt es strategische Initiativen, einschließlich Due-Diligence-Prüfungen und Entscheidungen auf Vorstands-Ebene. Fast ein Drittel der Befragten nennen jetzt “Vorstands-Mandat” und “Vorbereitung auf M&A” als wichtige Gründe für die Durchführung von Pentests.

Dies markiert eine grundlegende Transformation: von einer reaktiven Überprüfung zu einer proaktiven und kontinuierlichen Messung der Cyber-Resilienz.

Schlussgedanken

Der Bericht zum Zustand des Pentestings 2025 ist mehr als nur ein Status-Update – es ist ein Weckruf. Da die Angriffsflächen wachsen und die Bedrohungs-Akteure immer sophistizierter werden, können Organisationen sich keine langsame, manuelle oder isolierte Ansätze zur Sicherheitstestung mehr leisten. AI-gesteuertes, software-basiertes Pentesting tritt ein, um diese Lücke mit Geschwindigkeit, Skalierbarkeit und Einblick zu schließen.

Die Organisationen, die in dieser neuen Ära gedeihen, werden diejenigen sein, die Sicherheits-Validierung nicht nur als technische Notwendigkeit, sondern als strategisches Gebot betrachten.

Für weitere Einblicke laden Sie den vollständigen Bericht zum Zustand des Pentestings 2025 von Pentera herunter.

mm

Antoine ist ein visionärer Führer und Gründungspartner von Unite.AI, getrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Ein Serienunternehmer, glaubt er, dass KI so disruptiv für die Gesellschaft sein wird wie Elektrizität, und wird oft dabei ertappt, wie er über das Potenzial disruptiver Technologien und AGI schwärmt.

Als futurist ist er darauf fokussiert, zu erforschen, wie diese Innovationen unsere Welt formen werden. Zusätzlich ist er der Gründer von Securities.io, einer Plattform, die sich auf Investitionen in hochmoderne Technologien konzentriert, die die Zukunft neu definieren und ganze Branchen umgestalten.