Zurück zum Blog
9. März 2026

Black Box, Grey Box oder White Box Penetration Testing – Was ist der Unterschied?

Viktor Bulanek
Founder & CTO, Penetrify
MSc IT Security · 20+ years in security · 4x Ex-CTO

Dieser Leitfaden bietet Ihnen alles, was Sie zum Verständnis, zur Abgrenzung und zur Durchführung dieser Art von Tests benötigen – mit praktischen Anleitungen, die Sie sofort umsetzen können.

Black Box: Die Sichtweise des Außenstehenden

Beim Black Box Testing beginnt der Tester mit keinerlei Informationen – keine Anmeldedaten, keine Dokumentation, keine Kenntnisse der Architektur. Er simuliert einen echten externen Angreifer, beginnend mit der Aufklärung und arbeitet sich bis zur Ausnutzung vor. Dies bietet die realistischste Simulation eines externen Angriffs, aber die Entdeckungsphase verbraucht viel Testzeit, was weniger Zeit für eine tiefgreifende Ausnutzung bedeutet. Am besten geeignet, um Ihre externe Gefährdung aus der Perspektive eines Angreifers zu bewerten.

Grey Box: Der ausgewogene Ansatz

Grey Box Testing versorgt den Tester mit begrenzten Informationen – in der Regel ein Standard-Benutzerkonto, grundlegende API-Dokumentation und ein allgemeiner Architekturüberblick. Dies simuliert einen besser informierten Angreifer oder einen kompromittierten Insider mit eingeschränktem Zugriff. Der Tester überspringt einen Großteil der Entdeckungsphase und konzentriert die Testzeit auf die Ausnutzung und Tiefe. Dies ist der gebräuchlichste Ansatz für Compliance-orientierte Pentests, da er die Tiefe der Ergebnisse innerhalb eines angemessenen Zeitrahmens maximiert. Am besten geeignet für: die meisten SaaS-, Cloud- und Compliance-Tests.

White Box: Maximale Tiefe

White Box Testing gibt dem Tester vollen Zugriff – Quellcode, Architektur-Dokumentation, Admin-Zugangsdaten, Datenbankschemata. Dies ermöglicht die tiefstmögliche Analyse, einschließlich Secure Code Review und Identifizierung von Schwachstellen auf Architekturebene. Der Kompromiss ist ein geringerer Realismus – ein echter Angreifer würde nicht mit diesem Grad an Zugriff beginnen. Am besten geeignet für: Sicherheitsüberprüfungen vor der Veröffentlichung, Secure Code Audits und Anwendungen mit hohen Sicherheitsanforderungen.

Die Wahl des richtigen Ansatzes

Für die meisten Unternehmen bietet Grey Box Testing den besten ROI. Es liefert genügend Informationen für den Tester, um effizient zu arbeiten und gleichzeitig eine realistische gegnerische Perspektive beizubehalten. Black Box erhöht den Realismus auf Kosten der Tiefe. White Box maximiert die Tiefe auf Kosten des Realismus. Ihr Compliance-Framework schreibt in der Regel keinen bestimmten Ansatz vor – wichtig ist, dass der Umfang, die Methodik und die Ergebnisse die Erwartungen des Auditors erfüllen.

Das Fazit

Der richtige Ansatz hängt von Ihren Zielen, Ihrem Zeitplan und Ihren Compliance-Anforderungen ab. Penetrify empfiehlt Grey Box Testing für die meisten Compliance-orientierten Engagements – es bietet das stärkste Gleichgewicht zwischen Tiefe, Effizienz und realer Relevanz. Unabhängig vom Ansatz gewährleistet die Kombination aus automatisiertem Scanning und manuellem Expertentesting eine umfassende Abdeckung.

Häufig gestellte Fragen

Welchen Ansatz verwenden die meisten Unternehmen? Grey Box Testing ist der gebräuchlichste Ansatz für Compliance-orientierte Pentests. Es bietet das beste Gleichgewicht zwischen Testtiefe, Effizienz und realistischer gegnerischer Simulation. Erfordert mein Compliance-Framework einen bestimmten Ansatz? Die meisten Frameworks (SOC 2, PCI DSS, ISO 27001, HIPAA) schreiben keinen bestimmten Testansatz vor. Wichtig ist, dass der Umfang die relevanten Systeme abdeckt und die Ergebnisse die Erwartungen des Auditors hinsichtlich Tiefe und Gründlichkeit erfüllen. Ist Black Box Testing realistischer? Ja, aber Realismus hat seinen Preis. Die Entdeckungsphase beim Black Box Testing verbraucht Zeit, die für eine tiefere Ausnutzung aufgewendet werden könnte. Für die meisten Unternehmen überwiegt der Effizienzgewinn durch die Bereitstellung begrenzter Informationen (Grey Box) den marginalen Realismusvorteil von Black Box.

Frequently Asked Questions

Welche Arten von Sicherheitslücken erkennt Penetrify?

Penetrify erkennt alle OWASP-Top-10-Schwachstellenkategorien, darunter SQL-Injection, XSS, CSRF, IDOR, fehlerhafte Authentifizierung, Sicherheitsfehlkonfigurationen und die Offenlegung sensibler Daten. Es testet auch die API-Sicherheit, das Session-Management und häufige Fehlkonfigurationen in Supabase, Firebase und Bubble.

Wie lange dauert ein KI-Penetrationstest?

Ein Quick-Scan ist in 15–30 Minuten abgeschlossen. Ein Standard-Scan läuft 1–2 Stunden mit breiterer Abdeckung. Ein Deep-Scan kann für komplexe Anwendungen mehrere Stunden dauern.

Was enthält ein Penetrify-Bericht?

Jeder Bericht enthält eine Executive Summary, einen Gesamtsicherheitsscore, nach Schweregrad klassifizierte Befunde (Kritisch, Hoch, Mittel, Niedrig), schrittweise Reproduktionsschritte und konkrete Abhilfemaßnahmen – geschrieben für Entwickler, nicht für Compliance-Beauftragte.

Related articles

Red Team vs. Penetration Testing: Wo liegt der Unterschied?
Penetrationstests identifizieren Schwachstellen. Red Teams prüfen Ihre Verteidigungsmaßnahmen. Hier erfahren Sie, wann welcher Ansatz den größten Mehrwert bietet.
Warum Ihr aktueller Schwachstellenscanner für SOC 2 nicht ausreicht
Ein Häkchen zu setzen, ist keine Sicherheit. Erfahren Sie, warum Ihr Schwachstellenscanner für die SOC 2-Compliance nicht ausreicht und wie Sie Ihre Daten tatsächlich schützen können. Jetzt mehr erfahren.
Automatisierte Pentesting-Plattformen: Ein Einkaufsführer für 2026
Automatisierte Penetration Testing-Plattformen versprechen Geschwindigkeit, Skalierbarkeit und kontinuierliche Abdeckung. Aber Automatisierung ist nicht gleich Automatisierung. Erfahren Sie hier, wie Sie beurteilen können, was wirklich funktioniert – und wo weiterhin menschliche Expertise erforderlich ist.

Explore more