Anna ist Security Engineer in einem mittelständischen SaaS-Unternehmen. Heute steht ihr erster großer Pentest an: das neue Kundenportal vor dem Go-live. Sie öffnet ihren Kali-Linux-Laptop, sortiert ihre Toolbox und stellt sich die Frage, die jeden Pentest startet: Welches Werkzeug für welche Phase?
Genau diese Frage beantwortet dieser Praxis-Guide. Wir zeigen die wichtigsten Pentesting-Tools 2026, sortiert nach Pentest-Phase (Reconnaissance, Scanning, Exploitation, Cloud, KI). Sie bekommen einen Überblick über Open-Source-Klassiker, kommerzielle Standards und neue KI-basierte Werkzeuge. Wie ein vollständiges Pentest-Projekt im Unternehmen abläuft, zeigen wir in unserem Artikel zu Penetrationstests im Unternehmensalltag.
Tool-Übersicht: Welche Werkzeuge in welcher Phase?
| Phase | Top-Tools | Lizenz | Best for |
|---|---|---|---|
| 1. Reconnaissance | Amass, Nmap, Shodan, SpiderFoot | Open Source / SaaS | Subdomain- und Port-Mapping |
| 2. Web-App-Tests | Burp Suite, OWASP ZAP, sqlmap, Nuclei, Dirsearch | Kommerziell / Open Source | HTTP-Manipulation, SQLi, Fuzzing |
| 3. Schwachstellen-Scanner | Nessus, OpenVAS | Kommerziell / Open Source | CVE- und Compliance-Scans |
| 4. Exploitation | Metasploit, Cobalt Strike, Sliver, Impacket | Open Source / Kommerziell | Foothold und Lateral Movement |
| 5. Password Cracking | Hashcat, Hydra, John the Ripper | Open Source | Hash-Cracking und Online-Brute |
| 6. Cloud-Pentesting | Pacu, ScoutSuite, Trivy | Open Source | AWS-, Azure- und GCP-Audits |
| 7. Network und Wireless | Wireshark, NetExec (CrackMapExec) | Open Source | Paket-Analyse und AD-Operations |
| 8. KI-Pentesting | PentestGPT, Burp AI | Open Source / Kommerziell | Recon, Triage und Reporting |
Inhaltsverzeichnis
- Tool-Übersicht: Werkzeuge nach Phase
- Was sind Pentesting Tools?
- Phase 1: Reconnaissance (Amass, Nmap, Shodan, SpiderFoot)
- Phase 2: Web-App-Tests (Burp Suite, OWASP ZAP, sqlmap, Nuclei, Dirsearch)
- Phase 3: Schwachstellen-Scanner (Nessus, OpenVAS)
- Phase 4: Exploitation und Post-Exploitation (Metasploit, Cobalt Strike, Sliver, Impacket)
- Phase 5: Password Cracking (Hashcat, Hydra, John the Ripper)
- Phase 6: Cloud-Pentesting (Pacu, ScoutSuite, Trivy)
- Phase 7: Network und Wireless (Wireshark, CrackMapExec)
- KI-Pentesting 2026 (PentestGPT, Burp AI)
- Fazit: Welche Tools brauchen Sie wirklich?
- FAQ: Häufige Fragen zu Pentesting Tools
Was sind Pentesting Tools?
Pentesting-Tools (Penetration-Testing-Werkzeuge) simulieren Angriffe auf IT-Systeme, um Schwachstellen zu finden, bevor echte Angreifer sie ausnutzen. Anna nutzt sie in fünf typischen Phasen eines Pentests: Aufklärung (Reconnaissance), Schwachstellen-Scan (Scanning), Ausnutzung (Exploitation), Rechte-Eskalation (Post-Exploitation) und Berichterstellung.
Im Vergleich zu klassischer Security-Software (Antivirus, Firewall) testen diese Tools die Verteidigung aktiv. Sie zeigen nicht, dass alles sicher ist, sondern wo es noch nicht sicher genug ist. Open-Source-Werkzeuge wie OWASP ZAP, Metasploit oder sqlmap sind das Rückgrat fast jedes Pentests. Kommerzielle Standards wie Burp Suite Professional oder Nessus ergänzen sie um Komfort und Berichtsfunktionen.
Phase 1: Reconnaissance: Aufklärung vor dem ersten Scan
Bevor Anna ein einziges Paket gegen das Zielsystem schickt, sammelt sie Informationen aus öffentlichen Quellen. Welche Subdomains existieren? Welche IP-Bereiche? Welche Mitarbeiter posten Tech-Stack-Hinweise auf LinkedIn? Reconnaissance-Tools automatisieren diese Sammlung.
Amass
Amass kartiert die externe Angriffsfläche eines Unternehmens. Das OWASP-Projekt sammelt Daten aus OSINT-Quellen (Certificate Transparency Logs, Suchmaschinen, DNS-Bruteforce) und liefert eine vollständige Subdomain-Übersicht. Open Source, dokumentationsstark, Standard für Recon.
Nmap
Nmap (Network Mapper) ist der De-facto-Standard für Port-Scans. Anna nutzt es, um offene Ports, laufende Dienste, Versionsstände und Betriebssysteme zu erkennen. Mit der NSE-Skript-Engine deckt Nmap auch erste Schwachstellen ab. Über 25 Jahre alt, ständig weiterentwickelt.
Shodan
Shodan ist eine Suchmaschine für Internet-of-Things-Geräte und exponierte Services. Anna findet damit fehlkonfigurierte Datenbanken, offene RDP-Ports oder vergessene Webcams, die zur Angriffsfläche eines Unternehmens gehören. SaaS, kostenpflichtig ab Recherche-Volumen.
SpiderFoot
SpiderFoot automatisiert die OSINT-Sammlung über 200+ Datenquellen. Eingabe ist eine Domain, eine IP oder ein Personenname. Output ist ein strukturierter Bericht mit verknüpften Informationen. Open Source, dazu eine kommerzielle HX-Variante mit Cloud-Auswertung.
Wie Recon und Fuzzing in der Praxis zusammenspielen, hören Sie in unserer Podcast-Folge zu Penetrationstests mit Fuzzing.
Phase 2: Web-App-Tests: Schwachstellen in Webanwendungen
Annas Kundenportal ist eine Web-Anwendung. Hier kommen die spezialisierten Werkzeuge für HTTP, REST und Authentifizierungs-Flows zum Einsatz.
Burp Suite
Burp Suite von PortSwigger ist der kommerzielle Standard für Web-App-Pentests. Als Proxy sitzt es zwischen Browser und Server, manipuliert Requests, scannt automatisch, fuzzt Parameter. Die Community Edition ist kostenlos, Professional ab etwa 449 USD pro Jahr und Lizenz.
OWASP ZAP
OWASP ZAP (Zed Attack Proxy) ist die Open-Source-Alternative zu Burp. Anna nutzt es für Penetrationstests, in denen das Budget knapp oder Open Source Pflicht ist. Praxis-Vergleich und Erfahrungsbericht finden Sie in unserem Artikel zu OWASP ZAP im Pentest.
sqlmap
sqlmap automatisiert das Erkennen und Ausnutzen von SQL-Injection-Lücken. Über die Kommandozeile testet das Tool URLs gegen Dutzende Datenbank-Engines (MySQL, PostgreSQL, MSSQL, Oracle, SQLite), extrahiert Schema und Daten. Open Source, in Kali Linux vorinstalliert.
Nuclei
Nuclei ist ein moderner Schwachstellen-Scanner auf YAML-Template-Basis. ProjectDiscovery pflegt eine Community-Datenbank mit Tausenden Templates für bekannte CVEs, Fehlkonfigurationen und Default-Credentials. Anna scannt damit ganze Subdomain-Listen in wenigen Minuten.
Dirsearch
Dirsearch findet versteckte Verzeichnisse und Dateien durch Brute-Force. Backup-Dateien, alte Admin-Panels, .git-Verzeichnisse, Konfigurationen mit Credentials. Was nicht in der Sitemap steht, wird trotzdem oft per HTTP ausgeliefert. Python-basiert, Open Source.
Phase 3: Schwachstellen-Scanner: Breitenmessung auf Infrastruktur
Nicht jedes Pentest-Ziel ist eine Web-App. Anna braucht regelmäßig auch klassische Netzwerk-Scanner für Server, Endgeräte und Netzwerk-Komponenten.
Nessus
Nessus von Tenable ist der kommerzielle Marktführer für Vulnerability Scanning. Über 100.000 Plugins decken bekannte CVEs, Compliance-Checks (PCI-DSS, HIPAA, CIS Benchmarks) und Default-Konfigurationen ab. Nessus Essentials ist für bis zu 16 IPs kostenlos. Nessus Professional kostet etwa 4.000 USD pro Jahr.
OpenVAS
OpenVAS (Open Vulnerability Assessment System) ist der Open-Source-Gegenpart zu Nessus. Greenbone pflegt die Engine, die Community-Feeds aktualisieren täglich. Anna nutzt OpenVAS in Projekten, in denen Lizenzkosten oder Datenschutz gegen kommerzielle Cloud-Scanner sprechen.
Phase 4: Exploitation und Post-Exploitation: vom Foothold zum Domain Admin
Schwachstelle gefunden, was nun? Hier zeigen Exploitation-Frameworks, ob die Lücke tatsächlich ausnutzbar ist. Anna arbeitet streng nach Auftragsumfang.
Metasploit
Metasploit Framework ist das bekannteste Exploitation-Werkzeug. Über 2.000 Exploits, hunderte Payloads, Module für jede Pentest-Phase. Die Community Edition ist Open Source, Metasploit Pro von Rapid7 ergänzt GUI, Reporting und Team-Funktionen.
Cobalt Strike
Cobalt Strike ist das kommerzielle Standard-Werkzeug für Red-Team-Operationen. Beacons, Malleable C2, Lateral Movement, Pivoting. Die Lizenz von Fortra (vormals HelpSystems) kostet rund 5.900 USD pro Nutzer und Jahr. Cracked-Versionen kursieren im Untergrund, der Hersteller geht juristisch dagegen vor.
Sliver
Sliver ist das Open-Source-Pendant zu Cobalt Strike. Bishop Fox entwickelt es aktiv weiter. Multi-Plattform, mTLS-verschlüsselt, Plugins über das Armory-System. Wer Red Teaming ohne kommerzielle Lizenz machen will, kommt 2026 an Sliver kaum vorbei.
Impacket
Impacket ist eine Python-Bibliothek voller Skripte für SMB, Kerberos, MSRPC und LDAP. Anna nutzt sie für Active-Directory-Angriffe: Pass-the-Hash, Kerberoasting, AS-REP-Roasting. Pflicht-Toolbox für interne Pentests in Windows-Umgebungen. Open Source, von Fortra (SecureAuth) gepflegt.
Phase 5: Password Cracking: wenn Hashes gefunden wurden
Sobald Anna an Passwort-Hashes kommt (NTDS.dit-Dump, /etc/shadow, Datenbank-Hashes), startet die Password-Cracking-Phase.
Hashcat
Hashcat ist das schnellste Open-Source-Tool zum Knacken von Passwort-Hashes. Über 300 Hash-Algorithmen, GPU-Beschleunigung (CUDA und OpenCL), Brute-Force, Wörterbuch- und Hybrid-Angriffe. Ein moderner Cluster knackt achtstellige Windows-Passwörter binnen Stunden.
Hydra
Hydra ist auf Online-Brute-Force spezialisiert. SSH, RDP, FTP, HTTP-Forms, Datenbanken: Anna testet damit Login-Endpunkte gegen Wörterbücher. Vorsicht mit Account-Lockouts: Hydra braucht angepasste Threading-Settings für Produktivsysteme.
John the Ripper
John the Ripper ist der Klassiker. Offline-Cracking, smarte Regeln und Modi, hervorragende Wörterbuch-Unterstützung. „John" ist in vielen Pentest-Workflows immer noch erste Wahl, wenn es um Unix-Hashes oder gemischte Hash-Formate geht.
Phase 6: Cloud-Pentesting: wenn die Infrastruktur in AWS, Azure oder GCP liegt
Annas Kundenportal läuft auf AWS. Klassische Pentest-Tools allein reichen nicht: sie greifen am Web ein, lassen aber die Cloud-Konfiguration (IAM, S3, Lambda) ungeprüft. Cloud-Pentesting-Tools schließen die Lücke. Mehr Hintergrund zu den großen Anbietern finden Sie in unseren Artikeln zu AWS Cloud Services und Microsoft Azure.
Pacu
Pacu ist das AWS-Pendant zu Metasploit. Über 80 Module für IAM-Enumeration, Privilege Escalation, S3-Bucket-Hunting, Lambda-Backdoors. Rhino Security Labs entwickelt es als Open Source. Pflicht in jedem AWS-Pentest.
ScoutSuite
ScoutSuite auditiert Cloud-Konfigurationen über mehrere Anbieter hinweg: AWS, Azure, GCP, Oracle, Alibaba. Die Read-Only-Variante erstellt HTML-Berichte mit allen Misskonfigurationen, sortiert nach Risiko. Open Source von NCC Group, ideal für Konfigurations-Reviews vor dem aktiven Test.
Trivy
Trivy von Aqua Security scannt Container-Images, IaC-Templates (Terraform, CloudFormation, Helm), Kubernetes-Cluster und Repositories. Schwachstellen, Geheimnisse, Misskonfigurationen. Open Source, in CI/CD-Pipelines einsetzbar, eines der vielseitigsten Sicherheits-Werkzeuge 2026.
Phase 7: Network und Wireless: Pakete und Lateral Movement
Bei internen Pentests oder Wireless-Audits braucht Anna spezialisierte Werkzeuge für die Analyse des Netzwerkverkehrs und für die Bewegung im internen Netz.
Wireshark
Wireshark ist der weltweit genutzte Netzwerk-Protokoll-Analyzer. Anna fängt Traffic mit, dekodiert über 3.000 Protokolle, sucht Klartext-Passwörter, Token-Leaks oder unverschlüsselte API-Calls. Open Source, plattformübergreifend, fester Bestandteil jeder Forensik- und Pentest-Toolbox.
CrackMapExec
CrackMapExec (CME) bündelt SMB-, LDAP-, MSSQL- und WinRM-Funktionen für interne Pentests. Anna prüft damit, ob Hash-Wiederverwendung im Netz möglich ist, scannt Shares, sammelt Credentials. Open Source. Hinweis: Das ursprüngliche Projekt wurde archiviert, der Maintainer pflegt 2026 die Weiterentwicklung als NetExec.
KI-Pentesting 2026: neue Werkzeuge im Aufwind
Bis 2024 war KI im Pentest vor allem Marketing. 2026 sieht das anders aus: spezialisierte LLM-Werkzeuge unterstützen Recon, Berichtserstellung und Exploit-Generierung. Anna integriert sie ergänzend, nicht ersetzend.
PentestGPT
PentestGPT ist ein quelloffener Pentest-Agent, der GPT-4-Class-Modelle für Reasoning und Tool-Aufruf nutzt. Eingabe ist das Ziel und die Auftragsbeschreibung, der Agent schlägt Vorgehensweisen, Tool-Kombinationen und Payloads vor. Anna prüft jeden Vorschlag manuell, bevor sie ihn ausführt.
Burp AI
Burp Suite Enterprise integriert seit 2026 KI-Funktionen für automatisierte Schwachstellen-Triage, Payload-Generierung und natürlichsprachliche Berichte. PortSwigger setzt auf interne Modelle ohne Cloud-Anbindung, was für Compliance-getriebene Pentest-Engagements wichtig ist.
Wer prüfen will, wie KI-generierter Code selbst auf Sicherheit getestet werden sollte, findet Antworten in unserem Artikel zu Unit Tests als Sicherheitsnetz gegen KI-generierten Code.
Fazit: Welche Tools brauchen Sie wirklich?
Anna schließt ihren ersten Pentest mit zwölf der oben genannten Werkzeuge ab. Recon mit Amass und Nmap, Web-Tests mit Burp Suite und sqlmap, ein Cloud-Audit mit Pacu, ein Lateral-Movement-Schritt mit CrackMapExec, dazu Wireshark für die Verkehrsanalyse. Nicht alle Tools auf einmal, sondern das richtige Werkzeug zur richtigen Phase.
Das gilt für jeden Pentest. Eine vollständige Tool-Liste klingt beeindruckend, aber zwei Dinge zählen mehr: die Beherrschung weniger Standard-Werkzeuge und ein strukturiertes Vorgehen pro Phase. Wer Burp Suite, Nmap, Metasploit und Wireshark wirklich kann, deckt 80 Prozent realer Pentest-Aufträge ab. Der Rest sind Spezialisten-Werkzeuge, die je nach Auftrag dazukommen.
In unseren eigenen Pentest-Engagements bei Qytera sehen wir immer wieder dasselbe Muster: Die Tester, die zwölf Werkzeuge wirklich beherrschen, liefern strukturiertere Reports als die, die fünfzig Tools im Toolbar haben. Die Werkzeug-Liste ist nie das Engpass, das saubere Vorgehen ist es.
KI ersetzt keine Tester. KI ersetzt Tester die keine KI nutzen. Das gilt für Pentester genauso. PentestGPT und Burp AI ersetzen keinen ausgebildeten Pentester. Sie geben aber demjenigen, der sie nutzt, einen klaren Geschwindigkeitsvorteil bei Recon, Berichtserstellung und Wiederholungsarbeit.
Wer einen Pentest beauftragen statt selbst durchführen möchte, findet bei unserem Penetrationstest-Service das passende Format: Web-App-Pentest, interne Infrastruktur, Cloud-Audit oder Red-Team-Engagement.
FAQ: Häufige Fragen zu Pentesting Tools
Welches Pentesting Tool sollte ich als Einsteiger lernen?
Starten Sie mit Nmap und Wireshark für die Grundlagen, dann Burp Suite Community Edition für Web-Apps und OWASP ZAP als Open-Source-Alternative. Diese vier Werkzeuge decken einen Großteil typischer Einstiegs-Szenarien ab. Kali Linux bringt sie alle vorinstalliert mit.
Was kosten kommerzielle Pentesting Tools?
Burp Suite Professional liegt bei etwa 449 USD pro Nutzer und Jahr. Nessus Professional kostet rund 4.000 USD. Cobalt Strike wird seit 2026 von Fortra für etwa 5.900 USD pro Nutzer angeboten. Für Solo-Pentester und kleine Teams reichen Open-Source-Werkzeuge oft aus. Größere Engagements rechtfertigen die Lizenzkosten meist über Zeitersparnis im Reporting.
Sind Open-Source-Pentesting-Tools genauso gut wie kommerzielle?
In vielen Bereichen ja. OWASP ZAP rivalisiert mit Burp Suite, OpenVAS mit Nessus, Sliver mit Cobalt Strike. Kommerzielle Tools punkten meist bei Berichterstellung, Team-Funktionen und Support. Die reine Erkennungs- und Exploitation-Power ist Open Source oft ebenbürtig oder überlegen.
Welche Tools brauche ich für Cloud-Pentests in AWS oder Azure?
Für AWS: Pacu für aktive Exploitation, ScoutSuite für Konfigurationsaudits, Trivy für IaC- und Container-Scans. Für Azure: ScoutSuite oder das spezialisierte ROADtools-Framework für Entra ID. Klassische Web-App-Tools wie Burp Suite kommen ergänzend zum Einsatz.
Welche Rolle spielt KI 2026 im Pentesting?
KI-basierte Werkzeuge unterstützen vor allem Recon (Datenkorrelation aus OSINT), Berichtserstellung (natürlichsprachliche Schwachstellen-Beschreibungen) und Triage (Priorisierung von Funden). Vollautonome KI-Pentester gibt es 2026 nicht. Erfahrene Pentester gewinnen durch KI Zeit für die kritischen Analyseschritte.
Brauche ich für einen Pentest immer Kali Linux?
Kali Linux ist die mit Abstand am weitesten verbreitete Pentest-Distribution und bringt fast alle hier genannten Tools vorinstalliert mit. Alternativen sind Parrot OS oder BlackArch. Wer einzelne Tools punktuell nutzt, kann sie auch unter Windows, macOS oder einem anderen Linux installieren.
Wie wähle ich die richtigen Pentesting Tools für einen Auftrag?
Definieren Sie zuerst das Ziel (Web-App, interne AD-Umgebung, Cloud-Infrastruktur, Wireless), dann den Scope und die Test-Tiefe. Daraus ergibt sich die Werkzeug-Auswahl nach Phase. Ein strukturiertes Vorgehensmodell wie PTES oder OWASP WSTG hilft, die Auswahl nachvollziehbar zu dokumentieren.