Pentest-Tools: 10 kostenlose Werkzeuge für Ihre Website-Sicherheit
Ein Penetrationstest prüft Ihre Website auf Schwachstellen, bevor es ein Angreifer tut. Professionelle Pentests kosten tausende Euro — aber mit kostenlosen Open-Source-Tools können Sie die häufigsten Schwachstellen selbst aufdecken. Dieser Leitfaden stellt die 10 besten kostenlosen Tools vor und zeigt, wie Sie sie einsetzen.
Rechtlicher Hinweis
Testen Sie ausschließlich eigene Systeme oder Systeme, für die Sie eine schriftliche Genehmigung haben. Unbefugte Sicherheitstests sind in Deutschland strafbar (§ 202a, § 202b, § 303a/b StGB). Auch gut gemeinte Tests auf fremden Systemen sind illegal.
1. OWASP ZAP (Zed Attack Proxy)
Was es kann
Der meistgenutzte kostenlose Web-Application-Scanner. ZAP fungiert als Proxy zwischen Ihrem Browser und der Zielwebsite und analysiert den gesamten Datenverkehr.
Stärken
- Automatisierter Scan erkennt OWASP Top 10 Schwachstellen
- Spider crawlt die gesamte Website automatisch
- Active Scan testet gefundene Endpunkte auf Schwachstellen
- Ajax Spider für JavaScript-lastige Single-Page-Applications
- API-Scan für REST und GraphQL
Schnellstart
# Docker (empfohlen)
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-baseline.py \
-t https://ihre-website.de
# Ergebnis: HTML-Bericht mit allen gefundenen Schwachstellen
Geeignet für
Vollständige Web-Application-Scans, CI/CD-Integration, regelmäßige automatische Tests.
2. Nikto
Was es kann
Web-Server-Scanner, der auf bekannte Schwachstellen, Fehlkonfigurationen und veraltete Software prüft.
Stärken
- 6.700+ Tests gegen bekannte Schwachstellen
- Erkennung veralteter Server-Software
- Standard-Dateien und -Verzeichnisse (phpinfo, .git, Backups)
- Erkennung unsicherer HTTP-Methoden
Schnellstart
nikto -h https://ihre-website.de -o bericht.html -Format htm
Geeignet für
Schnelle Server-Konfigurationsprüfung, Erkennung vergessener Dateien und veralteter Software.
3. Nmap (Network Mapper)
Was es kann
Port-Scanner und Netzwerk-Analysewerkzeug — das Schweizer Taschenmesser der Netzwerksicherheit.
Stärken
- Port-Scanning — Welche Dienste sind von außen erreichbar?
- Service-Detection — Welche Software läuft auf welchem Port?
- NSE Scripts — Hunderte spezialisierte Sicherheitstests
- OS-Fingerprinting — Betriebssystem-Erkennung
Schnellstart
# Grundlegender Scan: Offene Ports und Dienste
nmap -sV ihre-website.de
# Umfassender Scan mit Schwachstellenerkennung
nmap -sV --script=vuln ihre-website.de
# Nur die wichtigsten Ports (schnell)
nmap -F ihre-website.de
Geeignet für
Infrastruktur-Analyse, Erkennung unnötig offener Ports, Service-Inventar.
4. Nuclei
Was es kann
Template-basierter Schwachstellenscanner mit einer riesigen Community-Bibliothek.
Stärken
- Tausende Templates für bekannte Schwachstellen (CVEs)
- Regelmäßig aktualisiert durch die Community
- Extrem schnell (Go-basiert)
- Templates für Fehlkonfigurationen, exponierte Dateien, Default-Credentials
Schnellstart
# Installation
go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest
# Scan mit allen Templates
nuclei -u https://ihre-website.de
# Nur kritische und hohe Schwachstellen
nuclei -u https://ihre-website.de -severity critical,high
Geeignet für
CVE-Scans, Erkennung bekannter Schwachstellen, automatisierte regelmäßige Prüfung.
5. testssl.sh
Was es kann
Umfassende Prüfung der SSL/TLS-Konfiguration — deutlich gründlicher als Online-Tools.
Stärken
- Prüft Cipher-Suites, Protokollversionen, Zertifikatskette
- Erkennt bekannte Schwachstellen (BEAST, POODLE, Heartbleed, DROWN)
- HSTS- und HPKP-Prüfung
- Farbige Konsolenausgabe mit klaren Empfehlungen
Schnellstart
# Clone und ausführen
git clone --depth 1 https://github.com/drwetter/testssl.sh.git
cd testssl.sh
./testssl.sh https://ihre-website.de
Geeignet für
SSL/TLS-Audit, Überprüfung der Cipher-Konfiguration nach BSI-Empfehlungen.
6. Mozilla Observatory
Was es kann
Online-Tool von Mozilla, das HTTP-Security-Header und weitere Best Practices prüft.
Stärken
- Kein Tool zu installieren — direkt im Browser nutzbar
- Bewertet Security-Header (CSP, HSTS, X-Frame-Options etc.)
- Note A+ bis F
- Empfehlungen für Verbesserungen
- observatory.mozilla.org
Geeignet für
Schnelle Header-Prüfung, Benchmark gegen Best Practices, regelmäßiges Monitoring.
7. Burp Suite Community Edition
Was es kann
Professioneller Web-Proxy mit manuellen und automatischen Test-Funktionen.
Stärken
- Intercepting Proxy — Jede Anfrage modifizieren und analysieren
- Repeater — Einzelne Requests wiederholt modifiziert senden
- Intruder (eingeschränkt in Community) — Automatisierte Payloads
- Decoder — Encode/Decode verschiedener Formate
Geeignet für
Manuelle Sicherheitstests, tiefgehende Analyse einzelner Endpunkte, Lernzwecke.
8. WPScan (WordPress)
Was es kann
Spezialisierter Scanner für WordPress-Installationen.
Stärken
- Erkennt veraltete WordPress-Versionen
- Plugin- und Theme-Schwachstellen (Datenbank mit 40.000+ Einträgen)
- Benutzer-Enumeration
- Schwache Passwörter testen
Schnellstart
# Docker
docker run -it --rm wpscanteam/wpscan \
--url https://ihre-wordpress-seite.de --enumerate vp,vt,u
# vp = verwundbare Plugins, vt = verwundbare Themes, u = Benutzer
Geeignet für
WordPress-Websites — unverzichtbar, wenn Sie WordPress einsetzen.
9. Subfinder + httpx
Was es kann
Subdomain-Discovery: Finden Sie alle Subdomains Ihrer Domain — einschließlich vergessener Staging- und Test-Systeme.
Warum wichtig
Vergessene Subdomains (staging.ihredomain.de, old.ihredomain.de) sind häufig schlechter geschützt und ein beliebtes Angriffsziel.
Schnellstart
# Subdomains finden
subfinder -d ihredomain.de -o subdomains.txt
# Prüfen, welche noch online sind
cat subdomains.txt | httpx -status-code -title
Geeignet für
Angriffsflächen-Analyse, vergessene Systeme aufspüren.
10. WarDek (Online-Scanner)
Was es kann
Automatisierter Sicherheits- und Compliance-Scanner speziell für KMU.
Stärken
- OWASP-basierter Sicherheitsscan
- Compliance-Check für NIS2, DSGVO, AI Act
- Security-Header-Analyse
- SSL/TLS-Prüfung
- Ergebnisse in verständlicher Sprache (nicht nur für Techniker)
Geeignet für
Regelmäßige Übersichtsprüfung, Compliance-Nachweis, Management-Reports.
Empfohlener Workflow
Monatlicher Quick-Scan (30 Minuten)
- WarDek — Compliance und Header-Check
- Mozilla Observatory — Header-Bewertung
- testssl.sh — SSL/TLS-Konfiguration
Vierteljährlicher Deep-Scan (2–4 Stunden)
- OWASP ZAP — Vollständiger Anwendungsscan
- Nuclei — CVE-basierte Schwachstellensuche
- Nikto — Server-Konfigurationsprüfung
- Nmap — Port- und Service-Inventar
- Subfinder — Subdomain-Analyse
Bei WordPress
- WPScan — Plugin/Theme-Schwachstellen
- Alle Plugin-Updates prüfen und einspielen
Ergebnisse interpretieren
| Schweregrad | Bedeutung | Aktion | |---|---|---| | Kritisch | Sofortige Ausnutzung möglich | Innerhalb von 24 Stunden beheben | | Hoch | Ausnutzung mit wenig Aufwand | Innerhalb einer Woche beheben | | Mittel | Ausnutzung unter bestimmten Bedingungen | Innerhalb eines Monats beheben | | Niedrig | Best Practice nicht eingehalten | Bei nächster Gelegenheit beheben | | Information | Hinweis ohne direktes Risiko | Zur Kenntnis nehmen |
Fazit
Kostenlose Pentest-Tools ersetzen keinen professionellen Penetrationstest — aber sie decken die häufigsten 80% der Schwachstellen auf. Ein regelmäßiger Einsatz (monatlich Quick-Scan, quartalsweise Deep-Scan) senkt Ihr Risikoprofil erheblich. Starten Sie mit OWASP ZAP und Nuclei — diese beiden Tools allein finden die meisten gängigen Schwachstellen.
Scannen Sie Ihre Website kostenlos mit WarDek — OWASP, NIS2, DSGVO, AI Act Compliance in einem Scan.