Penetratietest (Pentest)

Wat is een penetratietest?

Een penetratietest — ook wel pentest genoemd — is een gecontroleerde cyberaanval op je eigen systemen. Een ethical hacker probeert actief kwetsbaarheden te vinden en te exploiteren, precies zoals een echte aanvaller dat zou doen, maar dan met jouw toestemming en binnen afgesproken kaders.

Het doel is niet alleen een lijst kwetsbaarheden opleveren. Een goede pentest laat zien wat een aanvaller daadwerkelijk kan bereiken: kan hij bij klantgegevens? Kan hij lateraal bewegen door je netwerk? Kan hij rechten escaleren naar domeinadmin? Die context maakt een pentest waardevol. Uit het Verizon DBIR 2025 blijkt dat 20% van alle datalekken begint met het exploiteren van een kwetsbaarheid — een stijging van 34% ten opzichte van het jaar ervoor.

Het verschil met een vulnerability scan is essentieel: een vulnerability scan is geautomatiseerd en zoekt naar bekende kwetsbaarheden. Een pentest gaat verder. Een mens probeert actief binnen te dringen, combineert kwetsbaarheden en test wat een aanvaller werkelijk kan bereiken. Handmatige pentests vinden circa 20x meer unieke kwetsbaarheden dan automatische scans alleen.

Soorten penetratietesten: black box, grey box en white box

Bij een black box pentest weet de pentester niets over je systemen — dit simuleert een externe aanvaller zonder voorkennis. Bij grey box krijgt de pentester beperkte informatie zoals testaccounts en basisdocumentatie, wat een scenario simuleert waarbij een aanvaller gestolen credentials heeft of insider-kennis bezit. Een white box pentest geeft volledige toegang tot broncode, architectuur en accounts voor de meest diepgaande analyse. Grey box is vaak de beste keuze voor organisaties die voor het eerst een pentest laten uitvoeren: je krijgt meer diepgang dan black box zonder de kosten van een volledige white box analyse. Credential-gebaseerde aanvallen duren gemiddeld 292 dagen om te identificeren, wat grey box testen extra relevant maakt (Bron: IBM Cost of a Data Breach Report 2024).

Pentesten per doelwit

• Webapplicatie pentest — richt zich op de OWASP Top 10, business logic en authenticatie (Bron: OWASP Foundation). Geschikt voor webapps, portalen en webshops.
• Netwerk pentest — test intern en extern netwerk, servers en firewalls. Voor kantoornetwerken en datacenters.
• API pentest — focust op REST en GraphQL endpoints, authenticatie en autorisatie. Voor SaaS-platforms en mobiele backends. 63% van organisaties had in 2024 een API-beveiligingsincident (Bron: CBS Cybersecuritymonitor 2024).
• Mobile pentest — test iOS en Android apps inclusief lokale opslag en communicatie.
• Cloud pentest — richt zich op AWS, Azure of GCP configuratie, IAM en storage.
• Red team assessment — full-scope inclusief social engineering en fysieke toegang. Voor volwassen organisaties en TIBER-NL trajecten.

Bij de meest voorkomende bevindingen staat Broken Access Control bovenaan in de OWASP Top 10 (Bron: OWASP Foundation). Security Misconfiguration is verantwoordelijk voor 20-30% van alle pentestbevindingen. SQL Injection maakt nog steeds 19,47% uit van kritieke kwetsbaarheden in webapplicaties (Bron: OWASP Foundation).

Wanneer is een penetratietest nodig?

Een pentest is geen eenmalige exercitie — toch toetst slechts 27% van de Nederlandse bedrijven hun ICT-beveiliging structureel (Bron: CBS Cybersecuritymonitor 2024). Bij grote bedrijven (250+ medewerkers) is dat 88%, bij middelgrote bedrijven (50-250) 73%, maar bij kleine bedrijven (10-50) slechts 47%. Internationaal voert circa 40% van de organisaties kwartaal- of continue testen uit.

Er zijn acht concrete signalen dat het tijd is:

1. Je lanceert een nieuwe applicatie of platform — test voor je live gaat, niet erna
2. Je laatste pentest is langer dan 12 maanden geleden — dreigingen veranderen continu
3. Je hebt grote wijzigingen doorgevoerd — migratie, nieuwe infrastructuur, grote releases
4. Je moet voldoen aan NIS2, ISO 27001 of PCI DSS — regelmatige tests zijn verplicht
5. Klanten of partners vragen om bewijs — steeds meer opdrachtgevers eisen pentestrapportages
6. Je cyberverzekering vereist het — veel verzekeraars geven korting bij aantoonbare testing
7. Je hebt een security incident gehad — test of de fix werkt en of er meer kwetsbaarheden zijn
8. Je weet niet waar je risico's zitten — een pentest geeft concreet inzicht

Het venster van kwetsbaarheid maakt de urgentie concreet: een aanvaller heeft gemiddeld 4 dagen nodig om een netwerk te penetreren (Bron: IBM Cost of a Data Breach Report 2024). Organisaties doen er gemiddeld 74 dagen over om een kritieke kwetsbaarheid te patchen (Bron: IBM Cost of a Data Breach Report 2024). Die 70 dagen verschil is precies het risicovenster dat een pentest blootlegt.

Het pentestproces in vijf stappen

Een professionele pentest volgt een gestructureerd proces van intake tot hertest, met een totale doorlooptijd van 2-4 weken. Complexe trajecten met meerdere systemen of red team kunnen 4-8 weken duren.

1. Scopebepaling en intake (1-2 dagen) — samen bepalen welke systemen getest worden, welke aanvalsmethoden zijn toegestaan via rules of engagement, en wat de doelstellingen zijn. Dit wordt vastgelegd in een scope-document met NDA.
2. Reconnaissance (2-3 dagen) — de pentester verzamelt informatie over je systemen: open poorten, services, technologieën en publiek beschikbare informatie. Bij grey en white box wordt dit aangevuld met de verstrekte documentatie.
3. Actieve testing en exploitatie (3-10 dagen) — de daadwerkelijke aanvalspogingen. De pentester zoekt en exploiteert kwetsbaarheden: SQL injection, XSS, privilege escalation, laterale beweging. Alles wordt gedocumenteerd met bewijs. Gemiddeld vindt een pentest 12 kwetsbaarheden, waarvan 16% als High of Critical wordt geclassificeerd.
4. Rapportage (2-3 dagen) — alle bevindingen worden vastgelegd in een rapport met een managementsamenvatting, technische details per kwetsbaarheid, CVSS-scores, reproductiestappen en concrete aanbevelingen.
5. Presentatie en hertest (1-2 dagen) — de pentester presenteert de bevindingen aan je team. Na het doorvoeren van fixes wordt een hertest uitgevoerd. 15-20% van initieel hoog-risico bevindingen is nog steeds exploiteerbaar bij de eerste hertest. De gemiddelde tijd om serieuze bevindingen op te lossen is gedaald van 112 dagen in 2017 naar 37 dagen in 2024 (Bron: IBM Cost of a Data Breach Report 2024).

Wat kost een penetratietest in Nederland?

Pentestprijzen variëren sterk op basis van scope, complexiteit en type test. Hieronder realistische prijsindicaties voor de Nederlandse markt:

• Quick pentest (beperkte scope, snelle scan + handmatig): EUR 2.800 - 5.500
• Webapplicatie pentest (enkele applicatie, OWASP Top 10): EUR 3 (Bron: OWASP Foundation).500 - 20.000+
• Netwerk pentest (extern + intern netwerk): EUR 4.500 - 12.000
• API pentest (REST/GraphQL endpoints): EUR 3.000 - 7.500
• Mobile pentest (iOS of Android + backend): EUR 5.000 - 15.000
• Multi-scope pentest (meerdere apps + netwerk): EUR 8.000 - 20.000
• Red team assessment (full-scope inclusief social engineering): EUR 25.000 - 60.000+

De prijs wordt bepaald door het aantal systemen en applicaties, het type test (black box kost meer tijd), de complexiteit van je architectuur, urgentie bij spoedopdrachten, of de hertest inbegrepen is, de certificeringen van de pentester (OSCP/GPEN testers zijn duurder maar beter gekwalificeerd) en het dagtarief — senior pentesters rekenen EUR 800 tot 1.400 per dag.

Let op: een pentest onder EUR 2.500 is een red flag. Voor dat bedrag krijg je waarschijnlijk alleen een geautomatiseerde scan met een rapport eromheen, geen echte handmatige pentest door een ervaren specialist.

De ROI is overtuigend: een pentest kost EUR 5.000 tot 20.000, een datalek kost gemiddeld EUR 5,9 miljoen in de Benelux (Bron: IBM Cost of a Data Breach Report 2024). Dat is een ROI-verhouding van meer dan 300:1. Organisaties met volwassen pentesting-programma's ervaren 75% minder beveiligingsincidenten en besparen gemiddeld USD 2,2 miljoen per jaar. Uitgebreide pentesting-programma's leveren een ROI van 510% tot 1 (Bron: HackerOne / Cobalt State of Pentesting).266%.

Pentestbedrijf kiezen: certificeringen en selectiecriteria

De kwaliteit van een pentest staat of valt met de aanbieder. Nederland heeft een volwassen markt met gespecialiseerde partijen en een eigen kwaliteitskeurmerk.

Het CCV Keurmerk Pentesten is het Nederlandse kwaliteitskeurmerk gebaseerd op ISO/IEC 17065. Het vereist dat medewerkers een VOG overleggen (niet ouder dan 3 jaar), dat het bedrijf een kwaliteitsmanagementsysteem hanteert, en dat een onafhankelijke certificeringsinstantie de kwaliteit beoordeelt. CREST is internationaal erkend en wereldwijd gerespecteerd voor pentestbedrijven. Voor individuele pentesters zijn OSCP (de praktijkstandaard), GPEN (netwerk penetratietest van SANS/GIAC), OSWE (geavanceerd, webapp-specifiek) en CEH (instap, theoretisch) de belangrijkste certificeringen.

10 vragen voor je pentestleverancier

1. Hebben jullie het CCV Keurmerk Pentesten of CREST-accreditatie?
2. Welke certificeringen hebben jullie pentesters individueel (OSCP, GPEN)?
3. Kunnen jullie een geanonimiseerd voorbeeldrapport delen?
4. Is een hertest inbegrepen in de prijs?
5. Welke methodologie volgen jullie (OWASP, PTES, OSSTMM)?
6. Hebben jullie ervaring in mijn specifieke sector?
7. Hoe communiceren jullie tijdens de test bij kritieke bevindingen?
8. Wat is de doorlooptijd van intake tot rapport?
9. Bieden jullie ondersteuning bij het verhelpen van bevindingen?
10. Zijn jullie verzekerd voor eventuele schade tijdens de test?

Veelgemaakte fouten bij penetratietesten

Een te beperkte scope kiezen om kosten te besparen is de meestgemaakte fout. Alleen de website testen terwijl de echte risico's in het interne netwerk of de API's zitten geeft een vals gevoel van veiligheid. Laat een risicoanalyse uitvoeren voordat je de scope bepaalt.

Geen hertest plannen na het fixen is de tweede grote fout. 15-20% van hoog-risico bevindingen is nog steeds exploiteerbaar bij de eerste hertest. Neem altijd een hertest op in je contract.

De pentest als eindstation zien — een pentest is een momentopname. 65% van organisaties had herhaalde kritieke bevindingen in opeenvolgende jaarlijkse pentests. Maak een verbeterplan met deadlines en eigenaren.

Alleen op prijs selecteren — de goedkoopste aanbieder levert vaak een geautomatiseerde scan af als pentest. Kijk naar certificeringen (CCV Keurmerk, CREST), ervaring en rapportkwaliteit.

Het team niet informeren — als je SOC-team niet weet dat er een pentest loopt, gaan ze de pentester blokkeren of in paniek raken over de alerts. Informeer de juiste mensen vooraf.

Bevindingen niet structureel oppakken — circa 50% van ontdekte kwetsbaarheden blijft onhersteld. 32% van kritieke kwetsbaarheden is na 180 dagen nog niet opgelost. Wijs een eigenaar toe aan elke bevinding en rapporteer maandelijks over voortgang.

NIS2, DORA en compliance-eisen voor pentesting

NIS2 Artikel 21 vereist dat organisaties in essentiële en belangrijke sectoren regelmatige security audits en penetratietesten uitvoeren. De Cyberbeveiligingswet (Cbw) wordt in Nederland verwacht in Q2 2026 en raakt circa 8 (Bron: NCSC / Digitale Overheid).000 organisaties direct, plus naar schatting 50 (Bron: NCSC / Digitale Overheid).000 toeleveranciers indirect. De boetes zijn fors: tot EUR 10.000.000 of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, tot EUR 7.000.000 of 1,4% voor belangrijke entiteiten. Bij herhaalde overtredingen kan persoonlijke aansprakelijkheid van bestuurders volgen.

DORA (van kracht sinds januari 2025) verplicht Threat-Led Penetration Testing (TLPT) voor systeemrelevante financiële instellingen. Dit gaat verder dan een standaard pentest en volgt het TIBER-NL kader. ISO 27001 Annex A Control 8.8 vereist systematische identificatie en management van technische kwetsbaarheden. PCI DSS verplicht organisaties die creditcardgegevens verwerken om jaarlijks een penetratietest te laten uitvoeren.

Om aan deze regelgeving te voldoen moet je aantonen dat je regelmatig (minimaal jaarlijks) penetratietesten uitvoert, dat bevindingen worden opgelost binnen een redelijke termijn, dat je een hertest uitvoert om te valideren dat fixes werken, dat je het proces documenteert en beschikbaar hebt voor audits, en dat je pentester gekwalificeerd is (CCV Keurmerk of equivalent).

Trends: PTaaS, AI en continue testing

Pentest as a Service (PTaaS) is de snelst groeiende trend. In plaats van een eenmalig rapport krijg je doorlopende toegang tot een platform met real-time dashboards, ticketing-integratie en automatische hertests na patches. Meer dan 70% van bedrijven gebruikt al PTaaS of een vergelijkbaar model. De globale PTaaS-markt groeit met 22,4% per jaar naar USD 5,99 miljard in 2033 (Bron: Mordor Intelligence / Grand View Research). PTaaS is vooral interessant als je regelmatig wijzigingen doorvoert (agile/DevOps), meerdere applicaties hebt die continu getest moeten worden, of verplicht bent tot frequente compliance-rapportages.

AI in pentesting — AI-tools reduceren testtijd met tot 30% en geautomatiseerd pentesting steeg 2,5x in 2024. 70% van security researchers gebruikt AI-tools in hun workflow. Maar de nuance is belangrijk: handmatige pentests vinden circa 20x meer unieke kwetsbaarheden dan automatische scans alleen. AI versnelt het werk, maar vervangt de menselijke pentester niet.

Continue testing vs. point-in-time — organisaties die overstappen naar kwartaal-testen zien 42% minder onopgeloste kwetsbaarheden binnen 6 maanden. De trend verschuift van jaarlijkse compliance-tests naar continue beveiliging. Een combinatie van pentest en bug bounty vindt 3-5x meer high-impact kwetsbaarheden.