Brain-Media.de/Compliance-Lexikon/Penetration Testing/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

Penetration Testing – Praxis

Penetration Testing ist für viele Compliance-Frameworks eine explizite oder implizite Anforderung. Trotzdem fehlt in vielen Organisationen ein strukturiertes Pentest-Programm – oder vorhandene Tests liefern Berichte, die nicht nachverfolgt werden. Das ist ein Kontrolldefizit.

Was Auditoren konkret prüfen

Der Auditor erwartet: Wurden Penetrationstests in den letzten 12 Monaten (oder nach wesentlichen Änderungen) durchgeführt? Ist der Scope dokumentiert? Liegt ein vollständiger Testbericht vor? Und: Wurden alle kritischen Findings adressiert und die Umsetzung nachgewiesen?

BAM-Objekt · Praxis CROSS-PT-01
Gap-CheckWerden Penetrationstests in definierten Abständen durchgeführt und sind Ergebnisse und Maßnahmen dokumentiert?
RemediationPentest-Zyklus festlegen (mindestens jährlich), Scope definieren, qualifizierten Dienstleister beauftragen, Findings nachverfolgen
EvidencePentest-Berichte mit Datum, Scope-Dokumentation, Maßnahmenregister mit Umsetzungsstatus

Häufige Fehler

  • Pentest-Bericht liegt vor, aber Findings sind nicht priorisiert oder nachverfolgt
  • Scope-Definition fehlt oder ist zu vage
  • Qualität des Testers nicht dokumentiert (Zertifikate, Methodik)

Praxis-Tipp

Ein Pentest-Bericht ohne Finding-Register nützt wenig. Das Finding-Register sollte für jede identifizierte Schwachstelle enthalten: Schweregrad (Critical/High/Medium/Low), verantwortliche Person, geplante Behebungsfrist und aktueller Status. Kritische Findings müssen innerhalb von 30 Tagen behoben sein – das ist die Erwartung der meisten Frameworks.

Scope-Definition für den Pentest

Ein vollständiger Pentest-Scope enthält: IP-Ranges und Systeme im Scope, ausgeschlossene Systeme mit Begründung, Test-Zeitfenster, erlaubte Testmethoden und -tools, Eskalationsansprechpartner für den Ernstfall sowie Regelungen für den Umgang mit zufällig entdeckten kritischen Schwachstellen. Diese Scope-Definition ist Teil des Testauftrags und muß vom Auftraggeber schriftlich freigegeben werden.

Evidence-Anforderungen im Audit

Vorzulegen sind: Testauftrag mit Scope-Definition, Pentest-Bericht mit Datum und Tester-Qualifikation, Finding-Register mit Schweregrad und Status sowie Nachweise der Behebung kritischer Findings. Das BAM-Objekt CROSS-PT-01 strukturiert diese Anforderungen als prüfbare Checkliste.

Nächster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.

Die strategische Einordnung – wie Penetration Testing als kontinuierliches Sicherheitsprogramm statt jährlichem Pflichttest funktioniert – findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper