Compliance-Lexikon · Audit
Penetration Testing
[ˌpenɪˈtreɪʃən ˈtestɪŋ] · auch: Penetrationstest, Pentest, Ethical Hacking
Penetration Testing bezeichnet die autorisierte, methodische Simulation eines Angriffs auf IT-Systeme, Netzwerke oder Anwendungen durch qualifizierte Sicherheitsspezialisten mit dem Ziel, ausnutzbare Schwachstellen zu identifizieren, bevor reale Angreifer dies tun.
Warum Penetration Testing Schwachstellen vor echten Angreifern aufdeckt
Vulnerability Scans identifizieren bekannte Schwachstellen automatisch. Penetration Tests gehen weiter: Sie prüfen, ob und wie Schwachstellen in einem realen Angriffsszenario kombiniert und ausgenutzt werden können. Das Ergebnis eines Pentests ist nicht eine Liste von CVEs, sondern ein Bericht darüber, wie weit ein Angreifer in die Systeme eindringen könnte – und was er dort tun könnte.
Wo Penetration Testing gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.8.8 | Schwachstellen in IT-Systemen müssen regelmäßig identifiziert und behoben werden; Penetrationstests sind anerkanntes Mittel. |
| NIS-2 / BSIG | § 30 Abs. 2 | Sicherheitsprüfungen, einschließlich Penetrationstests, sind als Maßnahme zur Risikoreduzierung explizit anerkannt. |
| DORA | Art. 26 | Finanzunternehmen müssen regelmäßig TLPT (Threat-Led Penetration Testing) nach TIBER-EU-Methodik durchführen. |
| PCI DSS | Req. 11.3 | Externe und interne Penetrationstests müssen mindestens jährlich und nach wesentlichen Änderungen durchgeführt werden. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Pentest-Berichte sind vorhanden, Findings werden aber nicht nachverfolgt
- Scope ist zu eng definiert – kritische Systeme werden nicht geprüft
- Pentest wird einmalig durchgeführt, nicht wiederholt nach wesentlichen Änderungen
- Interne Ressourcen führen Pentest ohne nötige Unabhängigkeit durch
Typen von Penetrationstests
Black-Box-Tests simulieren einen externen Angreifer ohne Vorinformation. White-Box-Tests geben dem Tester vollständigen Zugang zu Dokumentation und Code. Grey-Box-Tests liegen dazwischen: typische Annahmen eines informierten Angreifers. Für Compliance-Zwecke sind in der Regel External-Network-Tests (Perimeter), Internal-Network-Tests (nach simulierter Kompromittierung) und Web-Application-Tests vorgesehen. DORA für Finanzunternehmen fordert zusätzlich TLPT nach TIBER-EU.
Nächste Ebene
Penetration Testing in der Praxis: Scope, Beauftragung, Finding-Behandlung
Wie ein Pentest strukturiert wird, was in den Bericht gehört und wie Findings nachverfolgt werden.