ISO 27001 & Penetrationstests
Die ISO/IEC 27001 fordert regelmässige Sicherheitsprüfungen. Erfahren Sie, wie Penetrationstests die Anforderungen der ISO 27001 erfüllen und Ihr Audit unterstützen.
ISO 27001 und technische Sicherheitsprüfungen
Die ISO/IEC 27001:2022 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Im Anhang A werden 93 Controls (Sicherheitsmassnahmen) definiert, die Unternehmen implementieren sollten, um Informationen angemessen zu schützen.
Für Penetrationstests besonders relevant sind die Controls in der Organizational Controls-Kategorie sowie in den Technological Controls:
- Control A.5.7 (Threat Intelligence): Sammeln und Analysieren von Bedrohungsinformationen – ein Pentest liefert konkrete, auf das Unternehmen zugeschnittene Threat Intelligence.
- Control A.5.24 (Information Security Incident Management Planning and Preparation): Vorbereitung auf Sicherheitsvorfälle – Pentests testen die Effektivität von Incident-Response-Plänen.
- Control A.8.9 (Configuration Management): Sicherstellung, dass Systeme korrekt konfiguriert sind – Pentests decken Fehlkonfigurationen auf.
- Control A.8.15 (Logging): Protokollierung – Pentests überprüfen, ob kritische Ereignisse geloggt werden und ob Logs manipulationssicher sind.
- Control A.8.16 (Monitoring Activities): Überwachung – ein Pentest kann zeigen, ob Angriffe vom Monitoring-System erkannt werden.
- Control A.8.28 (Secure Coding): Sichere Programmierung – Web-App-Pentests identifizieren Coding-Schwachstellen (Injection, XSS, etc.).
Penetrationstest als Audit-Nachweis
Ein professioneller Pentest-Report ist ein hervorragender Nachweis für ISO 27001-Audits. Er dokumentiert:
- Risikoanalyse: Konkrete, nachgewiesene Schwachstellen mit CVSS-Bewertung.
- Kontextbezogene Bedrohungen: Nicht theoretische Risiken, sondern real demonstrierte Angriffspfade.
- Remediation-Plan: Konkrete Massnahmen zur Risikominderung mit Priorisierung.
- Retest-Nachweis: Dokumentation, dass Schwachstellen tatsächlich behoben wurden.
Auditor schätzen Pentest-Reports, weil sie objektive, unabhängige Beweise für die Wirksamkeit der technischen Sicherheitskontrollen liefern. Ein Pentest durch einen externen, unabhängigen Dienstleister (wie mich) erfüllt die Anforderung der Unabhängigkeit gemäss ISO 27001.
ISO 27001 Pentest: Typischer Ablauf
| Schritt | Aktivität | ISO-Bezug |
|---|---|---|
| 1. Scoping | Definition des ISMS-Scopes und der zu prüfenden Systeme | A.4.1, A.5.1 |
| 2. Risk Assessment | Identifikation der wichtigsten Assets und Bedrohungen | A.5.12, A.5.13 |
| 3. Pentest-Durchführung | Technische Sicherheitsprüfung nach PTES/OWASP | A.8.15, A.8.16 |
| 4. Report & Gap Analysis | Auswertung gegen ISO 27002 Controls | A.5.7, A.5.35 |
| 5. Remediation | Behebung der Schwachstellen | A.5.36, A.5.37 |
| 6. Retest & Audit-Vorbereitung | Nachweis der Wirksamkeit | A.5.35, A.5.36 |
ISO 27001-konformer Pentest für Ihr ISMS
Ich führe Pentests durch, die gezielt die Anforderungen der ISO 27001 erfüllen – mit Reports, die Ihr Audit unterstützen und Nachweise für Auditor liefern.