Pentest-Standards & Normen

Warum sind Standards wichtig?

Standards und Frameworks für Penetrationstests sorgen für Reproduzierbarkeit, Vergleichbarkeit und Vollständigkeit. Ohne einen etablierten Rahmen kann ein Pentest wichtige Bereiche übersehen oder Ergebnissen fehlt die Nachvollziehbarkeit. Standards helfen sowohl dem Pentester (strukturiertes Vorgehen) als auch dem Kunden (klare Erwartungen, messbare Ergebnisse).

Die BSI-Empfehlung für Penetrationstests betont: «Ein Penetrationstest sollte auf einem anerkannten Standard basieren, um die Qualität und Vollständigkeit der Prüfung sicherzustellen.»

Die wichtigsten Pentest-Standards im Überblick

1. PTES – Penetration Testing Execution Standard

Die PTES ist ein Community-getriebener Standard, der den kompletten Pentest-Prozess in sieben Phasen strukturiert: Pre-Engagement, Intelligence Gathering, Threat Modeling, Vulnerability Analysis, Exploitation, Post-Exploitation und Reporting. Die PTES ist besonders praktisch orientiert und bietet für jede Phase konkrete Leitlinien, Tools und Best Practices. Viele professionelle Pentester verwenden PTES als Grundgerüst.

2. OWASP Testing Guide v4.2

Der OWASP Web Security Testing Guide (WSTG) ist das Referenzwerk für Web-Application-Pentests. Er enthält über 120 Testfälle, die alle relevanten Sicherheitsaspekte einer Webanwendung abdecken – von Informations Gathering über Authentifizierung, Session Management, Input Validation, Business Logic bis hin zu Client-Side-Tests. Der Guide ist Open Source und wird laufend aktualisiert.

3. OWASP ASVS – Application Security Verification Standard

Das OWASP ASVS definiert Sicherheitsanforderungen für Webanwendungen in drei Levels (Level 1: Opportunistisch, Level 2: Standard, Level 3: Hochsicherheit). Es dient als Checkliste für Entwickler und als Prüfkatalog für Pentester. ASVS Level 2 wird für die meisten Business-Anwendungen empfohlen.

4. OSSTMM – Open Source Security Testing Methodology Manual

Die OSSTMM von ISECOM ist eine umfassende Methodik für Sicherheitstests aller Art – nicht nur IT, sondern auch physische Sicherheit, Social Engineering und Telekommunikation. Sie legt grossen Wert auf metrische Bewertung (RAV – Risk Assessment Values) und objektive Messbarkeit. OSSTMM ist besonders in akademischen und regulatorischen Kontexten beliebt.

5. ISSAF – Information Systems Security Assessment Framework

ISSAF ist ein umfassendes Framework, das neben technischen Tests auch organisatorische und prozessuale Aspekte abdeckt. Es ist besonders detailliert, aber auch komplexer als PTES oder OWASP. ISSAF wird heute weniger häufig verwendet, bleibt aber eine wichtige Referenz für umfassende Security Assessments.

6. BSI IT-Grundschutz

Das BSI IT-Grundschutz ist das deutsche Standardwerk für Informationssicherheit. Für Pentests relevant sind besonders die Bausteine NET.1.1 (Netzarchitektur und -design), NET.1.2 (Netzsegmentierung), APP.4.4 (Webanwendungen) und SYS.1.6 (Server unter Unix/Linux). Der BSI-Prüfkatalog für Pentests bietet eine systematische Herangehensweise.

7. ISO 27001 / ISO 27002

Die ISO/IEC 27001 fordert in Anhang A (Control A.8.8) regelmässige technische Sicherheitsprüfungen. Die ISO/IEC 27002 gibt dazu konkrete Implementierungshinweise. Ein Pentest ist eine geeignete Massnahme, um die Anforderungen dieser Standards zu erfüllen und Audit-Nachweise zu erbringen.

8. NIST SP 800-115

Das NIST Special Publication 800-115 «Technical Guide to Information Security Testing and Assessment» bietet einen umfassenden Rahmen für Sicherheitsprüfungen. Es unterscheidet zwischen Reviews (Dokumentenprüfung), Assessments (Analyse) und Penetration Tests (Exploitation). NIST 800-115 ist besonders in den USA, aber auch international als Referenz anerkannt.

Welcher Standard passt zu Ihnen?