In vielen aktuellen Anfragen und Ausschreibungen für Penetrationstests wird explizit auf „den BSI-Standard“ oder „den NIST-Standard“ verwiesen. Das klingt zunächst nach methodischer Reife und klaren Qualitätsanforderungen. Aus meiner Sicht ist diese Entwicklung aber nicht unproblematisch: Beide Referenzen sind sehr generisch und ersetzen keine konkrete Leistungsbeschreibung für einen modernen Penetrationstest. Mittlerweile würde ich schätzen, dass gut … [Read more…]

Wer sich im Rahmen einer ISO/IEC 27001:2022 Zertifizierung mit dem Thema Penetration Testing auseinandersetzt, merkt schnell: Die Theorie der Norm und die Realität im Audit klaffen oft meilenweit auseinander. Da die Norm Penetrationstests nicht pauschal als Pflichtmaßnahme vorschreibt, sondern einen risikobasierten Ansatz fordert, betreten viele Unternehmen im Audit eine regulatorische Grauzone. Nach über einem Jahrzehnt … [Read more…]

OWASP ZAP gehört zu den bekanntesten Tools im Web-Pentesting. Viele kommen früher oder später damit in Kontakt. In Trainings, Labs oder ersten eigenen Tests ist es oft eines der ersten Werkzeuge überhaupt. Im professionellen Pentesting spielt ZAP dagegen meist eine kleinere Rolle. Was ist OWASP ZAP? OWASP ZAP ist ein Open-Source-Proxy zur Analyse und Manipulation … [Read more…]

Im Umfeld der Anwendungssicherheit tauchen zwei Referenzen besonders häufig auf: die OWASP Top 10 und die CWE Top 25 Most Dangerous Software Weaknesses. Beide Listen werden regelmäßig in Security-Guidelines, Schulungen oder Pentest-Berichten erwähnt und sollen typische Sicherheitsprobleme in Software sichtbar machen. Auf den ersten Blick scheinen beide Listen dasselbe zu behandeln: häufige Schwachstellen in Software. … [Read more…]

Der Penetration Testing Execution Standard (PTES) beschreibt eine strukturierte Methodik für die Durchführung von Penetrationstests. Ziel des Standards ist es, typische Projektphasen eines Pentests zu definieren und damit einen nachvollziehbaren Ablauf von der Planung bis zur Dokumentation der Ergebnisse zu schaffen. Der Standard entstand um 2010 als gemeinschaftliche Initiative von Sicherheitsexperten. PTES wird bis heute … [Read more…]

TISAX (Trusted Information Security Assessment Exchange) ist der branchenspezifische Sicherheitsstandard der Automobilindustrie – entwickelt vom VDA und betrieben durch die ENX Association. Er stellt sicher, dass Unternehmen nachweislich ein hohes Niveau an Informationssicherheit erfüllen und dieses vertrauenswürdig mit Partnern teilen können. Im Rahmen von TISAX ist die regelmäßige Durchführung von Penetrationstests ein zentraler Bestandteil des … [Read more…]

Die neue NIS2-Richtlinie der EU ist seit Anfang 2023 in Kraft. Sie betrifft nicht mehr nur klassische KRITIS-Betreiber, sondern auch eine breite Palette „wichtiger Einrichtungen“, darunter: Die NIS2 schreibt Penetrationstests nicht explizit vor, verlangt aber Maßnahmen, deren Umsetzung ohne Penetrationstests kaum sinnvoll und prüfbar ist. Artikel 21 der Richtlinie definiert eine zentrale Pflicht: Die Mitgliedstaaten … [Read more…]

Was genau an personenbezogenen Daten bei einem Penetrationstest verarbeitet wird, hängt stark vom Testgegenstand ab. Grundsätzlich kann man aber die folgenden Kategorien unterscheiden. 1. Ansprechpartner beim Kunden Ohne geht’s nicht: Der Pentester braucht Ansprechpersonen. Typischerweise werden hier Name, Position, dienstliche Mailadresse und Telefonnummer verarbeitet – in Mails, im Kalender, im Bericht. Diese Informationen sind meist … [Read more…]