KI-Floskeln vs. Realität: Warum „Pentest nach BSI oder NIST“ keine Leistungsbeschreibung ist

Leave a Comment

In vielen aktuellen Anfragen und Ausschreibungen für Penetrationstests wird explizit auf „den BSI-Standard“ oder „den NIST-Standard“ verwiesen. Das klingt zunächst nach methodischer Reife und klaren Qualitätsanforderungen. Aus meiner Sicht ist diese Entwicklung aber nicht unproblematisch: Beide Referenzen sind sehr generisch und ersetzen keine konkrete Leistungsbeschreibung für einen modernen Penetrationstest.

Mittlerweile würde ich schätzen, dass gut ein Drittel aller Anfragen und Ausschreibungen, die wir auf den Tisch bekommen, primär KI-generiert sind. Der Trend zur pauschalen Referenzierung solcher Standards wird durch den unüberlegten Einsatz von Large Language Models massiv verstärkt. Eine KI spuckt auf Knopfdruck sofort plausible, industrieübliche Fachbegriffe und Frameworks aus. Das Ergebnis: Ausschreibungen wirken auf den ersten Blick fachlich hochgradig belastbar, bleiben inhaltlich aber völlig unscharf.

Die Nennung von BSI oder NIST beantwortet eben noch nicht, welche Systeme getestet werden sollen, welche Testtiefe erwartet wird, ob Exploitation erlaubt ist, welche Rollen bereitgestellt werden, welche Nachweise erforderlich sind oder wie der Bericht aufgebaut sein soll.

Genau deshalb lohnt sich ein genauerer Blick auf beide Referenzen. Nicht, weil NIST SP 800-115 oder das BSI-Durchführungskonzept ungeeignet wären. Im Gegenteil: Beide Dokumente liefern hilfreiche Orientierung. Aber man muss verstehen, wofür sie gedacht sind, wo ihre Grenzen liegen und warum ihre bloße Nennung in einer Ausschreibung noch keine belastbare Pentest-Anforderung ergibt.

Zwei Referenzen mit unterschiedlichem Anspruch

Penetrationstests werden häufig als rein technische Disziplin verstanden: scannen, Schwachstellen finden, ausnutzen, berichten. Wer sich jedoch mit etablierten Standards beschäftigt, merkt schnell, dass professionelle Penetrationstests weit mehr sind als der Einsatz einzelner Tools. Sie sind ein gesteuerter Prozess mit klaren Zielen, definiertem Umfang, rechtlichen Rahmenbedingungen, methodischer Durchführung und nachvollziehbarer Bewertung.

Zwei wichtige Referenzen in diesem Kontext sind die NIST Special Publication 800-115 „Technical Guide to Information Security Testing and Assessment“ und die BSI-Studie „Durchführungskonzept für Penetrationstests“. Beide Dokumente verfolgen das Ziel, Sicherheitsüberprüfungen strukturierter, vergleichbarer und belastbarer zu machen. Dennoch setzen sie unterschiedliche Schwerpunkte.

Der zentrale Unterschied lässt sich knapp zusammenfassen:

  • NIST SP 800-115 ist ein breiter technischer Assessment-Leitfaden.
  • Die BSI-Studie ist ein stärker auf konkrete Penetrationstests ausgerichtetes Durchführungskonzept.

NIST SP 800-115: Security Assessment statt nur Penetration Testing

NIST SP 800-115 wird im Pentesting-Kontext häufig genannt, ist aber kein reines Penetration-Testing-Framework. Der Leitfaden betrachtet technische Sicherheitsüberprüfungen umfassender und unterscheidet drei grundlegende Assessment-Methoden:

  • Testing: Beschreibt das aktive Prüfen von Systemen unter definierten Bedingungen. Hierunter fällt auch Penetration Testing.
  • Examination: Meint die eher passive Untersuchung von Artefakten wie Richtlinien, Sicherheitskonzepten, Konfigurationen, Logdateien oder Firewall-Regelwerken.
  • Interviewing: Ergänzt diese Perspektive durch strukturierte Gespräche mit Administratoren, Fachbereichen oder Management, um Prozesse, Verantwortlichkeiten und gelebte Sicherheitspraktiken zu bewerten.

Damit positioniert NIST Penetration Testing als wichtigen, aber nicht alleinigen Bestandteil eines technischen Sicherheits-Assessments. Das ist ein wichtiger Punkt: Nicht jede Sicherheitsprüfung ist ein Pentest, und nicht jede Schwachstellenliste ist automatisch ein belastbarer Sicherheitsnachweis.

Für Penetration Testing selbst beschreibt NIST eine Vier-Phasen-Methodik:

  1. Planning: In der Planungsphase werden Ziele, Scope, rechtliche Freigaben und organisatorische Rahmenbedingungen festgelegt.
  2. Discovery: Die Discovery-Phase umfasst Informationssammlung, Scanning und Schwachstellenanalyse.
  3. Attack: In der Attack-Phase werden Schwachstellen kontrolliert ausgenutzt, um tatsächliche Risiken zu validieren.
  4. Reporting: Das Reporting dokumentiert Ergebnisse, Angriffspfade, Risiken und priorisierte Maßnahmen zur Behebung.

Besonders wertvoll ist bei NIST die klare Abgrenzung zwischen Vulnerability Scanning und Penetration Testing. Ein Schwachstellenscan liefert vor allem Rohdaten und potenzielle Findings. Ein Penetrationstest validiert diese Findings, verknüpft sie mit Kontext und zeigt, welche Auswirkungen eine Schwachstelle tatsächlich haben kann. Genau dieser manuelle, expertengetriebene Anteil macht den Unterschied zwischen einem Scanbericht und einem echten Pentest aus.

BSI-Durchführungskonzept: Der Pentest als kontrolliertes Projekt

Die BSI-Studie „Durchführungskonzept für Penetrationstests“ ist enger auf Penetrationstests als konkrete Prüfvorhaben ausgerichtet. Sie beschreibt einen strukturierten Ansatz zur Planung, Durchführung und Bewertung von Penetrationstests und berücksichtigt dabei nicht nur technische, sondern auch organisatorische, rechtliche und wirtschaftliche Rahmenbedingungen.

Der historische Kontext ist dabei wichtig: Die Studie ist stark vom deutschen Behörden- und Verwaltungsumfeld geprägt. Sie richtet sich insbesondere an Auftraggeber, IT-Sicherheitsdienstleister und Entscheidungsträger im Sicherheitsumfeld. Dadurch ist sie besonders anschlussfähig für öffentliche Stellen, regulierte Organisationen und Unternehmen, die Wert auf Nachvollziehbarkeit, Vertragsklarheit und Rechtssicherheit legen.

Das BSI-Modell beschreibt einen fünfphasigen Ablauf:

  1. Vorbereitung: Die Vorbereitung hat einen besonders hohen Stellenwert. Ziele, Umfang, rechtliche Grenzen, Kommunikationswege, Verantwortlichkeiten und Notfallkontakte müssen vor Testbeginn geklärt sein. Das ist nicht nur organisatorisch sinnvoll, sondern auch rechtlich relevant (Stichwort „Hackerparagraf“ § 202c StGB).
  2. Informationsbeschaffung: Sammlung von Daten über Zielsysteme und Angriffsflächen.
  3. Bewertung der Informationen und Risiken: Die gewonnenen Informationen werden bewertet und potenzielle Schwachstellen priorisiert.
  4. Aktive Eindringversuche: Reale Angriffsszenarien werden kontrolliert simuliert.
  5. Abschlussanalyse und Clean-up: Umfasst die Bewertung der Ergebnisse, die Dokumentation und die Wiederherstellung des ursprünglichen Systemzustands.

Ein wichtiger Vorteil des BSI-Ansatzes ist seine Projektorientierung. Die Studie hilft dabei, einen Pentest nicht als lose technische Aktivität zu betrachten, sondern als beauftragtes, gesteuertes und begrenztes Sicherheitsprojekt.

Gemeinsamkeiten: Struktur, Scope und Nachvollziehbarkeit

Trotz unterschiedlicher Perspektiven haben beide Ansätze eine klare gemeinsame Grundlage: Professionelle Penetrationstests brauchen Struktur.

Sowohl NIST als auch BSI betonen, dass Ziele, Scope, Testgrenzen, Verantwortlichkeiten und Dokumentation vorab geklärt werden müssen. Beide Ansätze verhindern damit ein häufiges Missverständnis: Ein Pentest ist kein unkontrolliertes „Hacking auf Zuruf“, sondern eine abgestimmte Sicherheitsprüfung mit definierten Regeln.

Beide Modelle legen außerdem Wert auf Risikobewertung. Findings sollen nicht nur technisch beschrieben, sondern in ihrer Bedeutung für die Organisation eingeordnet werden. Entscheidend ist nicht allein, ob eine Schwachstelle existiert, sondern ob sie ausnutzbar ist, welche Auswirkungen sie hat und welche Maßnahmen priorisiert umgesetzt werden sollten.

Auch beim Reporting gibt es große Überschneidungen. Ein guter Bericht muss nachvollziehbar, reproduzierbar und handlungsorientiert sein. Er sollte nicht nur technische Details enthalten, sondern Management, IT-Betrieb und Sicherheitsverantwortliche gleichermaßen unterstützen.

Unterschiede: Breites Assessment-Modell vs. deutscher Pentest-Prozess

Der wichtigste Unterschied liegt im Blickwinkel.

NIST SP 800-115 denkt vom umfassenden Security Assessment aus. Penetration Testing ist darin eine Methode unter mehreren. Dadurch eignet sich NIST besonders gut für Organisationen, die ein übergreifendes Sicherheitsprüfprogramm aufbauen wollen. Der Leitfaden hilft bei der Frage, welche Prüfmethoden wann sinnvoll sind und wie technische Assessments methodisch eingeordnet werden können.

Die BSI-Studie denkt stärker vom einzelnen Penetrationstest aus. Sie beschreibt, wie ein solcher Test vorbereitet, beauftragt, durchgeführt und abgeschlossen werden sollte. Dadurch ist sie besonders hilfreich für konkrete Pentest-Projekte, Ausschreibungen, Leistungsbeschreibungen und Abstimmungen zwischen Auftraggeber und Dienstleister.

Auch kulturell und regulatorisch unterscheiden sich beide Dokumente. NIST ist im US-amerikanischen Behördenkontext entstanden, wird aber international breit rezipiert. Die BSI-Studie ist stärker auf deutsche Rahmenbedingungen, öffentliche Auftraggeber und rechtliche Besonderheiten ausgerichtet. Für Organisationen im deutschsprachigen Raum ist das ein praktischer Vorteil, kann aber die direkte Übertragbarkeit auf internationale Kontexte einschränken.

Warum die Standardreferenz in Ausschreibungen nicht genügt

Die Referenz auf NIST SP 800-115 oder das BSI-Durchführungskonzept kann sinnvoll sein, wenn sie als methodischer Rahmen verstanden wird. Problematisch wird sie, wenn sie die eigentliche Leistungsbeschreibung ersetzt.

Die Formulierung „Durchführung nach BSI“ oder „Test gemäß NIST SP 800-115“ beantwortet zentrale Fragen nicht:

  • Welche Systeme, Anwendungen, Schnittstellen oder Standorte sind im Scope?
  • Erfolgt der Test als Black-Box, Grey-Box oder White-Box?
  • Welche Benutzerrollen, Zugangsdaten oder technischen Informationen werden bereitgestellt?
  • Soll nur identifiziert oder auch aktiv ausgenutzt (Exploitation) werden?
  • Welche Angriffstechniken sind erlaubt oder ausgeschlossen?
  • Darf auf produktiven Systemen getestet werden?
  • Wie werden kritische Findings während des Tests eskaliert?
  • Welche Anforderungen gelten für Bericht, Nachweise, Management Summary und Nachtest?

Ohne diese Konkretisierung bleiben Angebote schwer vergleichbar. Ein Anbieter kann einen sehr begrenzten Schwachstellenscan mit manueller Validierung anbieten, ein anderer einen tiefgehenden Pentest mit Exploitation, Angriffspfad-Analyse und Nachtest. Beide könnten sich formal auf denselben Standard beziehen, würden aber völlig unterschiedliche Leistungen erbringen.

Gerade deshalb sollte eine Ausschreibung Standards nicht nur nennen, sondern operationalisieren.

Grenzen beider Ansätze: Der Altersfaktor ist nicht nur akademisch

Beide Dokumente sind wertvolle Grundlagen, aber sie sind nicht mehr vollständig ausreichend für alle heutigen Pentest-Szenarien. Das liegt nicht nur daran, dass sie generisch formuliert sind. Es liegt auch ganz schlicht am Alter der zugrunde liegenden Referenzen.

NIST SP 800-115 stammt aus dem Jahr 2008. Das BSI-Durchführungskonzept ist in der Praxis stark mit dem „Praxis-Leitfaden für Penetrationstests“ in Version 2.0 verknüpft. Auch dieser Leitfaden gehört in eine Zeit, in der klassische Netzwerk-, Server- und Applikationslandschaften deutlich dominanter waren als heutige Cloud-native, stark automatisierte und identitätszentrierte Umgebungen.

Das unterstreicht die Grenzen dieser Standards sehr deutlich. Moderne Architekturen und Risiken werden dort nicht in der Tiefe behandelt, die heutige Security Assessments erfordern:

  • Cloud-Umgebungen & Serverless-Architekturen
  • Container & Kubernetes
  • Zero Trust & IAM-zentrierte Angriffspfade
  • CI/CD-Pipelines & Infrastructure as Code (IaC)
  • SaaS-Integrationen & Supply-Chain-Risiken

Gerade im DevSecOps-Kontext reicht ein klassisches Phasenmodell allein nicht mehr aus. Dort geht es nicht nur darum, ein Zielsystem zu einem bestimmten Zeitpunkt zu prüfen. Es geht auch um Build- und Deployment-Prozesse, Secret Management, Artefakt-Repositories, Berechtigungen in CI/CD-Systemen, Container-Images, IaC-Templates, Cloud-Rollenmodelle und automatisierte Sicherheitskontrollen entlang der gesamten Lieferkette.

Das macht die Frameworks nicht wertlos. Ihre Stärke liegt weiterhin in der Prozessqualität: klare Zieldefinition, sauberer Scope, rechtliche Absicherung, methodisches Vorgehen, kontrollierte Durchführung, nachvollziehbares Reporting und konkrete Maßnahmenableitung. Diese Prinzipien bleiben auch bei modernen Technologien gültig.

Man sollte die Dokumente daher nicht als aktuelle technische Prüfkataloge lesen, sondern als historische und methodische Grundlagen. Die technische Prüftiefe für moderne Umgebungen muss jedoch durch aktuelle Spezialstandards, projektspezifische Threat Models und konkrete Testanforderungen ergänzt werden.

Praktische Einordnung: Wann welches Modell hilft

Für klassische Infrastruktur-, Netzwerk- und Organisations-Assessments ist NIST SP 800-115 weiterhin ein starkes Fundament. Es eignet sich besonders dann, wenn Penetration Testing in ein größeres Security-Assessment- oder Risikomanagementprogramm eingebettet werden soll.

Die BSI-Studie ist besonders nützlich, wenn ein konkreter Penetrationstest geplant oder beauftragt wird. Sie hilft bei der Abstimmung zwischen Auftraggeber und Dienstleister, bei der Definition rechtlicher und organisatorischer Rahmenbedingungen und bei der strukturierten Durchführung des Projekts.

In der Praxis ist daher nicht die Frage, ob NIST oder BSI „besser“ ist. Sinnvoller ist die Kombination beider Perspektiven, ergänzt um moderne Spezialstandards:

  • NIST liefert den übergeordneten Assessment-Rahmen.
  • Das BSI-Durchführungskonzept liefert die operative Projektlogik für den einzelnen Pentest.
  • Spezialstandards ergänzen beide um die aktuelle technische Tiefe:
    • Webanwendungen & APIs: OWASP Web Security Testing Guide (WSTG)
    • Cloud-Umgebungen: Plattformspezifische Leitfäden und Cloud-Security-Benchmarks (z. B. CIS)
    • Angriffssimulationen: MITRE ATT&CK zur Abbildung realer Taktiken, Techniken und Prozeduren moderner Angreifer.

Fazit

NIST SP 800-115 und das BSI-Durchführungskonzept sind keine konkurrierenden Standards, sondern zwei unterschiedliche Blickwinkel auf professionelle Sicherheitsprüfungen.

  • NIST betrachtet Penetration Testing als Teil eines umfassenderen technischen Security Assessments. Dadurch eignet sich der Leitfaden besonders für Governance, Methodik und die Einbettung in ein wiederholbares Sicherheitsprüfprogramm.
  • Die BSI-Studie betrachtet Penetrationstests stärker als konkrete, beauftragte und rechtlich sauber abgegrenzte Projekte. Dadurch ist sie besonders wertvoll für Auftraggeber, Dienstleister und regulierte Organisationen im deutschsprachigen Raum.

Gleichzeitig sollte man beide Referenzen nicht überbewerten. Sie sind generische Rahmenwerke und stammen aus einer Zeit, in der Cloud-native Architekturen, DevSecOps, moderne IAM-Angriffspfade und Supply-Chain-Risiken noch nicht den heutigen Stellenwert hatten.

Besonders in Ausschreibungen reicht es deshalb nicht aus, pauschal „nach BSI“ oder „nach NIST“ zu verlangen. Wer belastbare, vergleichbare und qualitativ hochwertige Angebote erhalten möchte, muss den erwarteten Test konkret beschreiben.

Die beste Einordnung lautet daher: NIST für das Assessment-Programm, BSI für das Pentest-Projekt, moderne Spezialstandards für die technische Tiefe – und eine gute Ausschreibung für alles, was diese Standards bewusst offenlassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert