Pentest – InfoSec Blog | Patrick Sauer & Dominik Sauer

PTES – Struktur für Pentests, aber kein vollständiger Standard

13. März 2026 by Patrick Sauer Leave a Comment

Der Penetration Testing Execution Standard (PTES) beschreibt eine strukturierte Methodik für die Durchführung von Penetrationstests. Ziel des Standards ist es, typische Projektphasen eines Pentests zu definieren und damit einen nachvollziehbaren Ablauf von der Planung bis zur Dokumentation der Ergebnisse zu schaffen. Der Standard entstand um 2010 als gemeinschaftliche Initiative von Sicherheitsexperten. PTES wird bis heute häufig als Referenz genannt, wenn es um den generellen Ablauf eines Penetrationstests geht. In der Praxis dient er jedoch meist eher als konzeptioneller Rahmen als als vollständige technische Methodik.

Die PTES-Phasen

PTES unterteilt einen Penetrationstest in sieben typische Projektphasen.

Pre-Engagement Interactions
In dieser Phase werden organisatorische und rechtliche Rahmenbedingungen festgelegt. Dazu gehören insbesondere Scope, Testziele, Kommunikationswege sowie die sogenannten Rules of Engagement.

Intelligence Gathering
Hier werden Informationen über die Zielumgebung gesammelt. Dazu zählen beispielsweise öffentlich verfügbare Daten, DNS-Informationen, Subdomains oder Hinweise auf eingesetzte Technologien.

Threat Modeling
Auf Basis der gesammelten Informationen werden mögliche Angriffsszenarien bewertet. Ziel ist es, realistische Angriffspfade und besonders kritische Systeme zu identifizieren.

Vulnerability Analysis
In dieser Phase werden potenzielle Schwachstellen identifiziert. Dies erfolgt in der Regel durch eine Kombination aus automatisierten Scans und manuellen Analysen.

Exploitation
Gefundene Schwachstellen werden anschließend praktisch überprüft. Dabei wird untersucht, ob und in welchem Umfang eine Ausnutzung möglich ist.

Post-Exploitation
Nach erfolgreichem Zugriff wird analysiert, welche weiteren Auswirkungen möglich sind. Dazu gehören beispielsweise Privilege Escalation, Zugriff auf sensible Daten oder laterale Bewegungen im Netzwerk.

Reporting
Am Ende des Projekts werden alle Ergebnisse dokumentiert. Der Bericht beschreibt identifizierte Schwachstellen, deren Auswirkungen sowie mögliche Maßnahmen zur Behebung.

Die Phasen bilden damit eine sinnvolle Struktur für den Ablauf eines Penetrationstest-Projekts.

Kritische Betrachtung

Trotz seiner Bekanntheit ist PTES heute selten die alleinige methodische Grundlage für Penetrationstests.

Ein wesentlicher Grund ist die begrenzte technische Detailtiefe des Standards. Die beschriebenen Phasen definieren zwar den Ablauf eines Pentests, enthalten jedoch nur wenige konkrete Prüfmethoden. Für die praktische Durchführung sind daher zusätzliche technische Leitfäden und eigene Methodiken notwendig.

Hinzu kommt, dass der Standard seit seiner ursprünglichen Veröffentlichung nur begrenzt weiterentwickelt wurde. Einige technische Beispiele im PTES beziehen sich auf inzwischen veraltete Plattformen und Werkzeuge. So werden in den technischen Abschnitten beispielsweise ältere Windows-Versionen wie Windows XP oder Windows 7 als Referenzsysteme genannt.

Auch moderne IT-Architekturen werden im ursprünglichen PTES kaum behandelt. Themen wie Cloud-Infrastrukturen, containerisierte Plattformen oder komplexe Identity-Systeme spielen im Standard nur eine untergeordnete Rolle.

Darüber hinaus handelt es sich beim PTES nicht um einen formal gepflegten Industriestandard mit klar definierter Governance. Eine regelmäßige Aktualisierung durch eine Standardisierungsorganisation findet nicht statt. Dadurch entwickelt sich der Standard nicht weiter und bildet keine aktuellen technische Entwicklungen ab.

Anforderungen an einen TISAX-Pentest

31. Oktober 2025 by Patrick Sauer Leave a Comment

TISAX (Trusted Information Security Assessment Exchange) ist der branchenspezifische Sicherheitsstandard der Automobilindustrie – entwickelt vom VDA und betrieben durch die ENX Association. Er stellt sicher, dass Unternehmen nachweislich ein hohes Niveau an Informationssicherheit erfüllen und dieses vertrauenswürdig mit Partnern teilen können.

Im Rahmen von TISAX ist die regelmäßige Durchführung von Penetrationstests ein zentraler Bestandteil des technischen Sicherheitsnachweises. Sie dienen dazu, die Wirksamkeit der implementierten Schutzmaßnahmen praktisch zu überprüfen und Sicherheitslücken frühzeitig zu erkennen. So wird sichergestellt, dass Unternehmen nicht nur Richtlinien erfüllen, sondern ihre Systeme tatsächlich gegen reale Angriffe abgesichert sind.

Im Katalog Information Security Assessment 6.0.2 (ISA6 DE 6.0.2) des VDA werden an zwei Stellen die Durchführung von Penetrationstest gefordert. Das erste mal im Punkt 5.2.6 Inwieweit werden IT-Systeme und -Dienste technisch überprüft (System- und Dienst-Audit)?

Grundsätzlich gilt: Es sind System- und Dienstaudits verbindlich durchzuführen, im Voraus zu planen und mit allen Beteiligten abzustimmen. Ihre Ergebnisse müssen nachvollziehbar dokumentiert, dem Management berichtet und für die Ableitung geeigneter Maßnahmen genutzt werden. Zusätzlich sollten System- und Dienstaudits regelmäßig und risikobewusst geplant sowie von qualifiziertem Fachpersonal mit geeigneten Werkzeugen durchgeführt werden – sowohl aus dem internen Netzwerk als auch vom Internet aus. Nach Abschluss ist zeitnah ein Auditbericht zu erstellen. Auch wenn ein Penetrationstest hilft, diese Anforderungen umzusetzen, kommt die konkrete Forderung danach erst bei den Zusatzanforderungen bei hohem Schutzbedarf:

Für kritische IT-Systeme oder -Dienste wurden zusätzliche Anforderungen an das System- oder Dienst-Audit identifiziert, die erfüllt werden (z. B. dienstspezifische Tests und Werkzeuge und/oder Penetrationstests, risikobasierte Zeitintervalle)

Die nächste Erwähnung findet im Punkt 5.3.1 Inwieweit wird Informationssicherheit bei neuen oder weiterentwickelten IT-Systemen berücksichtigt? statt.

Grundsätzlich gilt: Bei Planung, Entwicklung, Beschaffung und Änderung von IT-Systemen müssen die Anforderungen an die Informationssicherheit stets ermittelt, berücksichtigt und in Sicherheits-Abnahmetests überprüft werden. Lastenhefte sollten Sicherheitsvorgaben, bewährte Verfahren und Ausfallsicherheit enthalten und vor dem produktiven Einsatz geprüft werden. Der Einsatz produktiver Daten zu Testzwecken ist zu vermeiden oder durch gleichwertige Schutzmaßnahmen abzusichern. Bei den Zusatzanforderungen bei sehr hohem Schutzbedarf wird dann wieder auf einen Penetrationstest referenziert:

Die Sicherheit von für einen bestimmten Zweck speziell entwickelter Software oder von in erheblichem Umfang maßgeschneiderter Software wird geprüft (z. B. Penetrationstests), während der Inbetriebnahme, im Falle wesentlicher Änderungen und in regelmäßigen Abständen.

Die Anforderungen an einen Penetrationstest sind zur Erfüllung von 5.2.6 vergleichsweise unspezifisch. Wird keine eigene Softwareentwicklung betrieben – weder intern noch im Auftrag – beschränkt sich der Test in der Regel auf einen externen Penetrationstest zur Überprüfung öffentlich erreichbarer Dienste (z. B. der Website) sowie auf die Analyse des internen Netzwerks. Bei klassischen IT-Landschaften liegt der Fokus dabei meist auf dem Active Directory, der Firewall und den intern erreichbaren Systemen.

Die Durchführung erweiteter Pentests wie z.B. inklusive Social Engineering, Phishing, physische Sicherheitsüberprüfungen oder DDoS-Tests sind im überschaubaren Normalfall in der Regel nicht erforderlich.

NIS2 und Penetrationstests – Pflicht oder Kür?

12. Juni 2025 by Patrick Sauer Leave a Comment

Die neue NIS2-Richtlinie der EU ist seit Anfang 2023 in Kraft. Sie betrifft nicht mehr nur klassische KRITIS-Betreiber, sondern auch eine breite Palette „wichtiger Einrichtungen“, darunter:

mittelgroße und große Unternehmen in Energie, Transport, Finanzwesen, Gesundheitswesen,
Hosting-Provider, Rechenzentren, DNS-Dienste,
(fast) jedes Tech-Unternehmen, das „wesentliche Dienste“ erbringt.

Die NIS2 schreibt Penetrationstests nicht explizit vor, verlangt aber Maßnahmen, deren Umsetzung ohne Penetrationstests kaum sinnvoll und prüfbar ist. Artikel 21 der Richtlinie definiert eine zentrale Pflicht:

Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.

Die Richtlinie nennt Penetrationstests nicht namentlich, aber sie impliziert sie mehrfach, nämlich durch die regelmäßige Prüfungen der Wirksamkeit der Maßnahmen und nach dem Stand der Technik ist das eben die Durchführung eines Penetrationstests.

Die österreichische Sicherheits-ÖNORM A 7700 für Webapplikationen

14. September 2022 by Patrick Sauer Leave a Comment

Manche Normen können überraschen, sogar positiv. Die österreichische ÖNORM A7700 stellt Sicherheitsanforderungen an Webapplikationen. Obwohl die A7700 in Deutschland weitestgehend unbekannt ist, lohnt es sich dennoch einen Blick auf die Norm der Republik Österreich zu werfen.

Die Vorversion der ÖNORM A7700 wurde als ONR 17700 zwischen 2004 und 2005 entwickelt. Seit 2008 ist sie als ÖNORM der definierte Stand der Technik für die Beschaffung und Entwicklung von sicheren Webapplikationen in Österreich. In 2019 wurde die Norm grundlegend überarbeitet und liegt unterteilt in 4 Teilen vor:

ÖNORM A 7700-1: Webapplikationen – Begriffe
ÖNORM A 7700-2: Webapplikationen – Anforderungen durch Datenschutz
ÖNORM A 7700-3: Webapplikationen – Sicherheitstechnische Anforderungen
ÖNORM A 7700-4: Webapplikationen – Anforderungen an den sicheren Betrieb

Den ersten Teil mit Begriffsdefinitionen kann sich der geneigte Leser direkt ersparen und der zweite Teil ist eher den typischen Datenschutzthemen zuzuordnen. Teil 3 und Teil 4 sind spannender.

ÖNORM A 7700-3: Webapplikationen Sicherheitstechnische Anforderungen

Die A 7700-3 ist erfrischend technisch konkret, soweit eine Norm das sein kann:

Die Sicherheitsanforderungen an Webapplikationen werden in der Regel aus einer generischen und aus einer technologieunabhängigen Sicht behandelt. Die einzelnen Anforderungen werden daher in dieser ÖNORM nicht auf spezifische technologische Lösungen abgebildet, wodurch ein entsprechend hoher Wissensstand beim Benutzer dieser ÖNORM vorausgesetzt wird. Ergänzende Informationen können aus der einschlägigen Fachliteratur bezogen werden. Als einschlägige Fachliteratur kann z. B. der OWASP Testing Guide in der jeweils aktuellen
ÖNORM A 7700-3:2019-10, Seite 5

Dabei werden in der A7700-3 folgende Themen behandelt:

Architektur der Webapplikation
Datenspeicherung und Datentransport
Konfigurationsdaten
Authentifizierung, Autorisierung und Sitzungen
Session-Riding
Click-Jacking
Behandlung von Eingaben
Datenverarbeitung (u.a. Injections)
Behandlung von Datenausgaben
Behandlung von Dateien
System- und Fehlermeldungen
Kryptographie
Protokollierung
Replay-Angriffe
Dokumentation

ÖNORM A 7700-4: Webapplikationen Anforderungen an den sicheren Betrieb

Die A7700-4 stellt Anforderungen an den Betrieb einer sicheren Webapplikation, wobei direkt am Anfang der Norm ein ISMS gefordert wird. Das ist relativ generisch und zwar auch wahr, wenn auch weniger hilfreich. Die nachfolgenden Punkte können eher als eine grundlegende Checkliste dienen:

Informationssicherheitsmanagementsystem
Einhaltung des Minimalprinzips
Verwendete Softwarekomponenten
Konfiguration der Komponenten
Behandlung von Daten (u.a. Verschlüsselung)
Konfiguration von HTTP-Header
Protokollierung

Penetrationstests beim MPA Content Security Program

9. Juni 2022 by Patrick Sauer Leave a Comment

Das Content Security Program der Motion Picture Association (MPA) legt in ihren Content Security Best Practices Common Guidelines (Version 4.10 vom 8. Februar 2022) Sicherheitsanforderungen in drei Bereichen fest:

Management System
Physical Security
Digital Security

In den Anforderungen an das Management System wird in der Nummer MS-2.1 in der Kategorie Risk Management die Durchführung von Schwachstellen-Scans und externen Penetrationstests durchgeführt. Hierbei wird auf die Anfordeurngen DS-1.8 und DS-1.9 verwiesen.

In der Anforderung DS-1.9 (Firewall / WAN / Perimeter Security) wird die Durchführung jährlicher Penetrationstests aller externen IP-Adressen und Systemen verlangt. Die DS-1.8 verlangt zusätzlich die monatliche Durchführung von Schwachstellen-Scans.

Weiterhin findet man zusätzlich die Anforderung zur Durchführung von Webanwendungs-Penetrationstests (DS-15.9, Client Portal). Hier werden etwas detailreichere Anforderungen gestellt:

Der Pentest soll auch eventuelle APIs beinhalten.
Der Test soll sowohl mit als auch ohne valide Zugangsdaten durchgeführt werden.
Die typischen Guidlines wie z.B. die Veröffentlichungen von OWASP sollen beachtet werden, sodass auch XSS, SQL Injections, und CSRF gefunden werden kann.

Es wird dabei allgemein empfohlen, dass die Penetrationstests von einer unabhängigen dritten Stelle durchgeführt werden.

Common Vulnerability Scoring System (CVSS) – ein (subjektiv) einheitliches Bewertungsschema für Sicherheitslücken?

4. August 2021 by Dominik Sauer Leave a Comment

Es kann sehr fesselnd sein, in der Rolle eines Angreifers in fremde IT-Systeme einzudringen. Als Penetrationstester sollte dabei jedoch nie das eigentliche Ziel aus den Augen verloren werden: die Identifikation aller Einstiegspunkte bzw. Sicherheitslücken in einem Zielsystem. Die Liste von Schwachstellen kann sehr lang und unübersichtlich werden. Um einem Auftraggeber aber mitzuteilen, welche Schwachstellen zuerst adressiert bzw. behoben werden sollten, müssen die ermittelten Schwachstellen nach ihrem Risiko geordnet werden.

Grundsätzlich kann das Risiko einer Schwachstelle über zwei verschiedene Arten dargestellt werden. So kann entweder ein konkreter Zahlenwert ermittelt (bspw. 1.034,99 Euro) werden oder eine Aussage über die Schwere des Risikos getroffen (wie gering, mittel, hoch) werden. Der konkrete Zahlenwert ist das Ergebnis einer quantitativen Risikoanalyse. Diese eignet sich beispielsweise zur Bestimmung des Risikos eines Festplattenausfalls, da Festplatten einen konkreten Preis und eine durchschnittliche Lebensdauer haben. Im Gegensatz dazu liegen einem Pentester bei Schwachstellen von IT-Systemen normalerweise nicht genug Informationen dieser Art vor, sodass diese Form der Risikoanalyse nicht empfehlenswert ist. Stattdessen kann aber eine qualitative Risikoanalyse vorgenommen werden, da immer Aussagen über die Eintrittswahrscheinlichkeit und das mögliche Schadensausmaß einer Schwachstelle getroffen und somit die Schwere des Risikos abgeschätzt werden kann. Wie bei einer Schätzung üblich, werden verschiedene Pentester zu unterschiedlichen Risikobewertungen gelangen, da ihre Wahrnehmung und Erfahrungen uneinheitlich sind – selbst, wenn sie sich auf dasselbe Bewertungsschema beziehen.

Jedoch benötigen gerade regulatorische Stellen wie das Regierungspräsidium Darmstadt ein einheitliches System, da sie konkrete Anforderungen und Maßnahmen definieren müssen. Infolgedessen fordern sie von Pentestern eine Risikobewertung nach dem Common Vulnerability Scoring System (CVSS) durchzuführen. Bei diesem handelt es sich um ein metrisches Bewertungsschema, welches einer Schwachstelle eine Punktzahl bzw. einen Score zwischen 0 und 10 zuweist – je höher der Score desto gravierender ist das Risiko einer Schwachstelle. Auch wenn das Risiko einer Schwachstelle beim CVSS anhand einer Vielzahl von Parametern berechnet wird (s. https://www.first.org/cvss/calculator/3.1), liegen Kenngrößen wie die Auswirkung einer erfolgreich ausgenutzten Schwachstelle auf die Integrität im Ermessen der Pentester. Somit können Risikoangaben wie der CVSS Score einem Auftraggeber zwar als Richtwert dienen, jedoch sollte intern immer eine eigene Schwachstellenbewertung vorgenommen werden.

Die Aussagekraft von Vulnerability-Scanner vs. Penetrationstests

2. Juli 2019 by Dominik Sauer 1 Comment

It is worth mentioning that automated methods are much faster in performing the security analysis.
Alavi, Bessler und Massoth 2018

Die vorherige Anmerkung von Alavi, Bessler und Massoth schildert den ausschlaggebenden Beweggrund hinter den Einsatz von Vulnerability-Scanner bei der Durchführung von Penetrationstests: Zwar haben beide als Hauptaufgabe die Identifikation von Schwachstellen in IT-Systemen, jedoch geschieht dies bei Vulnerability-Scannern rein automatisiert, welche lediglich von einem Anwender konfiguriert und gestartet werden müssen. Wegen den geringeren personellen Ressourcen sollten Kunden beim Einkauf eines Pentests Acht geben, nicht mit einem aufbereiteten Vulnerability-Scan-Report „abgespeist“ zu werden.

Inwieweit die Ergebnisse eines Vulnerability-Scanners mit einem Penetrationstest verglichen werden können, haben zwei BACPPler – Saed Alavi und Niklas Bessler – in ihrem Paper „A Comparative Evaluation of Automated Vulnerability Scans Versus Manual Penetration Tests on False-negative Errors“ gezeigt. Für ihre Analyse haben sie sich die Frage gestellt, wie viele Schwachstellen von einem Vulnerability-Scanner und einem Penetrationstester nicht als solche identifiziert werden, obwohl die Lücken vorhanden sind? Im Wissenschaftsjargon ist hier die Rede von der False-Negative-Rate (FNR). Dazu haben sie eine mit Schwachstellen übersäte IT-Infrastruktur aufgebaut und diese sowohl einem Penetrationstest als auch einem Vulnscan unterzogen. Wie – zugegebenermaßen – zu erwarten war, kamen sie zu dem Schluss, dass Penetrationstests zwar Vulnerablity-Scans beinhalten können, aber mit ihren manuellen Prüfphasen weit darüber hinaus gehen:

„Most importantly, we have seen a remarkable higher false-negative rate in the vulnerability scan, which suggests that automated methods cannot replace manual penetration testing. However, the combination of both methods is a conceivable approach.“
Alavi, Bessler und Massoth 2018

Dennoch ist der Einsatz von Vulnerability-Scannern nicht obsolet: Auch wenn die Fülle an Informationen eines Vulnerability-Scanners erst überblickt, sortiert und ausgewertet werden muss – je nach Scanner kann dies leider selbst einen Fachmann benötigen -, sind sie ein Werkzeug um die eigene IT zu härten.

Best of Pentest-Akquise

20. Juli 2017 by Patrick Sauer Leave a Comment

Vertrieb, Sales, Akquise.. alles ein hartes Geschäft. Manchmal hat man Glück, meistens hat man Pech. Normales Business. Aber manchmal.. fehlen einem die Worte – Reaktion am Telefon (sinngemäß wiedergegeben):

„Also von Pentests halte ich nichts. Die kosten nur Geld. Dann werden irgendwelche Sicherheitslücken gefunden. Und dann muss man noch mehr Geld ausgeben, um die Lücken zu beheben. Das ist einfach zu teuer.“

TOP!

Blackbox-Pentests sind der falsche Ansatz

11. Februar 2017 by Patrick Sauer Leave a Comment

Whitebox-, Greybox- oder Blackbox-Pentests? Offen gesagt, sind meiner Meinung nach Blackbox-Pentests der falsche Ansatz. Während bei einem Whitebox- oder Greybox-Pentest dem Penetration Tester alle notwendigen oder zumindest alle hilfreichen Informationen zum Ziel vorliegen, liegen bei einem Blackbox-Pentest dem Penetration Tester gar keine Informationen vor. Er hat sozusagen die gleiche Sicht, wie es ein böswilliger externer Angreifer hätte. Die Aussagekraft eines Blackbox-Pentests ist somit klar: Wie viel Informationen kann ein Angreifer über ein Ziel sammeln, wie weit kann er vorgehen, wie weit kann er in ein Unternehmen oder in ein IT-System eindringen?

Sorry, aber das ist aus Kundensicht Geldverschwendung.

Erstens stimmt das mit der Aussagekraft nur bedingt: Während ein böswilliger Angreifer überhaupt keine Probleme hätte, eine spezifische Zielperson per Xing/LinkedIn ausfindig zu machen und ihr z.B. gezielten Schadcode am Virenscanner vorbei unterschiebt oder es ganz einfach mit Social Engineering versucht, wird diese Herangehensweise in den meisten Fällen – und aus guten Gründen – bei einem professionellen Pentest ausgeschlossen (der Betriebsfrieden lässt grüßen).

Zweitens kann es sein, dass ein Penetration Tester bei einem Blackbox-Pentest gar nicht in der Lage ist, alle notwendigen Prüfungen zu machen – entweder scheitert er an einer Loginmaske und kann gar keine Schwachstellen in der Anwendung dahinter sehen – oder trotz gutem Information Gathering werden gar nicht alle öffentlich erreichbaren Systeme identifiziert.

Drittens verbringt der Penetration Tester am Ende auch Zeit damit Sachen herauszufinden, die man ihm hätte auch einfach mitteilen können. Der Aufwand von Blackbox-Pentests ist sehr schwer zu kalkulieren und sind im Zweifel immer mehr Aufwand.

Insgesamt ist das Verhältnis zwischen Aussagekraft und Aufwand/Kosten nicht optimal. Ich rate stets davon ab.

Artikel in der iX 10/2016: Momentaufnahme – Was Penetrationstests erreichen können

1. Oktober 2016 by Patrick Sauer Leave a Comment

In der Oktober-Ausgabe der iX aus dem Heise-Verlag ist mein erster Artikel im Print-Bereich erschienen:

Momentaufnahme – Was Penetrationstests erreichen können

Ein Penetrationstest kann zwar typische Schwachstellen im Firmennetz aufdecken, ist aber kein Allheilmittel. Welche Erkenntnisse diese Einbruchssimulationen wirklich bringen, hängt von verschiedenen Randbedingungen ab…

https://www.heise.de/select/ix/2016/10/1475741089664718