Wer sich im Rahmen einer ISO/IEC 27001:2022 Zertifizierung mit dem Thema Penetration Testing auseinandersetzt, merkt schnell: Die Theorie der Norm und die Realität im Audit klaffen oft meilenweit auseinander. Da die Norm Penetrationstests nicht pauschal als Pflichtmaßnahme vorschreibt, sondern einen risikobasierten Ansatz fordert, betreten viele Unternehmen im Audit eine regulatorische Grauzone.
Nach über einem Jahrzehnt und hunderten Pentest-Projekten im Zertifizierungskontext sehen wir immer wieder dieselben Muster, Missverständnisse und Fehlinterpretationen auf Auditorenseite.
Hier sind vier ungeschönte Praxis-Insights, die so in keinem Lehrbuch stehen.
1. Die „Auditoren-Lotterie“: Warum Sie Ihr Scoping selbst in die Hand nehmen müssen
Die Anforderungen von Auditoren darüber, was genau, wie tief und in welchem Umfang geprüft werden soll, schwanken massiv. Was Auditor A bei der Zertifizierungsstelle X als „vollkommen ausreichend“ durchwinkt, führt bei Auditor B von Zertifizierungsstelle Y zu einer bitteren Abweichung.
Viele Auditoren sind methodisch stark im Überprüfen von Prozessen, stoßen bei der Definition von technischen Angriffsflächen aber an ihre Grenzen.
Der Praxis-Tipp: Warten Sie nicht darauf, dass der Auditor Ihnen sagt, was Sie testen sollen. Legen Sie als Unternehmen im Rahmen Ihres ISMS ein fundiertes, schriftlich argumentiertes Scoping selbst fest. Wenn Sie sauber dokumentieren, warum bestimmte Systeme (risikobasiert!) im Fokus stehen und andere nicht, akzeptieren Auditoren diese Argumentation fast immer.
2. Der Mythos der Erst-Zertifizierung: Kein Pentest im ersten Jahr?
Es ist ein offenes Geheimnis in der Compliance-Welt: Bei einer Erst-Zertifizierung nach ISO 27001 verlangen überraschend viele Auditoren noch keinen fertigen Penetrationstest. Warum? Weil im ersten Audit primär geprüft wird, ob die Prozesse des ISMS etabliert sind. Es reicht den Prüfern oft, wenn im Risikobehandlungsplan steht, dass ein technisches Sicherheitsprüfverfahren geplant ist.
Das dicke Ende kommt jedoch ein Jahr später im ersten Überwachungsaudit. Wer sich im ersten Jahr darauf ausruht, steht im zweiten Jahr unter massivem Zeitdruck. Spätestens dann wird der Nachweis über die Identifikation technischer Schwachstellen (Control A.8.8) knallhart eingefordert.
3. Das „Scope-Hopping“: Jährlich wechselnde Pentests sind kein Best-Practice
Um Kosten zu sparen und dennoch das jährliche Häkchen im Auditberichts-Formular zu bekommen, nutzen viele Unternehmen einen Trick:
- Jahr 1: Ein reiner externer Pentest (Infrastruktur & Perimeter).
- Jahr 2: Ein reiner interner Pentest (Active Directory & internes Netz).
- Jahr 3: Pentest der primären Webseite.
Strategisch gesehen erfüllt das zwar die Forderung nach einer „regelmäßigen Überprüfung“ und deckt über den Drei-Jahres-Zertifizierungszyklus theoretisch alles ab. Best-Practice ist das jedoch nicht. Eine kritische externe Sicherheitslücke wartet nicht zwei Jahre, bis sie wieder an der Reihe ist. Auditoren durchschauen dieses „Scope-Hopping“ zunehmend und fordern für geschäftskritische Systeme echte Kontinuität.
4. Der Tunnelblick bei Produkt herstellenden Unternehmen
Wenn Ihr Unternehmen Software, SaaS-Plattformen oder physische Produkte entwickelt, lässt sich bei Auditoren ein starker Tunnelblick beobachten. Es wird fast ausschließlich der Pentest der Software bzw. des eigentlichen Produkts (Control A.8.29) verlangt oder angefragt.
Das führt in der Praxis zu einer gefährlichen Schieflage im Risikomanagement: Der Fokus liegt starr auf der Anwendung, während der interne und externe Angriffsvektor auf das Unternehmen selbst (die Corporate IT, die Arbeitsplätze der Entwickler, Phishing-Resistenz, Ransomware-Schutz) im Rahmen des Audits völlig an Bedeutung verliert. Dabei zeigt die Realität: Die meisten Supply-Chain-Angriffe starten nicht in der produktiven Software, sondern über kompromittierte Office-Netzwerke der Mitarbeiter.
Das Fazit
Ein Penetrationstest für die ISO 27001 sollte niemals eine reine Alibi-Veranstaltung für das Audit-Protokoll sein. Nutzen Sie die Freiheit, die Ihnen der risikobasierte Ansatz der Norm bietet, um dem Auditor mit einem durchdachten, proaktiven Prüfkonzept zu begegnen. Wer die eigenen Hausaufgaben im Risikomanagement macht, führt die Diskussion im Audit nicht defensiv, sondern auf Augenhöhe.
