{"id":3275,"date":"2026-06-11T13:33:22","date_gmt":"2026-06-11T11:33:22","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=3275"},"modified":"2026-06-11T13:33:23","modified_gmt":"2026-06-11T11:33:23","slug":"warum-penetrationstests-bei-iso27001-zertifizierungen","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/pentesting\/warum-penetrationstests-bei-iso27001-zertifizierungen\/","title":{"rendered":"ISO 27001 Pentests in der Praxis: Zwischen Auditoren-Launen und echtem Risikomanagement"},"content":{"rendered":"\n

Wer sich im Rahmen einer ISO\/IEC 27001:2022 Zertifizierung<\/strong> mit dem Thema Penetration Testing auseinandersetzt, merkt schnell: Die Theorie der Norm und die Realit\u00e4t im Audit klaffen oft meilenweit auseinander. Da die Norm Penetrationstests nicht pauschal als Pflichtma\u00dfnahme vorschreibt, sondern einen risikobasierten Ansatz fordert, betreten viele Unternehmen im Audit eine regulatorische Grauzone.<\/p>\n\n\n\n

Nach \u00fcber einem Jahrzehnt und hunderten Pentest-Projekten im Zertifizierungskontext sehen wir immer wieder dieselben Muster, Missverst\u00e4ndnisse und Fehlinterpretationen auf Auditorenseite.<\/p>\n\n\n\n

Hier sind vier ungesch\u00f6nte Praxis-Insights, die so in keinem Lehrbuch stehen.<\/p>\n\n\n\n

1. Die „Auditoren-Lotterie“: Warum Sie Ihr Scoping selbst in die Hand nehmen m\u00fcssen<\/h3>\n\n\n\n

Die Anforderungen von Auditoren dar\u00fcber, was genau, wie tief und in welchem Umfang gepr\u00fcft werden soll, schwanken massiv. Was Auditor A bei der Zertifizierungsstelle X als \u201evollkommen ausreichend\u201c durchwinkt, f\u00fchrt bei Auditor B von Zertifizierungsstelle Y zu einer bitteren Abweichung.<\/p>\n\n\n\n

Viele Auditoren sind methodisch stark im \u00dcberpr\u00fcfen von Prozessen, sto\u00dfen bei der Definition von technischen Angriffsfl\u00e4chen aber an ihre Grenzen.<\/p>\n\n\n\n

\n

Der Praxis-Tipp:<\/strong> Warten Sie nicht darauf, dass der Auditor Ihnen sagt, was Sie testen sollen. Legen Sie als Unternehmen im Rahmen Ihres ISMS ein fundiertes, schriftlich argumentiertes Scoping<\/strong> selbst fest. Wenn Sie sauber dokumentieren, warum bestimmte Systeme (risikobasiert!) im Fokus stehen und andere nicht, akzeptieren Auditoren diese Argumentation fast immer.<\/p>\n<\/blockquote>\n\n\n\n

2. Der Mythos der Erst-Zertifizierung: Kein Pentest im ersten Jahr?<\/h3>\n\n\n\n

Es ist ein offenes Geheimnis in der Compliance-Welt: Bei einer Erst-Zertifizierung<\/strong> nach ISO 27001 verlangen \u00fcberraschend viele Auditoren noch keinen fertigen Penetrationstest. Warum? Weil im ersten Audit prim\u00e4r gepr\u00fcft wird, ob die Prozesse<\/em> des ISMS etabliert sind. Es reicht den Pr\u00fcfern oft, wenn im Risikobehandlungsplan steht, dass<\/em> ein technisches Sicherheitspr\u00fcfverfahren geplant ist.<\/p>\n\n\n\n

Das dicke Ende kommt jedoch ein Jahr sp\u00e4ter im ersten \u00dcberwachungsaudit. Wer sich im ersten Jahr darauf ausruht, steht im zweiten Jahr unter massivem Zeitdruck. Sp\u00e4testens dann wird der Nachweis \u00fcber die Identifikation technischer Schwachstellen (Control A.8.8) knallhart eingefordert.<\/p>\n\n\n\n

3. Das „Scope-Hopping“: J\u00e4hrlich wechselnde Pentests sind kein Best-Practice<\/h3>\n\n\n\n

Um Kosten zu sparen und dennoch das j\u00e4hrliche H\u00e4kchen im Auditberichts-Formular zu bekommen, nutzen viele Unternehmen einen Trick:<\/p>\n\n\n\n