{"id":4002,"date":"2026-03-13T11:54:29","date_gmt":"2026-03-13T09:54:29","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=4002"},"modified":"2026-03-13T12:16:44","modified_gmt":"2026-03-13T10:16:44","slug":"ptes-struktur-fuer-pentests-aber-kein-vollstaendiger-standard","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/pentest\/ptes-struktur-fuer-pentests-aber-kein-vollstaendiger-standard\/","title":{"rendered":"PTES \u2013 Struktur f\u00fcr Pentests, aber kein vollst\u00e4ndiger Standard"},"content":{"rendered":"\n<p>Der <strong>Penetration Testing Execution Standard (PTES)<\/strong> beschreibt eine strukturierte Methodik f\u00fcr die Durchf\u00fchrung von Penetrationstests. Ziel des Standards ist es, typische Projektphasen eines Pentests zu definieren und damit einen nachvollziehbaren Ablauf von der Planung bis zur Dokumentation der Ergebnisse zu schaffen. Der Standard entstand um 2010 als gemeinschaftliche Initiative von Sicherheitsexperten. PTES wird bis heute h\u00e4ufig als Referenz genannt, wenn es um den generellen Ablauf eines Penetrationstests geht. In der Praxis dient er jedoch meist eher als konzeptioneller Rahmen als als vollst\u00e4ndige technische Methodik.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Die PTES-Phasen<br><\/h2>\n\n\n\n<p>PTES unterteilt einen Penetrationstest in sieben typische Projektphasen.<\/p>\n\n\n\n<p><strong>Pre-Engagement Interactions<\/strong><br>In dieser Phase werden organisatorische und rechtliche Rahmenbedingungen festgelegt. Dazu geh\u00f6ren insbesondere Scope, Testziele, Kommunikationswege sowie die sogenannten <em>Rules of Engagement<\/em>.<br><br><strong>Intelligence Gathering<\/strong><br>Hier werden Informationen \u00fcber die Zielumgebung gesammelt. Dazu z\u00e4hlen beispielsweise \u00f6ffentlich verf\u00fcgbare Daten, DNS-Informationen, Subdomains oder Hinweise auf eingesetzte Technologien.<\/p>\n\n\n\n<p><strong>Threat Modeling<\/strong><br>Auf Basis der gesammelten Informationen werden m\u00f6gliche Angriffsszenarien bewertet. Ziel ist es, realistische Angriffspfade und besonders kritische Systeme zu identifizieren.<\/p>\n\n\n\n<p><strong>Vulnerability Analysis<\/strong><br>In dieser Phase werden potenzielle Schwachstellen identifiziert. Dies erfolgt in der Regel durch eine Kombination aus automatisierten Scans und manuellen Analysen.<\/p>\n\n\n\n<p><strong>Exploitation<\/strong><br>Gefundene Schwachstellen werden anschlie\u00dfend praktisch \u00fcberpr\u00fcft. Dabei wird untersucht, ob und in welchem Umfang eine Ausnutzung m\u00f6glich ist.<\/p>\n\n\n\n<p><strong>Post-Exploitation<\/strong><br>Nach erfolgreichem Zugriff wird analysiert, welche weiteren Auswirkungen m\u00f6glich sind. Dazu geh\u00f6ren beispielsweise Privilege Escalation, Zugriff auf sensible Daten oder laterale Bewegungen im Netzwerk.<\/p>\n\n\n\n<p><strong>Reporting<\/strong><br>Am Ende des Projekts werden alle Ergebnisse dokumentiert. Der Bericht beschreibt identifizierte Schwachstellen, deren Auswirkungen sowie m\u00f6gliche Ma\u00dfnahmen zur Behebung.<\/p>\n\n\n\n<p>Die Phasen bilden damit eine sinnvolle Struktur f\u00fcr den Ablauf eines Penetrationstest-Projekts.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Kritische Betrachtung<\/h2>\n\n\n\n<p>Trotz seiner Bekanntheit ist PTES heute selten die alleinige methodische Grundlage f\u00fcr Penetrationstests.<\/p>\n\n\n\n<p>Ein wesentlicher Grund ist die <strong>begrenzte technische Detailtiefe<\/strong> des Standards. Die beschriebenen Phasen definieren zwar den Ablauf eines Pentests, enthalten jedoch nur wenige konkrete Pr\u00fcfmethoden. F\u00fcr die praktische Durchf\u00fchrung sind daher zus\u00e4tzliche technische Leitf\u00e4den und eigene Methodiken notwendig.<\/p>\n\n\n\n<p>Hinzu kommt, dass der Standard seit seiner urspr\u00fcnglichen Ver\u00f6ffentlichung nur begrenzt weiterentwickelt wurde. Einige technische Beispiele im PTES beziehen sich auf inzwischen <strong>veraltete Plattformen und Werkzeuge<\/strong>. So werden in den technischen Abschnitten beispielsweise \u00e4ltere Windows-Versionen wie <strong>Windows XP oder Windows 7<\/strong> als Referenzsysteme genannt.<\/p>\n\n\n\n<p>Auch <strong>moderne IT-Architekturen werden im urspr\u00fcnglichen PTES kaum behandelt<\/strong>. Themen wie Cloud-Infrastrukturen, containerisierte Plattformen oder komplexe Identity-Systeme spielen im Standard nur eine untergeordnete Rolle.<\/p>\n\n\n\n<p>Dar\u00fcber hinaus handelt es sich beim PTES nicht um einen formal gepflegten Industriestandard mit klar definierter Governance. Eine regelm\u00e4\u00dfige Aktualisierung durch eine Standardisierungsorganisation findet nicht statt. Dadurch entwickelt sich der Standard nicht weiter und bildet keine aktuellen technische Entwicklungen ab.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Penetration Testing Execution Standard (PTES) beschreibt eine strukturierte Methodik f\u00fcr die Durchf\u00fchrung von Penetrationstests. Ziel des Standards ist es, typische Projektphasen eines Pentests zu definieren und damit einen nachvollziehbaren Ablauf von der Planung bis zur Dokumentation der Ergebnisse zu schaffen. Der Standard entstand um 2010 als gemeinschaftliche Initiative von Sicherheitsexperten. PTES wird bis heute &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/pentest\/ptes-struktur-fuer-pentests-aber-kein-vollstaendiger-standard\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":4017,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-4002","6":"format-standard","7":"has-post-thumbnail","8":"category-pentest"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/4002","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=4002"}],"version-history":[{"count":7,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/4002\/revisions"}],"predecessor-version":[{"id":4011,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/4002\/revisions\/4011"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media\/4017"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=4002"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=4002"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=4002"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}