In vielen aktuellen Anfragen und Ausschreibungen f\u00fcr Penetrationstests wird explizit auf \u201eden BSI-Standard\u201c oder \u201eden NIST-Standard\u201c verwiesen. Das klingt zun\u00e4chst nach methodischer Reife und klaren Qualit\u00e4tsanforderungen. Aus meiner Sicht ist diese Entwicklung aber nicht unproblematisch: Beide Referenzen sind sehr generisch und ersetzen keine konkrete Leistungsbeschreibung f\u00fcr einen modernen Penetrationstest.<\/p>\n\n\n\n
Mittlerweile w\u00fcrde ich sch\u00e4tzen, dass gut ein Drittel aller Anfragen und Ausschreibungen, die wir auf den Tisch bekommen, prim\u00e4r KI-generiert sind.<\/strong> Der Trend zur pauschalen Referenzierung solcher Standards wird durch den un\u00fcberlegten Einsatz von Large Language Models massiv verst\u00e4rkt. Eine KI spuckt auf Knopfdruck sofort plausible, industrie\u00fcbliche Fachbegriffe und Frameworks aus. Das Ergebnis: Ausschreibungen wirken auf den ersten Blick fachlich hochgradig belastbar, bleiben inhaltlich aber v\u00f6llig unscharf.<\/p>\n\n\n\n Die Nennung von BSI oder NIST beantwortet eben noch nicht, welche Systeme getestet werden sollen, welche Testtiefe erwartet wird, ob Exploitation erlaubt ist, welche Rollen bereitgestellt werden, welche Nachweise erforderlich sind oder wie der Bericht aufgebaut sein soll.<\/p>\n<\/blockquote>\n\n\n\n Genau deshalb lohnt sich ein genauerer Blick auf beide Referenzen. Nicht, weil NIST SP 800-115 oder das BSI-Durchf\u00fchrungskonzept ungeeignet w\u00e4ren. Im Gegenteil: Beide Dokumente liefern hilfreiche Orientierung. Aber man muss verstehen, wof\u00fcr sie gedacht sind, wo ihre Grenzen liegen und warum ihre blo\u00dfe Nennung in einer Ausschreibung noch keine belastbare Pentest-Anforderung ergibt.<\/p>\n\n\n\n Penetrationstests werden h\u00e4ufig als rein technische Disziplin verstanden: scannen, Schwachstellen finden, ausnutzen, berichten. Wer sich jedoch mit etablierten Standards besch\u00e4ftigt, merkt schnell, dass professionelle Penetrationstests weit mehr sind als der Einsatz einzelner Tools. Sie sind ein gesteuerter Prozess mit klaren Zielen, definiertem Umfang, rechtlichen Rahmenbedingungen, methodischer Durchf\u00fchrung und nachvollziehbarer Bewertung.<\/p>\n\n\n\n Zwei wichtige Referenzen in diesem Kontext sind die NIST Special Publication 800-115 \u201eTechnical Guide to Information Security Testing and Assessment\u201c<\/em> und die BSI-Studie \u201eDurchf\u00fchrungskonzept f\u00fcr Penetrationstests\u201c<\/em>. Beide Dokumente verfolgen das Ziel, Sicherheits\u00fcberpr\u00fcfungen strukturierter, vergleichbarer und belastbarer zu machen. Dennoch setzen sie unterschiedliche Schwerpunkte.<\/p>\n\n\n\n Der zentrale Unterschied l\u00e4sst sich knapp zusammenfassen:<\/p>\n\n\n\n NIST SP 800-115 wird im Pentesting-Kontext h\u00e4ufig genannt, ist aber kein reines Penetration-Testing-Framework. Der Leitfaden betrachtet technische Sicherheits\u00fcberpr\u00fcfungen umfassender und unterscheidet drei grundlegende Assessment-Methoden<\/strong>:<\/p>\n\n\n\n Damit positioniert NIST Penetration Testing als wichtigen, aber nicht alleinigen Bestandteil<\/strong> eines technischen Sicherheits-Assessments. Das ist ein wichtiger Punkt: Nicht jede Sicherheitspr\u00fcfung ist ein Pentest, und nicht jede Schwachstellenliste ist automatisch ein belastbarer Sicherheitsnachweis.<\/p>\n\n\n\n F\u00fcr Penetration Testing selbst beschreibt NIST eine Vier-Phasen-Methodik<\/strong>:<\/p>\n\n\n\n Besonders wertvoll ist bei NIST die klare Abgrenzung zwischen Vulnerability Scanning<\/em> und Penetration Testing<\/em>. Ein Schwachstellenscan liefert vor allem Rohdaten und potenzielle Findings. Ein Penetrationstest validiert diese Findings, verkn\u00fcpft sie mit Kontext und zeigt, welche Auswirkungen eine Schwachstelle tats\u00e4chlich haben kann. Genau dieser manuelle, expertengetriebene Anteil<\/strong> macht den Unterschied zwischen einem Scanbericht und einem echten Pentest aus.<\/p>\n\n\n\n Die BSI-Studie \u201eDurchf\u00fchrungskonzept f\u00fcr Penetrationstests\u201c ist enger auf Penetrationstests als konkrete Pr\u00fcfvorhaben ausgerichtet. Sie beschreibt einen strukturierten Ansatz zur Planung, Durchf\u00fchrung und Bewertung von Penetrationstests und ber\u00fccksichtigt dabei nicht nur technische, sondern auch organisatorische, rechtliche und wirtschaftliche Rahmenbedingungen.<\/p>\n\n\n\n Der historische Kontext ist dabei wichtig: Die Studie ist stark vom deutschen Beh\u00f6rden- und Verwaltungsumfeld gepr\u00e4gt<\/strong>. Sie richtet sich insbesondere an Auftraggeber, IT-Sicherheitsdienstleister und Entscheidungstr\u00e4ger im Sicherheitsumfeld. Dadurch ist sie besonders anschlussf\u00e4hig f\u00fcr \u00f6ffentliche Stellen, regulierte Organisationen und Unternehmen, die Wert auf Nachvollziehbarkeit, Vertragsklarheit und Rechtssicherheit legen.<\/p>\n\n\n\n Das BSI-Modell beschreibt einen f\u00fcnfphasigen Ablauf<\/strong>:<\/p>\n\n\n\n Ein wichtiger Vorteil des BSI-Ansatzes ist seine Projektorientierung<\/strong>. Die Studie hilft dabei, einen Pentest nicht als lose technische Aktivit\u00e4t zu betrachten, sondern als beauftragtes, gesteuertes und begrenztes Sicherheitsprojekt.<\/p>\n\n\n\n Trotz unterschiedlicher Perspektiven haben beide Ans\u00e4tze eine klare gemeinsame Grundlage: Professionelle Penetrationstests brauchen Struktur.<\/p>\n\n\n\n Sowohl NIST als auch BSI betonen, dass Ziele, Scope, Testgrenzen, Verantwortlichkeiten und Dokumentation vorab gekl\u00e4rt werden m\u00fcssen. Beide Ans\u00e4tze verhindern damit ein h\u00e4ufiges Missverst\u00e4ndnis: Ein Pentest ist kein unkontrolliertes \u201eHacking auf Zuruf\u201c, sondern eine abgestimmte Sicherheitspr\u00fcfung mit definierten Regeln.<\/p>\n\n\n\n Beide Modelle legen au\u00dferdem Wert auf Risikobewertung. Findings sollen nicht nur technisch beschrieben, sondern in ihrer Bedeutung f\u00fcr die Organisation eingeordnet werden. Entscheidend ist nicht allein, ob eine Schwachstelle existiert, sondern ob sie ausnutzbar ist, welche Auswirkungen sie hat und welche Ma\u00dfnahmen priorisiert umgesetzt werden sollten.<\/p>\n\n\n\n Auch beim Reporting gibt es gro\u00dfe \u00dcberschneidungen. Ein guter Bericht muss nachvollziehbar, reproduzierbar und handlungsorientiert sein. Er sollte nicht nur technische Details enthalten, sondern Management, IT-Betrieb und Sicherheitsverantwortliche gleicherma\u00dfen unterst\u00fctzen.<\/p>\n\n\n\n Der wichtigste Unterschied liegt im Blickwinkel.<\/p>\n\n\n\n NIST SP 800-115 denkt vom umfassenden Security Assessment aus. Penetration Testing ist darin eine Methode unter mehreren. Dadurch eignet sich NIST besonders gut f\u00fcr Organisationen, die ein \u00fcbergreifendes Sicherheitspr\u00fcfprogramm aufbauen wollen. Der Leitfaden hilft bei der Frage, welche Pr\u00fcfmethoden wann sinnvoll sind und wie technische Assessments methodisch eingeordnet werden k\u00f6nnen.<\/p>\n\n\n\n Die BSI-Studie denkt st\u00e4rker vom einzelnen Penetrationstest aus. Sie beschreibt, wie ein solcher Test vorbereitet, beauftragt, durchgef\u00fchrt und abgeschlossen werden sollte. Dadurch ist sie besonders hilfreich f\u00fcr konkrete Pentest-Projekte, Ausschreibungen, Leistungsbeschreibungen und Abstimmungen zwischen Auftraggeber und Dienstleister.<\/p>\n\n\n\n Auch kulturell und regulatorisch unterscheiden sich beide Dokumente. NIST ist im US-amerikanischen Beh\u00f6rdenkontext entstanden, wird aber international breit rezipiert. Die BSI-Studie ist st\u00e4rker auf deutsche Rahmenbedingungen, \u00f6ffentliche Auftraggeber und rechtliche Besonderheiten ausgerichtet. F\u00fcr Organisationen im deutschsprachigen Raum ist das ein praktischer Vorteil, kann aber die direkte \u00dcbertragbarkeit auf internationale Kontexte einschr\u00e4nken.<\/p>\n\n\n\n Die Referenz auf NIST SP 800-115 oder das BSI-Durchf\u00fchrungskonzept kann sinnvoll sein, wenn sie als methodischer Rahmen verstanden wird. Problematisch wird sie, wenn sie die eigentliche Leistungsbeschreibung ersetzt.<\/p>\n\n\n\n Die Formulierung \u201eDurchf\u00fchrung nach BSI\u201c<\/em> oder \u201eTest gem\u00e4\u00df NIST SP 800-115\u201c<\/em> beantwortet zentrale Fragen nicht:<\/p>\n\n\n\n Ohne diese Konkretisierung bleiben Angebote schwer vergleichbar<\/strong>. Ein Anbieter kann einen sehr begrenzten Schwachstellenscan mit manueller Validierung anbieten, ein anderer einen tiefgehenden Pentest mit Exploitation, Angriffspfad-Analyse und Nachtest. Beide k\u00f6nnten sich formal auf denselben Standard beziehen, w\u00fcrden aber v\u00f6llig unterschiedliche Leistungen erbringen.<\/p>\n\n\n\n Gerade deshalb sollte eine Ausschreibung Standards nicht nur nennen, sondern operationalisieren.<\/p>\n\n\n\n Beide Dokumente sind wertvolle Grundlagen, aber sie sind nicht mehr vollst\u00e4ndig ausreichend f\u00fcr alle heutigen Pentest-Szenarien. Das liegt nicht nur daran, dass sie generisch formuliert sind. Es liegt auch ganz schlicht am Alter der zugrunde liegenden Referenzen<\/strong>.<\/p>\n\n\n\n NIST SP 800-115 stammt aus dem Jahr 2008.<\/strong> Das BSI-Durchf\u00fchrungskonzept ist in der Praxis stark mit dem \u201ePraxis-Leitfaden f\u00fcr Penetrationstests\u201c<\/em> in Version 2.0 verkn\u00fcpft. Auch dieser Leitfaden geh\u00f6rt in eine Zeit, in der klassische Netzwerk-, Server- und Applikationslandschaften deutlich dominanter waren als heutige Cloud-native, stark automatisierte und identit\u00e4tszentrierte Umgebungen.<\/p>\n\n\n\n Das unterstreicht die Grenzen dieser Standards sehr deutlich. Moderne Architekturen und Risiken werden dort nicht in der Tiefe behandelt, die heutige Security Assessments erfordern:<\/p>\n\n\n\n Gerade im DevSecOps-Kontext<\/strong> reicht ein klassisches Phasenmodell allein nicht mehr aus. Dort geht es nicht nur darum, ein Zielsystem zu einem bestimmten Zeitpunkt zu pr\u00fcfen. Es geht auch um Build- und Deployment-Prozesse, Secret Management, Artefakt-Repositories, Berechtigungen in CI\/CD-Systemen, Container-Images, IaC-Templates, Cloud-Rollenmodelle und automatisierte Sicherheitskontrollen entlang der gesamten Lieferkette.<\/p>\n\n\n\n Das macht die Frameworks nicht wertlos. Ihre St\u00e4rke liegt weiterhin in der Prozessqualit\u00e4t<\/strong>: klare Zieldefinition, sauberer Scope, rechtliche Absicherung, methodisches Vorgehen, kontrollierte Durchf\u00fchrung, nachvollziehbares Reporting und konkrete Ma\u00dfnahmenableitung. Diese Prinzipien bleiben auch bei modernen Technologien g\u00fcltig.<\/p>\n\n\n\n Man sollte die Dokumente daher nicht als aktuelle technische Pr\u00fcfkataloge lesen, sondern als historische und methodische Grundlagen. Die technische Pr\u00fcftiefe f\u00fcr moderne Umgebungen muss jedoch durch aktuelle Spezialstandards, projektspezifische Threat Models und konkrete Testanforderungen<\/strong> erg\u00e4nzt werden.<\/p>\n\n\n\n F\u00fcr klassische Infrastruktur-, Netzwerk- und Organisations-Assessments ist NIST SP 800-115 weiterhin ein starkes Fundament. Es eignet sich besonders dann, wenn Penetration Testing in ein gr\u00f6\u00dferes Security-Assessment- oder Risikomanagementprogramm eingebettet werden soll.<\/p>\n\n\n\n Die BSI-Studie ist besonders n\u00fctzlich, wenn ein konkreter Penetrationstest geplant oder beauftragt wird. Sie hilft bei der Abstimmung zwischen Auftraggeber und Dienstleister, bei der Definition rechtlicher und organisatorischer Rahmenbedingungen und bei der strukturierten Durchf\u00fchrung des Projekts.<\/p>\n\n\n\n In der Praxis ist daher nicht die Frage, ob NIST oder BSI \u201ebesser\u201c ist. Sinnvoller ist die Kombination beider Perspektiven<\/strong>, erg\u00e4nzt um moderne Spezialstandards:<\/p>\n\n\n\n NIST SP 800-115 und das BSI-Durchf\u00fchrungskonzept sind keine konkurrierenden Standards, sondern zwei unterschiedliche Blickwinkel auf professionelle Sicherheitspr\u00fcfungen.<\/p>\n\n\n\n Gleichzeitig sollte man beide Referenzen nicht \u00fcberbewerten. Sie sind generische Rahmenwerke und stammen aus einer Zeit, in der Cloud-native Architekturen, DevSecOps, moderne IAM-Angriffspfade und Supply-Chain-Risiken noch nicht den heutigen Stellenwert hatten.<\/p>\n\n\n\n Besonders in Ausschreibungen reicht es deshalb nicht aus, pauschal \u201enach BSI\u201c oder \u201enach NIST\u201c zu verlangen. Wer belastbare, vergleichbare und qualitativ hochwertige Angebote erhalten m\u00f6chte, muss den erwarteten Test konkret beschreiben.<\/p>\n\n\n\n Die beste Einordnung lautet daher: NIST f\u00fcr das Assessment-Programm, BSI f\u00fcr das Pentest-Projekt, moderne Spezialstandards f\u00fcr die technische Tiefe \u2013 und eine gute Ausschreibung f\u00fcr alles, was diese Standards bewusst offenlassen.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":" In vielen aktuellen Anfragen und Ausschreibungen f\u00fcr Penetrationstests wird explizit auf \u201eden BSI-Standard\u201c oder \u201eden NIST-Standard\u201c verwiesen. Das klingt zun\u00e4chst nach methodischer Reife und klaren Qualit\u00e4tsanforderungen. Aus meiner Sicht ist diese Entwicklung aber nicht unproblematisch: Beide Referenzen sind sehr generisch und ersetzen keine konkrete Leistungsbeschreibung f\u00fcr einen modernen Penetrationstest. Mittlerweile w\u00fcrde ich sch\u00e4tzen, dass gut … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","_seopress_robots_follow":"","_seopress_robots_imageindex":"","_seopress_robots_snippet":"","_seopress_robots_primary_cat":"","_seopress_robots_breadcrumbs":"","_seopress_robots_freeze_modified_date":"","_seopress_robots_custom_modified_date":"","_seopress_robots_canonical":"","_seopress_social_fb_title":"","_seopress_social_fb_desc":"","_seopress_social_fb_img":"","_seopress_social_fb_img_attachment_id":0,"_seopress_social_fb_img_width":0,"_seopress_social_fb_img_height":0,"_seopress_social_twitter_title":"","_seopress_social_twitter_desc":"","_seopress_social_twitter_img":"","_seopress_social_twitter_img_attachment_id":0,"_seopress_social_twitter_img_width":0,"_seopress_social_twitter_img_height":0,"_seopress_redirections_value":"","_seopress_redirections_enabled":"","_seopress_redirections_enabled_regex":"","_seopress_redirections_logged_status":"","_seopress_redirections_param":"","_seopress_redirections_type":0,"_seopress_analysis_target_kw":"","footnotes":""},"categories":[23],"tags":[],"class_list":["entry","post","publish","author-psauer","post-4304","format-standard","category-pentesting"],"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/4304","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=4304"}],"version-history":[{"count":3,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/4304\/revisions"}],"predecessor-version":[{"id":4311,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/4304\/revisions\/4311"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=4304"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=4304"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=4304"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Zwei Referenzen mit unterschiedlichem Anspruch<\/h2>\n\n\n\n
\n
NIST SP 800-115: Security Assessment statt nur Penetration Testing<\/h2>\n\n\n\n
\n
\n
BSI-Durchf\u00fchrungskonzept: Der Pentest als kontrolliertes Projekt<\/h2>\n\n\n\n
\n
Gemeinsamkeiten: Struktur, Scope und Nachvollziehbarkeit<\/h2>\n\n\n\n
Unterschiede: Breites Assessment-Modell vs. deutscher Pentest-Prozess<\/h2>\n\n\n\n
Warum die Standardreferenz in Ausschreibungen nicht gen\u00fcgt<\/h2>\n\n\n\n
\n
Grenzen beider Ans\u00e4tze: Der Altersfaktor ist nicht nur akademisch<\/h2>\n\n\n\n
\n
Praktische Einordnung: Wann welches Modell hilft<\/h2>\n\n\n\n
\n
\n
Fazit<\/h2>\n\n\n\n
\n