Der Penetration Testing Execution Standard (PTES) einfach erklärt

Was sind Pentest-Leitfäden?

Pentest-Standards sind für Unternehmen jeder Größe ein wichtiges Hilfsmittel. Dabei handelt es sich um Leitfäden – sogenannte Pentest-Guidelines –, die Testern ermöglichen, einen effektiven Penetrationstest durchzuführen.

Doch warum sollten Sie einen Penetrationstest durchführen? Mit einem solchen Test decken Sie mögliche Sicherheitslücken in Ihrer IT-Infrastruktur zuverlässig auf. Kurz gesagt: Ein Penetrationstest verschafft Ihnen ein deutliches Plus an Sicherheit. Denn er zeigt auf, wie es Hackern gelingen könnte, an sensible Daten zu gelangen.

Entscheidend ist, dass der Penetrationstest für KMUs ebenso wie für große Unternehmen den Best Practices folgt – also den genannten Pentest-Guidelines. Nur so stellen Sie sicher, dass die Ergebnisse einheitlich und aussagekräftig ausfallen. Der PTES ist somit eine Form der Qualitätskontrolle, die Sie und Ihr Unternehmen absichert.

Definiert wurde dieser Standard von einer Gruppe von Experten aus dem Bereich der Cybersecurity. Obwohl die ursprüngliche Richtlinie bereits 2009 entstanden ist, hat sie bis heute Bestand – denn die zentralen Komponenten eines Pentests bleiben gleich. Was sich im Laufe der Zeit weiterentwickelt, sind die Methoden und Vorgehensweisen.

Übrigens: Der beste Pentest-Anbieter wird sich stets an geltende Pentest-Standards halten und so bestmögliche Ergebnisse bei hoher Qualität liefern. Ist das nicht der Fall, sollten Sie über einen Wechsel Ihres Pentesters nachdenken.

Die sieben Phasen des Pentest-Standards (PTES)

Wenn Sie den Pentester wechseln, achten Sie bei der Auswahl Ihres künftigen Experten darauf, dass er nach anerkannten Standards wie dem Penetration Testing Execution Standard vorgeht. Das zeichnet einen erstklassigen Pentest-Anbieter aus – unabhängig davon, ob es sich um einen Penetrationstest für KMUs oder ein großes Unternehmen handelt. Selbst wenn Sie den Pentest nur einmal durchführen möchten, sind die folgenden sieben Phasen des PTES unverzichtbar. Sie machen das Vorhaben planbar und helfen Ihnen, den Test erfolgreich durchzuführen. Jede einzelne Phase ist bereits für sich genommen wichtig – doch erst im Zusammenspiel tragen alle Schritte zum Erfolg bei.

Pre-Engagement Interactions (Vorbereitende Arbeiten)

Ob Sie Ihren Pentest einmalig oder regelmäßig durchführen – Sie sollten mit einem gewissen Vorbereitungsaufwand rechnen. Diese Phase erfordert eine enge Zusammenarbeit mit Ihrem Pentester, denn gemeinsam legen Sie den Scope fest und definieren klare Ziele. So stellen Sie sicher, dass alle relevanten Bereiche geprüft werden.

Zum Pre-Engagement gehört außerdem eine grobe Planung: Einerseits umfasst sie die Kommunikationswege innerhalb Ihres Unternehmens, andererseits ist gegebenenfalls eine Abstimmung mit Drittanbietern erforderlich, die nicht direkt am Testing beteiligt sind.

Intelligence Gathering (Informationsbeschaffung)

Die zweite Phase des Pentest-Standards ist die Informationsbeschaffung. Hier werden alle relevanten Informationen zum definierten Scope ermittelt und zusammengetragen – und zwar so aufbereitet, dass sie für alle Beteiligten verständlich sind. In der Regel stammen diese Daten aus öffentlich zugänglichen Quellen. Im Ergebnis erfahren Sie, welche öffentlich verfügbaren Informationen eine potenzielle Angriffsfläche bieten und wie sich diese erkennen lässt.

Die Informationsbeschaffung ist ein wesentlicher Bestandteil jeder Art von Pentest – unabhängig davon, ob Sie sich für einen Web-Penetrationstest oder einen lokalen Test entscheiden.

Threat Modelling (Gefahrenanalyse)

Das Threat Modeling – auch Gefahrenanalyse genannt – hilft dem Tester, spezifische Bedrohungen genauer zu untersuchen. Dabei werden sowohl der Scope selbst als auch die Organisation betrachtet. So erfahren Sie, welche Prozesse in Ihrem Unternehmen als kritisch einzustufen sind. In der Regel sind das Prozesse, die sensible Daten verarbeiten und speichern.

Da dieser Schritt weitere potenzielle Gefahren aufdeckt, bildet das Threat Modeling eine wichtige Grundlage, um die späteren Ergebnisse fundiert zu interpretieren und zu bewerten.

Vulnerability Analysis (Schwachstellenanalyse)

Im Zentrum jedes Pentests steht die Schwachstellenanalyse. In dieser Phase werden Schwachstellen identifiziert und validiert. Die Analyse kann sowohl manuell als auch automatisiert erfolgen – in der Praxis setzen Tester meist auf eine Kombination beider Verfahren.

Der Grund: Automatisierte Lösungen arbeiten zwar schneller und decken einen größeren Scope ab, liefern jedoch weniger aussagekräftige Ergebnisse. Zudem lassen sich mehrstufige Schwachstellen auf diese Weise nur eingeschränkt erkennen.

Exploitation (Ausnutzen von Schwachstellen)

Ein Pentester nutzt grundsätzlich dieselbe Methodik wie ein Angreifer, der Ihrem Unternehmen schaden will. Nach der Schwachstellenanalyse versucht er daher, die gefundenen Schwachstellen gezielt auszunutzen. So lassen sich Integrität, Verfügbarkeit, Vertraulichkeit und Nachvollziehbarkeit Ihrer Systeme auf die Probe stellen – Aspekte, die andernfalls Ihre Geschäftsprozesse gefährden könnten.

Die Exploitation-Phase kann sehr aufwendig sein und erfordert daher eine enge Zusammenarbeit sowie intensive Kommunikation zwischen Pentester und Auftraggeber. Die Ausarbeitung einzelner Angriffsszenarien schafft dabei häufig eine wichtige Grundlage im Unternehmen: die Sensibilisierung für potenzielle Cyberbedrohungen.

Post-Exploitation

In der letzten Phase des eigentlichen Tests wird der Angriff auf die gefundenen Schwachstellen simuliert – beispielsweise durch den Versuch, sensible Daten aus einer Datenbank zu extrahieren oder in das firmeninterne Netzwerk einzudringen. Selbstverständlich richtet der Pentester dabei keinen tatsächlichen Schaden an. Dieser Schritt zeigt, wie wertvoll eine Angriffsstelle für einen Cyberkriminellen wäre: Welche Daten lassen sich abgreifen? Wie weit reicht die Kontrolle über das Firmennetzwerk? Diese und weitere Fragen beantwortet die Post-Exploitation.

Reporting (Berichterstattung)

Der letzte Schritt des Pentest-Standards ist zugleich eine der zentralen Komponenten: die Berichterstattung. In dieser Phase werden sämtliche Funde dokumentiert und im Gesamtkontext bewertet. Darüber hinaus erhalten Sie konkrete Empfehlungen für Gegenmaßnahmen, mit denen sich die identifizierten Schwachstellen beseitigen lassen.

PTES – aber mit Methode

Ganz gleich, ob Sie sich für einen Web-Penetrationstest oder eine andere Form des Pentests entscheiden: Entscheidend ist, dass die einzelnen Schritte methodisch erfolgen. Nur so erzielen Sie die bestmöglichen Ergebnisse. Da die einzelnen Schritte nicht genormt sind, bieten Pentest-Standards die beste Möglichkeit, strukturiert und einheitlich vorzugehen. Der Vorteil des PTES: Es handelt sich um einen öffentlichen Standard, den Sie jederzeit online einsehen können. So bleibt die Qualität des stetig weiterentwickelten Modells gewährleistet.

Neben dem PTES gibt es weitere wichtige Standards, die eine erste Orientierung im Bereich der IT-Sicherheit bieten – etwa das OSSTMM, den Praxis-Leitfaden für IT-Sicherheits-Penetrationstesting vom BSI oder den OWASP Testing Guide.