Penetration Testing: PTES, OWASP und NIST – Methodologien im Überblick

Dieser Leitfaden bietet Ihnen alles, was Sie benötigen, um diese Art von Test zu verstehen, abzugrenzen und durchzuführen – mit praktischen Anleitungen, die Sie sofort umsetzen können.

PTES: Penetration Testing Execution Standard

PTES bietet einen umfassenden Rahmen für die Durchführung von Penetrationstests, der sieben Phasen umfasst: Interaktionen vor dem Engagement, Informationsbeschaffung, Bedrohungsmodellierung, Schwachstellenanalyse, Ausnutzung, Post-Exploitation und Berichterstellung. Es ist die am häufigsten zitierte Methodik im allgemeinen Pentesting und bietet detaillierte technische Richtlinien für jede Phase.

OWASP Testing Guide

Der OWASP Testing Guide ist die Standardreferenz für Web Application Pentesting. Er bietet detaillierte Testfälle, geordnet nach Kategorie – Informationsbeschaffung, Konfigurationstests, Identitätsmanagement, Authentifizierung, Autorisierung, Sitzungsmanagement, Eingabevalidierung, Fehlerbehandlung, Kryptographie, Geschäftslogik und clientseitige Tests. Für Web Application und API Pentesting ist OWASP die Methodik, die Auditoren am häufigsten erwarten.

NIST SP 800-115

NIST Special Publication 800-115 bietet Richtlinien für Informationssicherheitstests und -bewertungen. Es ist die Methodik, auf die in Regierungs- und Gesundheitskontexten am häufigsten Bezug genommen wird, und sie steht im Einklang mit den HIPAA- und FedRAMP-Anforderungen. NIST SP 800-115 umfasst Planung, Discovery, Angriffsausführung und Berichterstellung.

Welche Methodik ist zu befolgen?

Für Webanwendungen und APIs: OWASP Testing Guide. Für allgemeine Infrastruktur- und Netzwerktests: PTES. Für Gesundheitswesen und Regierung: NIST SP 800-115. Für Cloud-Umgebungen: CSA Cloud Penetration Testing Playbook zusammen mit der relevanten Anwendungs-/Infrastrukturmethodik. Die meisten professionellen Pentest-Anbieter kombinieren Elemente aus mehreren Frameworks, basierend auf dem Umfang des Engagements.

Dokumentation für Compliance

Ihr Pentest-Bericht sollte die befolgte Methodik erwähnen. Auditoren schreiben in den meisten Frameworks keine bestimmte Methodik vor, erwarten aber einen dokumentierten, anerkannten Ansatz. Penetrify dokumentiert die Testmethodik in jedem Bericht und verweist auf OWASP, PTES und NIST, sofern dies für den Umfang des Engagements relevant ist.

Das Fazit

Bei der Methodik geht es nicht darum, das "richtige" Framework zu wählen, sondern darum, einen strukturierten, dokumentierten Ansatz zu verfolgen, der eine umfassende Abdeckung gewährleistet und Ihren Auditor zufriedenstellt. Die besten Anbieter passen mehrere Methodiken an Ihre spezifische Umgebung an.

Häufig gestellte Fragen

Benötigt mein Compliance-Framework eine bestimmte Methodik?

Die meisten Frameworks (SOC 2, PCI DSS, ISO 27001) schreiben keine bestimmte Methodik vor, verlangen aber, dass eine dokumentiert und befolgt wird. Das vorgeschlagene HIPAA-Update verweist auf "allgemein anerkannte Cybersecurity-Prinzipien", ohne einen bestimmten Standard zu nennen.

Kann ich mehrere Methodiken in einem Engagement verwenden?

Ja, und die meisten professionellen Anbieter tun dies. Ein umfassendes Engagement könnte OWASP für Application Testing, PTES für Infrastructure Testing und NIST für Compliance-Dokumentation befolgen.