Penetrationstests im Rahmen der ISO 27001: Anforderungen & Controls

Ein Informationssicherheits-Managementsystem (ISMS) ist ein systematischer Ansatz, mit dem eine Organisation ihre Informationssicherheit plant, umsetzt, überwacht und kontinuierlich verbessert. Ziel ist der angemessene Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Die ISO/IEC 27001 ist die internationale Norm, die Anforderungen an ein ISMS definiert und als Grundlage für eine Zertifizierung dient. Die ISO/IEC 27002 ergänzt diese Anforderungen durch praxisorientierte Umsetzungshinweise zu Informationssicherheitsmaßnahmen (Controls). Während die ISO/IEC 27001 beschreibt, was im ISMS erfüllt werden muss, unterstützt die ISO/IEC 27002 bei der Frage, wie geeignete Maßnahmen umgesetzt werden können.

Wichtige Klarstellung: Die ISO/IEC 27001:2022 fordert Penetrationstests nicht pauschal als verpflichtende Maßnahme für jedes ISMS. Die Norm verlangt jedoch, dass Informationssicherheitsrisiken systematisch identifiziert, bewertet und behandelt werden. Daraus kann sich risikobasiert die Notwendigkeit ergeben, Penetrationstests durchzuführen.

Ein Penetrationstest ist damit kein isolierter Compliance-Nachweis, sondern ein technisches Prüfverfahren innerhalb des ISMS. Er unterstützt die Organisation dabei, Schwachstellen zu identifizieren, deren tatsächliche Ausnutzbarkeit zu bewerten und geeignete Maßnahmen zur Risikobehandlung abzuleiten.

Normativer Bezug & relevante Controls

Der zentrale Bezug ergibt sich aus dem risikobasierten Ansatz der ISO/IEC 27001. Organisationen müssen Risiken für Vertraulichkeit, Integrität und Verfügbarkeit bewerten, Risikoeigentümer bestimmen, Risiken priorisieren und geeignete Maßnahmen zur Behandlung festlegen.

Im Annex A der ISO/IEC 27001:2022, konkretisiert durch die Umsetzungshinweise der ISO/IEC 27002:2022, sind insbesondere folgende drei Controls für Penetrationstests relevant:

• A.8.8 Management of technical vulnerabilities
  Technische Schwachstellen müssen identifiziert, bewertet und mit geeigneten Maßnahmen behandelt werden. Die ISO/IEC 27002 nennt Penetrationstests als mögliche Maßnahme im Rahmen eines geplanten, dokumentierten und wiederholbaren Schwachstellenmanagements. Sie können eingesetzt werden, um technische Schwachstellen praktisch zu validieren und deren Auswirkungen realistisch zu bewerten.

• A.8.29 Security testing in development and acceptance
  Sicherheitsprüfungen müssen im Entwicklungs- und Abnahmeprozess definiert und umgesetzt werden. Penetrationstests können hier als vertiefende Sicherheitsprüfung vor Produktivsetzung, bei wesentlichen Änderungen oder im Rahmen der Abnahme neuer Releases eingesetzt werden.

• A.8.34 Protection of information systems during audit testing
  Prüfungen an produktiven oder operativen Systemen müssen geplant und zwischen den Testern und dem verantwortlichen Management abgestimmt werden. Da Penetrationstests Auswirkungen auf die Verfügbarkeit und Stabilität von Systemen haben können, bildet dieses Control eine wichtige Grundlage für Testfreigabe, Testvorbereitung und Rules of Engagement.

Anforderungen an die Durchführung

Aus der Norm ergeben sich keine starren Vorgaben zu Häufigkeit, Methodik oder Tooling eines Penetrationstests. Die Durchführung muss jedoch risikobasiert, nachvollziehbar und kontrolliert erfolgen.

Der konkrete Scope eines Penetrationstests hängt vom Unternehmen, dem Geschäftsmodell und dem Anwendungsbereich des ISMS ab:

• SaaS-Anbieter: Hier steht regelmäßig ein Penetrationstest der Webanwendung beziehungsweise der SaaS-Plattform im Vordergrund.
• Produzierendes Unternehmen: Hier sind häufig die öffentlich erreichbare IT-Infrastruktur sowie die Absicherung des internen Netzwerks, einschließlich relevanter OT-Schnittstellen, besonders relevant.

Scope, Umfang und Regelmäßigkeit müssen daher sinnvoll zum tatsächlichen Anwendungsbereich der ISO/IEC 27001, zu den relevanten Informationswerten (Assets) und zum Risikoprofil der Organisation passen.

Fazit

Die ISO/IEC 27001:2022 macht Penetrationstests nicht grundsätzlich zur Pflicht. Sie fordert jedoch ein wirksames, risikobasiertes Schwachstellen- und Sicherheitsmanagement. Die ISO/IEC 27002:2022 nennt Penetrationstests ausdrücklich als geeignete Maßnahme zur Identifikation technischer Schwachstellen und zur Prüfung von Anwendungen und Systemen.

Für viele Organisationen ist ein Pentest daher ein sinnvoller und auditfähiger Nachweis, dass technische Risiken nicht nur theoretisch bewertet, sondern praktisch überprüft und angemessen behandelt werden.