NIST SP 800-115: Technical Guide to Information Security Testing

BSI Studie: Durchführungskonzept für Penetrationstests Open Source Security Testing Methodology Manual (OSSTMM)

Die NIST Special Publication 800-115 (veröffentlicht im September 2008) ist ein etablierter technischer Leitfaden für Information Security Testing and Assessment. Sie wurde von der US-amerikanischen Bundesbehörde National Institute of Standards and Technology (NIST) als technische Richtlinie entwickelt, um Organisationen eine strukturierte Methodik für die Planung, Durchführung und Auswertung von Sicherheitsüberprüfungen an die Hand zu geben. Dieser Leitfaden ist offiziell direkt über die NIST-Website als PDF abrufbar und löste die ältere Empfehlung NIST SP 800-42 (Guideline on Network Security Testing) ab.

Mehr als nur Pentesting: Die drei Kern-Assessment-Methoden

Ein häufiges Missverständnis ist, dass es sich bei der NIST SP 800-115 um ein reines Penetration-Testing-Framework handelt. Tatsächlich ist die Publikation deutlich breiter aufgestellt und definiert drei fundamentale Methoden für ein umfassendes Sicherheits-Assessment. Inhaltlich konzentriert sich das Dokument dabei vor allem auf technische Testing- und Examination-Techniken:

  1. Testing (Prüfen): Das aktive Ausführen von Systemen unter definierten Bedingungen, um deren tatsächliches Verhalten zu analysieren und mit den Sicherheitsanforderungen abzugleichen. (Hierunter fällt auch das Penetration Testing).

  2. Examination (Untersuchen): Das passive Inspizieren, Prüfen und Analysieren von Artefakten. Dazu gehören die Überprüfung von Dokumenten (Richtlinien, Sicherheitskonzepte), Systemkonfigurationen, Logfiles oder Firewall-Regelwerken.

  3. Interviewing (Befragen): Das Führen von strukturierten Gesprächen mit Mitarbeitern, Systemadministratoren oder dem Management, um organisatorische Prozesse zu verstehen, Wissenslücken zu identifizieren oder Nachweise über gelebte Sicherheitspraktiken zu erbringen.

Die 4-Phasen-Methodik des Penetration Testings

Wenn es um das Thema Penetration Testing im Speziellen geht, beschreibt das Kapitel 5.2 eine beispielhafte Vier-Phasen-Methodik (Four-Stage Penetration Testing Methodology). Das Dokument betont, dass es viele anerkannte Wege gibt, diese Aktivitäten zu gruppieren. In der Praxis laufen diese Phasen oft zyklisch ab:

  • 1. Planning (Planung): In dieser initialen Phase werden die Rahmenbedingungen des Tests abgesteckt. Hierzu gehören die Definition der Ziele, die Reichweite (Scope) sowie rechtliche Absicherungen.

  • 2. Discovery (Erkennung & Sondierung): Diese Phase ist zweigeteilt und bildet das Fundament für die Angriffe:

    • Information Gathering / Scanning: Das aktive und passive Sammeln von Daten (z. B. Portscans, OS-Fingerprinting, Identifikation von Diensten).

    • Vulnerability Analysis: Der Abgleich der gefundenen Dienste mit bekannten Schwachstellendatenbanken und die manuelle Analyse durch den Experten. Hinweis: Die Schwachstellenanalyse ist laut NIST keine eigene Hauptphase, sondern Teil der Discovery.

  • 3. Attack (Angriff / Exploitation): Der eigentliche Kern des Pentests. Hier versuchen die Tester, die in der Discovery-Phase identifizierten Schwachstellen aktiv und kontrolliert auszunutzen. Ziel ist es, den potenziellen Schaden zu verifizieren, Privilegien zu eskalieren (Privilege Escalation) und tiefer in das Netzwerk vorzudringen (Lateral Movement). Diese Phase verläuft oft iterativ mit der Discovery-Phase, wenn durch einen Einbruch neue Systeme sichtbar werden.

  • 4. Reporting (Berichterstattung): Die Dokumentation aller gefundenen Schwachstellen, der erfolgreich durchgeführten Angriffe sowie die Risikobewertung. Ein zentraler Bestandteil des Reports sind konkrete und priorisierte Handlungsempfehlungen zur Behebung der Sicherheitslücken (Remediation).

Abgrenzung: Penetration Testing vs. Vulnerability Scanning

NIST SP 800-115 legt großen Wert auf die begriffliche und funktionale Trennung zwischen einem automatisierten Schwachstellenscan und einem echten Penetration Test.

Merkmal Schwachstellenscan (Vulnerability Scanning) Penetration Testing
Durchführung Weitgehend automatisiert durch Software-Tools. Expertengeführt, starker Fokus auf manuelle Analysen.
Ziel Identifikation und Auflistung potenzieller Sicherheitslücken. Verifikation und praktisches Ausnutzen von Schwachstellen.
Validierung Keine Verifikation; Risiko von False Positives (Fehlalarmen) ist hoch. Hohe Validierung; filtert Fehlalarme aus (Target Vulnerability Validation).
Fokus Breite Abdeckung aller Systeme im Netzwerk. Tiefe Analyse; logische Verknüpfung mehrerer kleinerer Schwachstellen zu einer Angriffskette.

Zentrales NIST-Prinzip: Ein automatisierter Scan liefert lediglich die Rohdaten. Erst durch die Verifikation, die manuelle Ausnutzung und die Kontextbewertung eines menschlichen Experten wird daraus ein Penetration Test nach den Prinzipien des NIST-Leitfadens.

Praxis-Aspekte und Rahmenbedingungen

Für die Durchführung von Tests nennt die Richtlinie kritische Erfolgsfaktoren, die das Risiko von Systemausfällen minimieren und die Qualität sichern:

  • Rules of Engagement (RoE): Ein verbindliches Regelwerk, das festlegt, was getestet werden darf, wann getestet wird (z. B. außerhalb der Geschäftszeiten) und wer im Notfall (z. B. bei einem Systemabsturz) zu kontaktieren ist. Ein praktisches Template hierfür liefert das Dokument im Appendix B. Idealerweise werden diese Rahmenbedingungen vor Testbeginn detailliert abgestimmt und verbindlich dokumentiert. In dieser Philosophie zu den organisatorischen Abläufen ähnelt der Leitfaden stark dem deutschen Leitfaden zur Durchführung von Penetrationstests des BSI (Bundesamt für Sicherheit in der Informationstechnik).

  • Test-Perspektiven: Es wird zwischen der externen Perspektive (Angriff aus dem Internet ohne vorherige Rechte) und der internen Perspektive (Simulation eines Innentäters oder eines bereits kompromittierten Systems) unterschieden.

  • Ankündigung und Sichtbarkeit (Overt vs. Covert): Diese Begriffe beschreiben bei NIST vor allem den Bekanntheitsgrad des Tests innerhalb der Organisation (ob z. B. das interne Blue Team bzw. die Verteidiger informiert sind, um die Vorfallsreaktion realistisch zu prüfen), nicht zwingend den technischen Informationsstand der Tester.

Kritik und Grenzen des Leitfadens

Obwohl die in der NIST SP 800-115 beschriebenen High-Level-Prozesse und die grundlegende Philosophie zeitlos sind, steht das Dokument in der modernen Cyber-Security-Praxis aufgrund seines Alters in der Kritik:

  • Fehlender Cloud-Bezug: Die Publikation stammt aus dem Jahr 2008 – einer Zeit, in der On-Premises-Infrastrukturen dominierten. Moderne Cloud-Umgebungen (AWS, Azure, GCP), serverlose Architekturen (Serverless) und Container-Technologien (Docker, Kubernetes) existierten in dieser Form noch nicht und werden im Dokument nicht berücksichtigt.

  • Fokus auf klassische Netzwerke: Der Leitfaden geht stark von traditionellen, perimeterbasierten Netzwerken aus. Konzepte wie Zero Trust Architektur, identitätsbasierte Sicherheit (IAM als neuer Perimeter) oder hybride Netzwerke finden im Text keine methodische Erwähnung.

  • Keine Berücksichtigung moderner Softwareentwicklung: Moderne Security-Assessments beinhalten oft die Überprüfung von CI/CD-Pipelines (DevSecOps) oder automatisierten Code-Analysen (SAST/DAST) im Entwicklungsprozess. Der NIST-Leitfaden betrachtet Sicherheitsüberprüfungen eher als punktuelles, finales Event (Silo-Denken) statt als kontinuierlichen Prozess.

  • Veraltetes Bedrohungsszenario: Die Komplexität moderner, oft staatlich akzentuierter Angreifer (Advanced Persistent Threats, kurz APTs) sowie ausgefeilte Supply-Chain-Angriffe werden methodisch nicht in der Tiefe abgebildet, wie es in neueren Leitfänden der Fall ist.

Fazit

Für klassische Infrastruktur-, Netzwerk- und Organisations-Assessments bleibt die NIST SP 800-115 ein starkes prozessuales Fundament, das im deutschsprachigen Raum eine hervorragende methodische Ergänzung zum anwendungsorientierten BSI-Pentest-Leitfaden darstellt. Für moderne Cloud-, Web- und DevOps-Umgebungen muss sie jedoch zwingend durch aktuellere, technische Standards wie den OWASP Web Security Testing Guide erweitert werden.

Bereichsnavigation

binsec academy GmbH – Professionelles Pentest Training Lab

Die binsec academy GmbH bietet mit ihrem Pentest Training Lab eine hochgradig praxisorientierte Online-Plattform für realistisches Penetration Testing. In isolierten Laborumgebungen simulieren wir komplexe Unternehmensnetzwerke und moderne Angriffsvektoren, um die praktischen Fähigkeiten angehender und professioneller Penetrationstester zu schärfen. Durch das Bestehen unserer anspruchsvollen, rein praktischen Prüfung erlangen Teilnehmer das anerkannte Zertifikat zum Binsec Academy Certified Pentest Professional (BACPP) – der fundierte Nachweis für die Fähigkeit, kritische Sicherheitslücken in IT-Infrastrukturen methodisch zu identifizieren.

Das Pentest Training Lab entdecken

binsec GmbH – Experten für Penetrationstests

Die binsec GmbH ist ein hochspezialisierter Dienstleister für Penetration Testing und der operative Pentesting-Kern der binsec group. Seit 2013 konzentriert sich das Unternehmen ausschließlich auf hochwertige, manuell durchgeführte Penetrationstests (Pentests) und Red-Team-Simulationen. Das Expertenteam verzichtet bewusst auf automatisierte Scans. Die festangestellten, zertifizierten Senior-Pentester liefern tiefgehende Deep-Dive-Analysen für kritische digitale Systeme: von Webanwendungen und APIs über mobile Apps bis hin zu komplexen Netzwerkinfrastrukturen und Cloud-Umgebungen. Als spezialisierter Prüfpartner für stark regulierte Sektoren wie Payment, Banking und Healthcare liefert die binsec GmbH präzise Risikobewertungen und handlungsorientierte Reports zur effektiven Absicherung geschäftskritischer Systeme.

Professionelle manuelle Penetrationstests anfordern

Kontakt

binsec GmbH
Clemensstraße 6-8
60487 Frankfurt am Main
Germany

Impressum

Geschäftsführer: Patrick Sauer
Prokurist: Dominik Sauer, Florian Zavatzki
Handelsregister: Frankfurt am Main, HRB97277
Umsatzsteuer-ID: DE290966808