BSI Studie: Durchführungskonzept für Penetrationstests

Penetration Testing

Einführung

Die Studie „Durchführungskonzept für Penetrationstests“ wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht und beschreibt einen strukturierten Ansatz zur Planung, Durchführung und Bewertung von Penetrationstests.

Im Gegensatz zu rein technischen Leitfäden verfolgt die Studie einen ganzheitlichen Ansatz, der neben technischen Aspekten auch organisatorische, rechtliche und wirtschaftliche Rahmenbedingungen berücksichtigt. Ziel ist es, sowohl Auftraggeber als auch Dienstleister bei der Durchführung effizienter und nachvollziehbarer Sicherheitstests zu unterstützen.

Die Studie ist dabei historisch im Kontext des deutschen Behörden- und Verwaltungsumfelds entstanden und spiegelt insbesondere Anforderungen öffentlicher Stellen wider. Entsprechend richten sich sowohl die Inhalte als auch die Terminologie primär an staatliche Institutionen und regulierte Organisationen.

Die Studie richtet sich insbesondere an:

  • Unternehmen und Behörden als Auftraggeber
  • IT-Sicherheitsdienstleister
  • Entscheidungsträger im Sicherheitsumfeld

Die offizielle Studie ist öffentlich verfügbar unter:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Penetrationstest/penetrationstest.html

Zielsetzung

Die Studie verfolgt mehrere zentrale Ziele:

  • Etablierung eines strukturierten Vorgehens für Penetrationstests
  • Verbesserung der Qualität und Vergleichbarkeit von Tests
  • Unterstützung bei der Auswahl geeigneter Dienstleister
  • Berücksichtigung rechtlicher und organisatorischer Anforderungen

Ein wesentlicher Fokus liegt auf der effizienten und zielgerichteten Durchführung von Penetrationstests unter realistischen Bedingungen, insbesondere im Kontext öffentlicher Auftraggeber.

Struktur der Studie

Die Studie ist entlang des gesamten Penetration-Testing-Prozesses aufgebaut und deckt sowohl konzeptionelle als auch operative Aspekte ab.

Einführung und Grundlagen
Definition von Penetrationstests sowie Abgrenzung zu IT-Audits und allgemeinen Sicherheitsprüfungen.

Bedrohungsmodell und Angreiferprofile
Beschreibung typischer Angreifer (z. B. Hacker, Cracker, Script Kiddies) und deren Motivation zur Ableitung realistischer Angriffsszenarien.

Klassifikation und Ziele von Penetrationstests
Einordnung unterschiedlicher Testarten sowie Zieldefinition, beispielsweise:

  • Identifikation von Schwachstellen
  • Verbesserung technischer Sicherheit
  • Validierung bestehender Schutzmaßnahmen
  • Unterstützung bei Entscheidungsprozessen

Rechtliche und organisatorische Rahmenbedingungen
Behandlung von Vertragsinhalten, Haftungsfragen sowie rechtlichen Grenzen von Tests, insbesondere im deutschen Rechtskontext.

Anforderungen an Personal und Organisation
Definition notwendiger Qualifikationen, Prozesse und organisatorischer Voraussetzungen, häufig orientiert an Anforderungen öffentlicher Auftraggeber.

Methodik und Durchführung
Beschreibung eines strukturierten Vorgehensmodells für Penetrationstests.

Methodischer Ansatz

Ein zentrales Element der Studie ist ein klar definierter Prozess zur Durchführung von Penetrationstests.

Fünf Phasen eines Penetrationstests

Die Studie beschreibt einen sequenziellen Ablauf in fünf Phasen:

1. Preparation
Festlegung von Zielen, Umfang, Rahmenbedingungen und rechtlichen Aspekten. Eine sorgfältige Vorbereitung ist entscheidend, um Risiken zu minimieren und Erwartungen abzustimmen. Insbesondere rechtliche Fragestellungen spielen hier eine zentrale Rolle, da bereits vorbereitende Handlungen im Kontext von Angriffswerkzeugen rechtlich relevant sein können, etwa im Hinblick auf § 202c StGB.

2. Reconnaissance
Informationsbeschaffung über Zielsysteme, um ein möglichst vollständiges Bild der Angriffsfläche zu erhalten.

3. Analysis of Information / Risks
Auswertung der gesammelten Informationen und Identifikation potenzieller Schwachstellen.

4. Active Intrusion Attempts
Aktive Ausnutzung identifizierter Schwachstellen zur Simulation realer Angriffsszenarien.

5. Final Analysis / Clean-Up
Bewertung der Ergebnisse, Dokumentation sowie Wiederherstellung des ursprünglichen Systemzustands.

Zusätzlich beschreibt die Studie typische technische Schritte:

  • Informationsrecherche
  • Port-Scanning
  • Service- und Systemidentifikation
  • Schwachstellenanalyse
  • Ausnutzung von Schwachstellen (Exploitation)

Ein weiterer wichtiger Bestandteil ist der modulare Ansatz, bei dem einzelne Testmodule abhängig von Zielsetzung, Risiko und Budget ausgewählt werden können.

Bedeutung in der Praxis

Die BSI-Studie stellt einen der frühen strukturierten Ansätze zur Standardisierung von Penetrationstests dar und hat insbesondere im deutschsprachigen Raum – und dort vor allem im öffentlichen Sektor – zur Professionalisierung beigetragen. Sie bietet eine solide Grundlage für Organisationen, die Penetrationstests planen oder durchführen lassen möchten, insbesondere im behördlichen und regulierten Umfeld.

Ein besonderer Mehrwert liegt in der umfassenden Betrachtung des gesamten Testprozesses. Neben technischen Aspekten werden auch rechtliche, organisatorische und vertragliche Themen detailliert behandelt. Diese Ausrichtung entspricht insbesondere den Anforderungen öffentlicher Auftraggeber, bei denen Nachvollziehbarkeit, Dokumentation und Rechtssicherheit eine zentrale Rolle spielen.

Darüber hinaus dient das in der Studie beschriebene Vorgehensmodell in Deutschland häufig als konzeptionelle Grundlage für Zertifizierungen, Rahmenverträge und Qualitätsanforderungen. Insbesondere bei Projekten im öffentlichen Umfeld orientieren sich Anforderungen an Dienstleister häufig an den durch das BSI geprägten Strukturen.

Ein weiterer wichtiger Aspekt ist die Einordnung der Studie im zeitlichen Kontext. Die Studie liefert das grundlegende methodische Fundament für Penetrationstests beim BSI, wurde jedoch in den folgenden Jahren durch weiterführende und praxisnähere Veröffentlichungen ergänzt. Dazu zählen insbesondere der Praxis-Leitfaden für Penetrationstests sowie verschiedene Arbeitshilfen im Umfeld von IS-Revision und IT-Grundschutz. Diese neueren Dokumente konkretisieren und aktualisieren die Inhalte der ursprünglichen Studie, bleiben jedoch ebenfalls stark im Kontext des deutschen Behörden- und Verwaltungsumfelds verankert.

Kritik und Einschränkungen

Trotz ihres strukturierten Ansatzes weist die Studie mehrere Einschränkungen auf. Eine zentrale Schwäche ist ihr Alter und der damit verbundene begrenzte Bezug zu modernen Technologien und aktuellen Angriffsszenarien. Themen wie Cloud-Umgebungen, moderne Webarchitekturen oder DevSecOps werden nicht behandelt.

Der methodische Ansatz ist zudem vergleichsweise generisch. Zwar wird ein klarer Prozess beschrieben, jedoch fehlen häufig konkrete technische Anleitungen und detaillierte Testverfahren. Für die praktische Durchführung sind daher ergänzende, aktuellere Leitfäden erforderlich.

Ein weiterer Kritikpunkt ist die starke Fokussierung auf das deutsche Behördenumfeld. Während dies für öffentliche Auftraggeber von Vorteil ist, erschwert es die direkte Übertragbarkeit auf internationale oder privatwirtschaftliche Kontexte. Terminologie, Anforderungen und Prozesse sind teilweise stark auf regulatorische Rahmenbedingungen in Deutschland zugeschnitten.

Zusätzlich zeigt sich in der Praxis, dass der in der Studie beschriebene modulare Ansatz nur eingeschränkt umgesetzt wird. Ein vollständig umfassender Test wäre zwar methodisch sinnvoll, ist jedoch aufgrund von Zeit- und Budgetrestriktionen in realen Projekten selten realisierbar.

Insgesamt stellt die Studie eine solide konzeptionelle Grundlage dar, ist jedoch stark durch ihren ursprünglichen Einsatzzweck im öffentlichen Sektor geprägt und wird in der Praxis meist in Kombination mit moderneren und international etablierten Standards eingesetzt.

binsec academy GmbH - Online IT Security Training with Practical Focus

Die binsec academy GmbH ist ein Anbieter von praxisorientierten Online-Trainings im Bereich IT-Sicherheit. Das Schulungsangebot umfasst unter anderem Penetration Testing und sichere Softwareentwicklung. Die Teilnehmer lernen in realitätsnahen Laborumgebungen, die typische IT-Infrastrukturen und Anwendungen simulieren. Die Kurse beinhalten anerkannte Standards wie den OWASP Top 10 und PCI DSS und sind in mehreren Programmiersprachen verfügbar. Nach erfolgreichem Abschluss erhalten die Teilnehmenden Zertifikate wie den Binsec Academy Certified Pentest Professional (BACPP) oder den Binsec Academy Certified Secure Coding Professional (BACSCP), die ihre praktischen Fähigkeiten zur Erkennung und Behebung von Sicherheitslücken belegen.

Gehe zu binsec acadmy GmbH

binsec GmbH – Experten für Penetrationstests

Die binsec GmbH ist ein deutsches IT-Sicherheitsunternehmen mit Schwerpunkt auf professionellen Penetrationstests. Mit über 10 Jahren Erfahrung führt das Team tiefgehende Sicherheitsprüfungen von Netzwerken, Webanwendungen, APIs und mobilen Apps durch. Zertifizierte Experten identifizieren und dokumentieren systematisch Sicherheitslücken, um Unternehmen dabei zu unterstützen, ihre IT-Sicherheit zu verbessern und Compliance-Anforderungen zu erfüllen.

Gehe zu binsec GmbH

Kontakt

binsec GmbH
Clemensstraße 6-8
60487 Frankfurt am Main
Germany

M

info@binsec.com

T

+49 69 2475607-0

Impressum

Geschäftsführer: Patrick Sauer
Prokurist: Dominik Sauer, Florian Zavatzki
Handelsregister: Frankfurt am Main, HRB97277
Umsatzsteuer-ID: DE290966808

© 2026 Alle Rechte vorbehalten binsec GmbH.

Datenschutzerklärung

© 2026 Alle Rechte vorbehalten binsec GmbH.

Datenschutzerklärung