Penetration Testing Execution Standard (PTES)

Einführung

Der Penetration Testing Execution Standard (PTES) ist ein frei verfügbarer Rahmen zur Durchführung strukturierter und nachvollziehbarer Penetrationstests. Ziel des Standards ist es, eine einheitliche Methodik bereitzustellen, die sowohl technische als auch organisatorische Aspekte eines Penetrationstests abdeckt.

PTES wurde von einer Gruppe erfahrener Sicherheitsforscher und Penetrationstester entwickelt, um eine klare Struktur für professionelle Sicherheitsprüfungen zu definieren. Der Standard beschreibt den gesamten Lebenszyklus eines Penetrationstests – von der Planung bis zur Berichterstellung.

Der Ansatz von PTES basiert auf der Annahme, dass ein Penetrationstest mehr ist als das reine Ausnutzen einzelner Schwachstellen. Stattdessen wird der Test als strukturierter Prozess verstanden, der organisatorische Abstimmungen, methodische Vorgehensweisen sowie eine nachvollziehbare Dokumentation umfasst.

Der Standard strukturiert den Ablauf eines Penetrationstests in mehrere Phasen, die unterschiedliche Aktivitäten während einer Sicherheitsprüfung beschreiben. Diese Phasen reichen von der Vorbereitung des Tests über die technische Analyse bis zur Dokumentation der Ergebnisse.

Der Standard ist öffentlich verfügbar unter:
http://www.pentest-standard.org/index.php/Main_Page

Kritische Auseinandersetzung

Trotz seiner Bekanntheit ist der Penetration Testing Execution Standard heute selten die alleinige methodische Grundlage für Penetrationstests. Ein wesentlicher Grund ist die begrenzte technische Detailtiefe des Standards. Die beschriebenen Phasen definieren zwar den grundlegenden Ablauf eines Penetrationstests, enthalten jedoch nur wenige konkrete Prüfmethoden oder technische Vorgehensweisen.

PTES beschreibt den Ablauf eines Penetrationstests bewusst auf einer konzeptionellen Ebene. Die einzelnen Phasen definieren primär einen methodischen Rahmen und weniger eine detaillierte technische Methodik. Für die praktische Durchführung sind daher zusätzliche technische Leitfäden, projektspezifische Methoden sowie die Erfahrung der Penetrationstester erforderlich.

Hinzu kommt, dass Teile der technischen Beschreibung inzwischen veraltet sind. Einige Beispiele im PTES beziehen sich auf Plattformen und Werkzeuge, die heute nur noch eine geringe praktische Relevanz besitzen. So werden in den technischen Abschnitten beispielsweise ältere Windows-Versionen wie Windows XP oder Windows 7 als Referenzsysteme für bestimmte Werkzeuge genannt.

Auch moderne IT-Architekturen werden im ursprünglichen PTES nur begrenzt berücksichtigt. Themen wie Cloud-Infrastrukturen, containerisierte Plattformen oder komplexe Identity- und Access-Management-Systeme spielen im Standard nur eine untergeordnete Rolle.

Darüber hinaus handelt es sich beim PTES nicht um einen formal gepflegten Industriestandard mit klar definierter Governance. Eine regelmäßige Aktualisierung durch eine Standardisierungsorganisation findet nicht statt. Dadurch entwickelt sich der Standard nur begrenzt weiter und bildet aktuelle technische Entwicklungen nur eingeschränkt ab.

Die Bekanntheit von PTES in der Branche hängt zudem teilweise mit der hohen Sichtbarkeit der Projektseite pentest-standard.org zusammen. Diese erreicht seit vielen Jahren ein sehr gutes Ranking in Suchmaschinen und wird daher häufig als Referenz für Penetrationstests wahrgenommen. In der praktischen Durchführung greifen viele professionelle Pentest-Teams jedoch stärker auf andere technische Leitfäden sowie auf eigene Methodiken zurück.

Phasen des PTES

Der Penetration Testing Execution Standard strukturiert einen Penetrationstest in mehrere aufeinanderfolgende Phasen. Diese Phasen bilden einen methodischen Rahmen für die Planung, Durchführung und Dokumentation eines Penetrationstests. Die einzelnen Phasen können sich in der Praxis teilweise überschneiden oder iterativ durchgeführt werden.

1. Pre-engagement Interactions

Die Phase der Pre-engagement Interactions umfasst alle organisatorischen und rechtlichen Abstimmungen zwischen Auftraggeber und Testteam vor Beginn des eigentlichen Penetrationstests.

Zentral ist dabei die klare Definition des Testumfangs (Scope). Dabei wird festgelegt, welche Systeme, Anwendungen oder Netzwerke Bestandteil des Tests sind und welche Bereiche ausdrücklich ausgeschlossen werden. Zusätzlich werden Ziele und Erwartungen des Auftraggebers definiert, beispielsweise die Identifikation technischer Schwachstellen, die Bewertung organisatorischer Sicherheitsmaßnahmen oder die Simulation realistischer Angriffsszenarien.

Ein weiterer wichtiger Bestandteil dieser Phase ist die rechtliche Absicherung des Tests. Da Penetrationstests potenziell sicherheitskritische Systeme beeinflussen können, sind entsprechende Genehmigungen und vertragliche Vereinbarungen erforderlich. Dazu gehören beispielsweise Haftungsregelungen, Vertraulichkeitsvereinbarungen sowie Notfallkontakte für den Fall unerwarteter Systemausfälle.

Darüber hinaus werden Kommunikationsprozesse definiert. Dazu zählen insbesondere Ansprechpartner auf beiden Seiten, Meldewege für kritische Schwachstellen sowie organisatorische Abläufe während des Tests. Eine sorgfältige Vorbereitung dieser Phase ist entscheidend, um rechtliche Risiken und operative Störungen zu vermeiden.

2. Intelligence Gathering

In der Phase des Intelligence Gathering werden Informationen über das Zielsystem, die Infrastruktur oder die Zielorganisation gesammelt. Ziel ist es, ein möglichst umfassendes Verständnis der Zielumgebung zu erlangen, um potenzielle Angriffspunkte zu identifizieren.

Dabei kommen sowohl passive als auch aktive Informationsbeschaffungsmethoden zum Einsatz. Passive Methoden umfassen beispielsweise Open Source Intelligence (OSINT), bei der öffentlich verfügbare Informationen ausgewertet werden. Dazu zählen Domaininformationen, DNS-Einträge, öffentlich zugängliche Dokumente, Metadaten oder Hinweise auf verwendete Technologien.

Aktive Informationsbeschaffung kann beispielsweise das Scannen von Netzwerken oder Diensten umfassen, um erreichbare Systeme, offene Ports und angebotene Dienste zu identifizieren. Auch die Analyse von Subdomains, Zertifikaten oder Cloud-Ressourcen kann Bestandteil dieser Phase sein.

Die gesammelten Informationen dienen als Grundlage für die folgenden Analyse- und Angriffsphasen. Je besser die Zielumgebung verstanden wird, desto gezielter können mögliche Angriffspfade identifiziert werden.

3. Threat Modeling

Im Threat Modeling wird analysiert, welche Bedrohungsszenarien für die Zielumgebung realistisch sind. Ziel dieser Phase ist es, die zuvor gesammelten Informationen zu strukturieren und mögliche Angriffspfade systematisch abzuleiten.

Dabei werden insbesondere kritische Assets der Organisation identifiziert, etwa sensible Daten, zentrale Systeme oder geschäftskritische Anwendungen. Anschließend wird analysiert, welche potenziellen Angreiferprofile relevant sein könnten, beispielsweise externe Angreifer ohne Vorwissen, interne Mitarbeiter oder spezialisierte Angreifergruppen.

Auf dieser Grundlage werden mögliche Angriffsszenarien modelliert. Dabei wird untersucht, über welche Systeme ein Angreifer Zugang erhalten könnte und welche weiteren Schritte zur Ausweitung eines Angriffs denkbar wären. Diese Analyse hilft dabei, den Penetrationstest stärker auf realistische Bedrohungen auszurichten und besonders kritische Angriffspfade gezielt zu untersuchen.

4. Vulnerability Analysis

In der Vulnerability Analysis werden Systeme gezielt auf technische Schwachstellen untersucht. Diese Phase bildet häufig den umfangreichsten Teil eines Penetrationstests.

Typischerweise werden zunächst automatisierte Werkzeuge eingesetzt, um potenzielle Schwachstellen zu identifizieren. Dazu gehören beispielsweise Netzwerkscanner, Schwachstellenscanner oder spezialisierte Analysewerkzeuge für Webanwendungen.

Ergänzend erfolgt eine manuelle Analyse der identifizierten Systeme. Dabei werden beispielsweise Konfigurationen überprüft, Authentifizierungsmechanismen analysiert oder mögliche logische Schwachstellen untersucht. Besonders bei komplexen Anwendungen oder individuellen Softwarelösungen ist eine manuelle Analyse oft notwendig, da automatisierte Werkzeuge nicht alle Schwachstellen erkennen können.

Ziel dieser Phase ist es, potenzielle Sicherheitslücken zu identifizieren und zu bewerten. Dabei wird auch geprüft, ob gefundene Schwachstellen tatsächlich ausnutzbar sind oder lediglich theoretische Risiken darstellen.

5. Exploitation

In der Exploitation-Phase werden identifizierte Schwachstellen gezielt ausgenutzt, um ihre tatsächliche Ausnutzbarkeit zu überprüfen. Während die Vulnerability Analysis mögliche Schwachstellen identifiziert, dient die Exploitation dazu, deren praktische Auswirkungen zu demonstrieren.

Dabei kann beispielsweise versucht werden, Zugriff auf ein System zu erlangen, Authentifizierungsmechanismen zu umgehen oder Schadcode auszuführen. Ziel ist es nicht, Systeme dauerhaft zu kompromittieren, sondern die Auswirkungen eines erfolgreichen Angriffs nachvollziehbar darzustellen.

Die Durchführung dieser Phase erfolgt in der Regel kontrolliert und unter Berücksichtigung möglicher Auswirkungen auf produktive Systeme. In vielen Projekten wird deshalb vorab festgelegt, welche Arten von Exploits zulässig sind und welche Maßnahmen vermieden werden sollen.

Die Ergebnisse dieser Phase liefern wichtige Informationen zur realistischen Bewertung der identifizierten Schwachstellen.

6. Post Exploitation

Die Post-Exploitation-Phase untersucht, welche Möglichkeiten sich nach einer erfolgreichen Kompromittierung eines Systems ergeben. Dabei wird analysiert, wie weit ein Angreifer seinen Zugriff innerhalb der Zielumgebung ausweiten könnte.

Typische Aktivitäten umfassen die Analyse von Benutzerrechten, die Suche nach sensiblen Daten sowie mögliche Privilegieneskalationen. Zusätzlich wird untersucht, ob eine laterale Bewegung innerhalb des Netzwerks möglich ist, beispielsweise durch den Zugriff auf weitere Systeme oder Dienste.

Auch die Analyse von Konfigurationsdaten, Zugangsdaten oder Tokens kann Bestandteil dieser Phase sein. Ziel ist es zu verstehen, welche Auswirkungen ein erfolgreicher Angriff auf die Gesamtinfrastruktur haben könnte.

Diese Phase ist besonders wichtig, da viele reale Angriffe nicht bei einem einzelnen kompromittierten System enden, sondern sich innerhalb einer Infrastruktur weiter ausbreiten.

7. Reporting

Die Reporting-Phase umfasst die strukturierte Dokumentation der Ergebnisse des Penetrationstests. Der Abschlussbericht stellt in vielen Projekten das wichtigste Ergebnis der gesamten Untersuchung dar.

Ein professioneller Bericht enthält sowohl technische Details als auch eine verständliche Zusammenfassung für nicht-technische Entscheidungsträger. Dazu gehören beispielsweise eine Beschreibung der identifizierten Schwachstellen, eine Bewertung ihrer Risiken sowie nachvollziehbare Schritte zur Reproduktion der Angriffe.

Zusätzlich enthält der Bericht in der Regel konkrete Handlungsempfehlungen zur Behebung der identifizierten Schwachstellen. Diese können technische Maßnahmen, organisatorische Verbesserungen oder Anpassungen von Sicherheitsprozessen umfassen.

Der Bericht dient als Grundlage für die Priorisierung von Sicherheitsmaßnahmen und unterstützt Organisationen dabei, ihre Sicherheitsarchitektur langfristig zu verbessern.