01Core Methodologies
Die fundamentalen Frameworks, die den Standard-Workflow eines Pentests von A bis Z definieren.
| Framework | Fokus | Key Feature | Bestenfalls genutzt fuer... |
|---|---|---|---|
|
PTES Core Penetration Testing Execution Standard |
End-to-End Workflow | Definiert den praxisnahen Ablauf von Tag 1 bis zum Bericht in 7 Phasen. | Standardmaessige Netzwerk- und Infrastruktur-Pentests im Unternehmensbereich. |
|
OSSTMM Core Open Source Security Testing Methodology Manual |
Wissenschaftlich & Metrisch | Mathematisch messbare Ergebnisse via RAV-Werte in 5 Kanaelen. | Kunden mit Bedarf an objektiven, vergleichbaren Kennzahlen (Jahresvergleich der Sicherheitslage). |
|
NIST SP 800-115 Compliance National Institute of Standards |
Behoerden & Compliance | Flexibler Leitfaden, der Pentesting als eine von vielen Prueftechniken neben Audit und Log-Review sieht. | US-Behoerden, Bundesauftragnehmer und stark regulierte Enterprise-Umgebungen. |
|
ISSAF Legacy Information Systems Security Assessment Framework |
Angreifer-Logik | 9-stufiges Modell bildet den Pfad eines APT-Angreifers bis zum Spurenverwischen ab. | Nur als methodische / paedagogische Referenz. Tool-Tipps von 2006 komplett veraltet! |
⚠️
ISSAF Hinweis: Die Methodik ist weiterhin lehrreich um APT-Angriffspfade zu verstehen, jedoch sind saemtliche Tool-Empfehlungen aus 2006 obsolet. Nur als konzeptionelle Referenz verwenden.
02Spezialisierte Frameworks
Plattform- und domain-spezifische Frameworks fuer Web, Mobile, Cloud, Finance und Compliance.
| Framework | Primaere Domain | Typ / Fokus | Wann einsetzen? |
|---|---|---|---|
|
OWASP WSTG Web Web Security Testing Guide |
Webanwendungen | ≥90 konkrete Testfaelle, tief verankert im SDLC. | Jedes Mal wenn eine Webanwendung, ein Cloud-Frontend oder eine API im Scope liegt. |
|
OWASP MASTG Mobile Mobile Application Security Testing Guide |
Mobile Apps | Spezifische Testfaelle fuer Android & iOS (Datenspeicherung, Krypto, Plattform-Interaktion). | Pentesting von Mobile-Apps (Banking-, Healthcare-Apps etc.). |
|
PCI DSS Req. 11.4 Compliance Payment Card Industry Guidelines |
Zahlungskarten | Regulatorisches Mandat fuer jaehrliche Tests und Segmentierungs-Validierung. | Kunden die Kreditkartendaten verarbeiten, speichern oder uebertragen (E-Commerce, Acquirer). |
|
CSA CCM Cloud Cloud Controls Matrix |
Cloud-Umgebungen | Governance- und Compliance-Tool. Keine aktive Testmethodik! | Wenn der Kunde ein Cloud Security Posture Assessment (CSPA) wuenscht. |
|
CBEST Finance CBEST Intelligence-Led Testing |
Finanzsektor (UK) | Bedrohungsgesteuertes Framework (Threat-Intel-led) mit nationalen Behoerden. | Pentests bei britischen Banken, Versicherern und systemrelevanten Finanzinstituten. |
|
WASC Threat Classification Legacy Web Application Security Consortium |
Webanwendungen | Historische Schwachstellen-Taxonomie. | Kaum noch aktiv genutzt. Nur in Legacy-Dokumenten relevant (von OWASP abgeloest). |
💡
CSA CCM: Keine Testmethodik sondern ein Governance-Framework. Fuer aktive Cloud-Pentests kombiniere CCM mit OWASP WSTG (APIs) und plattform-spezifischen Guides (AWS/Azure/GCP Security Benchmarks).
03Deutschland & EU-spezifisch
Diese Frameworks sind im DACH-Raum und fuer EU-regulierte Unternehmen besonders relevant — teils gesetzlich vorgeschrieben, teils de-facto Standard bei Behoerden und Finanzinstituten.
| Framework | Fokus | Key Feature | Wann einsetzen? |
|---|---|---|---|
|
BSI IT-Grundschutz DE-Standard BSI-Standards 200-1 bis 200-4 |
Behoerden & KRITIS (DE) | Baustein DER.3.2 fordert explizit Penetrationstests. Einziges vollstaendig dokumentiertes, behoerdlich anerkanntes Framework in Deutschland. Basis fuer ISO-27001-Zertifizierung. | Bundesbehoerden, KRITIS-Betreiber und Unternehmen die NIS2-Konformitaet nachweisen muessen. Faktisch verbindlich fuer oeffentlichen Sektor. |
|
BSI-Studie Penetrationstests DE-Standard BSI-Durchfuehrungskonzept Pentests |
Pentest-Klassifikation (DE) | Definiert 6 Klassifikationskriterien und ein modulares I/E-Modul-System (I = Information, E = Einbruch). Pflichtbasis fuer BSI-zertifizierte Pentest-Dienstleister. | Jeder Pentest-Auftrag fuer deutsche Behoerden oder KRITIS. BSI-zertifizierte Dienstleister sind gesetzlich an diese Klassifikation gebunden. |
|
TIBER-EU Finance / EU Threat Intelligence-Based Ethical Red-Teaming |
EU-Finanzsektor (ECB) | ECB-Framework fuer Intelligence-led Red Teaming in Live-Produktionsumgebungen. Seit Feb 2025 auf DORA TLPT-RTS ausgerichtet. Einheitlicher EU-weiter Ansatz. | EU-Finanzinstitute (Banken, Versicherer, FMIs) die DORA-TLPT-Pflichten erfullen muessen. TIBER-EU-Tests nach Jan 2025 zählen direkt als DORA-TLPT-Nachweis. |
|
DORA TLPT (Art. 26–27) Finance / EU Digital Operational Resilience Act |
EU-Finanzsektor (Pflicht) | Seit 17. Jan 2025 in Kraft. Pflicht-TLPT alle 3 Jahre fuer systemrelevante Finanzinstitute. RTS veroeffentlicht Juni 2025, in Kraft ab 8. Juli 2025. | Alle von der zustaendigen Behoerde benannten EU-Finanzinstitute (Banken, Zahlungsdienstleister, Krypto-Anbieter, Versicherer). TIBER-EU ist der anerkannte Umsetzungsweg. |
⚠️
NIS2 & DSGVO: In Deutschland erfordert NIS2 (umgesetzt als NIS2UmsuCG) regelmaessige Pentests fuer wesentliche und wichtige Einrichtungen. Art. 32 DSGVO fordert technische und organisatorische Massnahmen — ein Pentest-Bericht gilt als valider Nachweis gegenueber Aufsichtsbehoerden.
🇩🇪
DACH-Kombination in der Praxis: Die meisten deutschen Pentest-Projekte im Enterprise-Umfeld laufen mit PTES + BSI-Grundschutz DER.3.2 als methodischer Basis. Fuer EU-Finanzinstitute gilt: DORA TLPT (Art. 26–27) → Umsetzung via TIBER-EU.
04Quick Reference
Kompakte Karten-Ansicht fuer schnellen Ueberblick auf einen Blick.
Core — All-in-One
PTES
7-Phasen End-to-End Workflow. Pre-Engagement bis Report. De-facto Standard fuer Infra-Pentests.
→ Standard Netzwerk & Infrastruktur Pentest
Core — Metrisch
OSSTMM
RAV-basierte, wissenschaftlich messbare Ergebnisse. 5 Kanaele: Human, Physical, Wireless, Telecom, Networks.
→ Wenn der Kunde KPIs und Jahresvergleiche will
Core — Compliance
NIST SP 800-115
US-Regierungs-Standard. Pentest als Teil eines groesseren Assessment-Prozesses inkl. Audit und Review.
→ US-Behoerden & Compliance-Umgebungen
Web — OWASP
OWASP WSTG
Goldstandard fuer Web-Pentests. 12 Kategorien, 90+ Testfaelle. Laufend gepflegt und aktuell.
→ Jede Web App, API oder Cloud-Frontend
Mobile — OWASP
OWASP MASTG
Android & iOS spezifisch. Deckt Datenspeicherung, Netzwerk, Kryptographie und Plattform-APIs ab.
→ Banking-, Health- oder Enterprise-Mobile-Apps
Finance — UK
CBEST
Threat-Intelligence-getrieben. Regulatoren: Bank of England (PRA), FCA & NCSC. Testet in Live-Umgebungen gegen reale APT-Akteure.
→ Britische Banken & systemrelevante Institute
Cloud — Governance
CSA CCM
Controls-Matrix fuer Cloud-Compliance. Kein aktiver Test-Guide sondern ein Governance-Werkzeug.
→ Cloud Posture Assessment / CSPA
Compliance — PCI
PCI DSS 11.4
Gesetzliches Mandat. Jaehrliche Pentests und Netzwerksegmentierungs-Validierung sind Pflicht.
→ Jeder Scope mit Kreditkartendaten
DE-Standard — BSI
BSI IT-Grundschutz
DER.3.2 fordert Pentests explizit. Pflichtbasis fuer Bundesbehoerden & KRITIS. Einziges behoerdlich anerkanntes DE-Framework.
→ Behoerden, KRITIS, NIS2-pflichtige Unternehmen
DE-Standard — BSI
BSI-Studie Pentests
Modulares I/E-System zur Pentest-Klassifikation. Grundlage fuer alle BSI-zertifizierten Pentest-Dienstleister in Deutschland.
→ Behoerden-Auftraege & BSI-zertifizierte Dienstleister
Finance — EU / ECB
TIBER-EU
ECB Red-Teaming Framework. Seit Feb 2025 auf DORA TLPT-RTS ausgerichtet. Tests zaehlen direkt als DORA-Nachweis.
→ EU-Banken & FMIs mit DORA-TLPT-Pflicht
Finance — EU Pflicht
DORA TLPT
Art. 26–27 DORA. Pflicht-TLPT alle 3 Jahre. RTS in Kraft seit 8. Juli 2025. Umsetzung via TIBER-EU.
→ Systemrelevante EU-Finanzinstitute
05Wann welches Framework?
Entscheidungshilfe basierend auf Auftragstyp und Kundenprofil.
| Szenario | Empfohlenes Framework | Begruendung |
|---|---|---|
| Standard Infra-Pentest (Unternehmen) | PTES | Vollstaendiger praxisnaher Workflow, breit akzeptiert, klare Phasen fuer Reporting. |
| Webanwendung / API / SaaS | OWASP WSTG | 90+ spezifische Testfaelle, deckt alle gaengigen Web-Schwachstellen systematisch ab. |
| Mobile App (Android / iOS) | OWASP MASTG | Einzig vollstaendiger Guide fuer mobile Plattformen inkl. Reverse Engineering. |
| Kreditkarten-Scope (E-Commerce) | PCI DSS 11.4 | Gesetzlich vorgeschrieben. Kein Framework sondern eine Pflicht. |
| Cloud-Konfiguration pruefen | CSA CCM + WSTG | CCM fuer Governance-Luecken, WSTG fuer aktive API- und Frontend-Tests. |
| Jährlicher Sicherheits-KPI-Bericht | OSSTMM | Einziges Framework mit mathematisch vergleichbaren RAV-Metriken. |
| US-Bundesbehoerde / FISMA | NIST SP 800-115 | Direktive Vorgabe fuer alle US-Bundesinstitutionen und deren Auftragnehmer. |
| Britische Bank / APT-Simulation | CBEST | Von Bank of England (PRA) und FCA mandatiert. Threat-Intel-basiert, NCSC-eingebunden, testet in Live-Produktionsumgebungen. |
| Deutsche Behoerde / KRITIS-Betreiber | BSI IT-Grundschutz + BSI-Studie | Baustein DER.3.2 fordert Pentests explizit. BSI-zertifizierte Dienstleister sind an die BSI-Studie gebunden. |
| NIS2-pflichtiges Unternehmen (DE) | PTES + BSI-Grundschutz DER.3.2 | De-facto Standard-Kombination fuer deutsche Enterprise-Pentests. Pentest-Bericht gilt als Art. 32 DSGVO-Nachweis. |
| EU-Finanzinstitut (DORA-pflichtig) | DORA TLPT via TIBER-EU | TLPT alle 3 Jahre Pflicht (Art. 26-27 DORA). TIBER-EU ist der von der EZB anerkannte Umsetzungsweg. RTS in Kraft ab 8. Juli 2025. |
📚