Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Warum ist ein Pentest für die ISO 27001 wichtig?

M.Sc. Chris Wojzechowski

Ein Pentest für die ISO 27001 sehen viele Beteiligte als selbstverständlich an. Aber warum ist die unabhängige Untersuchung der Systeme so wichtig? Eine ISO 27001 Zertifizierung zeigt auf Kunden und Lieferanten auf Anhieb, dass das Thema rund um die Informationssicherheit adressiert wird. Dabei ist eine Zertifizierung selber kein Zeichen für ein absolut sicheres Unternehmen. Im besten Fall gibt es aber Wiederherstellungspläne, geübte Notfallszenarien und geklärte Verantwortlichkeiten im Not- oder Krisenfall.


Laden Sie jetzt unsere kostenfreien ISO 27001:2022 Vorlagen herunter

Über 40 Vorlagen die Sie für den Aufbau Ihres Informationssicherheitsmanagementsystems nutzen können.

Kostenfrei. Jetzt anfordern


Nach dem Aufbau eines Informationssicherheits-Managementsystems (ISMS), kommt der ständigen Überprüfung und Verbesserung des ISMS die größte Bedeutung zu. Neben organisatorischen Maßnahmen fordert die Norm auch technische Maßnahmen, die die Informationssicherheit identifizieren. Regelmäßig oder nach einem Sicherheitsvorfall müssen die Maßnahmen überprüft und gegebenenfalls korrigiert werden. Doch wie passt ein Pentest zur ISO 27001?


Bei einem Pentest werden Systeme und Netzwerke von professionellen Hackern angegriffen. Das systematische, organisierte Vorgehen ist entscheidend. Diese simulieren dabei das Vorgehen von Kriminellen. Dadurch werden Schwachstellen in den Systemen und Netzwerken gefunden, sodass diese behoben werden können.


Jetzt unser Whitepaper zur Active Directory Härtung kostenfrei herunterladen!

Das Active Directory ist die Achillesferse der IT-Infrastruktur.
Wir geben Ihnen 7 Hinweise, Empfehlungen sowie Tipps zur Härtung des Systems.


Was genau fordert die ISO 27001?

Die ISO 27001 listet 114 Maßnahmen auf, die die Informationssicherheit einer Organisation steigern sollen. Drei davon sind besonders relevant für die Durchführung von Pentests:

  • Die Maßnahme A.12.6.1 fordert das Management von technischen Schwachstellen.
  • Eine unabhängige Überprüfung der Informationssicherheit wird durch die Maßnahme A.18.2.1 gefordert.
  • Außerdem wird durch die Maßnahme A.18.2.3 der ISO 27001 eine technische Konformitätsprüfung mit den Vorgaben der Organisation gefordert.


Außerdem fordert die ISO 27001 die kontinuierliche Überprüfung und Verbesserung des ISMS. Dabei werden die umgesetzten Maßnahmen regelmäßig und anlassbezogen mit Vorgaben und Richtlinien verglichen, sowie Korrekturmaßnahmen eingeleitet. Diese sollen die Ursachen für Abweichungen beseitigen.

Wie hilft ein Pentest bei den Vorgaben der ISO 27001?

Die Vorgaben der ISO 27001 können durch Pentests erfüllt werden, bei denen die technischen Systeme auf Schwachstellen überprüft werden. Pentests unterstützen also bei der Umsetzung von Schwachstellenmanagement, der Überprüfung der Informationssicherheit, sowie der Abgleich mit den technischen Vorgaben des ISMS. Durch die Durchführung regelmäßiger Pentests wird das Niveau der Informationssicherheit kontinuierlich überprüft und verbessert. Somit werden die Anforderungen an die Einhaltung des PDCA-Zyklus erfüllt.

Des Weiteren werden ständig neue Schwachstellen in bestehenden Systemen gefunden, die Kriminelle schnell ausnutzen können. Darüber hinaus sollten neue Systeme und digitale Produkte noch vor dem Produktiveinsatz einem Pentest unterzogen werden, damit Schwachstellen früh gefunden und deren Ursachen behoben werden können.

Die Vorgehensweise bei der Planung eines Pentests

Die professionellen Hacker greifen zielgerichtet die Netzwerke und Systeme einer Organisation an. Dabei wird zwischen externem und internem Test unterschieden. Bei einem externen Test werden nur öffentliche Informationen herangezogen. Dieser geschieht also aus der Sicht von externen Angreifern.

Ein interner Test hingegen setzt den Zugriff auf interne Netze und Systeme voraus. Hier wird davon ausgegangen, dass Angreifer diesen Zugriff erlangt haben. Außerdem können einzelne Applikationen gezielt und detailliert untersucht werden. Dies bietet sich insbesondere für Individualsoftware an.


Nachdem die Organisation Systeme und Netzwerke oder Applikationen für den Pentest vorgegeben hat, suchen die professionellen Hacker darin nach Sicherheitslücken. Die gefundenen Sicherheitslücken werden anschließend in einem detaillierten Report aufgelistet, in dem die potentiellen Auswirkungen aufgezeigt werden. Maßnahmen zur Beseitigung sind obligatorisch und unterstützen das betroffene Unternehmen dabei die Schwachstelle zu schließen, damit diese nicht von Kriminellen ausgenutzt werden können.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Der Pentest für die ISO 27001 – realitätsnahe Ergebnisse die Mehrwert liefern!

Die ISO 27001 fordert unter anderem eine unabhängige Überprüfung der Informationssicherheit, ein technisches Schwachstellenmanagement sowie eine technische Konformitätsprüfung mit den Vorgaben der Organisation. Ein professioneller Pentest unterstützt die Organisation bei der Umsetzung dieser Anforderungen, indem systematisch und detailliert Netze, Systeme und Applikationen untersucht werden und Schwachstellen identifiziert werden. Durch regelmäßige IT-Sicherheitsuntersuchungen wie z.B. einem Pentest wird somit eine kontinuierliche Überprüfung der Maßnahmen gewährleistet. Außerdem helfen die Empfehlungen zu identifizierten Schwachstellen bei der kontinuierlichen Verbesserung der Informationssicherheit.


Ein Pentest trägt also maßgeblich zum Niveau der Informationssicherheit in der Organisation bei. Die kontinuierliche Überprüfung und Verbesserung der Informationssicherheit von technischen Systemen und Komponenten wird somit durch einen professionellen Anbieter für Pentests gewährleistet.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.