Beratung / Offensive Services

Warum ist ein Pentest für die ISO 27001 wichtig?

Aktualisiert am

Ein Pentest für die ISO 27001 sehen viele Beteiligte als selbstverständlich an. Aber warum ist die unabhängige Untersuchung der Systeme so wichtig? Eine ISO 27001 Zertifizierung zeigt auf Kunden und Lieferanten auf Anhieb, dass das Thema rund um die Informationssicherheit adressiert wird. Dabei ist eine Zertifizierung selber kein Zeichen für ein absolut sicheres Unternehmen. Im besten Fall gibt es aber Wiederherstellungspläne, geübte Notfallszenarien und geklärte Verantwortlichkeiten im Not- oder Krisenfall.

Nach dem Aufbau eines Informationssicherheits-Managementsystems (ISMS), kommt der ständigen Überprüfung und Verbesserung des ISMS die größte Bedeutung zu. Neben organisatorischen Maßnahmen fordert die Norm auch technische Maßnahmen, die die Informationssicherheit identifizieren. Regelmäßig oder nach einem Sicherheitsvorfall müssen die Maßnahmen überprüft und gegebenenfalls korrigiert werden. Doch wie passt ein Pentest zur ISO 27001?


Bei einem Pentest werden Systeme und Netzwerke von professionellen Hackern angegriffen. Das systematische, organisierte Vorgehen ist entscheidend. Diese simulieren dabei das Vorgehen von Kriminellen. Dadurch werden Schwachstellen in den Systemen und Netzwerken gefunden, sodass diese behoben werden können.

Was genau fordert die ISO 27001?

Die ISO 27001 listet 114 Maßnahmen auf, die die Informationssicherheit einer Organisation steigern sollen. Drei davon sind besonders relevant für die Durchführung von Pentests:

  • Die Maßnahme A.12.6.1 fordert das Management von technischen Schwachstellen.
  • Eine unabhängige Überprüfung der Informationssicherheit wird durch die Maßnahme A.18.2.1 gefordert.
  • Außerdem wird durch die Maßnahme A.18.2.3 der ISO 27001 eine technische Konformitätsprüfung mit den Vorgaben der Organisation gefordert.


Außerdem fordert die ISO 27001 die kontinuierliche Überprüfung und Verbesserung des ISMS. Dabei werden die umgesetzten Maßnahmen regelmäßig und anlassbezogen mit Vorgaben und Richtlinien verglichen, sowie Korrekturmaßnahmen eingeleitet. Diese sollen die Ursachen für Abweichungen beseitigen.

Wie hilft ein Pentest bei den Vorgaben der ISO 27001?

Die Vorgaben der ISO 27001 können durch Pentests erfüllt werden, bei denen die technischen Systeme auf Schwachstellen überprüft werden. Pentests unterstützen also bei der Umsetzung von Schwachstellenmanagement, der Überprüfung der Informationssicherheit, sowie der Abgleich mit den technischen Vorgaben des ISMS. Durch die Durchführung regelmäßiger Pentests wird das Niveau der Informationssicherheit kontinuierlich überprüft und verbessert. Somit werden die Anforderungen an die Einhaltung des PDCA-Zyklus erfüllt.

Des Weiteren werden ständig neue Schwachstellen in bestehenden Systemen gefunden, die Kriminelle schnell ausnutzen können. Darüber hinaus sollten neue Systeme und digitale Produkte noch vor dem Produktiveinsatz einem Pentest unterzogen werden, damit Schwachstellen früh gefunden und deren Ursachen behoben werden können.

Die Vorgehensweise bei der Planung eines Pentests

Die professionellen Hacker greifen zielgerichtet die Netzwerke und Systeme einer Organisation an. Dabei wird zwischen externem und internem Test unterschieden. Bei einem externen Test werden nur öffentliche Informationen herangezogen. Dieser geschieht also aus der Sicht von externen Angreifern.

Ein interner Test hingegen setzt den Zugriff auf interne Netze und Systeme voraus. Hier wird davon ausgegangen, dass Angreifer diesen Zugriff erlangt haben. Außerdem können einzelne Applikationen gezielt und detailliert untersucht werden. Dies bietet sich insbesondere für Individualsoftware an.


Nachdem die Organisation Systeme und Netzwerke oder Applikationen für den Pentest vorgegeben hat, suchen die professionellen Hacker darin nach Sicherheitslücken. Die gefundenen Sicherheitslücken werden anschließend in einem detaillierten Report aufgelistet, in dem die potentiellen Auswirkungen aufgezeigt werden. Maßnahmen zur Beseitigung sind obligatorisch und unterstützen das betroffene Unternehmen dabei die Schwachstelle zu schließen, damit diese nicht von Kriminellen ausgenutzt werden können.

Der Pentest für die ISO 27001 – realitätsnahe Ergebnisse die Mehrwert liefern!

Die ISO 27001 fordert unter anderem eine unabhängige Überprüfung der Informationssicherheit, ein technisches Schwachstellenmanagement sowie eine technische Konformitätsprüfung mit den Vorgaben der Organisation. Ein professioneller Pentest unterstützt die Organisation bei der Umsetzung dieser Anforderungen, indem systematisch und detailliert Netze, Systeme und Applikationen untersucht werden und Schwachstellen identifiziert werden. Durch regelmäßige IT-Sicherheitsuntersuchungen wie z.B. einem Pentest wird somit eine kontinuierliche Überprüfung der Maßnahmen gewährleistet. Außerdem helfen die Empfehlungen zu identifizierten Schwachstellen bei der kontinuierlichen Verbesserung der Informationssicherheit.


Ein Pentest trägt also maßgeblich zum Niveau der Informationssicherheit in der Organisation bei. Die kontinuierliche Überprüfung und Verbesserung der Informationssicherheit von technischen Systemen und Komponenten wird somit durch einen professionellen Anbieter für Pentests gewährleistet.

Foto des Autors

Maik Hagelüken

Ich bin Maik Hagelüken und arbeite in der Informationssicherheitsberatung. Dank meiner umfassenden Erfahrung im Bereich TISAX und meiner Tätigkeit als Auditor verfüge ich über ein breites Spektrum an Fähigkeiten und Fachwissen. Zudem habe ich ein Bachelorstudium in IT-Sicherheit und Informationstechnik absolviert. Mein Ziel ist es, unsere Leser stets über die neuesten Entwicklungen und bewährten Praktiken in der Branche auf dem Laufenden zu halten. Besonders wichtig ist mir dabei der menschliche Faktor, da ein effektives ISMS ohne die aktive Einbeziehung der Mitarbeiterinnen und Mitarbeiter nicht funktionieren kann.