Was ist ein Penetrationstest-Leistungsverzeichnis?
Ein Penetrationstest ist eine autorisierte, systematische Prüfung von IT-Systemen, Netzwerken oder Anwendungen durch Sicherheitsexperten, die reale Angriffstechniken einsetzen, um Schwachstellen vor böswilligen Akteuren zu finden. Anders als ein automatisierter Schwachstellenscan kombiniert ein Pentest technische Expertise mit kreativem Vorgehen und ist damit das aussagekräftigste Instrument zur realistischen Einschätzung des eigenen Sicherheitsniveaus. Für Behörden, KRITIS-Betreiber und Einrichtungen nach NIS2 gehört die regelmäßige Durchführung von Penetrationstests zum Mindeststandard einer wirksamen Informationssicherheit.
Unser Muster-LV für Penetrationstests wurde auf Grundlage des BSI-Leitfadens zur Durchführung von Penetrationstests entwickelt und in mehreren Beschaffungsprojekten erprobt. Es deckt den gesamten Auftragszyklus ab: von der präzisen Scope-Definition über verbindliche Anforderungen an Prüfmethodik und Qualifikation der Prüfer bis hin zu Mindestanforderungen an Befunddokumentation und Abschlussbericht. Damit erhalten Auftraggeber ein sofort einsatzbereites Ausschreibungsdokument, das vergleichbare Angebote erzeugt und Nachverhandlungen über Leistungsumfang minimiert.
Für wen geeignet?
Leistungsumfang des Muster-LV Penetrationstest
Prüfziele und Scope-Definition
Die Scope-Definition ist der wichtigste und in der Praxis am häufigsten unterschätzte Teil einer Pentest-Ausschreibung. In unseren Projekten haben wir gesehen, dass vage Formulierungen wie "alle IT-Systeme" zu erheblichen Auslegungsunterschieden zwischen Angeboten führen und spätere Nachverhandlungen über Leistungsumfang nahezu unvermeidlich machen. Unser Leistungsverzeichnis fordert daher eine präzise Auflistung aller zu prüfenden IP-Bereiche, URLs, Applikationsendpunkte und physischen Standorte sowie eine explizite Negativliste der vom Test ausgeschlossenen Systeme. Ebenfalls geregelt sind zeitliche Rahmenbedingungen, da Produktionssysteme in kritischen Behörden oder Krankenhäusern in der Regel nur außerhalb der Betriebszeiten aktiv getestet werden dürfen.
Neben dem "Was wird geprüft" regelt unser Muster-LV auch den Prüfansatz: Black-Box-Tests (ohne Vorwissen), Grey-Box-Tests (mit Netzwerkplänen und Zugangsdaten) und White-Box-Tests (vollständige Systemkenntnis inklusive Quellcode) haben unterschiedliche Stärken und Einsatzbereiche. Für Erstprüfungen im öffentlichen Sektor empfiehlt das BSI häufig Grey-Box-Ansätze, weil sie reale Angreiferszenarien abbilden und gleichzeitig einen fokussierten, ressourceneffizienten Testablauf ermöglichen. Anbieter wie SySS GmbH, NTT DATA oder Recurity Labs arbeiten jeweils mit eigenen Scope-Templates, weshalb ein öffentlicher Auftraggeber gut beraten ist, den Rahmen selbst vorzugeben statt sich auf Anbietervorlagen zu verlassen.
Anforderungen an Prüfmethodik und Qualifikation
Ein professioneller Penetrationstest folgt einer anerkannten Methodik. Unser Leistungsverzeichnis verlangt die Orientierung am BSI-Leitfaden zur Durchführung von IS-Penetrationstests[1] sowie alternativ oder ergänzend an etablierten internationalen Standards: dem OWASP Web Security Testing Guide (WSTG) v4.2 für Webanwendungen und dem Penetration Testing Execution Standard (PTES) für netzwerkorientierte Prüfungen. Durch die Methodenbindung wird sichergestellt, dass Angebote unterschiedlicher Dienstleister vergleichbar sind und das Ergebnis einer Prüfung vor Dritten nachvollziehbar dokumentiert werden kann.
Für die Qualifikation der eingesetzten Prüfer haben wir Mindestandards formuliert, die in der Praxis vergaberechtskonform als Eignungskriterien gestellt werden können: mindestens ein zertifizierter Penetrationstester (OSCP, CREST Practitioner oder gleichwertig) je Prüfteam, nachweisliche Erfahrung mit vergleichbaren Projekten im öffentlichen Sektor und eine gültige Zuverlässigkeitsüberprüfung nach SÜG für Tests an sicherheitsrelevanten Systemen. In Vergabeverfahren nach VgV ab EU-Schwellenwert können diese Anforderungen über die Eigenerklärung zur Eignung (EEE) und Referenzlisten abgefragt werden. Das BSI bietet mit seiner Informationsseite zu Penetrationstests darüber hinaus eine öffentlich zugängliche Übersicht über anerkannte Prüfmethoden und Qualifikationsrahmen.
Technische Prüftiefe und Testarten
Penetrationstests sind kein monolithisches Produkt, sondern eine Familie unterschiedlicher Prüfansätze, die je nach Schutzbedarf und Systemlandschaft kombiniert werden müssen. Unser Muster-LV strukturiert die Prüftiefe in vier Bereiche: Netzwerk- und Infrastrukturtest (Portscanning, Exploit-Versuche gegen exponierte Dienste, Active-Directory-Analyse), Webanwendungstest nach OWASP Top 10 (SQL-Injection, XSS, CSRF, Authentifizierungsschwächen, unsichere Konfigurationen), optionaler Social-Engineering-Test (Phishing-Simulation, Vishing) und Cloud-Konfigurationsprüfung für Azure- oder AWS-Umgebungen. Für Behörden, die Microsoft 365 oder Azure Government Cloud einsetzen, ist die Cloud-Komponente seit NIS2 zunehmend verpflichtend relevant, da auch SaaS-Umgebungen Teil des Angriffsvektors sind.
KRITIS-Betreiber in regulierten Sektoren (Energie, Wasser, Gesundheit, Finanzen) unterliegen darüber hinaus sektorspezifischen Vorgaben. Im Finanzsektor gilt das TIBER-DE-Framework der Deutschen Bundesbank als verpflichtender Rahmen für Threat Intelligence-basierte Red-Team-Tests, der über klassische Penetrationstests deutlich hinausgeht. Unser Muster-LV enthält einen optionalen Erweiterungsblock für TIBER-konformes Vorgehen, der separat beauftragt werden kann. Die Nationale Initiative für Informations- und Internetsicherheit (NIFIS) und das BSI empfehlen für Behörden der Sicherheitsstufe VS-NfD außerdem spezifische Sicherheitsanforderungen an das Prüfteam, die wir als gesonderten Abschnitt in das Leistungsverzeichnis aufgenommen haben.
Befund-Dokumentation und Berichtsformat
Der Abschlussbericht ist das eigentliche Lieferergebnis eines Penetrationstests, und seine Qualität variiert in der Praxis erheblich. In unseren Projekten haben wir regelmäßig erlebt, dass Berichte ohne verbindliche Anforderungen entweder zu technisch für die Leitungsebene oder zu oberflächlich für die IT-Abteilung ausfallen. Unser Muster-LV schreibt daher eine klare Berichtsstruktur vor: Executive Summary für Entscheider (maximal 5 Seiten, risikoorientiert), technischer Befundteil mit vollständiger Reproduzierbarkeit jeder Schwachstelle, CVSS-3.1-Bewertung[2] für jede Schwachstelle, Klassifizierung nach Kritikalität (kritisch, hoch, mittel, niedrig, informativ) und priorisierter Maßnahmenplan mit empfohlenen Fristen für die Behebung. Diese Struktur ermöglicht es, Befunde direkt in ein Maßnahmencontrolling zu überführen und den Fortschritt gegenüber übergeordneten Behörden oder Aufsichtsstellen zu dokumentieren.
Zusätzlich zum Erstbericht fordert unser Leistungsverzeichnis einen Nachprüfungsdurchgang (Retest) für alle als kritisch oder hoch bewerteten Befunde innerhalb von 90 Tagen nach Erstbericht. Dieser Retest ist vergütungsmäßig im Pauschalpreis enthalten und muss nicht separat beauftragt werden, was Nachverhandlungen nach Abgabe eines Angebots ausschließt. Für Auftraggeber, die Ergebnisse in ein bestehendes ISMS nach ISO 27001 einpflegen, enthält unser Leistungsverzeichnis außerdem eine Anforderung an die maschinenlesbare Ausgabe von Befunden (JSON oder CSV), damit Schwachstellen direkt in Ticketsysteme wie JIRA oder ServiceNow importiert werden können.
Quellen
- BSI: „Praxis-Leitfaden IS-Penetrationstest", Bundesamt für Sicherheit in der Informationstechnik, bsi.bund.de (abgerufen 2025).
- FIRST.org: „Common Vulnerability Scoring System v3.1: Specification Document", Forum of Incident Response and Security Teams, first.org, 2019 (gültige aktuelle Version).
- OWASP Foundation: „OWASP Web Security Testing Guide v4.2", owasp.org, 2020.
Technische Details
| Format | Microsoft Excel (.xlsx) + PDF |
| Umfang | mehr als 60 Leistungspositionen |
| Sprache | Deutsch |
| Vergaberecht | GWB, VgV, UVgO konform |
| Normen | BSI IT-Grundschutz, NIS2, ISO 27001, OWASP |
| Stand | 2026 (regelmäßige Revision) |
| Lieferung | Innerhalb von 5 Werktagen nach Zahlung |
| Nutzungsrecht | Einfach, für eigene Organisation |
Muster-LV: Penetrationstest
- aus vergangenen Projekten entwickelt
- Öffentlicher Sektor & KRITIS
- BSI IT-Grundschutz & ISO 27001
- GWB / VgV / UVgO konform
- inkl. Scope-Template und Retest-Klausel
- Stand 2026 (regelmäßige Revision)
- E-Mail Support inklusive
