Warum dieser Beitrag?
Regulatoren auf drei Kontinenten schrauben die Anforderungen an Penetration Tests hoch. Wer heute international Geschäfte macht, muss die unterschiedlichen Pentest-Frameworks kennen – sonst drohen Projektverzögerungen, Bußgelder oder unbrauchbare Reports.
1 | „Must-have“- Pentest Standards weltweit
Fast jedes Pentest-Statement of Work enthält heute mindestens eines der drei Klassiker:
- PTES – sieben klar definierte Phasen von der Pre-engagement-Klärung bis zum Pentest-Reporting. pentest-standard.org
- OWASP WSTG – lebendiger Open-Source-Leitfaden für Web- und API-Tests; Version 4.2 erschien 2024. OWASP Foundation
- OSSTMM – metrischer Ansatz für physische, Person- und IT-Kanäle; frei verfügbar als Methodologie-Handbuch. isecom.org
Diese „Baseline“ wird häufig mit MITRE ATT&CK-Mapping ergänzt, um Findings leichter in Risiko-Dashboards zu überführen.
2 | Europa – von DORA getriebene Threat-Led-Tests
Seit 17. Januar 2025 gilt die Digital Operational Resilience Act (DORA) in allen EU-Mitgliedstaaten. Kredit- und Finanzinstitute müssen jetzt regelmäßige „advanced tests“ durchführen – sprich: intelligence-gestütztes Red-Team-Testing nach TIBER-EU. Der EZB-Refresh 2025 spezifiziert Mindestlaufzeiten, Rollen (TI-, RT-, White-Team) und einen Report-Anhang mit ATT&CK-Mapping. Eiopa; European Central Bank; European Central Bank
Was ist anders als bei klassischen Pen-Tests?
| Phase | Besonderheit |
|---|---|
| Threat-Intel | maßgeschneiderte Profile realer Angreifer (FIN-, APT-Gruppen) |
| Execution | „Low & Slow“-Angriff über 6–12 Wochen auf Live-Systeme |
| White-Team-Governance | Kill-Switch, Safety-Checks, Reporting an Aufsicht |
Kostenpunkt laut Markt: ≥ 300 k € und 4–6 Monate Projektdauer.
3 | USA – NIST-Grundgerüst plus CISA-Best Practices
- NIST SP 800-115 bleibt das Standard-Nachschlagewerk für Information-Security-Testing in US-Unternehmen. NIST
- Die Cross-Sector Cybersecurity Performance Goals (CPG) der CISA empfehlen seit 2024 ausdrücklich, Pen-Tests an realen Angreifer-TTPs auszurichten – sind aber (noch) keine Pflicht. cisa.gov
In der Praxis kombinieren Dienstleister „NIST + PTES“ und hängen je nach Branche PCI DSS v4.0 oder FedRAMP-Erfordernisse an. Continuous-Testing-Plattformen („Purple Team“) setzen sich schnell durch, doch die formale Threat-Intel-Pflicht fehlt weiterhin.
4 | Asien-Pazifik – reguliertes Mosaik
| Jurisdiktion | Leitfaden | Kurz-Essenz |
|---|---|---|
| Singapur | MAS TRM, Annex 10 | CREST-STAR-basiertes Red-Team für Banken, jährliche Pflicht. mas.gov.sg |
| Hong Kong | iCAST | CBEST-ähnliche TLPT-Vorgaben für systemrelevante Banken. hkma.gov.hk |
| Japan | ISMAP | Cloud-Provider müssen Pen-Tests & Schwachstellen-Scans nach festem Prüfkatalog vorlegen. ismap.go.jp |
| Region APAC | CREST STAR / OVS | Zertifikate werden zunehmend von Aufsichten als Qualitätsnachweis akzeptiert. CREST |
Ergebnis: Projekt-Scoping variiert stark – mal Intelligence-Led, mal klassisch –, doch CREST-Akkreditierung wird zum kleinsten gemeinsamen Nenner.
5 | Praxis-Roadmap für multinationale Pentest-Teams
- Globales Kern-Framework
PTES + OWASP WSTG liefert überall vergleichbare Phasen, Artefakte und KPIs. - Regionale Compliance-Layer
- EU: TIBER-EU- oder CBEST-Konformität, eingebettet in DORA-Prozesse.
- USA: Mapping auf NIST 800-115, plus CISA-CPG-Checkliste.
- APAC: MAS TRM, iCAST oder ISMAP als Add-on.
- Reporting vereinheitlichen
- Einheitliches MITRE ATT&CK-Schema erleichtert Konsolidierung über alle Kontinente hinweg.
- Budget & Timeline realistisch planen
- EU-TLPT zuerst durchführen und als Master-Test dokumentieren.
- Für US- und asiatische Niederlassungen nur die Lücken („delta scope“) nachtesten.
6 | Blick nach vorn (Pentest 2026 +)
- Die EU prüft, TIBER-EU auch auf Gesundheits- und Energie-KRITIS auszudehnen. European Central Bank
- Die CISA arbeitet an einem Threat-Informed Pen Test Framework – Entwurf für 2026 angekündigt. cisa.gov
- In Asien soll eine CREST-STAR-FS-Variante speziell für Versicherer pilotiert werden. CREST
Fazit
Wer europaweit unterwegs ist, sollte TIBER-Prozesse als Goldstandard verankern und daraus „abgespeckte“ Scopes für USA und Asien ableiten. Ein sauberer Methoden-Stack – PTES + OWASP als Basis, regionale Frameworks als Aufsatz – minimiert Audit-Stress und spart doppelte Testtage.
Take-away: Ein Standard reicht nicht mehr. Nur wer Methodologien schichtet, bleibt 2025+ compliant und vermeidet kostspielige Re-Tests.