ISO 27001 · Annex A · Penetrationstest

ISO 27001 Pentest:
Was euer Auditor sehen will – wir liefern es

Wer sich nach ISO 27001 zertifizieren lässt oder seine Zertifizierung erneuert, braucht früher oder später einen Penetrationstest. Nicht weil es schön wäre – sondern weil euer Auditor ihn erwartet. Wir liefern genau das: einen Pentest-Bericht, der Annex-A-Kontrollen adressiert und in jedem Audit standhält.

Jetzt ISO-27001-Pentest anfragen Annex-A-Mapping ansehen
Annex-A-konformes Reporting Auditfestes Berichtformat Kostenloses Erstgespräch
Was ihr bekommt
Auditfester Prüfbericht
Unser Bericht ist explizit auf ISO-27001-Audits ausgelegt – mit Mapping auf die relevanten Annex-A-Kontrollen, die euer Auditor prüft.
Klares Annex-A-Mapping
Jedes Finding wird den relevanten ISO-27001-Kontrollen zugeordnet – A.8.8, A.8.11, A.5.15 und weitere. Keine Interpretationsarbeit für euren Auditor.
Flexibler Scope
Ob Erstzeritifzierung, Rezertifizierung oder anlassbezogener Test nach Änderungen – wir passen den Scope eurem Zertifizierungsstand an.
Schnelle Durchführung
Wir wissen, dass Zertifizierungstermine nicht warten. Auf Wunsch priorisieren wir euer Projekt und liefern den Bericht termingerecht.
Unser ISO-27001-Pentest-Bericht ist so aufgebaut, dass er eurem Auditor alle nötigen Nachweise liefert – ohne Rückfragen.
Die Auditor-Perspektive

Was euer ISO-27001-Auditor wirklich erwartet

ISO 27001 schreibt keinen Penetrationstest explizit vor – aber jeder erfahrene Auditor wird ihn als Nachweis für mehrere Annex-A-Kontrollen einfordern. Wer ohne aktuellen Pentest-Bericht in ein Audit geht, hat ein Problem.

Zeigen Sie mir, wie Sie Schwachstellen in Ihrer Umgebung systematisch identifizieren und beheben. Ein Penetrationstest ist dafür das geeignete Instrument.
Typische Aussage eines ISO-27001-Auditors im Stage-2-Audit

Annex A der ISO 27001 enthält 93 Kontrollen. Mehrere davon lassen sich ohne einen Penetrationstest nur schwer nachweisen – insbesondere rund um Schwachstellenmanagement, Zugriffskontrollen und Netzwerksicherheit. Ein fehlender oder veralteter Pentest-Bericht ist einer der häufigsten Gründe für Findings und Nichtkonformitäten im Audit.

Kein explizites Pflichtdokument
ISO 27001 schreibt keinen Pentest vor – aber die Kontrollen A.8.8 und A.8.11 sind ohne ihn kaum nachweisbar.
Aktualität entscheidend
Ein drei Jahre alter Pentest-Bericht überzeugt keinen Auditor. Die meisten akzeptieren maximal 12 Monate.
Scope muss zum ISMS passen
Der Pentest muss den ISMS-Scope abdecken – nicht einfach irgendein System testen und hoffen, dass es reicht.
Für wen ist das relevant?

ISO 27001 – für jedes Unternehmen, das Sicherheit nachweisen muss

Anders als NIS2 oder KRITIS gilt ISO 27001 branchenübergreifend. Zertifiziert wird, wer es selbst will – oder wer es muss, weil Kunden oder Auftraggeber es fordern.

🏢SaaS- & Cloud-Anbieter
🏥Managed Service Provider
💻Behörden & öffentliche Einrichtungen
📊Finanzdienstleister & Fintechs
💰Gesundheitswesen & Medizintechnik
Rüstung & Aerospace
🏭Mittelständische Unternehmen mit Enterprise-Kunden
🔬Forschungseinrichtungen & Universitäten

Häufigster Auslöser: ein Großkunde stellt ISO-27001-Zertifizierung als Lieferantenbedingung. Ab dann tickt die Uhr.

Annex-A-Mapping

Diese ISO-27001-Kontrollen deckt unser Pentest ab

Annex A der ISO 27001:2022 enthält 93 Kontrollen in vier Kategorien. Ein Penetrationstest ist das direkteste Nachweisinstument für diese sechs:

Kontrolle Bezeichnung Wie unser Pentest hilft Modul
A.8.8SchwachstellenmanagementWir identifizieren ausnutzbare Schwachstellen systematisch – das ist der direkteste Nachweis für A.8.8.Alle Module
A.8.11Datenmaskierung & SystemhärtungWir prüfen, ob sensible Systeme ausreichend gehärtet sind und ob Datenzugriffe korrekt eingeschränkt werden.Infra, AD
A.5.15ZugriffssteuerungWir testen, ob Zugriffskontrollen in der Praxis greifen – nicht nur auf dem Papier existieren.AD, Physical
A.8.20NetzwerksicherheitSegmentierung, Firewall-Regeln, exponierte Dienste: wir prüfen das Netzwerk gegen reale Angriffsmuster.Infrastruktur
A.7.2Physische ZugangskontrollenFür Organisationen mit physischen ISMS-Assets testen wir, ob der Zugang zu kritischen Bereichen wirklich kontrolliert wird.Physical
A.5.37Dokumentierte BetriebsverfahrenUnser Abschlussbericht dokumentiert Methodik, Scope und Findings strukturiert – als Nachweis für A.5.37.Alle Module
Unser Vorgehen

ISO-27001-Pentest in 5 Schritten

Abgestimmt auf euren Zertifizierungsstand, euren Auditortermin und die relevanten Annex-A-Kontrollen.

SCHRITT 01

ISMS-Scope Analyse

Wir analysieren euren ISMS-Scope und klären, welche Systeme, Prozesse und Standorte im Zertifizierungsumfang liegen – damit der Pentest genau das abdeckt, was euer Auditor sieht.

SCHRITT 02

Annex-A-Mapping & Scoping

Basierend auf eurem ISMS definieren wir den Pentest-Scope und ordnen ihn den relevanten Annex-A-Kontrollen zu. Kein Mehraufwand für euch beim Audit.

SCHRITT 03

Testdurchführung

Manuelle Penetrationstests auf vereinbarte Systeme und Bereiche. Wir dokumentieren jeden Schritt lückenlos – Auditoren schätzen Nachvollziehbarkeit.

SCHRITT 04

Risikobewertung & Priorisierung

Jedes Finding wird nach Schweregrad und ISMS-Relevanz bewertet. Kritische Findings kommunizieren wir sofort – damit ihr vor dem Audit handeln könnt.

SCHRITT 05

ISO-27001-konformer Abschlussbericht

Vollständiger Bericht mit Annex-A-Mapping, Management-Summary und technischem Anhang. So aufgebaut, dass euer Auditor alle Antworten findet – ohne Nachfragen.

50.000+
ISO-27001-zertifizierte Unternehmen weltweit
93
Annex-A-Kontrollen in ISO 27001:2022
6
Kontrollen direkt durch Pentest nachweisbar
12 Mon.
Maximales Berichtsalter für die meisten Auditoren
Was unser ISO-27001-Bericht enthält
Explizites Mapping auf relevante Annex-A-Kontrollen
Management-Summary für ISMS-Verantwortliche und Geschäftsführung
Technischer Anhang mit vollständiger Methodik-Dokumentation
Priorisierter Maßnahmenplan nach Schweregrad und ISMS-Relevanz
Re-Test-Angebot nach Behebung der Findings vor dem Audit
Relevante Pentest-Module

Welche Tests braucht ihr für ISO 27001?

Der richtige Scope hängt von eurem ISMS ab. Diese drei Module decken die häufigsten Annex-A-Anforderungen ab.

Infrastruktur & Netzwerk

Das Kernmodul für ISO 27001: Schwachstellenscans, Netzwerksegmentierung, exponierte Dienste, Firewall-Regeln. Direkt relevant für A.8.8, A.8.20 und A.8.11.

Mehr erfahren

Physical Pentest

Für Organisationen mit physischen ISMS-Assets: testen wir, ob Zugangskontrollen zu Serverräumen, Rechenzentren und sensiblen Bereichen wirklich greifen (A.7.2).

Mehr erfahren

Active Directory & Zugriffskontrolle

Zugriffssteuerung ist eines der häufigsten Audit-Themen. Wir testen, ob Berechtigungen, Rollenkonzepte und privilegierte Konten der ISO-27001-Anforderung A.5.15 standhalten.

Mehr erfahren
Häufige Fragen

ISO 27001 & Penetrationstest – eure Fragen

ISO 27001 schreibt keinen Penetrationstest explizit vor. Aber: Die Norm fordert den Nachweis, dass Schwachstellen systematisch identifiziert und behoben werden (A.8.8) und dass Zugriffskontrollen wirksam sind (A.5.15). Ein Penetrationstest ist das direkteste und überzeugendste Instrument für diese Nachweise. In der Praxis fordern nahezu alle erfahrenen Auditoren einen aktuellen Pentest-Bericht – spätestens im Stage-2-Audit.
Das hängt vom Auditor und der Zertifizierungsstelle ab – es gibt keine universelle Regel. In der Praxis gilt: Die meisten Auditoren akzeptieren Berichte, die nicht älter als 12 Monate sind. Bei wesentlichen Änderungen an der IT-Infrastruktur seit dem letzten Test wird ein neuer Bericht erwartet – unabhängig vom Alter. Wir empfehlen, den Pentest mindestens sechs Wochen vor dem geplanten Audit-Termin durchzuführen, damit ausreichend Zeit für Nachbesserungen bleibt.
Der Pentest-Scope muss zum ISMS-Scope passen. Es nützt nichts, ein beliebiges System zu testen, wenn euer Auditor die Kerninfrastruktur eures ISMS im Blick hat. Wir analysieren gemeinsam euren ISMS-Scope und definieren einen Pentest-Scope, der genau das abdeckt – und der eurem Auditor keine Fragen offen lässt.
Technisch ja – aber wir raten davon ab. Idealerweise führt ihr den Pentest mindestens sechs Wochen vor dem Audit durch. So habt ihr Zeit, kritische Findings zu beheben und das im Bericht zu dokumentieren. Ein Bericht mit offenen kritischen Findings ist im Audit eine Belastung. Ein Bericht mit behobenen Findings und Re-Test-Nachweis ist ein starkes Argument.
Das ist genau der Sinn des Pentests – und kein Grund zur Panik. Findings vor dem Audit zu kennen ist besser als sie nicht zu kennen. Wir kommunizieren kritische Findings sofort nach Entdeckung, damit ihr handeln könnt. Nach der Behebung führen wir auf Wunsch einen Re-Test durch und dokumentieren die erfolgreiche Behebung im Bericht. Das zeigt eurem Auditor einen funktionierenden Verbesserungszyklus – genau das, was ISO 27001 fordert.
Technisch sind die Methoden identisch. Der Unterschied liegt im Reporting und in der Vorbereitung. Unser ISO-27001-Pentest beginnt mit einer Analyse eures ISMS-Scopes, ordnet den Pentest-Scope den relevanten Annex-A-Kontrollen zu und liefert einen Bericht, der explizit auf die Nachweisanforderungen der Norm ausgerichtet ist. Ein Standard-Pentest-Bericht ohne dieses Mapping erzeugt beim Audit unnötigen Mehraufwand.

Bereit für euren ISO-27001-Pentest?

In 30 Minuten besprechen wir euren ISMS-Scope, klären welche Annex-A-Kontrollen abgedeckt werden müssen und ihr erhaltet ein unverbindliches Angebot – kostenlos.

Jetzt kostenloses Erstgespräch buchen hello@access-granted.de

Über Access Granted

Adresse
Albert-Einstein-Straße 1, 95028 Hof
E-Mail
hello@access-granted.de
Telefon
+49 9281 5918506

Nützliche Links

Pentest Portfolio

Think like an Attacker, Act as a Partner

© AccessGranted X GmbH