BSI IT-Grundschutz Penetrationstest: APP.3.1 Webanwendungen und NTI-Methodik

Das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert in Baustein APP.3.1 (Webanwendungen und Webservices) konkrete Sicherheitsanforderungen für Web-Applikationen — einschließlich regulärer Penetrationstests. Für Bundesbehörden, KRITIS-Betreiber und Unternehmen mit ISO 27001-Zertifizierung 'auf Basis IT-Grundschutz' ist der BSI-konforme Penetrationstest ein Pflichtbestandteil des Sicherheitsprogramms. Dieser Leitfaden erklärt die Anforderungen, die BSI-Pentest-Methodik und wie Matproof Sentinel einen IT-Grundschutz-konformen Bericht liefert.

BSI-Grundschutz-Pentest starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

IT-Grundschutz: Warum Penetrationstests zur BSI-Pflicht gehören

Das BSI IT-Grundschutz-Kompendium (Edition 2023) enthält über 100 Bausteine mit Sicherheitsanforderungen. Für Web-Anwendungen ist Baustein APP.3.1 (Webanwendungen und Webservices) zentral — Anforderung APP.3.1.A11 verlangt 'Durchführung von Penetrationstests' als Standard-Anforderung für alle Organisationen. APP.3.1.A22 (erhöhter Schutzbedarf) konkretisiert: 'Webanwendungen mit erhöhtem Schutzbedarf SOLLTEN regelmäßig einem Penetrationstest unterzogen werden.' Für Bundesbehörden, die unter das BSI-Gesetz (BSIG) fallen, ist die IT-Grundschutz-Umsetzung nicht optional — das BSI kann Nachweise einfordern. KRITIS-Betreiber (§ 8a BSI-Gesetz) müssen alle zwei Jahre den Nachweis angemessener Sicherheitsmaßnahmen erbringen, wobei Penetrationstests als Standardinstrument gewertet werden. Für die begehrte ISO 27001-Zertifizierung 'auf Basis IT-Grundschutz' (BSI-Standard 200-2) prüfen BSI-zertifizierte Auditoren explizit, ob Penetrationstests für alle kritischen Systeme durchgeführt und dokumentiert wurden.

APP.3.1.A11 (Standard): 'Webanwendungen SOLLTEN regelmäßig einem Sicherheitstest (z.B. Penetrationstest) unterzogen werden' — gilt für alle Organisationen, die IT-Grundschutz umsetzen.
APP.3.1.A22 (Erhöhter Schutzbedarf): 'Webanwendungen mit erhöhtem Schutzbedarf SOLLTEN regelmäßig einem Penetrationstest durch qualifizierte Experten unterzogen werden' — gilt für Systeme mit hohem Vertraulichkeits-, Integritäts- oder Verfügbarkeitsschutzbedarf.
KRITIS §8a BSI-Gesetz: Kritische Infrastruktur-Betreiber (Energie, Wasser, Verkehr, Gesundheit, IT/TK, Finanzen, Ernährung) müssen alle zwei Jahre durch einen BSI-zugelassenen Prüfer den Nachweis angemessener Schutzmaßnahmen erbringen — Penetrationstests sind de facto Pflichtbestandteil.
BSI-Standard 200-2 (IT-Grundschutz-Methodik): Die Realisierungsplanung (Kapitel 10) empfiehlt Penetrationstests als Teil des Überprüfungs- und Verbesserungsprozesses. Ohne aktuellen Pentest-Bericht keine vollständige Realisierung.
BSI-Standard 200-3 (Risikoanalyse): Bei erhöhtem Schutzbedarf oder für Systeme, die nicht vollständig über den IT-Grundschutz abgebildet werden können, ist eine gesonderte Risikoanalyse erforderlich — Penetrationstests liefern die technische Grundlage für die Risikobewertung.
BSI Penetrationsstudie (Methodik für Penetrationstests): Das BSI hat 2020 eine aktualisierte Studie zur Penetrationstest-Methodik veröffentlicht, die 5 Phasen definiert (Vorbereitung, Informationsbeschaffung, Bewertung, Aktive Eindringversuche, Abschlussanalyse) — diese Methodik ist Referenz für IT-Grundschutz-konforme Tests.
NTI (Netz- und Testtool-gestützte Inspektion): BSI-Methodik für Behörden, bei der ein BSI-Mitarbeiter oder ein BSI-beauftragter Prüfer eine kombinierte Netzwerk- und Anwendungsanalyse durchführt — NTI ist das Pendant zum kommerziellen Penetrationstest für Bundesbehörden.

Was ein IT-Grundschutz-konformer Penetrationstest prüft

APP.3.1.A3 (Sichere Webanwendungs-Konfiguration): Fehlerbehandlung, Debug-Ausgaben, Server-Versionen in HTTP-Headern, CORS-Konfiguration, Verbindungsverschlüsselung (TLS 1.3, HSTS).
APP.3.1.A4 (Kontrolliertes Einbinden von Dateien): Path-Traversal, File-Inclusion (Local/Remote), Upload-Validierung, MIME-Type-Prüfung, Virus-Scanning für Uploads.
APP.3.1.A7 (Schutz von Webanwendungen vor unerlaubter automatisierter Nutzung): Rate-Limiting, CAPTCHA, Account-Lockout, API-Quotas — Schutz vor Credential-Stuffing und Brute-Force.
APP.3.1.A9 (Sichere HTTP-Header-Konfiguration): Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy — vollständige Header-Analyse.
APP.3.1.A11 (Penetrationstest): OWASP Top 10 (2021) vollständige Abdeckung: A01 Broken Access Control (IDOR, Privilege Escalation), A02 Cryptographic Failures, A03 Injection (SQL, NoSQL, Command, LDAP), A05 Security Misconfiguration, A06 Vulnerable Components, A07 Authentication Failures.
APP.3.1.A14 (Schutz vertraulicher Daten): Verschlüsselung sensibler Daten in Transit und at Rest, sichere Speicherung von Passwörtern (Argon2, bcrypt), keine Klartextpasswörter in Logs/URLs.
SYS.1.1 (Allgemeiner Server): OS-Härtung, SSH-Konfiguration, laufende Dienste (Minimalprinzip), Kernel-Patches (CVE-2024-1086 Linux Kernel use-after-free, CVSS 7.8; CVE-2023-0386 OverlayFS Privilege Escalation).
NET.1.1 (Netzarchitektur und -design): Netzwerksegmentierung, DMZ-Konfiguration, Firewall-Regelwerk (least-privilege), exponierte Management-Schnittstellen.
ORP.4 (Identitäts- und Berechtigungsmanagement): Rollenkonzept, Prinzip der minimalen Rechte, Berechtigungs-Reviews, Service-Account-Verwaltung.
Kontinuierliche BSI-Schwachstellenwarnungen: Das BSI veröffentlicht regelmäßig Warnmeldungen (BSI-SW-xxxx) zu aktuell ausgenutzten Schwachstellen — NIS2-relevante CVEs werden priorisiert getestet.

Beispiel-Befund

Hoch

Path-Traversal in Datei-Upload-Funktion (APP.3.1.A4-Verstoß)

Die Datei-Upload-Funktion des internen Dokumentenmanagement-Systems akzeptiert beliebige Dateinamen im multipart/form-data-Request ohne Sanitierung. Durch einen manipulierten Dateinamen (../../etc/passwd) lassen sich Dateien in beliebige Verzeichnisse des Servers schreiben — einschließlich webserververarbeitbarer Verzeichnisse (z.B. /var/www/html/uploads/). Bei dem eingesetzten Apache-Server (Version 2.4.51, CVE-2021-42013 aktiv, CVSS 9.8) konnte ein manipulierter Upload eine PHP-Webshell in das Webroot schreiben. Über die Webshell war vollständiger Remote Code Execution mit www-data-Rechten möglich. Der Server enthielt Dokumente mit personenbezogenen Daten (DSGVO-relevant) und ist gemäß BSI IT-Grundschutz als 'kritisch' klassifiziert.

Behebung: Dateinamen-Sanitierung bei jedem Upload: (1) Zufällig generierten UUID-Dateinamen verwenden, originalen Dateinamen nur in Datenbank speichern, nie auf Filesystem. (2) Upload-Verzeichnis außerhalb des Webroots, kein Zugriff via HTTP auf Upload-Pfad. (3) MIME-Type-Validierung (server-seitig, nicht via Content-Type-Header), Dateiendungs-Whitelist. (4) Apache sofort auf aktuelle Version patchen (2.4.58+). (5) Als BSI IT-Grundschutz APP.3.1.A4-Maßnahme dokumentieren und in Sicherheitskonzept aufnehmen.

Referenz: CVE-2021-42013 (Apache HTTP Server Path Traversal, CVSS 9.8) · CWE-22 Improper Limitation of a Pathname · BSI IT-Grundschutz APP.3.1.A4 (Kontrolliertes Einbinden von Dateien) · OWASP A05:2021 Security Misconfiguration

BSI IT-Grundschutz Pentest: Optionen im Vergleich

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

BSI-Grundschutz-konforme Pentest-Pakete

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zum BSI IT-Grundschutz Penetrationstest

Welche Organisationen müssen den BSI IT-Grundschutz umsetzen?

Pflicht: Bundesbehörden nach BSIG (Bundesamt für Sicherheit in der Informationstechnik-Gesetz), KRITIS-Betreiber nach §8a BSI-Gesetz (Energie, Wasser, Verkehr, Gesundheit, IT/TK, Finanzen, Ernährung, Abfall). Freiwillig: alle Organisationen, die eine ISO 27001-Zertifizierung 'auf Basis IT-Grundschutz' anstreben, oder die BSI-Standards als Best-Practice-Rahmen nutzen. In der Praxis orientieren sich viele mittelständische Unternehmen an IT-Grundschutz, ohne formal zertifiziert zu sein.

Was ist der Unterschied zwischen IT-Grundschutz und ISO 27001?

ISO 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme (ISMS) mit abstrakten Anforderungen. IT-Grundschutz ist die BSI-eigene Methodik, die konkrete technische Maßnahmen ('Bausteine') definiert. Die ISO 27001-Zertifizierung 'auf Basis IT-Grundschutz' kombiniert beide: Die Managementanforderungen aus ISO 27001 + die technischen Maßnahmen aus IT-Grundschutz. Sie gilt als besonders rigorose Form der ISO 27001-Zertifizierung.

Wie oft schreibt der BSI IT-Grundschutz Penetrationstests vor?

APP.3.1.A11 sagt 'regelmäßig' — BSI-Auditoren interpretieren das als mindestens jährlich für Systeme mit erhöhtem Schutzbedarf, und nach wesentlichen Änderungen anlassbezogen. Für KRITIS-Betreiber (§8a BSI-Gesetz) sind die zweijährigen Nachweise gegenüber dem BSI der effektive Rhythmus. Der BSI selbst empfiehlt in seiner Pentest-Studie jährliche Tests für kritische Systeme.

Was ist eine NTI (Netz- und Testtool-gestützte Inspektion)?

NTI ist die BSI-eigene Inspektionsmethodik für Bundesbehörden: Ein BSI-beauftragter Prüfer führt eine kombinierte Netzwerk- und Anwendungsanalyse mit BSI-Tools (Nmap, OpenVAS, OWASP ZAP, Burp Suite) durch. NTI ist kein vollständiger Penetrationstest im kommerziellen Sinne, sondern eine standardisierte Bewertung gegen IT-Grundschutz-Anforderungen. Bundesbehörden können wählen zwischen NTI (BSI-Methodik) und einem extern beauftragten Penetrationstest — letzterer wird zunehmend bevorzugt, da er tiefer und breiter testet.

Wie unterscheidet sich ein BSI IT-Grundschutz-Pentest von einem DORA- oder NIS2-Pentest?

BSI IT-Grundschutz fokussiert auf die technischen Bausteine (APP.3.1, SYS.1.1, NET.1.1 etc.) und ist primär für Bundesbehörden und KRITIS relevant. NIS2 (Art. 21) gilt für essenzielle/wichtige Einrichtungen in kritischen Sektoren — es gibt erhebliche Überlappung mit KRITIS. DORA ist auf Finanzunternehmen fokussiert. In der Praxis deckt ein gut strukturierter Penetrationstest alle drei Rahmenwerke mit einem einzigen Engagement ab — das Mapping im Bericht entscheidet, welche Norm nachgewiesen wird.

Was ist BSI-Standard 200-3 und was hat er mit Penetrationstests zu tun?

BSI-Standard 200-3 (Risikoanalyse auf Basis IT-Grundschutz) beschreibt, wie für Systeme mit erhöhtem Schutzbedarf eine gesonderte Risikoanalyse durchgeführt wird. Penetrationstests sind dabei das technische Instrument zur Risikoidentifikation: Sie zeigen auf, welche Bedrohungen tatsächlich realisierbar sind (nicht nur theoretisch), was die Risikobewertung erheblich präziser macht. Ohne aktuelle Pentest-Ergebnisse basiert die 200-3-Risikoanalyse auf Annahmen statt auf Fakten.

Was sind die häufigsten IT-Grundschutz-Pentest-Findings?

Die häufigsten Findings bei IT-Grundschutz-Pentests: (1) Security-Header fehlen oder sind falsch konfiguriert (CSP zu permissiv, kein HSTS, X-Frame-Options fehlt) — APP.3.1.A9. (2) Veraltete Software-Versionen mit bekannten CVEs (z.B. Apache, nginx, PHP, WordPress-Plugins) — SYS.1.1. (3) Unsichere Passwörter für Standard-Accounts und Service-Accounts — ORP.4. (4) CORS falsch konfiguriert (Access-Control-Allow-Origin: '*') — APP.3.1. (5) Keine Rate-Limiting auf Login-Endpunkten — APP.3.1.A7.

Kann ein Matproof-Bericht für BSI-Zertifizierungsaudits verwendet werden?

Ja — der Matproof Sentinel PDF-Bericht enthält ein explizites BSI IT-Grundschutz-Mapping (APP.3.1.A3, A4, A7, A9, A11, A14) und ist für BSI-Auditoren lesbar und auswertbar. BSI-zertifizierte Auditoren akzeptieren externe Pentest-Berichte als Nachweis der APP.3.1.A11-Anforderung, sofern sie: aktuell (max. 12 Monate), von qualifizierten Testern (OSCP oder gleichwertig) erstellt und mit Proof-of-Exploit für kritische Findings versehen sind.

Vertiefen — verwandte Artikel aus unserem Blog

BSI IT-Grundschutz-konformen Pentest starten

Erhalten Sie einen audit-bereiten Penetrationstest-Bericht mit explizitem BSI IT-Grundschutz-Mapping (APP.3.1.A3/A4/A7/A9/A11) — für ISO 27001-Zertifizierung, KRITIS-Nachweise und §8a BSI-Gesetz. In Stunden statt Wochen.