Zum Inhalt

Pre-Engagement Phase

Link zur offiziellen PTES-Dokumentation

Einleitung

Die Pre-Engagement Phase bildet den Grundstein eines jeden professionellen Penetrationstests. In dieser Phase werden Erwartungen, Rahmenbedingungen, Ziele und rechtliche Aspekte klar definiert.
Sie sorgt dafür, dass sowohl Auftraggeber als auch Tester ein gemeinsames Verständnis davon haben, was getestet wird, wie getestet wird und unter welchen Voraussetzungen dies geschieht.

Um was geht es bei dieser Phase?

Die Pre-Engagement-Phase legt die Basis für den gesamten Test. Sie definiert:

  • den Testumfang (Scope)
  • die Regeln der Durchführung (Rules of Engagement)
  • die Kommunikationswege
  • die rechtlichen Vereinbarungen
  • die Ziele und Prioritäten des Auftraggebers
  • die Erwartungshaltung beider Seiten (Auftraggeber ↔ Tester)

Sie adressiert sowohl technische als auch rechtliche Fragestellungen und stellt sicher, dass der Test sauber, sicher und nachvollziehbar durchgeführt werden kann.

Wichtige Aussagen aus der PTES-Dokumentation

Im Folgenden gehe ich auf zentrale Sätze aus der offiziellen PTES-Dokumentation ein und erläutere deren Bedeutung.

1. “The aim of this section of the PTES is to present and explain the tools and techniques available which aid in a successful pre-engagement step of a penetration test.”

Die Pre-Engagement-Phase soll sicherstellen, dass beide Parteien gut vorbereitet sind.
Dazu gehören unter anderem:

  • Standard-Fragenkataloge
  • Scoping-Methoden
  • Risiko- und Zielabklärungen
  • Technische Vorbereitungsmassnahmen
  • Rechtliche Freigaben und Verträge

Diese Werkzeuge und Techniken helfen dabei, die Phase strukturiert und professionell durchzuführen.

2. “If you are a customer looking for penetration test we strongly recommend going to the General Questions section of this document.”

Die PTES empfiehlt Auftraggebern besonders, die General Questions durchzugehen.
Daraus ergeben sich häufig:

  • klarere Zielsetzungen
  • ein besseres Verständnis des eigenen Bedarfs
  • präzisere Scope-Definitionen
  • weniger Missverständnisse bei der Beauftragung

Für Tester ist dies ebenso wertvoll, da gut definierte Fragen die Qualität des gesamten Projekts erhöhen.

3. “To get maximum value, make sure the questions in this document are covered.”

Der Nutzen eines Pentests hängt massgeblich davon ab, ob alle relevanten Vorabfragen geklärt wurden.
Dazu gehören z. B.:

  • Welche Systeme dürfen getestet werden?
  • Wie weit darf der Test gehen?
  • Wann und wie wird kommuniziert?
  • Was gilt als erfolgreicher Test?
  • Welche Risiken muss der Auftraggeber akzeptieren?

Je vollständiger diese Punkte geklärt sind, desto effizienter und aussagekräftiger wird der Test.

4. “Defining scope is arguably one of the most important components of a penetration test, yet it is also one of the most overlooked.”

Der Scope (Testumfang) ist eines der wichtigsten Elemente — aber gleichzeitig eines der am häufigsten missachteten.
Ein präziser Scope verhindert:

  • rechtliche Probleme
  • unerwartete Ausfallzeiten
  • ineffiziente Testdurchführung
  • das Testen irrelevanter Systeme
  • Sicherheitsrisiken durch unkontrollierte Angriffe

Ein unklarer Scope führt fast immer zu Problemen im Projektverlauf.

5. “One key component of scoping an engagement is outlining how the testers should spend their time.”

Beim Scope geht es nicht nur was getestet wird, sondern auch wie die verfügbare Zeit genutzt wird.

Wichtige Fragen sind:

  • Soll der Fokus eher auf Breite (viele Systeme) oder Tiefe (intensive Analyse einzelner Systeme) liegen?
  • Wie viel Zeit ist für Reporting, Tests, Nachtests oder Meetings vorgesehen?
  • Gibt es besonders kritische Bereiche, die Priorität haben?

Eine klare zeitliche Struktur erhöht den Wert und die Planbarkeit des Tests erheblich.

Was ist ein Scoping Meeting?

Ein Scoping Meeting ist ein Abstimmungsgespräch zwischen Auftraggeber und Penetrationstestern, in dem der genaue Umfang (Scope) des Tests definiert wird.
Dabei werden u. a. Ziele, Systeme, Testgrenzen, Methoden, Risiken, Kommunikationswege und zeitliche Rahmenbedingungen festgelegt.
Es ist der wichtigste Schritt, um Missverständnisse zu vermeiden und einen klaren, rechtskonformen Testplan zu erstellen.

Was ist ein Scope Creep?

Scope Creep beschreibt eine ungeplante und schleichende Erweiterung des zuvor festgelegten Testumfangs.
Dies geschieht häufig durch zusätzliche Systeme, neue Anforderungen oder fehlende Abgrenzungen.
Scope Creep führt zu Mehraufwand, höheren Kosten, Verzögerungen und potenziellen Sicherheits- oder Rechtsrisiken.
Ein klar definierter Scope und stringentes Änderungsmanagement verhindern dieses Problem.

Zusammenfassung

Die Pre-Engagement-Phase ist essenziell, um sicherzustellen, dass:

  • alle Erwartungen klar formuliert sind
  • der Scope eindeutig definiert ist
  • rechtliche Rahmenbedingungen eingehalten werden
  • der Test effizient und zielgerichtet durchgeführt wird

Sie ist die Planungs- und Abstimmungsbasis für alles, was im Pentest danach folgt.