Intelligence Gathering Levels (PTES-Maturity-Modell)¶
Die PTES beschreibt das Intelligence Gathering anhand eines Reifegradmodells.
Die Levels definieren, wie tief und umfassend Informationen gesammelt werden sollen — abhängig von:
- Zeit
- Budget
- Ressourcen
- rechtlichen Rahmenbedingungen
- Zielsetzung des Pentests
Es gibt drei Reifegrade (L1–L3), die für alle Bereiche des Intelligence Gathering gelten:
technisch, organisatorisch und Corporate-bezogen.
1. Übersicht der Intelligence-Gathering-Level¶
Level 1 – Compliance Driven¶
(Minimalanforderung)
- primär automatisierte Tools
- kaum manuelle Analyse
- erfüllt die Mindestanforderung für formale Pentests
Typisches Szenario:
Ein Unternehmen benötigt einen Pentest zur Erfüllung von PCI, HIPAA oder FISMA.
L1 liefert die Grundinformationen, aber keine tiefen Einsichten.
Level 2 – Best Practice¶
(solides, praxisorientiertes Intelligence Gathering)
- Kombination aus automatisiertem Scan und manueller Analyse
- gutes Gesamtverständnis des Unternehmens
- Standorte
- Geschäftsbeziehungen
- Organigramme
- Infrastruktur
Typisches Szenario:
Ein Unternehmen ist compliant, möchte aber seine Sicherheitsstrategie verbessern.
L2 deckt die meisten realistischen Pentest-Anforderungen ab.
Level 3 – State Sponsored¶
(höchste Tiefe, Red Team / Full Scope)
- stark manuell, umfangreiche Analyse
- Aufbau von Social-Media-Personas
- Beziehungs- und Sozialstruktur-Analysen
- tiefgehende Recherche über Personal, Prozesse und Lieferketten
- wochenlange, hochdetaillierte Datensammlung
Typisches Szenario:
Ein Red Team simuliert einen staatlich finanzierten oder hochqualifizierten Angreifer.
L3 ist extrem umfassend und realistisch, meist sehr zeitintensiv.
2. Was bedeutet „Corporate“ im PTES Intelligence Gathering?¶
Der Abschnitt Corporate beschreibt die Informationsgewinnung über das Unternehmen selbst, unabhängig von technischen Systemen.
Beispiele für Corporate-Informationen:
- Unternehmensstruktur & Geschäftsmodell
- Standorte und Niederlassungen
- Management und Schlüsselpersonen
- Produkte und Dienstleistungen
- Partner, Lieferanten, Kunden
- öffentliche Dokumente (Presse, Finanzberichte, PDFs, Whitepapers)
- Social-Media-Präsenz
- interne Kultur, Prozesse, Compliance
Solche Daten sind wertvoll für:
- Social Engineering
- Identifikation organisatorischer Schwachstellen
- Erkennen kritischer Drittanbieter (Supply Chain)
- Ableitung technischer Strukturen
3. Corporate Intelligence Gathering nach L1 / L2 / L3¶
Die gleichen Levels (L1–L3) gelten auch für Corporate Intelligence, jedoch mit unterschiedlicher Tiefe.
L1 – Corporate IG (Compliance)¶
- nur grundlegende öffentliche Informationen
- Firmenname, Branche, Standort
- schnelle OSINT-Recherche
Pflichterfüllung ohne tiefere Analyse.
L2 – Corporate IG (Best Practice)¶
- Analyse von Geschäftsprozessen
- Organigramme, Führungsstruktur
- Partnerschaften, Beziehungen
- wirtschaftliche Eckdaten
- manuelle OSINT-Recherchen
realistische, solide Informationsbasis für Pentests.
L3 – Corporate IG (State Sponsored)¶
- tiefgehende Analyse sozialer Netzwerke
- Auswertung persönlicher Profile (Mitarbeiter, Führungskräfte)
- Lieferkettenanalyse
- umfangreiche Datenkorrelation
- wochenlange, manuelle Analyse
vergleichbar mit Nachrichtendienstmethoden; Red-Team-Niveau.
4. Übersicht der Corporate-IG-Level¶
| Level | Beschreibung | Tiefe | Einsatzgebiet |
|---|---|---|---|
| L1 | schnelle, grundlegende Unternehmensinfos | Niedrig | Compliance-Pentest |
| L2 | manuelle + automatisierte Analyse, solide Unternehmenssicht | Mittel | Best-Practice-Pentests |
| L3 | tiefgehende Analyse, Social-Mapping, Lieferketten | Hoch | Red Teaming / APT-Simulation |
Zusammenfassung¶
Intelligence Gathering ist ein zentraler Bestandteil des PTES-Standards.
Die Levels L1–L3 definieren dabei klar:
- wie tief Informationen gesammelt werden sollen
- welche Methoden angewendet werden
- welcher Aufwand gerechtfertigt ist
- welches Bedrohungsmodell simuliert wird
Je höher das Level, desto umfassender, strategischer und realitätsnäher ist die Informationsgewinnung — besonders im Corporate-Kontext.