Startseite Glossar Blackbox-Test

Blackbox-Test

Englisch: Black Box Testing

Blackbox-Test ist eine Sicherheitsprüfmethode, bei der das prüfende Team kein Vorabwissen über die interne Struktur, Architektur oder Konfiguration des Zielsystems besitzt. Der Prüfer agiert ausschließlich auf Basis öffentlich verfügbarer oder durch Reconnaissance gewonnener Informationen, identisch zu einem externen Angreifer ohne Insiderkenntnisse.

Normative Grundlage: NIST SP 800-115 (Testing Approach Classification) + BSI Praxis-Leitfaden IS-Penetrationstest (Kap. Klassifikation nach Informationsbasis) + OWASP WSTG v4.2 (Black Box Testing Framework)

Hintergrund und normative Einordnung

Der Blackbox-Test hat seinen normativen Ursprung in der Forderung nach angreifer-realistischer Sicherheitsprüfung. Während Whitebox-Tests eine vollständige Systeminformation voraussetzen und damit eher dem internen Sicherheitsaudit entsprechen, simuliert der Blackbox-Test die Perspektive eines externen Angreifers ohne jegliche Vorabinformation. Das BSI hat in seiner Studie "Durchführungskonzept für Penetrationstests" (2003, aktualisiert) die Klassifikation nach Informationsbasis als primäres Kriterium zur Einordnung von Penetrationstests etabliert: Die Informationsbasis bestimmt, welche Systemkenntnisse dem Prüfer vorab zur Verfügung gestellt werden, und beeinflusst damit fundamental den Realitätsgehalt der Angreifersimulation. Der BSI-Praxis-Leitfaden für IS-Penetrationstests (Stand 2022) konkretisiert: Beim Blackbox-Test stehen den Prüfern lediglich Adressinformationen des Zieles zur Verfügung, womit die Ausgangssituation eines typischen externen Internet-Angreifers realitätsnah abgebildet wird. NIST SP 800-115 strukturiert die drei Wissensklassen, Black-box (kein Vorabwissen), Gray-box (Teilwissen) und White-box (vollständige Informationen), als fundamentale Planungsentscheidung im Rahmen der Testplanung (Planning Phase). Die Wahl der Informationsbasis muss vor Testbeginn schriftlich im Testplan vereinbart werden und bestimmt sowohl die Reconnaissance-Tiefe als auch die zulässigen Prüfmethoden.

In der deutschen und europäischen Compliance-Landschaft spielt der Blackbox-Test eine anerkannte, aber differenziert bewertete Rolle. Das BSI empfiehlt im Praxis-Leitfaden grundsätzlich Whitebox-Tests, da beim Blackbox-Test aufgrund nicht vorliegender Informationen Schwachstellen übersehen werden können; außerdem besteht beim Blackbox-Test ein höheres, vermeidbares Risiko, unbeabsichtigt Schaden zu verursachen. Diese Einschätzung ist methodisch begründet: Schwachstellen in internen Systemschichten, die nur mit Applikationszugängen erreichbar sind, sind aus der Blackbox-Perspektive nicht prüfbar. Dennoch hat der Blackbox-Test einen unverzichtbaren praktischen Wert: Er liefert die einzig vollständig angreifer-realistische Bewertung der extern sichtbaren Angriffsfläche und deckt Exponierungen auf, die interne Tests typischerweise nicht aufdecken, vergessene Assets, veraltete Dienste und ungepatchte öffentliche Endpunkte. OWASP WSTG v4.2 basiert seine Web Application Security Testing-Methodik explizit auf dem Blackbox-Ansatz, in dem der Tester wenig bis keine Information über die zu prüfende Anwendung besitzt. Im Kontext von NIS-2 (Richtlinie (EU) 2022/2555, Art. 21 Abs. 2 lit. e und f) und der ISO 27001 Zertifizierung wird der Blackbox-Test als valides, risikobasiert zu wählendes Instrument anerkannt, das besonders dann eingesetzt wird, wenn die Angriffsperspektive eines uninformierten Externen maßgeblich für das Bedrohungsprofil der Organisation ist.

Normative Bezüge:

NIST SP 800-115 Planning Phase: Black-box / Gray-box / White-box BSI Praxis-Leitfaden IS-Penetrationstest 2022: Klassifikation nach Informationsbasis ISO/IEC 27001:2022 Annex A 8.29 Security testing in development and acceptance

Vorgehen in der Praxis

Ein regelkonformer Blackbox-Test folgt einem vierstufigen Ablauf, der den Wissensstand eines uninformierten externen Angreifers methodisch reproduziert. Die Informationsisolation, also der vollständige Verzicht auf systeminterne Vorabinformationen, muss organisatorisch durch ein Out-of-band-Briefing sichergestellt werden: Der Auftraggeber definiert den Scope ausschließlich gegenüber dem Projektverantwortlichen, nicht gegenüber dem eigentlichen Test-Team. Diese strukturelle Trennung ist kein formaler Akt, sondern die Voraussetzung für die Validität des Testergebnisses.

1
Phase 1, Scope-Definition und Out-of-band-Briefing Vor Testbeginn wird der Prüfscope schriftlich vereinbart: IP-Adressen, Domains, Anwendungs-URLs und explizite Out-of-Scope-Systeme werden zwischen Auftraggeber und Projektverantwortlichem festgelegt, ohne dass das prüfende Test-Team diese Information vorab erhält. Dieses Out-of-band-Briefing ist das organisatorische Herzstück des Blackbox-Ansatzes, nur so wird die informationelle Isolation sichergestellt, die den Angreifer-Realismus konstituiert. Der BSI-Leitfaden für IS-Penetrationstests fordert eine schriftliche Scope-Vereinbarung mit Autorisierungsklausel als Pflichtbestandteil, da ohne vertragliche Grundlage Prüfhandlungen nach § 202a StGB (Ausspähen von Daten) strafbar sein können. Zusätzlich werden Testfenster (Geschäftszeiten vs. Nachtbetrieb), Eskalationspfade, Notfallkontakte und die Time-Box des Tests vereinbart. NIST SP 800-115 bezeichnet diese Phase als Planning Phase mit dem Ziel, Regeln, Autorisierungen, Ziele und Kommunikationsprotokolle verbindlich zu dokumentieren.
2
Phase 2, Reconnaissance und Discovery Das Test-Team beginnt die Prüfung ausschließlich auf Basis öffentlich zugänglicher Informationen, identisch zur Ausgangslage eines realen externen Angreifers. Passive Reconnaissance umfasst DNS-Analyse, WHOIS-Abfragen, Certificate-Transparency-Logs (crt.sh), Google-Dorks, Analyse öffentlicher Code-Repositories (GitHub, GitLab) und OSINT-Techniken über Social-Media-Profile und Job-Portale zur Technologie-Identifikation. Aktive Reconnaissance schließlich umfasst Port-Scans, Service-Fingerprinting, Web-Application-Fingerprinting (HTTP-Header-Analyse, Error-Page-Analyse), Enumeration von Subdomains und API-Endpunkten. OWASP WSTG v4.2 Kapitel 4.1 (Information Gathering) strukturiert diese Phase mit neun Testfällen von OTG-INFO-001 bis OTG-INFO-009. MITRE ATT&CK Taktik TA0043 (Reconnaissance) mit Techniken wie T1590 (Gather Victim Network Information), T1594 (Search Victim-Owned Websites) und T1597 (Search Closed Sources) bildet den realen Bedrohungsrahmen, dem die Blackbox-Reconnaissance methodisch folgt. Das Ergebnis dieser Phase ist eine vollständige externe Angriffsflächen-Karte ohne Nutzung interner Systemkenntnisse.
3
Phase 3, Exploitation-Attempts ohne Vorab-Wissen Auf Basis der Reconnaissance-Ergebnisse versucht das Test-Team, identifizierte potenzielle Schwachstellen ohne jedes interne Systemwissen auszunutzen, methodisch exakt wie ein realer Angreifer in der Initial-Access-Phase (MITRE ATT&CK TA0001). Typische Prüfbereiche umfassen: Ausnutzung bekannter CVEs auf exponierten Diensten (gemäß NVD-Datenbank), Web-Application-Schwachstellen nach OWASP Top 10:2021 (A01 Broken Access Control, A03 Injection, A07 Identification and Authentication Failures), Konfigurationsfehler in öffentlichen Endpunkten, schwache Authentifizierungsmechanismen und fehlende Verschlüsselung auf Transportebene. Der kritische Unterschied zu Whitebox- und Greybox-Tests: Der Prüfer kann keine internen Systempfade oder Quellcode-Kenntnisse zur Priorisierung nutzen, jede Schwachstelle muss extern erkennbar und erreichbar sein. Dies führt zur strukturellen Stärke des Blackbox-Tests: Er bewertet ausschließlich real ausnutzbare, von außen zugängliche Schwachstellen, ohne theoretische interne Angriffsflächen einzubeziehen. Gleichzeitig ist dies seine systemische Grenze: Schwachstellen, die nur aus dem Inneren des Systems sichtbar sind, werden nicht gefunden.
4
Phase 4, Reporting und Risikobewertung Nach Abschluss der technischen Prüfung wird ein strukturierter Abschlussbericht erstellt, der zwischen Management-Summary (Risikoübersicht für Entscheidungsträger, ohne technische Tiefe) und technischem Annex (schrittweise Exploit-Rekonstruktion mit Beweismitteln für das Engineering-Team) trennt. Jeder Befund wird nach CVSS v4.0 (Common Vulnerability Scoring System) mit Severity-Stufe klassifiziert: Critical (9.0-10.0), High (7.0-8.9), Medium (4.0-6.9), Low (0.1-3.9). Die Severity-Klassifikation ist zwingend, ein Befundbericht ohne Schweregradklassifikation erfüllt die Anforderungen von ISO/IEC 27001:2022 Annex A 8.29 nicht, da der Standard eine risikoorientierte Bewertung und Dokumentation der Testergebnisse verlangt. Der Bericht muss außerdem explizit auf den Blackbox-Charakter der Prüfung hinweisen: Befunde, die bei einem Whitebox-Test sichtbar gewesen wären, sind nicht Bestandteil der Blackbox-Ergebnisse und dürfen nicht als Beleg für ein fehlerfreies System gewertet werden. BSI-Leitfaden und NIST SP 800-115 empfehlen priorisierte, konkrete Maßnahmenempfehlungen je Befund sowie die Vereinbarung eines Retests zur Verifikation der Behebung.

Der Blackbox-Test liefert den angreifer-realistischsten Befund zur externen Angriffsfläche, doch ein Befundbericht ohne CVSS-basierte Severity-Klassifikation und ohne explizite Dokumentation der Blackbox-Grenzen erfüllt weder ISO/IEC 27001:2022 Annex A 8.29 noch die Anforderungen eines BSI-konformen IS-Penetrationstests.

Abgrenzung zu verwandten Begriffen

Begriff Fokus Verhältnis zu Blackbox-Test
Penetrationstest Autorisierter, kontrollierter Angriff auf IT-Systeme mit dem Ziel, reale Schwachstellen vor einem tatsächlichen Angriff aufzudecken, unabhängig von der gewählten Informationsbasis Der Blackbox-Test ist eine spezifische Ausprägung des Penetrationstests, charakterisiert durch die Wahl der Informationsbasis "kein Vorabwissen". Ein Penetrationstest ist der Oberbegriff; er kann als Blackbox-, Greybox- oder Whitebox-Test durchgeführt werden. Die Entscheidung über die Informationsbasis ist Teil der Pre-Engagement-Phase und wird schriftlich im Testplan vereinbart. Beide Begriffe werden im laufenden Betrieb oft synonym verwendet, exakt diese Verwechslung führt jedoch dazu, dass Scope-Erwartungen und Ergebnisinterpretation auseinanderdriften.
Whitebox-Test Penetrationstest mit vollständigen Systemkenntnissen: Quellcode, Architekturpläne, Netzwerktopologie, Zugangsdaten für autorisierte Prüfzugänge Der Whitebox-Test ist das methodische Komplement: Maximale Informationsbasis, maximale Testtiefe, minimaler externer Realismus. Das BSI empfiehlt den Whitebox-Test als Standardvorgehen, da er Schwachstellen in internen Systemschichten aufdeckt, die dem Blackbox-Test methodisch unzugänglich sind. Der Whitebox-Test ist der ressourceneffizientere Ansatz bei gleichem Befundsumfang, das Prüfteam muss keine Zeit in Reconnaissance investieren, die im realen Angriff Monate dauert. Für ISO 27001-ISMS mit internem Entwicklungsanteil und für Abnahmetests nach Annex A 8.29 ist der Whitebox-Test häufig das angemessenere Instrument.
Greybox-Test Penetrationstest mit partieller Vorabinformation: Typischerweise Netzwerkinformationen, Zugangsdaten für einen normalen Benutzeraccount oder begrenzte Systemdokumentation Der Greybox-Test ist der in der Praxis häufigste kommerzielle Ansatz, da er Angreifer-Realismus mit Effizienz kombiniert. Er simuliert einen authentifizierten Benutzer, einen Contractor mit beschränktem Zugang oder einen Angreifer nach erfolgreicher Phishing-Attacke. NIST SP 800-115 bezeichnet diesen Ansatz als die Balance zwischen dem externen Realismus des Blackbox-Tests und der Vollständigkeit des Whitebox-Tests. Der Greybox-Test eignet sich besonders für interne Netzwerkprüfungen, bei denen ein Angreifer bereits einen Fuß in der Tür hat.

Typische Fehler und wie ihr sie vermeidet

  • Scope unklar oder nachträglich erweitert: Der häufigste operative Fehler beim Blackbox-Test ist ein unzureichend definierter oder nachträglich erweiterter Scope. Beim Blackbox-Ansatz ist Scope-Klarheit besonders kritisch: Das Test-Team erhält keine internen Systemkenntnisse, aus denen es selbst Scope-Grenzen ableiten könnte. Systeme, die nicht explizit im Scope-Dokument ausgewiesen sind, dürfen nicht geprüft werden, auch wenn sie bei der Reconnaissance entdeckt werden. Ein ad-hoc erweiterter Scope ohne schriftliche Zusatzvereinbarung gefährdet die Rechtssicherheit des Tests: § 202a StGB (Ausspähen von Daten) greift, sobald das autorisierte Scope-Dokument überschritten wird. Der BSI-Leitfaden für IS-Penetrationstests macht eine schriftliche Scope-Vereinbarung zur Pflichtvoraussetzung. Gleiches gilt für Cloud-Infrastruktur: Systeme, die auf Plattformen wie AWS, Azure oder GCP betrieben werden, erfordern zusätzlich eine Genehmigung des jeweiligen Cloud-Providers, da der Auftraggeber nicht der alleinige System-Eigentümer ist.
  • Test-Team ohne realistischen Threat-Actor-Bezug: Ein Blackbox-Test, der ausschließlich generische Scanning-Tools einsetzt, ohne ein konkretes Angreifer-Profil (Threat Actor Model) zugrunde zu legen, liefert Befunde ohne strategische Priorität. Der Wert des Blackbox-Tests liegt gerade darin, die tatsächliche Bedrohungsperspektive zu reproduzieren, und diese ist für einen Großkonzern mit Staatsakteur-Risiko eine andere als für ein mittelständisches Unternehmen, das primär opportunistischen Ransomware-Gruppen ausgesetzt ist. MITRE ATT&CK bietet mit der Enterprise Matrix v16 eine strukturierte Grundlage zur Threat-Actor-Modellierung: Taktiken wie Reconnaissance (TA0043) und Initial Access (TA0001) sollten anhand realer, für die Branche und Größe des Auftraggebers relevanter Techniken priorisiert werden. Ein Blackbox-Test ohne Threat-Actor-Bezug produziert technisch korrekte, aber strategisch irrelevante Befunde.
  • Time-Box zu kurz für die Blackbox-Methodik: Der Blackbox-Test ist methodisch zeitintensiver als Whitebox- und Greybox-Tests, weil das Prüfteam die gesamte Reconnaissance-Phase ohne interne Vorabinformation durchführen muss. Eine Time-Box, die für einen Whitebox-Test angemessen wäre, reicht für einen vollständigen Blackbox-Test typischerweise nicht aus. Wird die Time-Box zu eng kalkuliert, bleibt die Exploitation-Phase unvollständig: Das Team identifiziert potenzielle Schwachstellen, hat aber nicht ausreichend Zeit, deren tatsächliche Ausnutzbarkeit zu validieren. Das Ergebnis ist ein Befundbericht mit nicht verifizierten Hypothesen statt bestätigten Schwachstellen, der für ISO 27001-Audits und NIS-2-Compliance-Nachweise nicht als vollständiger Wirksamkeitsnachweis gilt. Das BSI weist in seinem Leitfaden explizit auf den höheren Aufwand des Blackbox-Tests im Vergleich zum Whitebox-Test hin. Eine realistische Zeitplanung berücksichtigt mindestens 30-40 Prozent der Gesamtdauer für die Reconnaissance-Phase.
  • Reporting ohne Severity-Klassifikation und ohne Blackbox-Kontextualisierung: Befundberichte, die Schwachstellen ohne CVSS-basierte Severity-Klassifikation auflisten, sind für die nachgelagerte Maßnahmenplanung nicht handlungsfähig: Ohne Priorisierung durch Schweregrad und Ausnutzbarkeit können Auftraggeber keine risikobasierte Maßnahmenpriorität ableiten. ISO/IEC 27001:2022 Annex A 8.29 erwartet eine risikoorientierte Dokumentation der Testergebnisse; ein reiner Listing-Report ohne Schweregradbewertung erfüllt diese Anforderung nicht. Ebenso kritisch ist die fehlende Kontextualisierung des Blackbox-Charakters: Wenn der Bericht nicht explizit ausweist, dass ausschließlich die externe Angriffsfläche geprüft wurde, entsteht beim Auftraggeber der falsche Eindruck, ein "sauberer" Blackbox-Bericht belege die Abwesenheit von Schwachstellen insgesamt. Das CVSS v4.0-Spektrum (Critical 9.0-10.0 / High 7.0-8.9 / Medium 4.0-6.9 / Low 0.1-3.9) ist als Standard-Klassifikationssystem in der Praxis etabliert und von NVD/NIST für alle CVE-Einträge verwendet.

Relevanz im regulatorischen Kontext

Der Blackbox-Test ist kein eigenständiger Regelungsgegenstand in europäischen Rechtsakten, regulatorisch relevant ist er als Ausprägung des Penetrationstests. NIS-2 (Richtlinie (EU) 2022/2555) verpflichtet wesentliche und wichtige Einrichtungen in Artikel 21 Absatz 2 Buchstabe f zu "Konzepten und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit"; Buchstabe e adressiert Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen einschließlich Schwachstellenbehandlung. Penetrationstests, einschließlich Blackbox-Tests, sind das primäre, von Aufsichtsbehörden und BSI anerkannte Umsetzungsinstrument dieser Anforderungen. Die Wahl der Informationsbasis (Blackbox vs. Greybox vs. Whitebox) ist nicht vorgegeben; maßgebend ist die risikoorientierte Begründung der gewählten Methodik im Kontext des Bedrohungsprofils der Organisation. Für Organisationen mit signifikanter Internetexposition, exponierte Webapplikationen, öffentliche API-Endpunkte, SaaS-Dienste, ist der Blackbox-Test methodisch zwingend, da er als einziger Ansatz das externe Bedrohungsprofil vollständig reproduziert.

ISO/IEC 27001:2022 verankert Sicherheitstests an zwei Stellen mit direkter Relevanz für den Blackbox-Test. Annex A 8.29 (Security testing in development and acceptance) fordert definierte und implementierte Sicherheitstestprozesse vor dem Go-live neuer oder veränderter Systeme; als Prüfmethode werden explizit Penetrationstests (Penetration testing to identify weak design elements) genannt. Annex A 8.8 (Management of technical vulnerabilities) verlangt ein systematisches Schwachstellenmanagement mit regelmäßigen technischen Prüfungen. BSI IT-Grundschutz Baustein CON.8 Software-Entwicklung (Edition 2023) adressiert Sicherheitstests in der Entwicklung als Kernanforderung; Baustein OPS.1.1.6 Software-Tests und -Freigaben reguliert operative Testprozesse vor Freigabe. Der BSI-Praxis-Leitfaden für IS-Penetrationstests beschreibt das Klassifikationsschema (Informationsbasis: Blackbox / Greybox / Whitebox) und empfiehlt explizit den Whitebox-Test als Standardvorgehen, mit der Begründung, dass Blackbox-Tests aufgrund fehlender Informationen Schwachstellen übersehen können und ein höheres, vermeidbares Schadensrisiko aufweisen. Diese BSI-Empfehlung bedeutet nicht, dass Blackbox-Tests normativ unzulässig sind; sie sind bei geeignetem Anwendungsfall (externe Angriffsflächen-Bewertung, Simulation uninformierter externer Angreifer) der methodisch korrekte Ansatz.

Häufige Fragen

Wann ist ein Blackbox-Test dem Whitebox- oder Greybox-Test vorzuziehen?
Der Blackbox-Test ist der geeignete Ansatz, wenn das primäre Schutzziel die Bewertung der extern sichtbaren Angriffsfläche ist und wenn die simulierte Bedrohung ein uninformierter externer Angreifer ist, ohne Insiderwissen, ohne gestohlene Zugangsdaten, ohne Vorinformationen. Typische Anwendungsfälle sind: erstmalige Prüfung einer neu gestarteten Webanwendung oder API, Prüfung der Wirksamkeit von Perimeter-Sicherheitsmaßnahmen (Firewall, WAF, IDS), Simulation eines opportunistischen externen Angreifers. Das BSI empfiehlt grundsätzlich Whitebox-Tests, weil sie bei gleichem oder geringerem Aufwand vollständigere Befunde liefern, dieser Aspekt gilt jedoch nur für Systeme, bei denen interne Systemkenntnisse dem Prüfer sinnvoll bereitgestellt werden können. Für reine Angriffsflächen-Bewertungen aus externer Perspektive bleibt der Blackbox-Test das valideste Instrument.
Wie unterscheidet sich der Blackbox-Test vom Vulnerability Assessment?
Ein Vulnerability Assessment (Schwachstellen-Scan) ist ein automatisierter, passiver Prozess: Ein Scanner vergleicht die Dienste und Konfigurationen des Zielsystems mit einer Datenbank bekannter Schwachstellen (CVEs) und listet Treffer auf, ohne sie aktiv auszunutzen. Ein Blackbox-Test ist aktiv und manuell: Das Prüfteam versucht, identifizierte potenzielle Schwachstellen tatsächlich auszunutzen, um ihre Ausnutzbarkeit unter realen Bedingungen zu verifizieren. NIST SP 800-115 unterscheidet beide explizit: Vulnerability Scanning identifiziert nur bekannte, in der Datenbank gelistete Schwachstellen; der Penetrationstest (einschließlich des Blackbox-Tests) identifiziert und validiert auch logische Fehler, Konfigurationsfehler und Schwachstellen, für die noch keine CVE-Einträge existieren. Für ISO 27001-Audits und NIS-2-Compliance gilt: Vulnerability Scans allein erfüllen die Anforderung der Wirksamkeitsbewertung nicht.
Was bedeutet "Out-of-band-Briefing" beim Blackbox-Test, und warum ist es wichtig?
Das Out-of-band-Briefing ist die organisatorische Maßnahme, die die informationelle Isolation des Blackbox-Tests sicherstellt: Der Auftraggeber kommuniziert Scope und Systemdetails ausschließlich mit dem Projektverantwortlichen, nicht mit dem eigentlichen Test-Team. Das Test-Team beginnt die Prüfung damit im gleichen Informationsstand wie ein externer Angreifer: Es kennt lediglich den genehmigten Scope (IP-Bereiche, Domains), aber keine internen Systemdetails. Fehlt das Out-of-band-Briefing, informiert also der Auftraggeber das Test-Team direkt über Systemarchitektur oder Konfiguration, ist der Blackbox-Charakter der Prüfung kompromittiert. Das Ergebnis wäre faktisch ein Greybox-Test unter falscher Bezeichnung. Für die Validität des Testergebnisses gegenüber Auditoren (ISO 27001, NIS-2) ist die dokumentierte Einhaltung des Out-of-band-Briefings ein Qualitätsmerkmal.

Quellen & weiterführende Literatur

  1. NIST SP 800-115, Technical Guide to Information Security Testing and Assessment (September 2008)
  2. BSI, Ein Praxis-Leitfaden für IS-Penetrationstests (Stand 2022)
  3. OWASP Web Security Testing Guide (WSTG) v4.2 (2020)
  4. ISO/IEC 27001:2022 Annex A 8.29 Security testing in development and acceptance