Ein Penetrationstest oder kurz Pentest dient dazu, Schwachstellen in Infrastrukturen zu finden. Dabei analysiert ein Pentest Anbieter, wie Hacker beispielsweise an Ihre Daten kommen oder mit einem gezielten Hacker-Angriff Ihren Betrieb lahmlegen könnten.
Die Bewertung der Analyse wird mit einer Risikoeinstufung, Tipps und Handlungsempfehlungen in einem Bericht zusammengefasst und an den Auftraggeber versendet, der mit Hilfe dieser Ergebnisse sein System härten und vor Hacker-Angriffen schützen kann.
1. EXKLUSIVITÄT
Bei Pentest Anbietern sollte immer zwischen spezialisierten Anbietern unterschieden werden, die ausschließlich Leistungen in diesem Bereich anbieten und Unternehmen, die Pentests zusätzlich zu ihrem Hauptportfolio anbieten. Um eine große Expertise im Bereich der IT-Security aufzubauen, braucht es Zeit und viele individuelle Projekte sowie ständige Weiterbildung. Dies ist nicht mit einer einfachen Zertifizierung und dem gelegentlichen Durchführen von Pentets zu erreichen.
Fragen Sie nach, welche Projekte die Security Spezialisten bisher durchgeführt haben, welchen Umfang diese hatten, wie der Arbeitsschwerpunkt der Security Consultants aussieht und so weiter. Das gibt Ihnen einen entsprechenden Eindruck, ob es sich hier um echte Spezialisten für diesen Bereich handelt, oder um IT-Consultants, die das Thema nebenbei mitbearbeiten.
2. UNABHÄNGIGKEIT
Pentest Anbieter, die ausschließlich Sicherheitsaudits sowie wenige komplementäre Dienstleistungen anbieten und keine Hard- und Softwarelösungen vertreiben, erzielen ihre Einkünfte ausschließlich mit diesen Projekten.
Bei Anbietern, die neben den Pentests auch IT-Lösungen verschiedener Art verkaufen, ist es unter Umständen möglich, dass sie ihren Fokus vor allem auf die Sicherheitsbereiche legen, in denen sie im Nachgang auch entsprechende Produkte und Lösungen anbieten können. Oder entsprechende Handlungsempfehlungen im Zweifelsfall eher in Richtung Lösungsverkauf geben, tatsächlich aber die Erhöhung der Sicherheit ggf. auch mit anderen – kostengünstigeren - Maßnahmen erreicht werden könnte.
Daher sollten Sie darauf achten, dass der jeweilige Pentest Anbieter nur in seiner objektiven Gutachterrolle fungiert und kein nachrangiger Lösungsverkauf im Fokus steht. Im Zweifelsfall sprechen Sie Ihren Anbieter auf Ihre Bedenken an.
3. PREISGESTALTUNG
Ein Pentest kann voll automatisiert oder teil- bis vollmanuell, komplett standardisiert oder individuell zugeschnitten durchgeführt werden. Vorab ist herauszufinden, welche Art von Penetrationstest für Sie die Passendste ist.
Für den voll automatisierten Test benötigen Sie im Zweifelsfall keinen Spezialisten, hier erarbeitet die Software bereits einen entsprechenden Bericht. Das Ergebnis eines vollauomatisierten Tests kann allerdings nie so umfangreich und hochwertig sein, wie wenn manuelle Arbeiten noch hinzukommen, schon alleine weil manche Schwachstellen nicht automatisiert getestet werden können. Daher sollte sich dies auch in der Preisbildung niederschlagen.
Für teil-manuelle oder voll-manuelle Tests hingegen benötigen Sie erfahrene Spezialisten, die in der Lage sind, nicht nur vorgefertigte Tools zu bedienen. Auch dies wird sich natürlich entsprechend im Preis wiederspiegeln.
Passen Preis und angebotene Leistung nicht zusammen – und zwar sowohl nach unten als auch nach oben – sollten Sie skeptisch sein und bei Ihrem Pentest Anbieter genauer nachfragen.
4. INDIVIDUALITÄT
Viele Pentest Anbieter bieten vermehrt pauschale Leistungen an, da dies den Angebotsprozess für beide Parteien vereinfacht. Sobald Sie aber individuelle Wünsche haben oder sehr kritische Komponenten testen lassen möchten, trennt sich die Spreu vom Weizen. Nur wirklich spezialisierte Pentest Anbieter können Ihnen auch einen auf Ihren Bedarf maßgeschneiderten Pentest anbieten. Wird von Anbieterseite eine Individualisierung ausgeschlossen, lässt dies eine deutlich geringere Expertise zumindest vermuten.
5. ABSCHLUSSBERICHT
Genau wie der Pentest selbst, variiert auch der Abschlussbericht in seiner Individualität. Fühlen Sie den Pentest Anbietern auf den Zahn und informieren Sie sich vorab anhand von Beispielberichten, wie das Produkt aussehen wird, dass Sie am Ende erhalten und für dass Sie letztendlich zahlen – denn der Pentest selbst bringt Ihnen erstmal keinen Mehrwert.
Wie sind beispielsweise die Risiken in den Berichten bewertet und wie ist der Bericht strukturell aufgebaut? Werden standardisierte Vorlagen verwendet oder werden die Berichte individuell gestaltet?
6. AUFWAND
Ein vernünftiger Pentest ist auch immer an der Funktion der Infrastruktur ausgerichtet, die getestet werden soll. Wenn Sie einen Server mit geringen Funktionen besitzen, wird der Test vermutlich sehr schnell gehen. Haben Sie dagegen 100 Server, dann wird der Test entsprechend länger dauern.
Der Aufwand für den Test sollten deswegen im Verhältnis zur Infrastruktur stehen. Die Frage „Was kostet ein Pentest?“ kann daher nicht pauschal beantwortet werden.
Ein gutes Indiz für einen professionellen Pentest Anbieter ist daher, wenn im Angebotsprozess viele Fragen zu Ihrer zu testenden Infrastruktur gestellt werden, um die Art und den Umfang des Tests möglichst genau abstimmen zu können.
Pauschalisierte Aufwandsabstimmungen von vier bis fünf Personentagen unabhängig von der zu testenden Applikation zum Beispiel sind in Frage zu stellen, wenn Sie diese vorab in mehreren Personenjahren entwickelt haben. Genauso wenig passen jedoch 20 oder mehr Personentage zu einer kleinen Applikation mit wenigen Funktionen.
Achten Sie darauf, dass die Zahlen für Sie valide wirken und prüfen Sie rein von der Logik das Verhältnis der Entwicklungszeit beziehungsweise Größe der Infrastruktur zum Aufwand des Pentests. Schätzen Sie für sich selbst das richtige Maß ein und unterscheiden Sie demnach ein vernünftiges von einem unverhältnismäßigen Angebot.
7. VORGEHEN
Natürlich sollte auch die Philosophie des Pentest Anbieters zu Ihnen passen. Fragen Sie in der Angebotssituation nach, wie der Pentest Anbieter bei den Analysen vorgeht. Es gibt ganz unterschiedliche Ansätze am Markt, bei welchen sich das Risiko, das bei der Datenerhebung eingegangen wird, sehr stark voneinander unterscheidet. Hier gibt es wie so oft kein richtig oder falsch – das Vorgehen sollte aber zu Ihren Wünschen und Erwartungen passen.
- Wie aggressiv soll der Pentest Anbieter die Analyse durchführen?
- Wie transparent soll er sein?
- Wie viele Informationen wollen Sie ihm im Vorhinein geben und welche soll er sich selbst beschaffen?
- Welche Informationen und Ergebnisse erhalten Sie am Ende dafür?
8. REFERENZEN
Eine gute Aussagekraft besitzen die Referenzen, die der Pentest Anbieter nachweisen kann. Fragen Sie nach, welche Projekte in der Vergangenheit schon verwirklicht wurden. Im Idealfall haben die Pentest Anbieter schon komplexere Projekte umgesetzt und können relativ routiniert vorgehen. Und auch wenn die Projekte selbst vertraulich sind: Es ist valide, Referenzen einzufordern und ein professioneller Pentest Anbieter sollte Ihnen diese zur Verfügung stellen können.
Ab einer gewissen Projektgröße können Sie ggf, auch mit den Referenzkunden in Kontakt treten und nach der Zufriedenheit und dem Projektumfang fragen: Wurde ein richtiges Projekt umgesetzt oder nur ein halber Tag Consulting? Oder wurden gar nur Security Lösungen verkauft? Wie zuverlässig und hochwertig wurden die Leistungen durchgeführt? Konnte der Pentest Anbieter kompetent auf Rückfragen eingehen? Wurde die ursprüngliche Aufwandsabschätzung eingehalten oder musste „nachberechnet“ werden?
Unsere Empfehlung zur geeigneten Auswahl eines Pentest Anbieters
Vertrauen Sie bei der Auswahl eines geeigneten Pentest Anbieters auf Ihr Bauchgefühl und Ihren gesunden Menschenverstand und fragen Sie gerne auch mal kritisch nach.
Ein guter Pentest Anbieter steht Ihnen gerne und ausführlich Rede und Antwort auch direkt durch seine Spezialisten und nicht nur durch den Vertrieb. Befragen Sie Referenzkunden.
Und seien Sie vor allem skeptisch, wenn der Pentest Anbieter seinerseits keine Fragen stellt.
Am Ende des Tages muss der Aufwand des Pentests im Verhältnis zu den Kosten stehen und Ihnen einen Mehrwert bringen, damit sich die Analyse für Ihre Informationssicherheit im Unternehmen lohnt und Sie im Nachgang von der Angriffssituation lernen können.
Wenn Sie diese Tipps beachten, können Sie auch einen Pentest Anbieter finden, der für Ihre Ansprüche optimal ist!