Ein regelmäßig durchgeführter Pentest ist ein wichtiger Bestandteil, kontinuierlich das IT-Sicherheitsniveau festzustellen und zu erhöhen. Dabei kann die IT-Sicherheitsuntersuchung das Ziel haben ein Netzwerk, eine Applikation oder einzelne Endpunkte anzugreifen. Im Anschluss erhalten Kunden einen Report, eine umfangreiche Dokumentation mit den gefundenen Sicherheitslücken und bei Bedarf eine Abschlusspräsentation.
Was ist ein Pentest?
Mit Hilfe eines Pentests können Schwachstellen in vernetzten Informationssystemen, die zum Beispiel aus Soft- oder Hardware, einer Infrastruktur oder einzelnen Applikationen bestehen, gefunden, analysiert und geschlossen werden. Ein Pentest bietet eine effektive Möglichkeit festzustellen ob Systeme oder deren Komponenten von Angreifern erfolgreich angegriffen werden können. Mit einem Pentest sollen möglichst viele Sicherheitsprobleme aufgedeckt werden. Dabei reichen die Probleme von Konfigurationsfehlern, über fehlende Patches bis hin zu unbekannten Sicherheitslücken.
Angreifer können kontinuierlich angreifen, bis Sie Zugang zu den von Ihnen gesuchten Daten oder Systemen haben. Ein Pentest ist meist durch ein Zeitbudget eingeschränkt und endet nach dem Ablauf des Zeitbudgets. Eine Webseite die Ihr Unternehmen nach außen repräsentiert ist in der Regel mit einem relativ geringen Zeitbudget zu testen, während Plattformen oder Applikationen die Kundendaten verarbeiten meist ein deutlich erhöhtes Zeitbudget erfordern, um sicherzugehen viele Einfallstore zu finden.
Warum einen Pentest?
Die fortschreitende Digitalisierung mit Ihren Einspar.- und Optimierungspotenzialen ist einer der Treiber im Bereich Pentest. Vom kleinen Laden um die Ecke bis hin zum internationalen Konzern beschäftigt sich mittlerweile jeder Sektor mit dem Thema Digitalisierung.
Wurden Pentests früher lediglich durch Finanzinstitute oder Telekommunikationsanbieter durchgeführt, führt die AWARE7 GmbH Pentests in unterschiedlichsten Branchen durch. Von Gesundheitsanwendungen bis hin zu Küchengeräten testete die AWARE7 unterschiedliche Systemlandschaften mit unterschiedlicher Kritikalität.
Wer sollte einen Pentest durchführen?
IT-Sicherheit wird im Entwicklungsprozess meist erst gegen Ende eines Projektes bedacht, da es oft eine nicht funktionale Anforderung ist. Kurz vor dem geplanten „Go-Live“ wird also ein Pentest gebucht. Das ist in der Regel jedoch nicht zu empfehlen, da gerade die letzten Wochen vor dem „Go-Live“ sowieso hektisch sind. Wenn dann kritische Sicherheitslücken im Pentest gefunden werden, müssen diese zusätzlich schnell und dadurch meist nicht in ausreichender Qualität behoben werden. Handelt es sich bei den gefundenen Problemen nicht um etwas triviales sondern beispielsweise um ein strukturelles Problem, kann ein Redesign notwendig werden. Dies ist in der Regel mit hohen Kosten, viel Zeitaufwand und eventuell sogar mit Umsatzminderung verbunden.
Einen Pentest beauftragen Sie, damit ein Angreifer der auf Ihre Infrastruktur oder Ihr Applikation trifft, es möglichst schwer hat einzudringen. Der Angreifer ist frustriert und wendet sich nach ein paar fehlgeschlagenen Angriffsversuchen einem leichteren Ziel zu. Sie müssen nicht schneller schwimmen als der Hai, sondern nur schneller als die anderen Fische.
Ist ein Pentest immer effektiv?
Einen Pentest durchzuführen ist nicht trivial. Die Ergebnisse, die ein Kunde erhält, sind höchst individuell. Automatisierte Werkzeuge sind eine Arbeitserleichterung, erfüllen in der Regel die Anforderungen aber nicht. Am Ende von einem Pentest hängen die Ergebnisse und die Qualität davon ab, in welchem Umfang der Test stattfindet, welche Methodik angewendet wird und wer testet.
Der Black Box Pentest –
wenn auch die beauftragten Angreifer nicht informiert werden.
Bei einem Black Box Pentest wird Ihr System, ohne spezifische Kenntnisse darüber erhalten zu haben, getestet. Die Pentester haben keinen Zugriff auf den Quellcode und keine Kenntnis über die eingesetzte Architektur. Dieser Ansatz kommt der eines echten Angreifers am nächsten. Das zeitliche Budget sollte hier entsprechend groß sein, um ein repräsentatives Ergebnis zu erhalten.
Der Grey Box Pentest –
notwendigste Informationen ohne einen tieferen Einblick.
Bei einem Grey Box Pentest werden die notwendigsten Informationen über das Zielsystem ausgetauscht. Dazu zählt z.B. die URL der Anwendung sowie Benutzeranmeldeinformationen und die Darstellung von verschiedenen Benutzerrollen. Der Greybox-Test ist die effektivste Methode zur Untersuchung Ihrer Anwendung. Durch die fehlende, umfangreiche Informationsrecherche im Vergleich zum Black Box Test kann der Entdeckung und Ausnutzung von Sicherheitslücken mehr Aufmerksamkeit gewidmet werden.
Der White Box Pentest –
wenn die beauftragten Angreifer so viel wissen wie die Entwickler der Software
Beim White Box oder auch Glassbox Test besteht volle Kenntnis über das Zielsystem. Der White Box Pentest beinhaltet ein umfangreiches Code Review. Dieses Review wird mit einem Fokus auf IT-Sicherheit durchgeführt. Architektur- und Infrastrukturaspekte werden ebenfalls untersucht und anschließend bewertet. Der White Box Penetrationstest beansprucht, ähnlich des Black Box Penetrationstests, viel Zeit zur Durchführung.
„Zwei Pentester die dasselbe System testen, führen zu drei unterschiedlichen Einschätzungen“- Unbekannt
Was kostet ein Pentest?
Eine Kosteneinschätzung für Ihr individuelles Pentest-Projekt lässt sich nicht pauschal ermitteln. Je komplexer Ihre Anwendung ist und je mehr kritsche Daten verarbeitet werden, desto höher sollte das Budget für den Pentest ausfallen. Gerade bei sehr komplexen Systemen ist im Vorhinein mit einem erhöhten Konfigurations- und Koordinationsaufwand zu rechnen. Sie können grob überschlagen, was der Pentest auf Ihr System kosten könnte, indem Sie folgende Fragen beantworten:
Welche Kritikalität haben die Daten, die mein System verarbeitet?
Sehr hoch: Ein Ausfall oder ein Datenverlust wirken sich extrem schnell existentiell auf das Unternehmen aus. Nicht nur Gesetze, Vorschriften und Verträge werden gebrochen, sondern es existieren Gefahren für die persönliche Unversehrtheit von Mitarbeitern und Kunden.
- Hoch
Ein Ausfall oder ein Datenverlust hat in kurzer Zeit erhebliche Auswirkungen auf das System und das Unternehmen. Mehrere Gesetze, Vorschriften oder Verträge werden gebrochen. - Mittel
Es gibt spürbare Auswirkungen nach einem Verlust der Daten oder dem Ausfall der Infrastruktur innerhalb eines mittleren Zeithorizonts. Es kommt zu einem Gesetzes-, Vorschrift- oder Vertragsbruch. - Niedrig
Ein Ausfall der Infrastruktur oder ein Verlust der Daten hat eine geringe, kaum spürbare Auswirkung
Was ist der übliche IT-Tagessatz?
Nutzen Sie den aktuell üblichen Tagessatz, um den Satz eines Penetrationstesters anzunähern. In der Regel kostet ein Personentag im Bereich Pentesting ab 1.000,00 EUR mit einer nach oben offenen Summe, je nach Qualifikation und Größe des Pentest. Notwendige Qualifikationen, Ausbildungen und Weiterbildungen machen durchführende Pentest Experten zu beliebten Fachkräften.
Wieviele Manntage hat die Entwicklung des Systems in Anspruch genommen?
Je nach Kritikalität der Anwendung wird empfohlen einen gewissen Prozentsatz der Entwicklung für die Sicherheitsüberprüfung aufzubringen
- Kritikalität sehr hoch: ±15% der Manntage der Systementwicklung
- Kritikalität hoch: ±10% der Manntage der Systementwicklung
- Kritikalität mittel: 5-10% der Manntage der Systementwicklung
- Kritikalität niedrig: 1-5% der Manntage der Systementwicklung
Was ist das Ergebnis eines Pentest?
Ein Pentest liefert Ihnen mindestens einen Überblick darüber, welche bekannten Sicherheitslücken in Ihrem System ausgenutzt werden können und wie hoch das Risiko eines erfolgreichen Angriffs eingeschätzt werden kann. Sie erhalten das schriftliche Ergebnis in Form eines Reports, Dokumentation und häufig einer Abschlusspräsentation vorgestellt. Im Rahmen eines Tests kann es auch dazu kommen, dass bisher unbekannte Sicherheitslücken aufgedeckt werden. Diese sogenannten „Zero Days“ sind für Angreifer besonders interessant.
Im Rahmen eines Pentests durch die AWARE7 erhalten Sie nicht nur einen Report über die technischen Geschicke Ihres Systems, sondern Sie profitieren auch von unserer Risk Rex Technologie. Wir scannen Ihr Unternehmen im Rahmen des Pentests mit unserer Technologie und finden so nicht nur technische sondern auch menschliche Risiken und helfen Ihnen diese zu minimieren, damit Ihre Technologie und Ihre Mitarbeiter gleichermaßen geschützt sind.
Jeder Pentest ist dabei natürlich nur eine Momentaufnahme. Auch ein Pentest ohne Ergebnisse ist kein Beweis dafür, dass Ihr System frei von Schwachstellen ist oder das alle Schwachstellen gefunden wurden. Regelmäßige Untersuchungen helfen Ihnen aber, kontinuierlich besser zu werden und Ihre Systeme nachhaltig resilient zu gestalten.
Wenn Sie Interesse an einem Pentest durch die AWARE7 haben, nehmen Sie gerne unverbindlich Kontakt mit uns auf. Auch für die Bereiche Mitarbeiterschulungen, Phishingkampagnen und Risiko Assessment bieten wir attraktive Lösungen an.