Was kostet ein Penetrationstest? Die Frage nach den monetären Aufwänden für eine Sicherheitsanalyse durch Dritte ist häufig die erste. Die Durchführung eines professionellen Penetrationstest erfordert neben der technischen Grundausstattung auch Know-How, eine geschickte Projektorganisation sowie eine gute interne und externe Kommunikation. Das Aufspüren von Sicherheitslücken ist das Ziel dieser Sicherheitsuntersuchung und gelingt am besten bei der Arbeit im Team. Bevor aber ein Projekt starten kann, stellen sich viele Verantwortliche zu Recht die Frage: „Was kostet ein Penetrationstest eigentlich?“
Wir gehen in unserer Annahme von einem professionellen Penetrationstest aus. Dieser zeichnet sich durch ein systematisch, organisiertes Vorgehen aus. Das durchführende Unternehmen setzt hierfür gut ausgebildete Pentester mit unterschiedlichen Kompetenzen ein. Diese können bei Bedarf auch durch Zertifizierungen wie den OSCP ihr Wissen nachweisen. Abgeschlossen wird die IT-Sicherheitsuntersuchung mit einer aussagekräftigen Dokumentation, ggfs. Abschlusspräsentation. Bei professionellen Anbietern können Sie sich einen Beispielreport aushändigen lassen.
Die Anzahl der Testtage sind ein ausschlaggebender Faktor bei einem Penetrationstest
Um sich vor Angriffen aus dem Netz zu schützen, ist die Durchführung Penetrationstest die richtige Wahl. Bei einem Pentest untersucht, für welche Angriffe die Software empfänglich ist. So können Fehlkonfigurationen, Fehler in der Programmierung oder Einbindung von Drittanbietern festgestellt werden.
Die meisten (seriösen) Anbieter im Bereich der Durchführung von professionellen Penetrationstests gehen bei der Berechnung der Kosten nach den Anzahl der benötigten Testtage vor. Um möglichst vergleichbare Angebote zu erhalten, empfiehlt es sich also das zu testende System bzw. die Umgebung etwas genauer zu beschreiben. Dabei hängt die Anzahl der Testtage unweigerlich mit weiteren Punkten zusammen.
Der Scope eines Pentests – was soll getestet werden?
Entscheidend für die Dauer des Projektes ist ohne Zweifel der Umfang des Tests. Soll bloß eine Webanwendung oder gar Website untersucht werden, die in der Vergangenheit vielleicht bereits untersucht worden ist? Oder ist es der erste Test, der direkt mehrere Systeme abdecken soll? Eine pauschale Antwort kann es auf diese Frage nicht geben. Studien belegen jedoch, dass die meisten Penetrationstests mit einem Arbeitsaufwand von ca. 100 Arbeitsstunden abgeschlossen sind.
Bevor Sie in Verkaufsgespräche gehen, empfehlen wir den Scope ganz klar festzulegen. Um so genauer Sie abgrenzen können wo die Untersuchung beginnen und enden soll, desto besser können Sie die Angebote vergleichen.
Module und Ausgangsbasis für eine IT-Sicherheitsuntersuchung
Je nach Plattform und Software gestaltet sich der Aufwand unterschiedlich. Soll eine Web Anwendung auf Quellcode Basis untersucht werden? Oder ist ein Blackbox Test gewünscht, bei dem nichts über Netze und Infrastruktur bekannt ist?
Der häufig gewählte Greybox Ansatz geht den Mittelweg. Eine Quellcode Analyse findet nicht statt – und die Angreifer müssen auch nicht erst Netze auskundschaften, bevor es ans richtige Testen geht. Diese Entscheidung müssen aber Sie als Kunde treffen.
Wie hoch ist das angestrebte Sicherheitsniveau?
Viel hilft viel. Mit einem kompetenten IT-Security Partner kann das durchaus zutreffen. Die regelmäßige Untersuchung von Anwendungen aller Art verschafft Ihnen den notwendigen Überblick. Erst wenn Sie um das Sicherheitsniveau Ihrer Anwendung Bescheid wissen, können Sie auch für die Beseitigung oder Schließung der Sicherheitslücken sorgen.
Mit erhöhten Kosten bei der Durchführung eines Penetrationstests sollte immer dann gerechnet werden, wenn die Software ein besonders hohes Niveau an IT-Sicherheit erfordert. Dieser Fall tritt z.B. bei Wahlsoftware ein. Die Anforderungen an Vertraulichkeit, Verfügbarkeit und vor allem Integrität sind ausgesprochen hoch.
Ein professioneller Penetrationstest ist teurer als ein neues Smartphone
Eine Sicherheitsuntersuchung von Software ist ein Zusammenspiel von vielen Faktoren. Es ist vor allem Man-Power in Form von Fachkräften nötig. Die vollautomatisierte Durchführung eines Pentest ist bis heute keinem Anbieter zuverlässig gelungen. Die hohe Anzahl an false-positives macht es für verantwortliche Personen schwierig die korrekten Erkenntnisse daraus abzuleiten.
Trotzdem werden bei einer Sicherheitsuntersuchung automatisierte Werkzeuge eingesetzt. Doch die Werte zu interpretieren und von Hand nachzuprüfen erfordert am Ende wieder Fähigkeiten von ausgebildeten Fachkräften. Dabei ist eine große Anzahl der Tools kostenfrei und Open Source.
Die Kreativität und Erfahrung der Informatikerinnen entscheidet auch ausschlaggebend über die Qualität der Sicherheitsuntersuchung. Wir empfehlen deshalb grundsätzlich bei Anforderung eines Angebots, sich die Qualifizierung der eingesetzten Mitarbeiter darstellen zu lassen.
Was kostet ein Penetrationstest & Einsparpotenzial
Von einem Penetrationstest kann erst ab dem Einsatz von zwei Testtagen ausgegangen werden. Bei branchenüblichen Tagessätzen ab 1.000 EUR sollten Kosten von mindestens 2.000 EUR netto eingeplant werden. Besondere Umstände erfordern besondere Kenntnisse:
- Seltene Programmiersprachen
- kritische Steuer- und Industrieanlagen oder ein
- Test auf einem Live System
können die Tagessätze von einem auf den Bereich spezialisierten Pentester auf bis zu 1.800 EUR verteuern.
Bei der Durchführung eines Penetrationstests sollte mit Kosten zwischen 2.000 EUR und 18.000 EUR gerechnet werden. Abhängig von der Dauer des Projektes, dem notwendigen Know How, dem Umfang der Dokumentation und weiterer Randbedingungen, kann die Summe auch den Maximalwert übersteigen.
Stets steht die Erhöhung des IT-Sicherheitsniveaus im Vordergrund. Aus diesem Grund lohnt sich die Durchführung immer – vorausgesetzt Sie konnten den Umfang abstecken und sind in der Lage die gefundenen Ergebnisse abzuarbeiten. Denn ganz gleich ob Grey,- White oder Blackbox Pentest: Sie oder Ihr Dienstleister müssen die Sicherheitslücken schließen, die Konfiguration anpassen oder Systeme updaten. Handlungsempfehlungen finden Sie für jedes Finding im Report.
Regelmäßig durchgeführte Penetrationstests führen dabei nicht nur zur Sicherung der Geschäftswerte sondern können auch dazu beitragen, dass die Zahlungen für eine Cyber-Versicherung sinken. Zu den Anforderungen sollten Sie vor Vertragsabschluss Informationen von Ihrer Versicherung einholen.
Unternehmen sind rechtlich zu Risiko Management verpflichtet
Grundsätzlich ist es für jedes Unternehmen klug ein digital Risk Management zu betreiben. Das langfristige Fortbestehen eines Unternehmens ist schließlich das erklärte Ziel bei Gründung. Sind Daten gelöscht, nicht verfügbar oder wenn diese laufend manipuliert und abgegriffen werden, steht das Fortbestehen der Existenz auf der Kippe. Aber besonders bei Aktiengesellschaften müssen (§2 Abs. AktG.) geeignete Maßnahmen getroffen werden, um eine gefährdende Entwicklung der Gesellschaft frühzeitig zu erkennen.