Unkategorisiert

Pentest as a Service: Klassischer Pentest oder PTaaS? Was ist besser und welche Vor- und Nachteile gibt es?

Ohne Pentest ist es schwierig bis unmöglich im eigenen Unternehmen ein entsprechendes IT-Sicherheitsniveau zu etablieren. Doch Pentests sind oft sehr teuer, aufwendig und erfordern häufig auch einen Mitarbeiter vor Ort, der sich dem Ganzen annimmt und die Tests entsprechend überwacht. Anders sieht die Sache bei einem Pentest as a Service aus.

Genau diesen Aspekt oder besser gesagt diese Dienstleistung möchten wir Ihnen im Folgenden ein wenig näher bringen. Wir erläutern Ihnen daher die größten Unterschiede zum klassischen Pentesting und zeigen auf, warum das Pentests as a Service Modell in letzter Zeit immer beliebter wird.

Falls Sie selbst schon einmal darüber nachgedacht haben, den klassischen Pentest durch ein Pentest as a Service Angebot zu ersetzten, sind Sie hier jedenfalls genau richtig. Am Ende unseres Beitrags werden Sie ganz genau wissen, ob Ihre Entscheidung diesbezüglich sinnvoll ist oder nicht und welche Vor- und Nachteile bei einem Pentests as a Service entstehen.

Pentest oder Pentest as a Service

In vielen Unternehmen kann auf die sogenannten Penetrationstest nicht verzichtet werden. Oft sind Pentests somit ein fester Bestandteil der Sicherheitsstrategie innerhalb der IT einer Firma und werden jährlich, wenn nicht sogar quartalsweise durchgeführt. Je digitaler das Unternehmen aufgestellt ist, desto öfter wird es notwendig, einen entsprechenden Pentest zu absolvieren.

Hier kommt dann auch das Penetration Testing as a Service (PTaaS) ins Spiel. Pentest as a Service sind Serviceangebote, die einen Pentest auf Cloud-Ebene umfassen. Anders als ein Pentest, der sehr gezielt aufgestellt und eingestellt werden muss, sind PTaaS auf die dauerhafte bzw. häufige Durchführung ausgelegt. Sie benötigen daher weniger Planung vorab und infolgedessen auch weniger Ressourcen im jeweiligen Unternehmen.

Pentest as a Service sind meist ein Teil von Verträgen, die regelmäßige Prüfungen beinhalten. Hier geht es also nicht um ein Einzelangebot, welches umfangreich geplant wird, sondern eher um eine mehr oder minder dauerhafte Überwachung durch entsprechende Pentests. Doch schauen wir uns die Vor- und Nachteile noch einmal ein wenig genauer an.

Pentest as a Service – Die Vorteile

  • Anders als traditionelle Pentests, bleibt der Pentest as a Service jederzeit besonders flexibel. Das liegt daran, dass die Systeme bereits eingerichtet oder darauf ausgelegt und die Testbereiche klar definiert wurden. Daher beginnt der Test nicht erst Wochen nach der Planung, sondern oft bereits in wenigen Tagen.
  • Bei einem Pentest as a Service Angebot können die verfügbaren Experten für gewöhnlich problemlos skaliert werden. Sie möchten, dass der nächste Pentest weitere Bereiche umfasst oder tiefer in die Details geht? Beim einem PTaaS ist das kein Problem, denn hier lassen sich die beteiligten Sicherheitsforscher nach Belieben hinzufügen, wenn die Bereiche ausgeweitet werden sollen.

Pentest as a Service – Die Nachteile

  • Je nachdem, wie der PTaaS durchgeführt wird, entstehen Probleme mit den beteiligten Experten. Wird ein fester Vertrag mit einem Unternehmen vereinbart, sind dies Angestellte der entsprechenden Firma. Nutzen Sie eine offene Plattform für den Pentest as a Service, werden die Beteiligten oft pro Test oder Aufwand entschädigt, was grundsätzlich zu dem Druck führt, möglichst viele Tests auf einmal durchzuführen. Schnelligkeit ist aber nicht immer das beste Mittel, wenn es um Bereiche der Sicherheit geht. Hier kommt es eher auf Sorgfalt, als auf Geschwindigkeit an.
  • Prinzipiell ist ein abgesprochener und umfangreich geplanter Pentest immer etwas genauer und somit besser als das PTaaS Angebot. Das liegt schlicht und ergreifend daran, dass viele PTaaS Angebote nicht stark genug individualisiert sind. Ein Pentest hingegen, der nur für Ihre IT-Struktur erstellt und durchgeführt wird, ist in der Regel sehr genau und somit recht umfangreich.

PTaaS ist nicht gleich PTaaS

Grundsätzlich gibt es auch bei dem Konzept PTaaS zwei unterschiedliche Definitionen. Die eine meint Plattformen, auf denen flexible und frei wählbare Pentest ausgewählt werden können. Dies sind meist Cloud-Angebote, die dann einzeln abgerechnet und schnell gestartet werden.

Wenn wir jedoch von einem Pentest as a Service sprechen, meinen wir in erster Linie ein vertragliches Angebot, bei dem regelmäßige Pentests bereits eingeschlossen sind. Also ein Penetrationstest als Vertragsmodell, welches je nach Bedarf und zeitlich individuelle Pentests beinhaltet. Das hängt dann aber ganz von den persönlichen Absprachen ab.

Damit bieten wir unseren Kunden eine sehr einfache Möglichkeit, um mittel- und langfristig das eigene IT-Sicherheitsniveau zu erhöhen. Wichtig sind solche regelmäßigen Pentest natürlich auch, wenn die Sicherheit in sensiblen Bereichen entsprechend nachgewiesen werden muss. Ein laufendes Pentests as a Service Modell, in diesem Falle auf Vertragsbasis, sorgt hier für ein gesteigertes Vertrauen bei den Kunden.

Welcher Pentest ist der richtige?

Sinnvoll und nützlich ist ein PTaaS immer dann, wenn es um eine gewisse Regelmäßigkeit geht. Auch wenn eine gesetzliche Anforderung zur Durchführung eines Penetration Tests besteht, ist ein PTaaS die logische Wahl. Ebenso übrigens, wenn möglichst wenig Mitarbeiter während des Pentests im Einsatz sein sollen.

Außerdem sind die Bedingungen bei einem Pentest vorab bereits festgelegt. Bei dem Pentest as a Service können diese je nach Bedarf dynamisch erweitert werden. Auch die Findings, also die Ergebnisse, können, wenn dies gewünscht wird, entsprechend aufgeteilt werden. Die Zusammenarbeit wird dabei vertraglich gewählt, sodass meist eine dauerhafte Partnerschaft angestrebt wird, die für beide Seiten entsprechend vorteilhaft ausfällt.

Pauschale Lösungen gibt es bei einem Pentest aber nicht. Wenn Sie Interesse an einem PTaaS Modell haben, sollten Sie uns daher einfach und unverbindlich kontaktieren, damit wir genaueres besprechen können. Der Artikel sollte an dieser Stelle nur die Unterschiede zwischen einem klassischen Pentest und dem Pentest as a Service Modell aufzeigen. Wir denken, dies ist und geglückt. Für weitere Fragen dürfen Sie uns gerne kontaktieren.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.