Der Penetrationstest – Einsatzweisen, Kosten und Dauer

Wie wichtig die IT-Sicherheit eines Unternehmens ist, dürfte mittlerweile klar sein. Schließlich kann es mitunter in einer regelrechten Katastrophe enden, wenn vertrauliche Informationen – seien es die von Kunden, Patienten oder dem eigenen Unternehmen – an die Öffentlichkeit gelangen. Deutsche Unternehmen sind sogar gesetzlich dazu verpflichtet, IT-Risiko-Management zu betreiben.

Da leider in den meisten Fällen nicht so einfach zu erkennen ist, wie sicher ein IT-System oder Netzwerk wirklich ist, wird von vielen verschiedenen Organisationen ein Penetrationstest empfohlen. Bei diesem Testverfahren verhält sich die Organisation, die den Test durchführt, so als würde sie tatsächlich einen Hacker-Angriff ausüben, das heißt, sie bedient sich derselben Methoden und Mittel. So lässt sich sehr genau feststellen, wo Schwachstellen und Sicherheitslücken eines Systems liegen.

Externer vs. interner Penetrationstest

Externer Penetrationstest

Der externe Pentest wird wohl am häufigsten angewendet, denn hierbei wird getestet, wie wirksam die IT-Security und der Virenschutz eines Unternehmens gegen Angriffe von außen ist. Es geht also um Angriffe auf den Netzwerkperimeter. Unter Perimeter-Sicherheit versteht man laut Technologiewissen online „die Sicherheit am Übergang zwischen einem Privat- oder Unternehmensnetz und einem öffentlichen Netz wie dem Internet“. Die Angriffe werden von außerhalb durchgeführt, also über das Internet oder Extranet. Um diese Art von Test anzuwenden, ist kein bestimmtes Wissen über das zu prüfende Unternehmen notwendig. Zunächst genügen in der Regel die öffentlich verfügbaren Informationen über den Kunden.

Interner Penetrationstest

Bei internen Pentests werden Angriffe von innerhalb auf das interne Unternehmens-Netzwerk simuliert. Bei größeren Unternehmen ab ca. 50 – 100 Mitarbeitern spielen auch interne Sicherheitsfaktoren eine immer größere Rolle, kann man hier doch nicht mehr von einem familiären Arbeitsumfeld sprechen und allen Mitarbeitern das gleiche Maß an Vertrauen entgegenbringen. Der Prüfer nimmt hier etwa den Posten eines verärgerten Mitarbeiters ein oder einfach eines autorisierten Benutzers, der die Standardzugriffsrechte besitzt.

Letztlich geht es darum, zu verstehen, welche Folgen es haben könnte, wenn der Netzwerkperimeter penetriert wurde oder wie ein autorisierter Benutzer an vertrauliche Informationen herankommen könnte.

Die Verfahren, die bei den beiden Testtypen eingesetzt werden, sind zwar ähnlich, aber die Ergebnisse können stark voneinander abweichen.

Was kostet ein Penetrationstest?

Eine genaue Angabe, über die Pentest-Kosten kann hier leider nicht gemacht werden. Dafür sind die Testmethoden und die verwendeten Tools zu unterschiedlich. In der Regel wird ein Pentest nach Tagessätzen abgerechnet. Der typische Tagessatz liegt zwischen 1.000 und 1.800 Euro. Da ein solcher Test im Allgemeinen zwischen zwei und zehn Tagen dauert, muss man mit Kosten von 2.000 bis 18.000 Euro rechnen. Je nachdem, wie aufwändig er sein soll. Wer Angebote von verschiedenen Anbietern einholt, sollte genau hinschauen, denn häufig wird der Begriff „Penetrationstest“ auch für die wesentlich weniger sicheren Schwachstellen-Scans verwendet. Diese sind zwar mitunter wesentlich günstiger, können aber meist nur bereits bekannte Schwachstellen aufdecken und liefern keine Informationen darüber, ob und inwieweit sich diese Schwachstellen überhaupt für Cyber-Kriminelle ausnutzen lassen.

Kosten des Pentests machen sich bezahlt

Die Kosten für einen „richtigen“ Penetrationstest mögen dem ein oder anderen zwar auf den ersten Blick sehr hoch vorkommen, aber es bleibt zu bedenken, dass dieser im Moment noch nicht automatisiert durchführbar ist. Zunächst muss der Pentester eine geeignete Methode auswählen, die direkt auf das zu testende Unternehmen abgestimmt ist. Zudem muss über den gesamten Prozess ein Pentest-Report erstellt werden, der dann mit dem Auftraggeber besprochen wird. All dies dürfte wohl deutlich machen, warum ein Penetrationstest so zeit- und kostenintensiv ist, schließlich bedeutet er auch einen nicht unerheblichen Arbeitsaufwand.

Außerdem sollte man immer im Hinterkopf behalten, dass die finanziellen Verluste eines echten „Hacker-Angriffs“ für ein Unternehmen zumeist sehr viel höher ausfallen.

Der Nachweis über einen erfolgreich durchgeführten Pentest führt auch häufig zu Verbilligungen bei sogenannten Cyber-Risk-Versicherungen. Diese Versicherungen haften zum Beispiel dann, wenn es durch die Folgen eines Hacker-Angriffs zu Betriebsunterbrechungen kommt oder beim Verlust von Datenträgern und Geräten.

Es ist also durchaus lohnenswert für einen Betrieb in einen Penetrationstest zu investieren.

Faktoren, die die Kosten eines Pentests beeinflussen können

• Der Testgegenstand: Was soll geprüft werden? Soll der gesamte Betrieb mit mehreren IT-Systemen oder nur eine einfache Web-Anwendung geprüft werden?
• Welche Module sollen getestet werden? Es könnte zum Beispiel nur der Programmcode oder die Konfiguration einer Web-Anwendung geprüft werden oder aber auch deren IT-Infrastruktur.
• Test-Konfiguration: Wie soll der Test durchgeführt werden? Welche Arten von Testmethoden kommen in Frage?
• Welches Sicherheitsniveau wird angestrebt? Je höher das angestrebte Sicherheitsniveau, desto kosten- und zeitintensiver der Test.

Fazit: Nachfrage an Pentests steigt

Trotz des – im Vergleich zum Schwachstellen-Scan – eventuell höheren Preises und der längeren Dauer des Pentests, steigt die Nachfrage bei diesem Testverfahren stetig an. Für viele Unternehmen ist er mittlerweile sogar selbstverständlich geworden, was, wenn man Aspekte wie Sicherheit und Datenschutz betrachtet, durchaus positiv gewertet werden kann.