Die Durchführung eines professionellen Penetrationstest erfordert Know-How, eine geschickte Projektorganisation sowie eine gute interne und externe Kommunikation. Das Aufspüren von Sicherheitslücken ist das Ziel dieser Sicherheitsuntersuchung. Wenn zahlreiche Sicherheitslücken gefunden werden, ist die Durchführung des Pentests sein Geld wert. Bevor ein Projekt starten kann, stellen sich viele Verantwortliche zu Recht die Frage: „Was kostet ein Penetrationstest eigentlich?“
Wir gehen in unserer Annahme von einem professionellen Penetrationstest aus. Dieser zeichnet sich durch ein systematisch, organisiertes Vorgehen aus Das durchführende Unternehmen setzt hierfür gut ausgebildete Pentester mit unterschiedlichen Kompetenzen ein. Abgeschlossen wird die IT-Sicherheitsuntersuchung mit einer aussagekräftigen Dokumentation, ggfs. Abschlusspräsentation.

Um sich vor Angriffen aus dem Netz zu schützen, ist die Durchführung Penetrationstest die richtige Wahl. Sicherheitslücken in Software und Konfigurationen können so entdeckt werden und, bevor diese ausgenutzt werden, geschlossen. Die meisten (seriösen) Anbieter im Bereich der Durchführung von professionellen Penetrationstests gehen bei der Berechnung der Kosten nach den Anzahl der benötigten Testtage vor. Um möglichst vergleichbare Angebote zu erhalten, empfiehlt es sich also das zu testende System bzw. die Umgebung etwas genauer zu beschreiben. Dabei hängt die Anzahl der Testtage unweigerlich mit weiteren Punkten zusammen.
Der Scope eines Pentests - was soll getestet werden?
Entscheidend für die Dauer des Projektes ist ohne Zweifel der Umfang des Tests. Soll bloß eine Webanwendung oder gar Website untersucht werden, die in der Vergangenheit vielleicht bereits untersucht worden ist? Oder ist es der erste Test, der direkt mehrere Systeme abdecken soll? Eine pauschale Antwort kann es auf diese Frage nicht geben. Studien belegen jedoch, dass die meisten Penetrationstests mit einem Arbeitsaufwand von ca. 100 Arbeitsstunden abgeschlossen sind.
Module und Ausgangsbasis für eine IT-Sicherheitsuntersuchung
Je nach Plattform und Software gestaltet sich der Aufwand unterschiedlich. Soll eine Web Anwendung auf Quellcode Basis untersucht werden? Oder ist ein Blackbox Test gewünscht, bei dem nichts über Netze und Infrastruktur bekannt ist? Der häufig gewählte Greybox Ansatz geht den Mittelweg. Eine Quellcode Analyse findet nicht statt - und die Angreifer müssen auch nicht erst Netze auskundschaften, bevor es ans richtige Testen geht. Diese Entscheidung müssen aber Sie als Kunde treffen.
Wie hoch ist das angestrebte Sicherheitsniveau?
Viel hilft viel. Mit einem kompetenten IT-Security Partner kann das durchaus zutreffen. Die regelmäßige Untersuchung von Anwendungen aller Art steigert im Bereich der professionellen Pentests das Sicherheitsniveau Ihrer Anwendung ungemein. Doch wenn die Anwendung eine erhöhte Sicherheit fordert, z.B. bei dem Einsatz von Wahlsoftware, muss ein entsprechendes Sicherheitsniveau erreicht werden. Die Integrität, Verfügbarkeit und Vertraulichkeit der Daten eine essentielle Eigenschaft der Software dar. In diesem Fall ist von einer erhöhten Anzahl der Beratertage auszugehen.

Eine Sicherheitsuntersuchung von Software ist ein Zusammenspiel von vielen Faktoren. Zum einen ist Man-Power in Form von Fachkräften nötig. Die vollautomatisierte Durchführung eines Pentest ist bis heute keinem Anbieter zuverlässig gelungen. Trotzdem werden bei einer Sicherheitsuntersuchung automatisierte Werkzeuge eingesetzt. Doch die Werte zu interpretieren und von Hand nachzuprüfen erfordert am Ende wieder Fähigkeiten von ausgebildeten Fachkräften. Die Kreativität und Erfahrung der Informatikerinnen entscheidet auch ausschlaggebend über die Qualität der Sicherheitsuntersuchung. Wir empfehlen deshalb grundsätzlich bei Anforderung eines Angebots, sich die Qualifizierung der eingesetzten Mitarbeiter darstellen zu lassen.

Von einem Penetrationstest kann erst ab dem Einsatz von zwei Testtagen ausgegangen werden. Bei branchenüblichen Tagessätzen ab 1.000 EUR sollten Kosten von mindestens 2.000 EUR netto eingeplant werden. Besondere Umstände erfordern besondere Kenntnisse. Seltene Programmiersprachen, kritische Steuer- und Industrieanlagen oder ein Test auf einem Live System kann die Tagessätze von einem auf den Bereich spezialisierten Pentester auf bis zu 1.800 EUR hochsetzen. Die Durchführung eines Pentests hat stets die Erhöhung des IT-Sicherheitsniveaus im Hinterkopf. Im Umkehrschluss können regelmäßig durchgeführte Penetrationstests dazu führen, dass die Prämien einer Cyber-Versicherung sinken. Zu den Anforderungen sollten Sie vor Vertragsabschluss Informationen von Ihrer Versicherung einholen.

Grundsätzlich ist es für jedes Unternehmen klug ein digital Risk Management zu betreiben. Das langfristige Fortbestehen eines Unternehmens ist schließlich das erklärte Ziel bei Gründung. Sind Daten gelöscht, nicht verfügbar oder wenn diese laufend manipuliert und abgegriffen werden, steht das Fortbestehen der Existenz auf der Kippe. Aber besonders bei Aktiengesellschaften müssen (§2 Abs. AktG.) geeignete Maßnahmen getroffen werden, um eine gefährdende Entwicklung der Gesellschaft frühzeitig zu erkennen.