Was kostet ein Penetrationstest?

Penetrationstest vs. Schwachstellenscan

Die Frage, wie viel ein professionell durchgeführter Pentest kostet, lässt sich pauschal nicht so leicht beantworten. Es gibt nämlich eine Vielzahl von Faktoren, die Einfluss auf den Preis haben. Eines muss vorab allerdings gesagt sein: Selbst ein sehr teurer Penetrationstest ist deutlich günstiger als eine eine unentdeckte Sicherheitslücke, die von Hackern ausgenutzt wird. Der finanzielle Schaden durch den Stillstand kritischer Systeme, den Verlust von Unternehmensdaten, die Schadensersatzforderungen von Kunden sowie die Kosten zur Schadensbeseitigung sind oftmals erheblich. Regelmäßige Pentests sollten daher im Budget eines jeden IT-Verantwortlichen ihren Platz haben.

Ein Penetrationstests (im Fachjargon auch kurz ‘Pentest’ genannt) ist ein umfangreicher IT-Sicherheitstest, bei dem ein zertifizierter Penetrationstester mit den Mitteln und Methoden eines echten Hackers versucht Sicherheitslücken und Schwachstellen in den Systemen und Anwendungen des Auftraggebers zu finden. Ein Penetrationstest ist zeitaufwändiger und geht weit über einen automatischen Schwachstellenscan (sog. Vulnerability Scan) hinaus, da zahlreiche manuelle Schritte des Pentesters notwendig sind, um qualitativ hochwertige Informationen bereitstellen zu können. Lassen Sie sich daher keinen Schwachstellenscan als vermeintlich günstigen Pentest verkaufen!

Der zeitliche Aufwand und die Expertise des Testers bestimmen den Preis

Grundsätzlich richten sich die Kosten eines Penetrationstests nach dem Aufwand und der fachlichen Expertise, die für die Durchführung notwendig sind. Der zeitliche Aufwand hängt davon ab, welche Art von Pentest durchgeführt wird, wie dieser im Einzelnen ausgestaltet wird und welche individuellen Sicherheitsbedürfnisse und besonderen Anforderungen der Auftraggeber hat.

Die Art des Pentests und das Durchführungskonzept spielen eine große Rolle

Wenn sich die Untersuchung auf eine einzige Webanwendung beschränkt (sog. Web Application Pentest), ist der Aufwand typischerweise deutlich geringer, als wenn der Test die komplette Infrastruktur des Auftraggebers mit einer Vielzahl von Systemen und Usern zum Gegenstand hat (sog. Infrastructure Pentest). Wenn Cloud-Umgebungen Teil der Infrastruktur sind, nimmt die Komplexität weiter zu. Es gilt: Je größer und komplexer der Testgegenstand ist, desto mehr Aufwand muss der Pentester betreiben.

Neben dem Testgegenstand muss der Auftraggeber festlegen, auf welcher Informationsbasis der Penetrationstester an den Test herangehen soll, wie “aggressiv” der Tester dabei vorgehen soll und welche Techniken verwendet oder ausgeschlossen werden sollen. Hierzu gibt es eine Studie des Bundesamt für Sicherheit in der Informationstechnik (BSI), welche einen guten Überblick über die möglichen Durchführungskonzepte bietet. Hier gilt: je tiefergehender und ausführlicher getestet wird, desto teurer wird es.

Jedes Unternehmen hat individuelle Sicherheitsbedürfnisse. Je kritischer die Systeme, je sensibler die Unternehmensdaten und je größer die Compliance-Anforderungen in der Branche des Auftraggebers, desto mehr Angriffswinkel sollten vom Pentester angegangen werden. Ein guter IT-Security Dienstleister wird hier zur Seite stehen und gemeinsam mit dem Auftraggeber den Testgegenstand und das Durchführungskonzept so vereinbaren, dass der Kunde ein optimales Kosten-Nutzen Verhältnis erwarten darf.

Wenn Auftraggeber besondere Wünsche haben, wie beispielsweise eine ausführliche Vor-Ort Präsentation des Abschlussberichts oder die Durchführung außerhalb der Geschäftszeiten, erhöht dies den Aufwand und spiegelt sich entsprechend im Preis wider.

Tagessatz für qualifizierte Pentester

Zur Durchführung eines professionellen Pentests werden IT-Security Spezialisten mit hohen Qualifikationen und langjähriger Erfahrung eingesetzt, die sich ständig weiterbilden müssen, um mit den rasanten Entwicklungen und neuen Angriffsmethoden von Cyberkriminellen mithalten zu können. Die Tagessätze beginnen hier bei etwa 1000 Euro. Für einen ausführlichen Pentest der sich auf ein durchschnittlich umfangreiches und komplexes Testobjekt erstreckt werden ca. 5 Testtage benötigt, sodass Sie mit Kosten von mindestens 5000 € rechnen müssen.

Wie Sie Kosten einsparen können

Um die Kosten im Zaum zu halten, aber dennoch qualitativ hochwertige Ergebnisse zu erhalten, lege ich Ihnen folgende Empfehlungen nahe:

  • Suchen sie sich einen Dienstleister, der sich im Vorfeld die Zeit nimmt mit Ihnen gemeinsam einen angemessenen Testumfang und Tiefengrad festzulegen
  • Fordern Sie einen Musterbericht an, um einen guten Eindruck davon zu bekommen, wie gut die Ergebnisse aufbereitet werden
  • Auf Pentests spezialisierte Anbieter mit geringen Fixkosten und einem ausgereiften Konzept können Kostenvorteile entsprechend an Sie weitergeben
  • Bereiten Sie sich entsprechend der Anweisungen des Pentesters vor und schaffen Sie ideale Rahmenbedingungen (Einhaltung von vereinbarten Terminen, Stellung eines gut erreichbaren Ansprechpartners, etc.)
  • Verzichten Sie auf eine Vor-Ort-Präsentation und lassen Sie sich die Ergebnisse stattdessen per Videokonferenz präsentieren

Fazit zu den Kosten eines Penetrationstests

Regelmäßige Penetrationstest durch außenstehenden Experten sind wichtig. Die Ausgaben hierfür variieren von Fall zu Fall je, nachdem was und wie geprüft wird und welche Spezialkenntnisse für die Durchführung notwendig sind. Pro Testtag sind mit Kosten von mindestens 1000€ zu rechnen. Angesichts der steigenden Gefährdungslage sind diese allerdings als gute Investition zu begreifen. Achten Sie bei der Auswahl des Dienstleisters darauf, dass man gezielt auf ihr individuellen Anforderungen eingeht.

Besuchen Sie gerne unseren Pentest Angebotsseite, um eine erste Einschätzung ihres Vorhabens zu erhalten oder kontaktieren Sie uns für eine detaillierte Aufwandsschätzung. Falls Sie nur ein geringes Budget zu Verfügung haben, beraten wir Sie gerne hinsichtlich eines günstigen Penetrationstests mit geringerem Umfang.

LinkedIn
Email
Print
Dennis Kionga

Dennis Kionga

Dennis ist Geschäftsführer bei Cloud Cape, einem IT Dienstleistungsunternehmen, das zukunftsfähige IT-Sicherheits- und Cloud-Lösungen implementiert und betreibt. Zuvor arbeitete er als Business Development Manager in der Lufthansa Group, wo er Verantwortung für den globalen Vertrieb von Outsourcing-Lösungen für Airlines übernahm. Er schloss sein Studium an der Universität Mannheim ab und erwarb einen Master of Laws (LL.M.) sowie ein Postgraduate Certificate im Projektmangement der Universität Kapstadt. In seiner Laufbahn hatte er längere Auslandsaufenthalte in Portugal, Tschechien und Südafrika.

Kommentar verfassen

Über Cloud Cape

Wir helfen Unternehmen Transparenz in der eigenen IT-Landschaft zu schaffen und begleiten auf dem Weg der sicheren digitalen Transformation. Als ‚Cloud-first‘ Unternehmen haben wir uns insbesondere auf Cloud-Lösungen und Cloud-Sicherheit spezialisiert.

Neuste Posts

Möchten Sie mehr von uns erfahren?