Penetrationstest vs. Schwachstellenscan
Die Frage, wie viel ein professionell durchgeführter Pentest kostet, lässt sich pauschal nicht so leicht beantworten. Es gibt nämlich eine Vielzahl von Faktoren, die Einfluss auf den Preis haben. Eines muss vorab allerdings gesagt sein: Selbst ein sehr teurer Penetrationstest ist deutlich günstiger als eine eine unentdeckte Sicherheitslücke, die von Hackern ausgenutzt wird. Der finanzielle Schaden durch den Stillstand kritischer Systeme, den Verlust von Unternehmensdaten, die Schadensersatzforderungen von Kunden sowie die Kosten zur Schadensbeseitigung sind oftmals erheblich. Regelmäßige Pentests sollten daher im Budget eines jeden IT-Verantwortlichen ihren Platz haben.
Ein Penetrationstests (im Fachjargon auch kurz ‘Pentest’ genannt) ist ein umfangreicher IT-Sicherheitstest, bei dem ein zertifizierter Penetrationstester mit den Mitteln und Methoden eines echten Hackers versucht Sicherheitslücken und Schwachstellen in den Systemen und Anwendungen des Auftraggebers zu finden. Ein Penetrationstest ist zeitaufwändiger und geht weit über einen automatischen Schwachstellenscan (sog. Vulnerability Scan) hinaus, da zahlreiche manuelle Schritte des Pentesters notwendig sind, um qualitativ hochwertige Informationen bereitstellen zu können. Lassen Sie sich daher keinen Schwachstellenscan als vermeintlich günstigen Pentest verkaufen!
Der zeitliche Aufwand und die Expertise des Testers bestimmen den Preis
Grundsätzlich richten sich die Kosten eines Penetrationstests nach dem Aufwand und der fachlichen Expertise, die für die Durchführung notwendig sind. Der zeitliche Aufwand hängt davon ab, welche Art von Pentest durchgeführt wird, wie dieser im Einzelnen ausgestaltet wird und welche individuellen Sicherheitsbedürfnisse und besonderen Anforderungen der Auftraggeber hat.
Die Art des Pentests und das Durchführungskonzept spielen eine große Rolle
Wenn sich die Untersuchung auf eine einzige Webanwendung beschränkt (sog. Web Application Pentest), ist der Aufwand typischerweise deutlich geringer, als wenn der Test die komplette Infrastruktur des Auftraggebers mit einer Vielzahl von Systemen und Usern zum Gegenstand hat (sog. Infrastructure Pentest). Wenn Cloud-Umgebungen Teil der Infrastruktur sind, nimmt die Komplexität weiter zu. Es gilt: Je größer und komplexer der Testgegenstand ist, desto mehr Aufwand muss der Pentester betreiben.
Neben dem Testgegenstand muss der Auftraggeber festlegen, auf welcher Informationsbasis der Penetrationstester an den Test herangehen soll, wie “aggressiv” der Tester dabei vorgehen soll und welche Techniken verwendet oder ausgeschlossen werden sollen. Hierzu gibt es eine Studie des Bundesamt für Sicherheit in der Informationstechnik (BSI), welche einen guten Überblick über die möglichen Durchführungskonzepte bietet. Hier gilt: je tiefergehender und ausführlicher getestet wird, desto teurer wird es.
Jedes Unternehmen hat individuelle Sicherheitsbedürfnisse. Je kritischer die Systeme, je sensibler die Unternehmensdaten und je größer die Compliance-Anforderungen in der Branche des Auftraggebers, desto mehr Angriffswinkel sollten vom Pentester angegangen werden. Ein guter IT-Security Dienstleister wird hier zur Seite stehen und gemeinsam mit dem Auftraggeber den Testgegenstand und das Durchführungskonzept so vereinbaren, dass der Kunde ein optimales Kosten-Nutzen Verhältnis erwarten darf.
Wenn Auftraggeber besondere Wünsche haben, wie beispielsweise eine ausführliche Vor-Ort Präsentation des Abschlussberichts oder die Durchführung außerhalb der Geschäftszeiten, erhöht dies den Aufwand und spiegelt sich entsprechend im Preis wider.
Tagessatz für qualifizierte Pentester
Zur Durchführung eines professionellen Pentests werden IT-Security Spezialisten mit hohen Qualifikationen und langjähriger Erfahrung eingesetzt, die sich ständig weiterbilden müssen, um mit den rasanten Entwicklungen und neuen Angriffsmethoden von Cyberkriminellen mithalten zu können. Die Tagessätze beginnen hier bei etwa 1000 Euro. Für einen ausführlichen Pentest der sich auf ein durchschnittlich umfangreiches und komplexes Testobjekt erstreckt werden ca. 5 Testtage benötigt, sodass Sie mit Kosten von mindestens 5000 € rechnen müssen.
Wie Sie Kosten einsparen können
Um die Kosten im Zaum zu halten, aber dennoch qualitativ hochwertige Ergebnisse zu erhalten, lege ich Ihnen folgende Empfehlungen nahe:
- Suchen sie sich einen Dienstleister, der sich im Vorfeld die Zeit nimmt mit Ihnen gemeinsam einen angemessenen Testumfang und Tiefengrad festzulegen
- Fordern Sie einen Musterbericht an, um einen guten Eindruck davon zu bekommen, wie gut die Ergebnisse aufbereitet werden
- Auf Pentests spezialisierte Anbieter mit geringen Fixkosten und einem ausgereiften Konzept können Kostenvorteile entsprechend an Sie weitergeben
- Bereiten Sie sich entsprechend der Anweisungen des Pentesters vor und schaffen Sie ideale Rahmenbedingungen (Einhaltung von vereinbarten Terminen, Stellung eines gut erreichbaren Ansprechpartners, etc.)
- Verzichten Sie auf eine Vor-Ort-Präsentation und lassen Sie sich die Ergebnisse stattdessen per Videokonferenz präsentieren
Fazit zu den Kosten eines Penetrationstests
Regelmäßige Penetrationstest durch außenstehenden Experten sind wichtig. Die Ausgaben hierfür variieren von Fall zu Fall je, nachdem was und wie geprüft wird und welche Spezialkenntnisse für die Durchführung notwendig sind. Pro Testtag sind mit Kosten von mindestens 1000€ zu rechnen. Angesichts der steigenden Gefährdungslage sind diese allerdings als gute Investition zu begreifen. Achten Sie bei der Auswahl des Dienstleisters darauf, dass man gezielt auf ihr individuellen Anforderungen eingeht.
Besuchen Sie gerne unseren Pentest Angebotsseite, um eine erste Einschätzung ihres Vorhabens zu erhalten oder kontaktieren Sie uns für eine detaillierte Aufwandsschätzung. Falls Sie nur ein geringes Budget zu Verfügung haben, beraten wir Sie gerne hinsichtlich eines günstigen Penetrationstests mit geringerem Umfang.