Welche Teile meiner IT sollten in einem Penetration Test geprüft werden
Die Ziele bzw. den Umfang eines Penetration Tests („Scope“) ermitteln wir mit euch und dem ausgewählten Anbieter zusammen. In die Entscheidung fließen verschiedene Aspekte ein, z.B. der Reifegrad eurer IT-Security und bereits in der Vergangenheit durchgeführten Penetration Tests, sowie natürlich Priorisierung und Budget. Eine Vorgehensweise könnte z.B. sein, den ersten Penetration Test auf öffentlich erreichbare Systeme wie z.B. Webserver, Remote-Work-Infrastruktur oder Mailserver durchzuführen. Wir beraten dich gerne.
Findet ein Penetration Test vor Ort statt oder ist ein Test auch Remote möglich?
Beides ist möglich. Für öffentlich erreichbare Systeme wie z.B. Webserver ist ein Assessment von außen im Regelfall für beide Seiten einfacher. Bei internen Systemen kann der Zugriff je nach Unternehmen z.B. über bestehende Remote-Work-Infrastruktur wie z.B. ein VPN erfolgen oder der Anbieter sendet euch ein Gerät bzw. ein Image einer virtuellen Maschine zu, welches eine gesicherte Verbindung zu dem abgeschottetenen Netzwerksegment aufbaut. Wir helfen euch gerne weiter.
Wie viel kostet ein Penetration Test?
Die Kosten hängen stark von der Komplexität und dem Umfang (Scope) des Penetration Tests ab. Üblicherweise dauern Penetration Tests zwischen 5 und 15 Tagen und erfordern den Einsatz von 1-2 Penetration Testern. Diese Angaben können aber je nach Situation nach oben und unten abweichen. Im Rahmen eines kostenlosen Vorgesprächs ermitteln wir euren Bedarf und wie wir euch unterstützen können.
Wie oft sollte ich einen Penetration Test vornehmen lassen?
Hier spielen verschiedene Aspekte eine Rolle. Handelt es sich um öffentlich erreichbare oder besonders kritische Systeme? Wie stark verändert sich die Infrastruktur über die Zeit? Konnten die bereits im vorherigen Pentest identifizierten Schwachstellen behoben werden?
Häufig wünschen Auftraggeber eine Überprüfung alle sechs Monate, einmal im Jahr oder einmal alle zwei Jahre. Wir beraten dich gerne.
Ab welcher Unternehmens- bzw. Organisationsgröße lohnt sich ein Penetration Test?
Die Unternehmensgröße ist nicht der alleinige oder entscheidende Faktor. Natürlich macht ein Pentest nur Sinn, wenn eine gewisse IT-Infrastruktur vorhanden ist. Allerdings ist die Größe eines Unternehmens bzw. einer Organisation nicht der einzige Faktor für oder gegen die Entscheidung für einen Pentest. So spielen z.B. auch die Art, Kritikalität und Sensibilität der verarbeiteten Daten eine Rolle. Ein Penetration Test kann auch für Systeme einer Arztpraxis oder eines Steuerberaterbüros sinnvoll sein, insbesondere wenn die Betreuung von Teilen bzw. der kompletten IT-Infrastruktur an einen Dienstleister ausgelagert wurde. Bitte sprich uns an, wir helfen dir gerne bei der Frage weiter, ob ein Penetration Test das Richtige für dich ist.
Wo liegt der Unterschied zwischen Vulnerability Scanning und einem Penetration Test?
Beim Vulnerability Scanning werden Schwachstellen nur automatisiert detektiert. Es erfolgt keine sofortige Bewertung und Priorisierung durch einen Experten und kein anschließendes Ausnutzen („Exploitation“) der Schwachstellen. Somit kann beim Vulnerability Scanning in vielen Fällen nicht sicher festgestellt werden, ob ein System tatsächlich verwundbar ist. Dadurch ist es einem Schwachstellenscanner auch nicht möglich, eine Verkettung von Schwachstellen zu erkennen. So kann die Ausnutzung einer Schwachstelle weitere Angriffspfade (z.B. durch Rechteausweitung oder Zugriff auf andere Systeme) ermöglichen.
Was passiert, nachdem Schwachstellen in einem Penetration Test identifiziert wurden? Wie kann ich Unterstützung erhalten?
In einem abschließenden Bericht des Penetration Tests sind üblicherweise bereits Empfehlungen zum Schließen der Schwachstellen enthalten. Wenn ihr darüber hinaus Unterstützung beim Schließen der Schwachstellen benötigt, können wir euch im Rahmen unseres Cybersecurity Consultings unterstützen. Sprich uns an.
Ich habe weitere Fragen zu Pentests
Außerdem kannst du auch gerne einen Blick in die Kategorie „Penetration Testing“ unseres Blogs werfen.