Alles was Sie zum Thema Pentest wissen müssen: Dauer, Preis und rechtlicher Schutz

Wer sich intensiv mit der IT-Sicherheit von Unternehmen beschäftigt, der stößt irgendwann auf die sogenannten Pentests oder Penetrationstests, wie sie auch genannt werden. Aufgrund der steigenden Zahl der Hacker-Attacken auf Unternehmen benötigen diese eine möglichst effiziente IT-Sicherheitsstrategie, um ihre Daten vor Diebstahl, ihre internen Systeme vor schädlicher Software und den daraus resultierenden technischen Beeinträchtigungen sowie möglichen wirtschaftlichen Verlusten zu bewahren. Wie aber funktionieren Pentests, wie lange dauern sie und welche Kosten verursacht die Beauftragung eines Experten-Teams mit einem Pentest?

Alles was Sie zum Thema Pentest wissen müssen: Dauer, Preis und rechtlicher Schutz

Pentest: Finden von Informationen, Schwachstellen, Gefährdungspotenzialen

Ausgeführt werden Penetrationstests bzw. Pentests von Experten für IT-Sicherheit , wie sie beispielsweise beim von Dr. Ewan Fleischmann gegründeten Unternehmen Redlings GmbH zu finden sind. Er selbst besitzt ebenfalls fundiertes Wissen, denn er beschreibt die Grundlagen seiner Kompetenz folgendermaßen: „Ich bin Informationssicherheitsexperte mit über 10 Jahren Erfahrung in den Bereichen Penetrationstests, Red-Teaming und IT-Sicherheit.“

Bei diesen Tests handelt es sich um ein effizientes Werkzeug, um Schwachstellen in IT-Infrastrukturen aufzuspüren und auf ihr Gefahrenpotenzial hin zu testen. Es geht darum, das technische und organisatorische Niveau der IT-Infrastrukturen in einzelnen Bereichen wie Web Application, Mobile & API, Cloud , Telefonsysteme oder WLAN zu untersuchen und Schwachstellen ausfindig zu machen, z. B. kompromittierte Hosts, Server in der DMZ oder mobile Endgeräte.

Ursache für das erfolgreiche Eindringen sind in vielen Fällen fehlerhafte Konfigurationen unternehmenseigener oder externer Systeme bzw. Systemdienste. Daher erfolgt als erster Schritt beim Pentest das Sammeln von relevanten Informationen hinsichtlich der genutzten IT-Systeme und externer Dienste, die verwendet werden.

Wo Hacker angreifen
Wo Hacker angreifen

Wo Hacker angreifen. Quelle: Statista

Im zweiten Schritt werden alle gefundenen Systeme auf Schwachstellen, Fehlkonfigurationen, Exploits (Schadprogramme oder Befehlsfolgen zum Zweck der Störung) und sonstiger Fehler untersucht. Konnten Sicherheitslücken identifiziert werden, testet der IT-Experte sie auf sichere Weise und überprüft so, inwieweit sie sich ausnutzen lassen, um tiefer in die IT-Infrastruktur einzudringen.

Dauer und Kosten für Pentests

Wie lange ein Pentest dauert, ist zumeist abhängig vom vereinbarten Umfang. Für einen sehr umfangreichen externen und internen Penetrationstest muss man mit einer Dauer von etwa 5 bis 10 Tagen rechnen. Auch Pentests im Bereich des Social Engineerings beanspruchen in der Regel etwas mehr Zeit.

Bezüglich der Kosten muss berücksichtigt werden, dass die Tagessätze von ausgewiesenen IT-Experten zwischen 1.000 und 1.800 Euro liegen. Führt ein Experte den Pentest durch, fallen bei Berechnung des Höchstsatzes Kosten zwischen 9.000 und 18.000 Euro für einen 10-tägigen Test an.

Gerechtfertigt sind diese Kosten, da IT-Spezialisten mit dem Schwerpunkt Pentests sich nicht nur durch umfassendes Expertenwissen zum Thema IT-Sicherheit auszeichnen, sondern darüber hinaus in der Lage sind, die Penetrationstests quasi aus der Sicht der Hacker durchzuführen. Das bedeutet, sie nutzen das gleiche Wissen, wie es die Akteure aus dem Bereich der Cyber-Kriminalität tun.

Wichtige Kriterien für die Durchführung von Pentests

Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte ein Klassifikationsschema für Penetrationstests. Das BSI konzentriert sich vor allem auf die folgenden Kriterien:

  • Informationsstand der Testexperten (Black-Box-, White-Box- oder Grey-Box-Test)
  • Aggressivität des Tests (z. B. Exploits oder Denial-of-Service-Angriffe)
  • Testumfang (welcher Bereich und Zeitrahmen)
  • Vorgehensweise (beispielsweise interner/externer Penetrationstest, Cloud-Pentest)
  • Technik (Anwendung oder Ausschluss bestimmter Verfahren)
  • Ausgangspunkt (Angriff erfolgt extern oder intern)

Anhand dieser grundlegenden Kriterien können die IT-Sicherheitsexperten in Zusammenarbeit mit dem beauftragenden Unternehmen eine IT-Sicherheitsbewertung planen, die individuell auf die Anforderungen abgestimmt ist.

Rechtssicherheit bei Pentests: Worauf ist zu achten?

Um in Rechtsfragen bei einem Pentest auf der sicheren Seite zu stehen, bedarf es klarer und detaillierter Absprachen zwischen den testenden IT-Sicherheitsexperten und dem beauftragenden Unternehmen. Grund für diese Notwendigkeit ist der hohe Stellenwert des Datenschutzes. Dieser ist unter anderem in § 202 c StGB (Strafgesetzbuch) geregelt. Er gilt als „Hackerparagraph“ und legt fest, welche Handlungen unter Strafe stehen.

Aus diesen Gründen braucht es in der Vorbereitung eines Pentests klare Absprachen der beteiligten Parteien. Vor allem die explizite Zustimmung des Auftraggebers ist zwingend. Dabei ist zu beachten, dass das beauftragende Unternehmen diese Einwilligung ausschließlich für Bereiche erteilen kann, die sich in seinem „Hoheitsbereich“ befinden. So ist etwa vorher zu klären, in wessen Eigentum sich etwa vom Test betroffene Softwareprogramme, Datensätze oder Computersysteme befinden.

Sind von einem Pentest beispielsweise von Dritten betriebene Produkte oder Dienstleistungen betroffen, etwa Rechenzentren, IT-Infrastrukturteile oder Server, dann ist es sinnvoll, sich rechtlich ausführlich beraten zu lassen.

Wesentlicher Bestandteil der Vereinbarung über einen auszuführenden Pentest gilt ein detaillierter Dienstleistungsvertrag. Er sollte die Einwilligung und auch konkrete Angaben zum Umfang und Zeitraum des Penetrationstests enthalten. Darüber hinaus sind die Grundlagen sowie die Risikoklassifizierung, die Art und Technik des Pentests sowie erlaubte und verbotene Techniken schriftlich zu fixieren.

Zudem sollte der Dienstleistungsvertrag eine Geheimhaltungs- bzw. Verschwiegenheitsklausel enthalten. Diese ist von Bedeutung, da das beauftragende Unternehmen den namentlich zu benennenden IT-Sicherheitsexperten mehr oder weniger umfangreiche Informationen zur Verfügung stellen. Außerdem könnten die Tester bei der Ausführung selbstständig auf sensible Unternehmensdaten stoßen. Es ist ratsam, nicht nur die Tester selbst, sondern auch alle weiteren externen Beteiligten die Verschwiegenheitserklärung unterzeichnen zu lassen.

Bildnachweis: