Deutsch
English
Ein Penetrationstest ist im Grunde ein echter Hacking-Angriff, der von einem Ethical Hacker durchgeführt wird. Wenn der Hacking-Angriff selbst auf einer strukturellen reproduzierbaren Vorgehensweise basiert und und ein Auftraggeber diesen Hacker-Angriff legal als Test gegen sich oder seine IT beauftragt, sprechen wir von einem professionellen Penetrationstest. Dieser legale Hacking-Angriff wird von einem sogenannten Penetrationstester durchgeführt.
Allerdings unterscheidet sich die Zielstellung zwischen einem böswilligen Hacker und einem Penetrationstester. Einem böswilligen Hacker genügt es in der Regel, eine einzige kritische Schwachstelle zu identifizieren und diese erfolgreich auszunutzen. In einem Penetrationstest ist das allerdings nicht ausreichend. Der Penetrationstester muss nicht nur eine Schwachstelle finden, sondern den gesamten Angriffsvektor basierend auf einer strukturierten Vorgehensweise prüfen.
Ein Pentest lässt sich in Bezug auf die dem Penetrationstester zur Verfügung gestellten Informationsbasis in drei Modelle einordnen: Whitebox, Greybox und Blackbox.
Bei einem Blackbox-Pentest erhält der Pentester nur minimale Informationen über sein eigentliches Ziel. Das soll den Angriff eines böswilligen Hackers möglichst genau nachstellen. Der Pentester kennt also nur das anzugreifende Unternehmen, alle anderen Informationen wie zum Beispiel IP-Adressen oder DNS-Einträge muss er selbst herausfinden. Am Ende erhält man die Erkenntnis, wie weit ein richtiger Angreifer in der gleichen ihm zur Verfügung gestellten Zeit gekommen wäre.
Der Whitebox-Pentest ist das Gegenteil des Blackbox-Pentests: Hier erhält ein Penetrationstester alle eventuell hilfreichen Informationen. Das beinhaltet zum Beispiel eine Dokumentation über die IT-Systeme oder auch den Quelltext von zu testenden Anwendungen. Die Informationsbasis enspricht em ehesten die eines internen Mitarbeiters, der eher schon zuviel Zugriff auf verschiedene Bereiche in der IT im Unternehmen hat.
Ein in der Praxis guter und oft vollzogener Kompromiss zwischen Whitebox und Blackbox Pentest ist der Greybox-Pentest. Dabei erhält der Pentester alle Informationen, die er ohnehin selbst herausfinden könnte, wie z.B. IP-Adressen und DNS-Einträge. Allerdings keine umfassende Dokumentation oder einen Source Code. Stößt er auf ein Problem, bei dem es z.B. hilfreich wäre zu wissen welche Datenbank im Hintergrund verwendet wird, wird ihm dieses mitgeteilt. Hierbei geht es darum, ihm die Arbeitsweise möglichst effizient zu gestalten, um innerhalb des aufgewendeten Zeiteinsatzes möglichst alle Schwachstelle und Einfallstoren identifzieren zu können.
Die Kosten für einen Penetrationstest richten sich nach dem Zeitaufwand für den Pentest selbst und dem Tagessatz des Pentester.
Ein typischer Tagessatz bei Penetrationstest liegt zwischen 1.200€ und 2.000€, sofern es sich um einen seriösen und professionellen Dienstleister für die Durchführung von Penetrationstest handelt. Niedrigere Tagessätze deuten in der Regel darauf hin, dass der jeweilige Dienstleister versucht, statt eines manuellen Penetrationstests einen automatisierten Schwachstellenscan zu verkaufen.
Die Anzahl der Tage, die für die Durchführung des Pentests selbst erforderlich sind, hängt von der Komplexität des Ziels und dem zu überprüfenden Angriffsvektor ab. Kürzere Penetrationstests dauern nur 2 Tage, Pentest größerer Systeme oder Applikationen können mehrere Wochen dauern. Normalerweise sind 5-10 Tage ein realistischer Durchschnitt, nach unten und oben offen.
So beginnen die Kosten oft bei 2.400-4.000€ für einen kleinen Pentest und erreichen relativ schnell ein Niveau von etwa 8.000-10.000€. Bei einem komplexen und zeitaufwändigen Pentest können die Kosten entsprechend höher liegen.
Die Durchführung eines Penetrationstest hat natürlich einen primären Vorteil: Es werden Schwachstellen aufgedeckt, bevor ein böswilliger Angreifer diese ausnutzen kann. Aber es gibt auch weitere Gründe, warum Unternehmen einen Penetrationstest durchführen lassen. Neben der intrinsischen Motivation aus dem Unternehmen heraus, die eigene IT-Sicherheit zu vebessern, sind das alles extern vernlasste Gründe.
Man wird als Unternehmen von den eigenen Kunden (andere Unternehmen) vertraglich dazu gezwungen einen Penetrationstest durchführen zu lassen. Das tritt inbesondere häufig auf, wenn man Software entwickelt oder Cloud-Lösungen anbietet, die personenbezogene Daten oder anderen sensitive Daten verarbeitet. Gerade die typischen DAX 30 Unternehmen sind hier relativ stikt in ihren Sicherheitsanforderungen gegenüber ihren beauftragten Dienstleistern. Auch erfordert die Umsetung von Sicherheitsstandards oder Normen oftmals die Durchführung von Penetrationstest. Die ISO27001 und PCI DSS sind hierbei die Paradebeispiele. Neben der DSGVO sorgen u.a. die Vorgaben für KRITIS-Betreiber, das KBA für iKFZ-Anwendungen, Sicherheitsvorgaben für digitale Gesundheitsanwendungen (DiGa App) usw für die Durchführung von Penetrationstest.
binsec GmbH