Die Auswahl des richtigen Anbieter für einen Penetrationstest ist in den letzten Jahren deutlich schwieriger geworden. Viele Unternehmen aus der IT-Branche haben dieses Geschäftsfeld für sich als potentiell lukrativ entdeckt und die Dienstleistung Penetration Testing in ihr Portfolio aufgenommen. Das hat insgesamt die Quantität der Dienstleister im Markt deutlich erhöht, aber es ist dafür schwieriger geworden einen qualitativ hochwertigen Anbieter zu finden.
Bei der Auswahl eines potentiellen Dienstleisters lohnt es sich auf folgende Aspekte zu achten – und einmal die folgenden 3 Fragen zu stellen - um möglichst ein Unternehmen für Pentesting zu finden, dass eine gute Qualität abliefert:
1. Welche Tools werden bei einem Pentest eingesetzt?
Diese Frage ist eigentlich leicht irreführend, da ein Penetrationstest ein manueller Task ist. Ein Penetrationstester nutzt zwar Tools, aber die hängen in der Regel vom Scope des Pentests ab. Hier allgemeingültige Aussagen zu treffen ist schwierig. Eine potentiell falsche Antwort eines Anbieters für Pentesting ist z.B. Nessus oder Greenbone. Hier würde der Dienstleister versuchen einen automatisierten Vulnerability-Scan als Penetrationstest zu verkaufen. Die False Positive und vorallem False Negative Rate von automatisierten Schwachstellen-Scannern ist so hoch, dass sich auf deren Ergebnisse in einem professionellen Penetrationstest nicht verlassen werden kann.
2. Welche Arten von Penetrationstest werden angeboten?
Es gibt Pentest-Dienstleister am Markt, die sich primär auf Webanwendungen „spezialisert“ haben oder zum Beispiel „nur“ versuchen das Unternehmen zu hacken, per automatisierter Schwachstellen-Suche oder Social Engineering. Das klingt grundsätzlich zwar positiv, ist es aber nicht. Ein guter Anbieter für Pentest hat kompetentes Personal, das kein Problem damit hat sich z.B. in das Testen einer REST-API oder in die Prüfung eines IoT-Geräts einzuarbeiten. Wenn das fachliche Limit der eingesetzten Penetrationstester das Identifzieren einer SQL Injection per automatisierten Tool ist, ist es der falsche Pentester und am Ende nicht das richtige Unternehmen.
3. Wieviel Prozentpunkte des Umsatzes kommen aus dem Bereich Penetration Testing?
Das ist im Prinzip eine Fangfrage, um auf Anbieter verzichten zu können, die Penetration Testing nur „nebenbei“ einmal mit auf die Webseite als Dienstleistung gestellt haben. Davon gibt es leider einige und in der Regel ist die Qualität eines Penetrationstest besser, wenn regelmäßig und mit starkem Fokus als Kerngeschäft Penetrationstest durchgeführt werden. Wenn die Angabe des Anbieters vom Umsatz durch Penetration Testing am Gesamtumsatz unter einem Drittel liegt, wäre die Auswahl eines anderen zu empfehlen. Ein Wert von 75% oder mehr ist sicherlich anzustreben. Eine Angabe von 100% ist relativ unrealistisch auf der anderen Seite, weil man als Pentesting-Dienstleister immer einmal klassische Beratungsanfragen bekommt oder von Kunden zu forensischen Analysen beauftragt wird.
In die Liste der 3 Fragen fehlen explizit die beiden eigentlich typischen Fragen:
Beide Fragen klingen gut und sinnvoll. Sind sie aber nicht wirklich. Zertifizierungen eines Unternehmens sagen nichts über die Qualität der Dienstleistung aus, insbesondere nicht wenn es sich um die typischerweise angefragte ISO 27001 handelt. Und Personenzertifzierungen sind ein gutes Argument, wenn man seinen Lebenslauf für die nächste Bewerbung aufwerten will um die HR-Abteilung zu beeindrucken. Aber sie sagen am Ende nichts wirklich über die Erfahrung und Qualität aus.
Letzte Änderung: 2023-05-03