Wie viel kostet IT-Sicherheit?

Was kostet ein Penetrationstest?

Penetrationstests sind eine beliebte Dienst­leistung, um die Sicherheit von IT-Systemen zu ĂŒber­prĂŒfen. Dies zeigt die in den letzten Jahren steigende Nach­frage nach diesen Sicher­heits­ĂŒber­prĂŒfungen. Immer mehr Unter­nehmen nehmen die Tests genauso selbst­verstĂ€nd­lich in ihren Produkt­entwicklungs­prozess auf, so wie heute kein Auto mehr auf der Straße fĂ€hrt, das nicht einen Crash-Test bestanden hat. Viele Unter­nehmen fragen also nicht mehr „warum brauche ich einen Penetrations­test?“, sondern eher „was kostet mich ein Penetrations­test?“.

Was muss man fĂŒr einen Penetrationstest bezahlen?

Bei einer Auswahl verschie­dener Penetrations­test-Unter­nehmen auf dem Markt fragen sich Ein­kĂ€ufer und IT-Ver­antwort­liche, was Penetrations­tests fĂŒr sie kosten. Die erfreu­liche Nach­richt fĂŒr Auftrag­geber: der Preis eines Penetrations­tests bemisst sich ĂŒblicher­weise nicht am Wert des Tests fĂŒr den Auftrag­geber. Dieser ist nĂ€mlich, wenn schwer­wiegende Sicherheits­lĂŒcken gefunden werden, nahezu un­bezahl­bar. Im Fall von Yahoo! soll sich der Kauf­preis, den Verizon bereit ist zu be­zahlen, nach den bekannt ge­wor­denen Hacks um 1 Milliar­de US-Dollar ver­ringert haben. Pene­trations­tests werden als Dienst­leistung ĂŒblicher­weise auf Basis des Auf­wands, also der fĂŒr den Test kalkulierten Berater­tage, berechnet.

Die Kosten eines Penetrationstests hÀngen von verschiedenen Faktoren ab

Die Kalku­lation des Aufwands fĂŒr einen Pene­trations­test hĂ€ngt von verschie­denen Fak­toren ab. Diese sind:

Testgegenstand
Einen großen Einfluss auf den letzt­endlichen Preis eines Pene­trations­tests hat die Art und die Kom­plexitĂ€t des Test­gegen­stands. So macht es einen Unter­schied, ob eine gesamte Orga­nisa­tion mit mehreren hun­dert Mit­arbeitern und diver­sen IT-Systemen einem Pene­trations­test unter­zogen werden sollen, oder ob im Rahmen eines fokus­sierten Web-Pene­trations­tests eine einfache Web­anwen­dung ge­testet werden soll.
Pentest-Module
Im Vorfeld des Pene­trations­tests werden die Test­module fest­gelegt. Bei einer Web­anwen­dung kann bei­spiels­weise nur der Programm­code und die Kon­fi­guration oder zusĂ€tzlich auch die IT-Infra­struktur, auf der die Web­anwen­dung ge­hostet wird, unter­sucht werden. Eine Er­weiterung des Um­fangs wĂ€re es außer­dem das Deploy­ment-System und sonstige Develop­ment-Systeme zu unter­suchen. Als Alter­native zu klar ein­ge­grenzten Test­gegen­stĂ€nden und Modu­len gibt es die „Red Teaming“ oder „Tiger Teaming“ ge­nannte Variante des Pene­trations­tests, bei dem den Testern bei der Wahl ihrer Mittel und Ziele zum Ein­dringen in ein System weit­gehend freie Hand gelas­sen wird.
Konfiguration des Tests
Ist einmal der Um­fang des Pene­trations­tests fest­gelegt, gilt es die kon­krete Aus­gestal­tung zu kon­figu­rieren, die eben­falls eine Aus­wirkung auf den Auf­wand haben kann. Ein Black Box Test ist mitunter auf­wĂ€ndiger, wenn er dieselbe An­zahl an gefun­denen Schwach­stellen liefern soll, als ein White Box Test. Wird ein Test nicht nur von außen, aus dem Inter­net durch­gefĂŒhrt, sondern zusĂ€tz­lich aus dem internen Netz, steigt eben­falls der Aufwand.
Angestrebtes Sicherheitsniveau
Der letzte Einflussfaktor ist schließlich das angestrebte Sicherheits­niveau. Die Zahl der Schwach­stellen, die ein Hacker — egal ob White Hat oder Black Hat Hacker — findet, kor­reliert direkt mit der zur Ver­fĂŒgung stehen­den Zeit. Ein lĂ€ngerer Test fĂŒhrt daher gewöhn­lich auch zu einer um­fassenderen Unter­suchung des Test­objekts und damit einem höheren Sicherheits­niveau.

Keine Äpfel mit Birnen vergleichen

Weichen die Preise verschiedener Anbieter stark von­einander ab, kann ein Grund dafĂŒr sein, dass man­che An­bieter den Begriff Penetrations­test fĂ€lsch­licher­weise fĂŒr einfache Schwachstellenscans verwen­den. Scanner können aber nur bekannte Schwach­stellen auf­decken und liefern darĂŒber hinaus keine Infor­mationen, ob die gefun­denen Schwach­stellen tatsĂ€ch­lich aus­genutzt werden können. Sie werden oft zu Beginn eines Pene­trations­tests einge­setzt, um einen ersten Über­blick zu erlangen. Im weiteren Ver­lauf ent­scheidet aber die Expertise und Krea­tivitĂ€t der einzelnen Pene­trations­tester ĂŒber die QualitĂ€t der Ergeb­nisse.

Fazit: Penetrationstest als Timeboxed-PrĂŒfungen

Penetrationstests sind zeitlich eingegrenzte Sicher­heits­prĂŒfungen. Der Preis dieser Dienst­leistung berechnet sich deshalb auf Basis des veran­schlagten Zeit­budgets und des indi­viduellen Tages­satzes der Pene­trations­tester. Erfahrungs­gemĂ€ĂŸ startet der zeitliche Auf­wand eines Pene­trations­tests fĂŒr einen klar abge­grenzten Test­gegen­stand bei zwei Tagen und kann bei kom­plexen Test­objekten mit einem hohen Sicher­heits­bedĂŒrfnis bis zu zehn Tage bean­spruchen. Die ĂŒblichen Tages­sĂ€tze von profes­sionellen Pene­trations­testern liegen aktuell bei 1.000 bis 1.800 Euro, woraus sich fĂŒr einen ziel­gerich­teten Pene­trations­test eine Preis­spanne von 2.000 bis 18.000 Euro ergibt.

Kontaktieren Sie uns und beschrei­ben Sie Ihre Ausgangs­situation, um ein Angebot fĂŒr einen Pene­trations­test von uns zu erhalten.

FĂŒgen Sie den ersten Kommentar hinzu