Was kostet ein Penetrationstest?

Penetrationstests sind eine beliebte Dienst­leistung, um die Sicherheit von IT-Systemen zu über­prüfen. Dies zeigt die in den letzten Jahren steigende Nach­frage nach diesen Sicher­heits­über­prüfungen. Immer mehr Unter­nehmen nehmen die Tests genauso selbst­verständ­lich in ihren Produkt­entwicklungs­prozess auf, so wie heute kein Auto mehr auf der Straße fährt, das nicht einen Crash-Test bestanden hat. Viele Unter­nehmen fragen also nicht mehr „warum brauche ich einen Penetrations­test?“, sondern eher „was kostet mich ein Penetrations­test?“.

Was muss man für einen Penetrationstest bezahlen?

Bei einer Auswahl verschie­dener Penetrations­test-Unter­nehmen auf dem Markt fragen sich Ein­käufer und IT-Ver­antwort­liche, was Penetrations­tests für sie kosten. Die erfreu­liche Nach­richt für Auftrag­geber: der Preis eines Penetrations­tests bemisst sich üblicher­weise nicht am Wert des Tests für den Auftrag­geber. Dieser ist nämlich, wenn schwer­wiegende Sicherheits­lücken gefunden werden, nahezu un­bezahl­bar. Im Fall von Yahoo! soll sich der Kauf­preis, den Verizon bereit ist zu be­zahlen, nach den bekannt ge­wor­denen Hacks um 1 Milliar­de US-Dollar ver­ringert haben. Pene­trations­tests werden als Dienst­leistung üblicher­weise auf Basis des Auf­wands, also der für den Test kalkulierten Berater­tage, berechnet.

Die Kosten eines Penetrationstests hängen von verschiedenen Faktoren ab

Die Kalku­lation des Aufwands für einen Pene­trations­test hängt von verschie­denen Fak­toren ab. Diese sind:

Testgegenstand

Einen großen Einfluss auf den letzt­endlichen Preis eines Pene­trations­tests hat die Art und die Kom­plexität des Test­gegen­stands. So macht es einen Unter­schied, ob eine gesamte Orga­nisa­tion mit mehreren hun­dert Mit­arbeitern und diver­sen IT-Systemen einem Pene­trations­test unter­zogen werden sollen, oder ob im Rahmen eines fokus­sierten Web-Pene­trations­tests eine einfache Web­anwen­dung ge­testet werden soll.

Pentest-Module

Im Vorfeld des Pene­trations­tests werden die Test­module fest­gelegt. Bei einer Web­anwen­dung kann bei­spiels­weise nur der Programm­code und die Kon­fi­guration oder zusätzlich auch die IT-Infra­struktur, auf der die Web­anwen­dung ge­hostet wird, unter­sucht werden. Eine Er­weiterung des Um­fangs wäre es außer­dem das Deploy­ment-System und sonstige Develop­ment-Systeme zu unter­suchen. Als Alter­native zu klar ein­ge­grenzten Test­gegen­ständen und Modu­len gibt es die „Red Teaming“ oder „Tiger Teaming“ ge­nannte Variante des Pene­trations­tests, bei dem den Testern bei der Wahl ihrer Mittel und Ziele zum Ein­dringen in ein System weit­gehend freie Hand gelas­sen wird.

Konfiguration des Tests

Ist einmal der Um­fang des Pene­trations­tests fest­gelegt, gilt es die kon­krete Aus­gestal­tung zu kon­figu­rieren, die eben­falls eine Aus­wirkung auf den Auf­wand haben kann. Ein Black Box Test ist mitunter auf­wändiger, wenn er dieselbe An­zahl an gefun­denen Schwach­stellen liefern soll, als ein White Box Test. Wird ein Test nicht nur von außen, aus dem Inter­net durch­geführt, sondern zusätz­lich aus dem internen Netz, steigt eben­falls der Aufwand.

Angestrebtes Sicherheitsniveau

Der letzte Einflussfaktor ist schließlich das angestrebte Sicherheits­niveau. Die Zahl der Schwach­stellen, die ein Hacker — egal ob White Hat oder Black Hat Hacker — findet, kor­reliert direkt mit der zur Ver­fügung stehen­den Zeit. Ein längerer Test führt daher gewöhn­lich auch zu einer um­fassenderen Unter­suchung des Test­objekts und damit einem höheren Sicherheits­niveau.

Keine Äpfel mit Birnen vergleichen

Weichen die Preise verschiedener Anbieter stark von­einander ab, kann ein Grund dafür sein, dass man­che An­bieter den Begriff Penetrations­test fälsch­licher­weise für einfache Schwachstellenscans verwen­den. Scanner können aber nur bekannte Schwach­stellen auf­decken und liefern darüber hinaus keine Infor­mationen, ob die gefun­denen Schwach­stellen tatsäch­lich aus­genutzt werden können. Sie werden oft zu Beginn eines Pene­trations­tests einge­setzt, um einen ersten Über­blick zu erlangen. Im weiteren Ver­lauf ent­scheidet aber die Expertise und Krea­tivität der einzelnen Pene­trations­tester über die Qualität der Ergeb­nisse.

Fazit: Penetrationstest als Timeboxed-Prüfungen

Penetrationstests sind zeitlich eingegrenzte Sicher­heits­prüfungen. Der Preis dieser Dienst­leistung berechnet sich deshalb auf Basis des veran­schlagten Zeit­budgets und des indi­viduellen Tages­satzes der Pene­trations­tester. Erfahrungs­gemäß startet der zeitliche Auf­wand eines Pene­trations­tests für einen klar abge­grenzten Test­gegen­stand bei drei Tagen und kann bei kom­plexen Test­objekten mit einem hohen Sicher­heits­bedürfnis bis zu zwanzig Tage bean­spruchen. Die üblichen Tages­sätze von profes­sionellen Pene­trations­testern liegen aktuell bei 1.400 bis 2.200 Euro, woraus sich für einen ziel­gerich­teten Pene­trations­test eine Preis­spanne von 4.200 bis 44.000 Euro ergibt.

Kontaktieren Sie uns und beschrei­ben Sie Ihre Ausgangs­situation, um ein Angebot für einen Pene­trations­test von uns zu erhalten.