Penetration Testing
Pentest für KMUs: Die wichtigsten Infos zu Kosten, Dauer und Ergebnis
Risiken identifizieren, bewerten und reduzieren
Für große Konzerne ist Cyber Security ein Thema mit sehr hoher Priorität und Pentests gehören häufig schon zum IT-Sicherheitskonzept. Kleine und mittlere Unternehmen (KMUs) hingegen vernachlässigen noch zu oft aufgrund zu geringer finanzieller oder personeller Ressourcen dieses für sie existenzielle Arbeitsfeld. Warum ist ein Pentest wichtig, wie lange dauert er und wie lassen sich seine Ergebnisse mit Blick auf die IT Security im Unternehmen nutzbar machen?
IT-Sicherheitsüberprüfung – Basis effizienter Cybersicherheit
Viele kleine und mittlere Unternehmen greifen zum Schutz ihrer IT-Infrastruktur auf klassische Abwehrmaßnahmen wie Firewalls, Passwörter, Zugangsberechtigungen, VPN (Virtual Private Network) oder ähnliche technische Anwendungen zurück. Trotz solcher Sicherheitsperimeter gelingt es professionellen Hackern dennoch immer wieder, diese Barriere zu durchbrechen und ein Netzwerk zu kompromittieren.
Die Sicherheitstechnik mag noch so hochwertig sein, es finden sich immer Schwachstellen, die von Cyberkriminellen ausgenutzt werden können. Sie wollen Daten stehlen und weiterverkaufen, technisch gelenkte Geschäftsprozesse lahmlegen und für die Wiederfreigabe ein Lösegeld vom Unternehmen erpressen oder betreiben bewusst Sabotage, um terroristische Ziele zu erreichen. Aus diesem Grund haben auf IT-Sicherheitsüberprüfungen spezialisierte Unternehmen wie die Redlings GmbH den Pentest für Unternehmen entwickelt.
Bei einem solchen Test nutzt ein geschulter IT-Sicherheitsexperte Hackerwissen bei dem Versuch, in das Netzwerk oder Teile davon einzudringen. Dabei identifiziert er sämtliche bereits bekannten und auch potenzielle Schwachstellen und nutzt diese aus, um möglichst tief in die IT-Infrastruktur vorzudringen. Ein Pentest ist also im Grunde ein vom beauftragenden Unternehmen genehmigter Hackerangriff, der in einem gesicherten, vorher abgesprochenen Rahmen durchgeführt wird.
Höhe der Kosten für einen Pentest
Immer, wenn ein Unternehmen eine Dienstleistung anbietet, können die Kosten variieren, weil sie von verschiedenen Faktoren abhängig sind. Als Preisbestimmende Faktoren gelten bei einem Pentest vor allem Scoping-Details, also z. B. die Zahl der Netzwerk-IP-Adressen, die Komplexität und Anzahl der (Web-)Anwendungen sowie die Anzahl der Mitarbeitenden, weil sie im Bereich des Social Engineering von Bedeutung sind. Letztlich bestimmt die Projektgröße die Höhe der Kosten.
Trotzdem gibt es natürlich Erfahrungswerte, die sich als Anhaltspunkte heranziehen lassen. Für einen professionellen, von IT-Experten durchgeführten Pentest kann man in der Regel mit Kosten ab etwa 10.000 Euro rechnen. Bei sehr großen Projekten, bei denen beispielsweise das gesamte Netzwerk eines Großkonzerns von einem ganzen Team aus erfahrenen IT-Sicherheitsexperten getestet wird, können auch Kosten entstehen, die den eben genannten Betrag übersteigen.
Dauer von Pentests
Wie lange ein solcher Penetrationstest für Unternehmen dauert, ist vor allem abhängig von der Art bzw. dem Umfang des Tests. Ein Netzwerk-Pentest, der die gesamte IT-Struktur umfasst, kann bis zu mehrere Tage dauern. Soll hingegen nur ein einzelner Bereich, etwa die Cloud oder die Web-Application getestet werden, kann der Zeitrahmen wesentlich kürzer sein. Die Dauer hängt zudem von der Anzahl der Pentester sowie der Komplexität der zu testenden IT-Infrastruktur ab.
Weitere Faktoren, die sich auf die Dauer eines Penetrationstests auswirken, sind beispielsweise:
- ob ein Pentest intern oder extern stattfindet (beide Tests werden getrennt voneinander ausgeführt)
- ob ein physischer Pentest stattfindet (bei dem die Gebäudesicherheit und weitere Infrastrukturen getestet werden)
- ob und wenn ja, welche Informationen zum Netzwerk bzw. Benutzeranmeldeinformationen vom Unternehmen vor dem Pentest zur Verfügung gestellt werden
Pentest-Ergebnisse als Grundlage für gestärkte IT-Sicherheit in KMUs
Alle bei einem Pentest identifizierten Schwachstellen werden vom Pentester dokumentiert. Dr. Ewan Fleischmann Gründer von Redlings beschreibt die Vorteile, die ein Pentest durch Experten hat, folgendermaßen: „Auch wenn der Ablauf eines Penetrationstests methodisch und strukturiert ist, bleibt für den erfahrenen Pentester genug Freiraum, um Schwachstellen mit nicht-linearen Ansätzen aufzuspüren und auszunutzen. Einen guten Pentest zeichnet genau die richtige Mischung aus methodischem Vorgehen, leistungsfähigen Tools, einem Blick für den Business-Case, Erfahrung, und einem kreativen Ausnutzen des Wissens um die aktuellsten Angriffstaktiken aus.“
Meist handelt es sich bei den Schwachstellen um Fehlkonfigurationen, fehlerhafte Softwareprogrammierungen, zu schwache Passwörter oder ein nicht optimal aufgestelltes Session-Management. Im zum Penetrationstest für Unternehmen gehörenden Abschlussbericht werden die gefundenen „Einfallstore“ für Hacker detailliert aufgelistet und auch Schritt für Schritt beschrieben, wie sie ausgenutzt werden können.
So können die Ergebnisse des Pentests dem beauftragenden Unternehmen dazu dienen, zielgerichtet Gegenmaßnahmen zu initiieren, durch die die identifizierten Schwachstellen gestärkt bzw. die Schlupflöcher gänzlich geschlossen werden. Hier ist es allerdings ratsam, nicht mit Einzelmaßnahmen vorzugehen und sozusagen einen IT-Sicherheits-Flickenteppich zu kreieren. Sinnvoller ist es, auf Basis der Pentest-Ergebnisse das vorhandene Sicherheitskonzept auf den Prüfstand zu stellen und bei Bedarf eine ganz neue Sicherheitsarchitektur zu entwickeln. Das bedeutet, dass alle Maßnahmen, etwa neue Firewalls, Authentifizierungsverfahren , Passwort-Management-Systeme und sonstige Sicherheitsvorkehrungen Hand in Hand gehen, miteinander vernetzt und zusammengedacht werden müssen.