Was Sie bei der Beauftragung von Pentests beachten sollten

20. Januar 2021

Penetrationstest, kurz Pentests, zählen zu den wichtigsten IT-Sicherheitsmaßnahmen, mit denen sich ein Unternehmen proaktiv gegen Hackerangriffe rüsten kann. Für Unternehmen, die zum ersten Mal einen Pentest beauftragen möchten, stellt sich zunächst die Frage, welche Informationen ihr Dienstleister für die Vorbereitung und Durchführung des Pentests benötigt. Wir haben bei Daniel Heyne, usd Teamlead Sales, OSCP- und OSCE-zertifizierter Pentester, nachgefragt, was es zu beachten gilt:

Daniel, ist den meisten Unternehmen denn zu Beginn schon klar, welche technische Sicherheitsanalyse für sie in Frage kommt?

DH: Häufig erarbeiten wir gemeinsam mit unseren Kunden eine geeignete Analysemethode. Wir definieren die zu testenden Systeme und Applikationen, sprich den Prüfumfang, sowie die konkrete Zielsetzung der Überprüfung. Denn ob beispielsweise ein Schwachstellenscan oder ein Pentest in Frage kommt, ist abhängig vom Schutzbedarf der einzelnen Komponenten und dem Risiko, das mit einem Hackerangriff einhergeht.

Was genau bedeutet das?

DH: Ich gebe mal ein Beispiel: Ein Webshop läuft auf den eigenen Systemen des Webshop-Betreibers, allerdings wird der zugehörige News-Blog auf Servern eines externen Dienstleisters betrieben. Ein Cyberangriff auf den Webshop hat direkte Auswirkung auf das Business und ggf. die unternehmenseigene IT-Infrastruktur und stellt so ein höheres Risiko für den Kunden dar, als ein Angriff auf den News-Blog. Steht uns lediglich ein begrenztes Budget zur Verfügung, können wir den Prüfumfang des Pentests auf den Webshop reduzieren. Der Blog wird mithilfe eines Schwachstellenscans überprüft.

Kommt es auch vor, dass Unternehmen direkt nach einem Pentest fragen?

DH: Ja, das kommt vor. Die Gründe für eine Beauftragung sind sehr unterschiedlich. Regulatorische oder interne Anforderungen können die Durchführung von Penetrationstests fordern. Es kann aber auch sein, dass Unternehmen aus eigenem Antrieb Pentests durchführen lassen. Sei es zur Überprüfung der eigenen Widerstandsfähigkeit gegen Hackerangriffe oder der proaktiven Ermittlung potentieller Schwachstellen, bevor diese durch Angreifer ausnutzt werden können.

Was stellt für Unternehmen bei der Vorbereitung eines Pentests die größte Hürde dar?

DH: Zu Beginn ist oft nicht klar, welche Systeme und Anwendungen in die Prüfung einbezogen werden müssen und wie umfänglich und intensiv getestet werden soll. Welche Risiken gibt es und wie hoch ist der Schutzbedarf? Gibt es Schnittstellen zu weiteren Komponenten, die berücksichtigt werden sollten? Werden beispielsweise Teile einer Anwendung von einem externen Dienstleister betrieben, muss ggf. eine Erweiterung des Prüfumfangs in Betracht gezogen werden. Denn potentielle Schwachstellen beim Dienstleister, wie z.B. nicht eingespielte Sicherheits-Updates, stellen einen Angriffsvektor dar, der nicht zu vernachlässigen ist.

Muss ein Unternehmen denn all diese Informationen zum Erstgespräch mit dem Dienstleister bereits mitbringen?

DH: Für uns ist es gar kein Problem, wenn die Informationen zum Prüfumfang und zur Zielsetzung nur teilweise oder gar nicht vorliegen. Im Erstgespräch besprechen wir die Details gemeinsam mit unserem Kunden und finden eine passende Lösung. Dazu gehört, dass wir ihm genau erläutern, welche Informationen wir noch benötigen. Wir schicken ihm alles schriftlich zu, sodass er die Details in Ruhe zusammentragen kann. Sollte unser Kunde allerdings bereits über alle Informationen verfügen, beschleunigt dies die Bearbeitung seiner Anfrage enorm.  

Was kommt auf ein Unternehmen zu, das einen Pentest bei euch beauftragt?

DH: Im ersten Schritt laden wir zu einem vorbereitenden Online-Gespräch ein, indem wir alle wichtigen Details, offene Fragen und das weitere Vorgehen besprechen. Rechtzeitig vor dem vereinbarten Prüfungstermin halten wir noch einmal Rücksprache mit unserem Kunden und informieren ihn während der Prüfung tagesaktuell über identifizierte Schwachstellen. Im Anschluss erhält der Kunde die Ergebnisse in Berichtsform und umfassende Empfehlungen zur Behebung von identifizierten Schwachstellen. Während des ganzen Projektes stehen wir natürlich jederzeit für Fragen zur Verfügung.


Sie haben Fragen zur Durchführung von Pentests oder benötigen Unterstützung? Kontaktieren Sie uns, wir helfen Ihnen gern.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien