Immer mehr Sicherheitsstandards und -normen fordern regelmäßige Penetrationstests (kurz Pentests) von Unternehmen. Dazu gehören der PCI DSS, die DORA-Verordnung, die Bankenaufsichtlichen Anforderungen an die IT (BAIT) sowie weitere Anforderungen der BaFin wie die KAIT. Doch die Auswahl des geeigneten Partners zur Durchführung dieser Sicherheitsanalysen stellt Einkäufer*innen regelmäßig vor eine Herausforderung. Pentest-Anbieter gibt es wie Sand am Meer und viele davon geben auf den ersten Blick das gleiche Leistungsversprechen: IT-Systeme oder Applikationen auf Schwachstellen zu überprüfen und somit zur Erhöhung des IT-Sicherheitsniveaus beizutragen – aber das zu ganz unterschiedlichen Preismodellen.
In unserem Beitrag stellen wir Ihnen Merkmale vor, die Ihnen dabei helfen können, Anbieter zu vergleichen und eine fundierte Entscheidung zu treffen:
- 1. Leistungsportfolio
- 2. Festlegung des richtigen Prüfumfangs
- 3. Teamgröße
- 4. Individualität trotz Standardisierung
- 5. Erfahrung, Top Expertise und kontinuierliche Weiterbildung
- 6. Unabhängigkeit
- 7. Optimale Unterstützung während des gesamten Projektzyklus
- 8. Pentest-Ergebnisbericht
- 9. Möglichkeit eines Proof of Concept Pentests
1. Leistungsportfolio
Häufig besteht die unternehmensinterne IT-Infrastruktur aus mehreren Komponenten. Der Pentest-Anbieter sollte daher in der Lage sein, eine tiefgehende Analyse aller relevanten Bereiche Ihrer IT-Infrastruktur abzudecken. Dies können beispielsweise sein:
- Pentest von internen und externen Netzwerken und Servern
- Workstations (z.B. Laptops)
- SAP-Infrastrukturen
- Webanwendungen (z.B. Onlineshops)
- Webservices/APIs (z.B. JSON-Webschnittstellen)
- Mobile Anwendungen (z.B. iOS und Android Apps)
- Native Server/Desktop Anwendungen (z.B. Windows-Programme)
- Cloud-Infrastrukturen (z.B. AWS, Azure)
- Mainframes (Großrechner)
- Single Sign-On-Lösungen
Für eine umfangreiche Unterstützung im Kontext der Cyber Security sollte Sie der Anbieter neben Pentests auch mit Red Teaming, Code Reviews, Cloud Security Audits und Forensik-Leistungen unterstützen können. So können Sie eine umfängliche Prüfung aller Assets aus einer Hand gewährleisten.
2. Festlegung des richtigen Prüfumfangs
Für eine optimal auf Ihr Unternehmen abgestimmte Analyse ist es wichtig, dass Ihr Prüfumfang im Vorfeld im Rahmen eines Beratungsgesprächs individuell definiert wird. Hierbei sollte die Schutzbedarfsfeststellung Ihrer Assets, mögliche Risiken einer Kompromittierung, die zur Verfügung stehende Zeit und möglichen Compliance-Anforderungen berücksichtigt werden. Nur so kann das Risiko direkt adressiert werden. Daher sollten Sie keinen Pentest „von der Stange“ beauftragen.
3. Teamgröße
Eine verlässliche Lieferfähigkeit seitens des Pentest-Anbieters ist besonders wichtig, wenn eine Vielzahl vorhandener Systeme und Anwendungen analysiert werden muss oder bei zeitkritischen Projekten. Achten Sie daher bei der Auswahl Ihres Anbieters unbedingt darauf, dass dieser über ein Team verfügt, welches groß genug ist, diesen Ansprüchen gerecht zu werden. So können Sie sicherstellen, dass Ihre besonders kritischen Geschäftsprozesse stets umfassend und termingerecht geprüft werden.
4. Individualität trotz Standardisierung
Konstant qualitativ hochwertige Ergebnisse sollten durch eine standardisierte Vorgehensweise inklusive entsprechender Qualitätssicherung sichergestellt werden - unabhängig vom durchführenden Security Analysten. Diese sollte auf international anerkannten Standards, Best Practices und Erfahrungswerten basieren, aber auch um individuelle Anforderungen Ihrerseits erweiterbar sein.
Durch den Einsatz professioneller Tools können Überprüfungen bereits bekannter Schwachstellen automatisiert durchgeführt werden. Achten Sie aber unbedingt darauf, dass der Hauptteil des Penetrationstests von den Security Analyst*innen manuell durchgeführt wird, da nur so eine gezielte und umfassende Analyse möglich ist. Seien Sie wachsam, wenn komplett automatisiert geprüft wird. Hierbei handelt es sich dann meist lediglich um einen Security Scan.
Tipp: Um einen besseren Überblick bekommen, fragen Sie beim Anbieter nach einer detaillierten Auskunft über die Vorgehensweise und eingesetzten Tools.
5. Erfahrung, Top Expertise und kontinuierliche Weiterbildung
Die Security Analyst*innen, die einen Pentest bei Ihnen durchführen, sollten über eine hervorragende Ausbildung, umfangreiche Erfahrung mit den eingesetzten Technologien sowie spezifisches Branchenwissen verfügen. Dies erkennen Sie unter anderem an international anerkannten Zertifizierungen, wie beispielsweise:
- Offensive Security Certified Professional (OSCP)
- Offensive Security Certified Expert (OSCE)
- SANS SEC660: Advanced Penetration Testing, Exploit Writing, and Ethical Hacking.
Sofern Sie einen Pentest-Anbieter für ein öffentliches Unternehmen suchen, sollten die durchführenden Security Analyst*innen zudem nach dem Sicherheitsüberprüfungsgesetz (§ 9 SÜG) zertifiziert sein.
Im Bereich der IT Security ist es essenziell, immer auf dem aktuellen Stand zu neuen Schwachstellen, Angriffsvektoren und möglichen Patches zu sein. Daher sollte sich der Pentest-Anbieter über sein Kerngeschäft hinaus stetig weiterentwickeln und eine kontinuierliche Weiterbildung der Security Analyst*innen unterstützen. Dazu gehört die Teilnahme an nationalen und internationalen Konferenzen sowie Veröffentlichungen von bisher unbekannten, sogenannten Zero-Day-Schwachstellen.
6. Unabhängigkeit
Achten Sie darauf, dass der Pentest-Anbieter als unabhängiger Berater agiert und sein Fokus nicht auf dem Verkauf spezieller Produkte liegt. Überprüfen Sie, ob bereits Erfahrungsberichte anderer Kunden bestehen. Hierzu sollten Sie Informationen auf der Webseite des Anbieters oder auf Anfrage erhalten.
7. Optimale Unterstützung während des gesamten Projektzyklus
Die Vor- und Nachbereitung von Pentests kann schnell zum komplexen Projekt werden. Hinzu kommt, dass für eine erfolgreiche Durchführung des Penetrationstests im Vorfeld zahlreiche relevante Informationen und Dokumente, wie z.B. nötige Zugriffswege und Benutzerkonten, zu beschaffen sind. Achten Sie daher darauf, dass Sie der Pentest-Anbieter vor, während und nach dem Penetrationstest begleiten kann. Denn insbesondere bei der Analyse einer Vielzahl von Systemen und Anwendungen ist eine eingehende Unterstützung bei der Vorbereitung hilfreich.
Bestenfalls kann er Sie darüber hinaus während Ihres gesamten Projektzyklus unterstützen – von der Identifizierung schützenswerter IT-Assets über den Aufbau und Betrieb von Informationssicherheitsmanagementsystemen (ISMS) bis hin zur Beratung und Unterstützung bei der Nachbereitung Ihrer Pentest-Ergebnisberichte.
Tipp: Fragen Sie nach dem Vorgehensmodell zur Einführung des Pentest-Projekts sowie der Schnittstellenkommunikation und erkundigen Sie sich nach der Implementierungs- und Projektleitererfahrung des Anbieters.
8. Pentest-Ergebnisbericht
Der Pentest-Ergebnisbericht ist ein fundamentaler Bestandteil der Pentest-Leistung, denn dieser gibt Ihnen Aufschluss über Ihr aktuelles IT-Sicherheitsniveau und weist Verbesserungsmöglichkeiten auf. Daher sollte Ihnen im Anschluss an den Pentest ein umfangreicher Ergebnisbericht zur Verfügung gestellt werden. Hier sollten die gefundenen Schwachstellen nach international anerkannten Metriken, wie z.B. den Common Vulnerability Scoring System (CVSS) bewertet werden, sodass Sie eine Einschätzung über das Risiko erhalten, dass diese von Hackern ausgenutzt werden können. Darüber hinaus sollte der Ergebnisbericht konkrete Maßnahmenempfehlungen zur Behebung der Schwachstellen enthalten, sodass Sie Ihr IT-Sicherheitsniveau nachhaltig erhöhen und Ihre Risiken minimieren können.
Optimalerweise stellt Ihnen der Pentest-Anbieter eine zusätzliche Übersicht zur Verfügung, welche Angriffsvektoren im Zusammenhang mit welchen Funktionen getestet wurden und mit welchem Ergebnis – auch wenn dort keine Schwachstelle identifiziert wurde. Dies erhöht für Sie die Transparenz, Sie können die Qualität der Analyse bewerten und erfüllen Compliance-Anforderungen an Ihren Pentest-Bericht.
Tipp: Fragen Sie einen Beispielbericht an, um die oben genannten Punkte zu überprüfen.
9. Möglichkeit eines Proof of Concept Pentests
Sollte Ihr Unternehmen eine Vielzahl von Penetrationstests im Jahr benötigen, ist es sinnvoll, feste Dienstleister für die Durchführung von Pentests einzusetzen. Die oben genannten Anbieter-Eigenschaften können Ihnen dabei helfen, Ihre Longlist in eine Shortlist zu überführen. Dennoch ist eine reale Einschätzung der Qualität nur bedingt möglich. Um den geeigneten Dienstleister aus Ihrer Shortlist auswählen zu können, sind überzeugende Einblicke in die Arbeitsweise, beispielsweise durch einen „Proof of Concept Pentest“ (eine Art Projektdemonstration) einer spezifischen Prüfumgebung hilfreich. So können Sie von mehreren Anbietern die Qualität der erbrachten Pentests fundiert evaluieren und vergleichen.
Unsere erfahrenen Security Analyst*innen finden Schwachstellen in Ihren IT-Systemen und unterstützen Sie eingehend während des gesamten Pentest-Projektes. Kontaktieren Sie uns, wir beraten Sie gerne zu Ihren Möglichkeiten.