Kosten- und Preisgestaltung für einen Pentest

Penetrationstests sind eine zentrale Maßnahme zur Absicherung der Informationsressourcen und IT-Infrastrukturen einer Organisation. Dazu zählen Kommunikationsnetzwerke, Softwarelösungen, Endgeräte (Workstations und Laptops mit Windows oder Linux, mobile Apps), Server sowie Cloud-Lösungen wie eine AWS-Infrastruktur.

Heute sind Penetrationstests für Krankenhäuser, Finanzinstitute, Telekommunikationsanbieter, öffentliche Einrichtungen und Behörden sowie für die Dienstleistungsbranche im Allgemeinen eine verbindliche Anforderung. Obwohl die Nachfrage nach Pentesting-Dienstleistungen gestiegen ist, bestehen für die Beteiligten nach wie vor Lücken bei der Festlegung einer fairen Preisstruktur, die sowohl für den Pentest-Anbieter als auch für die Kundenorganisation passend ist.

Welche Kosten sollten für einen Pentest berücksichtigt werden?

Diese Frage stellt sich in der Regel, wenn die Kosten für einen IT-Pentest verhandelt werden. Die Antwort hängt von mehreren Faktoren ab, darunter die Komplexität der zu bewertenden Organisation, Serversysteme und Anwendungen, die Erfahrung der Analysten, die Kosten für die eingesetzten Scan-Werkzeuge einschließlich Lizenzgebühren, der Umfang des Tests, etwaige Abhilfemaßnahmen auf Basis der Testergebnisse sowie der Nachtest. Darüber hinaus können spezielle Anforderungen die Kosten erhöhen, etwa ein SAP-Pentest, eine Protokoll- oder Hardwareanalyse oder ein spezielles Testframework wie PCI DSS.

Im Folgenden werden die verschiedenen Faktoren erläutert, die in die Preisgestaltung eines Pentests einfließen. Als Auftraggeber ist es oft zeitaufwendig und schwierig einzuschätzen, welche Kosten für einen Pentest anfallen. Als Pentest-Dienstleister hingegen möchte man keine Preise nennen, die einen Kunden abschrecken oder dazu veranlassen, nach Alternativen zu suchen.

Der wichtigste Faktor bei der Bestimmung der Pentest-Kosten ist die Komplexität der Kundenorganisation und ihrer Netzwerkumgebung. Organisationen mit einem komplexen, verteilten Netzwerk, zahlreichen Netzwerkgeräten, vielschichtigen API-Endpunkten und anspruchsvoller Anwendungssoftware weisen naturgemäß mehr potenzielle Angriffsvektoren auf. Entsprechend fällt der Preis deutlich höher aus als bei Organisationen mit weniger komplexer Infrastruktur, weniger mobilen Apps und überschaubaren Frontend- und Backend-Systemen.

Darüber hinaus sind die vom Dienstleister verwendeten Scan-Tools Teil der Gesamtkosten, da die Gebühren die Anschaffungskosten der Werkzeuge und deren Lizenzgebühren decken müssen. Andernfalls wäre es wirtschaftlich nicht tragfähig, Software-Lizenzen zu finanzieren, ohne diese Kosten durch die erbrachten Leistungen ausgleichen zu können.

Auch die Erfahrung des IT-Sicherheitsdienstleisters und das Profil seiner Kundenbasis spielen eine Rolle. Hat der Anbieter namhafte Kunden gewonnen und verfügt über ein hohes Auftragsvolumen, wird er in der Regel einen höheren Preis ansetzen.

Ein weiterer Einflussfaktor auf das endgültige Honorar ist der Testumfang, der häufig vom Auftraggeber definiert wird. Der Umfang beeinflusst das Endangebot maßgeblich, da der Testanbieter seine Kalkulation auf den vereinbarten Rahmen abstimmen muss. Allerdings ist es riskant, aus Angst vor hohen Kosten den Testumfang zu stark einzuschränken, denn ein zu enger Fokus lässt wenig Spielraum für die Identifikation tatsächlich vorhandener Schwachstellen und Kontrolllücken in der Betriebsumgebung.

Pentest-Kosten im Verhältnis zur Wirtschaftlichkeit

IT-Sicherheit ist immer eine Frage der Abwägung. Daher ist eine degressive und kosteneffiziente Annäherung an ein Optimum entscheidend. Grundsätzlich gilt: Je länger Pentester die Infrastruktur, mobile Apps oder Webanwendungen untersuchen, desto aussagekräftiger sind die Ergebnisse.

Penetrationstests sind Momentaufnahmen, die oft schon nach einer Woche veraltet sein können. Auch das sollte berücksichtigt werden, denn zukünftige Tests lassen sich inkrementell durchführen, um die Kosten zu senken. Regelmäßige und ereignisgesteuerte automatisierte Pentests können hier einen grundlegenden, wenn auch begrenzten, Sicherheitsstandard und Reifegrad gewährleisten.

Wie hoch sind die durchschnittlichen Kosten für ein Pentest-Projekt?

Die Antwort hängt weitgehend von den zuvor genannten Faktoren ab. Bei einfachen oder weniger komplexen Netzwerken und Softwarelösungen ist mit Kosten in der Größenordnung von 4.500 bis 6.000 Euro zu rechnen. Für eine mittelkomplexe Organisation mit vielfältiger Systemarchitektur liegt ein angemessener Preis zwischen 10.000 und 15.000 Euro. Große Organisationen mit hochkomplexen Netzwerken, verteilten Systemen und Webservices sollten bis zu 100.000 Euro einplanen, was angesichts der Risiken und Folgen eines erfolgreichen Angriffs keine unverhältnismäßige Investition darstellt.

Organisationen sollten regelmäßig den Wert ihrer Geschäftsdaten und IT-Infrastrukturen bewerten und gegen das Risiko und die Folgen eines erfolgreichen Angriffs abwägen. So lässt sich fundiert einschätzen, ob sich die Kosten für eine Sicherheitsbewertung lohnen. Dabei ist zu beachten, dass Dienstleistungen mit auffällig niedrigen Preisen unter Umständen keine aussagekräftigen Ergebnisse liefern. Die Bewertung von Schwachstellen durch Penetrationstests ist für jede Organisation, die aufgrund gesetzlicher oder regulatorischer Vorgaben personenbezogene Daten oder Finanzdaten verarbeitet, eine unverzichtbare Maßnahme.

Für jede Organisation, die einen IT-Pentest durchführen möchte, ist es daher wichtig, nicht nur die Kosten zu berücksichtigen, sondern auch die Kritikalität der Schwachstellen im Hinblick auf die eigene Sicherheit und den Schutz der Informationsbestände. Da vorhandene Angriffsvektoren die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöhen, ist es unerlässlich, Ihre Informationsressourcen und Betriebsumgebung frei von Schwachstellen zu halten, die Angreifer ausnutzen könnten. Hacker -- ob intern oder extern -- können erheblichen Schaden anrichten, wenn sie auch nur die geringste Gelegenheit finden. Das Mindeste, was Sie tun können, ist, durch geeignete Vorsorgemaßnahmen die Angriffsfläche so weit wie möglich zu reduzieren.

Variable Pentest-Kosten

Variable Kosten sind veränderliche Kosten, die in Abhängigkeit von Zeit, Zusatzleistungen oder speziellen Methoden variieren.

1. Scope und Dauer des Engagements

Der Testumfang wirkt sich direkt auf die benötigte Zeit bis zum Abschluss aus. Zu den Faktoren, die Dauer und Folgekosten beeinflussen, gehören die Größe der Website, die Anzahl der zu testenden Mandanten, der Funktionsumfang, zugehörige APIs oder Webdienste sowie die Komplexität der PC-, Server- oder Cloud-Infrastruktur.

2. Tools

Jeder Pentester geht bei der Durchführung seines Tests anders vor. Manche verwenden teurere Werkzeuge als andere, was den Preis erhöhen kann. Hochwertige Werkzeuge können jedoch die Testdauer verkürzen und qualitativ bessere Ergebnisse liefern.

3. Testkonzepte

Je nach Informationsbasis werden White-, Grey- oder Black-Box-Tests durchgeführt. Gray-Box-Tests umfassen alle Testtypen, die zwischen White- und Black-Box-Tests angesiedelt sind. Dem Analysten werden dabei einige Informationen bereitgestellt, in der Regel nur Anmeldedaten. Alle weiteren Informationen müssen eigenständig analysiert werden. Diese Testart bietet einen sinnvollen Kompromiss hinsichtlich Anzahl der Testfälle, Kosten, Geschwindigkeit und Testumfang. Gray-Box-Tests sind die häufigste Testart in der Sicherheitsbranche.

4. Erfahrung des Pentesters

Analysten mit mehr Erfahrung sind in der Regel teurer. Bedenken Sie jedoch: Sie bekommen, wofür Sie bezahlen. Seien Sie vorsichtig bei Pentest-Anbietern, deren Preise zu gut klingen, um wahr zu sein, denn diese leisten häufig keine gründliche Arbeit. Es empfiehlt sich, nach Penetrationstestern zu suchen, die anerkannte Zertifizierungen wie OSCP, CISSP, GIAC oder CEH vorweisen können.

5. Nachtest

Alle vom Auftragnehmer durchgeführten Pentests sollten einen einmaligen kostenlosen Nachtest beinhalten, bei dem die zuvor identifizierten Schwachstellen erneut überprüft werden. Bei diesem Test kann validiert werden, ob die Maßnahmen des Auftraggebers den gewünschten Effekt haben.

Wie hoch sind also die Kosten?

Jedes Projekt wird individuell auf die zu testende Organisation zugeschnitten. Als allgemeine Orientierung gilt: Ein automatisierter Test mit umfassender Ergebnisanalyse und einer detaillierten Liste von Sicherheitsempfehlungen bewegt sich im Rahmen der oben genannten Durchschnittskosten. Tagessätze variieren je nach Anbieter und sollten kritisch hinterfragt werden, wenn sie auffällig niedrig angesetzt sind. Scope und Dauer des Engagements, Tools, Testkonzepte, Erfahrung des Pentesters und der Nachtest sind die wesentlichen Stellschrauben für eine bedarfsgerechte Anpassung.

Entscheidend ist in den meisten Fällen, wie viel manuelle Arbeit geleistet wird, die sich nicht durch Automatisierung ersetzen lässt. Selbst mit höheren Kosten gibt es keine bessere Möglichkeit, Ihre Sicherheitssysteme zu testen.