Kosten- und Preisgestaltung für einen Pentest

Penetration Testing oder Penetrationstests sind wichtige Aktivitäten zur Sicherung der Informationsressourcen und IT-Infrastrukturen einer Organisation, zu denen Kommunikationsnetzwerke, Softwarelösungen, Personal-Computer-Endpunkte (d.h. Workstation-PCs und Laptops mit Windows sowie Linux & mobile Apps), Server und Cloud-Lösungen, wie eine AWS-Infrastruktur gehören.

So ist Penetration Testing heute für Krankenhäuser, Finanzinstitute, Telekommunikationsanbieter, öffentliche Einrichtungen und Behörden sowie für die Dienstleistungsbranche im Allgemeinen eine zwingende Vorschrift. Während die Nachfrage nach Pentesting Services gestiegen ist, gibt es für die Interessengruppen immer noch Lücken bei der Festlegung einer fairen Preisstruktur, die sowohl für den Pentest-Anbieter als auch für die Kundenorganisation geeignet ist.

Wie viele Kosten sollten für einen Pentest berücksichtigt werden?

Diese Frage stellt sich gewöhnlich, wenn die Kosten für einen Pentest der IT verhandelt werden. Dies hängt jedoch von mehreren Faktoren ab, die u.a. von der Komplexität der zu bewertenden Organisation, Server-Systeme und Anwendungen, der Erfahrung des Analysten, den Kosten für die vom Pentest-Anbieter verwendeten Scan-Werkzeuge, mit den Lizenzgebühren, dem Umfang des Tests sowie die Abhilfemaßnahmen, die von den Testergebnissen abhängen und dem Nachtest. Es könnten auch spezielle Fähigkeiten verlangt werden, die die Kosten steigern wie, z.B. ein SAP-Pentest, eine Protokoll- oder Hardwareanalyse oder ein spezielles Testframework wie PCI DSS.

In diesem Abschnitt wird versucht, die verschiedenen Faktoren zu dimensionieren, die in die Preisgestaltung eines Pentest einfließen. Als Auftragnehmer ist es oft sehr zeitaufwendig und komplex, herauszufinden, was man für eine Pentest bezahlen muss, während man als Pentest-Dienstleister keine Preise nennen möchte, die einen Kunden alarmiert oder ihn dazu drängt, nach Alternativen zu suchen.

Der Faktor, der bei der Bestimmung der Kosten für die Pentest am meisten zu berücksichtigen ist, ist die komplexe Natur der Kundenorganisation und der Netzwerkumgebung. Organisationen, die über ein komplexes und verteiltes Computernetzwerk mit mehreren Netzwerkgeräten, vielschichtigen API-Endpunkten und komplexer Anwendungs-Software verfügen, die zu mehr potenziellen Angriffsvektoren führen, werden natürlich ein viel höheren Preis erhalten als Organisationen mit einem weniger komplexen Angriffspunkten, mit weniger Infrastruktur, mobile Apps und Frontend- und Backend-Systeme.

Zweitens sind die vom Dienstanbieter verwendeten Scan-Tools alle Teil der Kosten des Dienstes, da die erhobene Gebühr in der Lage sein sollte, die Kosten für den Erwerb der Tools und deren Lizenzgebühren auszugleichen. Andernfalls wird es wirtschaftlich nicht sinnvoll sein, für Software-Lizenzen zu bezahlen, ohne die Kosten durch die ausgeführten Arbeiten ausgleichen zu können.

Die Erfahrung des IT-Sicherheit-Dienstleisters im Hinblick auf die Profile seiner Kundenbasis kommt ebenfalls zum Tragen. Wenn der Dienstleistungsanbieter hochkarätige Kunden gewonnen hat und sich zudem eines großen Auftragsvolumens erfreut, wird er höchstwahrscheinlich einen höheren Preis verlangen, als wenn das Gegenteil der Fall ist.

Eine weitere Determinante für das endgültige Honorar für einen Pentest ist der Umfang des Tests, der oft in den Zuständigkeitsbereich der Kundenorganisation fällt. Der Umfang wird das zu erstellende Endangebot weitgehend beeinflussen, da der Testanbieter seine Abrechnung auf Dinge abstimmen muss, die in den für ein solches Engagement vereinbarten Rahmen fallen. Es ist jedoch sehr riskant, die Furcht vor hohen Kosten als Triebkraft für die Bewertung von Schwachstellen und die Durchführung von Penetrationstests zuzulassen, da aufgrund des eingeschränkten Umfangs nur wenig oder gar kein Raum für die tatsächliche Herausarbeitung inhärenter Schwachstellen und Kontroll-Lücken in der Betriebsumgebung bleibt.

Pentest-Kosten im Verhältnis zur Wirtschaftlichkeit

IT-Sicherheit ist ein Geschäft der Kompromisse, deswegen muss eine degressive und kosteneffiziente Annäherung an ein Optimum stattfinden. Grundsätzlich gilt, je länger Pentester die Infrastruktur, mobile Apps oder Webanwendungen untersuchen, desto aussagekräftiger sind die Ergebnisse.

Penetrationstest sind Momentaufnahmen, die oft schon nach einer Woche veraltet sind. Diese Metrik sollte auch berücksichtigt werden, denn so könnten zukünftige Tests inkrementell durchgeführt werden, um die Kosten zu senken. Hier können regelmäßige und ereignisgesteuerte automatisierte Pentests einen gewissen grundlegenden, aber nicht hohen, Sicherheitsstandard und Reifegrad gewährleisten.

Wie hoch sind die durchschnittlichen Kosten für ein Pentest-Projekt?

Die Antwort hängt weitgehend von den zuvor aufgezählten Faktoren ab. Bei einfachen oder weniger komplexen Netzwerken und Software könnte man jedoch mit Gebühren in der Größenordnung von 4.500 bis 6.000 Euro rechnen. Für eine mäßig komplexe Organisation mit einer vielfältigen Systemarchitektur wäre ein Preis zwischen 10.000 und 15.000 € ideal. Für große Organisationen mit sehr viel komplexeren Netzwerken und verteilten Systemen und Webservices können jedoch bis zu 100.000 € budgetiert werden, was im Vergleich zu dem Risiko und den Konsequenzen, die mit einem Hack oder Angriff verbunden sind, wenn diese auftreten, nicht zu viel ist.

So oft wie möglich sollten Organisationen den Wert, der Geschäftsdaten und Informationen sowie den Investitionen in ihre IT-Infrastrukturen evaluieren, gegen das Risiko und die Folgen eines erfolgreichen Angriffs abwägen. Auf diese Weise kann richtig eingeschätzt werden, ob sich die Kosten für eine Sicherheitsbewertung lohnen oder nicht. Es ist auch zu beachten, dass Dienstleistungen, die mit deutlich reduzierten Tarifen werben, unter Umständen nicht wirklich aussagekräftige Ergebnisse liefern. Die Bewertung von Schwachstellen durch Penetrationstests ist eine sehr wichtige Aufgabe für jede Organisation, die aufgrund ihres Umgangs mit personenbezogenen Daten oder Finanzdaten aufgrund von Gesetzen oder Vorschriften dazu verpflichtet ist.

Daher ist es für jede Organisation, die einen Pentest der IT durchführen will, wichtig, nicht nur die Kosten zu berücksichtigen, sondern auch die Kritikalität der Schwachstellen in Bezug auf ihre Sicherheit und die ihrer Informationsbestände. Da die Verbindung zu den Angriffsvektoren die Wahrscheinlichkeit erhöht, dass sich ein Angriff oder eine Verletzung als solche herauskristallisiert, ist es unerlässlich, immer sicherzustellen, dass Ihre Informationsressourcen und Ihre Betriebsumgebung frei von jenen Schwachstellen sind, die Hacker ausnutzen könnten, um der Organisation Schaden zuzufügen. Hacker, ob intern oder extern, können Schaden anrichten, wenn diese aus einem fadenscheinigen Grund, je nachdem, was das Motiv ist, die geringste Gelegenheit finden. Das Mindeste, was man also tun kann, ist, für einen solchen Angriff bereit zu sein, indem man die erforderlichen Grundlagen schafft, die verhindern, dass man ins Visier genommen wird.

Variable Pentest-Kosten

Variable Kosten sind veränderliche Kosten, die in Abhängigkeit von Zeit, Zusatzleistungen oder speziellen Methoden variieren.

1. Scope und Dauer des Engagements

Der Umfang des Tests wird sich direkt auf die Zeit auswirken, die der Test bis zum Abschluss benötigt. Zu den Faktoren, die sich auf die Dauer (und die Folgekosten) auswirken werden, gehören die Größe der Website, die Anzahl der zu testenden Mandanten, die Funktionalität, die zugehörige API oder Webdienste und die Komplexität der PC-, Server- oder Cloud-Infrastruktur.

2. Tools

Jeder Pen-Tester hat eine andere Art und Weise, wie er seinen Penetrationstest durchführt. Einige verwenden teurere Werkzeuge als andere, was den Preis erhöhen könnte. Teure Werkzeuge könnten jedoch die Zeit Ihres Tests verkürzen und qualitativ hochwertige Ergebnisse liefern.

3. Testkonzepte

Je nach Informationsbasis werden White-, Grey- oder Black-Box-Tests durchgeführt. Gray-Box-Tests sind alle Testtypen, die zwischen Grey- und Black-Box-Tests fallen. Einige Informationen werden dem Analysten zur Verfügung gestellt, i.d.R nur Anmeldeinformationen. Alle anderen Informationen sollen analysiert werden! Diese Art von Test ist ein interessanter Kompromiss in Bezug auf die Anzahl der Testfälle, die Kosten, die Geschwindigkeit und den Umfang der Tests. Gray-Box-Tests sind die häufigste Art von Tests in der Sicherheitsbranche.

4. Erfahrung des Pentesters

Analysten mit mehr Erfahrung werden teurer sein. Denken Sie einfach daran, dass Sie bekommen, wofür Sie bezahlen. Hüten Sie sich vor Pentest-Anbieter, die Preise anbieten, die zu gut sind, um wahr zu sein, denn diese leisten wahrscheinlich keine gründliche Arbeit. Es ist sinnvoll nach Penetrationstestern zu suchen, die hinter ihrem Namen Referenzen wie OSCP, CISSP, GIAC oder CEH vorweisen können.

5. Nachtest

Alle vom Auftragnehmer durchgeführten Pentests sollten einen einmaligen kostenlosen Nachtest beinhalten, bei dem die zuvor identifizierten Schwachstellen erneut überprüft werden. Bei diesem Test kann validiert werden, ob die Maßnahmen des Auftraggebers den gewünschten Effekt haben.

Wie hoch sind also die Kosten?

Jedes Projekt ist auf die zu testende Organisation zugeschnitten, aber als allgemeiner Leitfaden kostet ein automatisierter Test mit umfassender Analyse der Ergebnisse und einer detaillierten Liste von Sicherheitsempfehlungen so viel, wie in den durchschnittlichen Kosten beschrieben. Tagessätze sind oft unterschiedlich bei den verschiedenen Anbietern, jedoch sollten diese kritisch betrachtet werden, wenn diese zu tief angesetzt werden. Scope und Dauer des Engagements, Tools, Testkonzepte, Erfahrung des Pentesters und der Nachtest sind die Stellschrauben für eine rationale Anpassung an die Bedürfnisse.

Ausschlaggebend ist in den meisten Fällen, wie viel manuelle Arbeit verrichtet wird und nicht durch Automatismen abgebildet werden kann. Selbst mit höheren Kosten gibt es keine bessere Möglichkeit, Ihre Sicherheitssysteme zu testen.