Infrastruktur-PentestJan Kahmen13 min Lesezeit

Wie finde ich den richtigen Pentest-Anbieter?

Die Suche nach dem richtigen Anbieter für Pentests kann einen problematischen Prozess für diejenigen darstellen, die mit IT-Sicherheit nicht vertraut sind.

Wie finde ich den richtigen Pentest-Anbieter?

Den richtigen Anbieter für Penetrationstests zu finden, ist gerade für Unternehmen ohne tiefgreifende IT-Sicherheitserfahrung eine Herausforderung. Welche Anforderungen sollten Sie stellen? Woran erkennen Sie ausreichende technische Expertise? Wie lassen sich unqualifizierte Anbieter identifizieren? Was zeichnet eine gute Reputation aus? Und wie sollte die Dokumentation aufgebaut sein?

Mit den folgenden Auswahlkriterien und den zugehörigen Fragen schaffen Sie sich eine solide Grundlage. Am Ende werden Sie wissen, worauf Sie bei einem potenziellen Anbieter achten müssen, wie Sie die Optionen vergleichen und schließlich die beste Wahl für Ihre Sicherheitsbedürfnisse treffen können. Zusätzliche Informationen zur Durchführung von Penetrationstests stellt das Bundesamt für Sicherheit in der Informationstechnik zur Verfügung.

Wenn Sie unsicher sind, wie Sie Pentest-Anbieter vergleichen oder worauf Sie achten sollten, ist diese Zusammenfassung genau richtig für Sie.

Reputation

Der Ruf eines Anbieters hinsichtlich Qualität und Vertrauenswürdigkeit ist ein zentraler Aspekt bei der Auswahl. Bevor Sie ein Erstgespräch vereinbaren, sollten Sie sich über den Hintergrund und die Fachkenntnisse des Anbieters informieren. Welche Informationen finden Sie bei einer Recherche im Internet? Gibt es Fachbeiträge oder Blogeinträge, die sich mit Ihren technischen Anforderungen decken? Diese Hintergrundrecherche verschafft Ihnen einen besseren Einblick in das Unternehmen und liefert wertvolle Gesprächsgrundlagen für den ersten Kontakt.

Technische Expertise

Wie lässt sich die technische Kompetenz eines Anbieters beurteilen? Eigenständige Forschung und Entwicklung ist ein aussagekräftiger Indikator - sowohl für die Qualifikation der Ihnen zugeteilten Pentester als auch für das Unternehmen insgesamt. Durch gezielte Recherche können Sie sich ein fundiertes Bild von der Kompetenz und dem Leistungsangebot des Anbieters verschaffen. Anbieter, die keine aktive Forschung und Weiterentwicklung betreiben, verfügen möglicherweise über veraltete Methoden und können keine angemessene technische Prüfung Ihrer Anwendung oder Infrastruktur gewährleisten.

Dokumentation

Eine aussagekräftige Berichterstattung ist entscheidend, doch die Qualität der Dokumentation variiert erheblich zwischen Anbietern. Fordern Sie Beispielberichte für jeden benötigten Pentest-Typ an (Webanwendung, Infrastruktur, mobile App usw.) und prüfen Sie, ob die beschriebenen Schwachstellen nachvollziehbar dargestellt sind. Kaum etwas ist hinderlicher als ein unklarer Schreibstil oder mehrdeutige Schwachstellenbeschreibungen.

Wie stark ist der Pentest automatisiert?

Automatisierte Werkzeuge und Scanner sind der Anfang eines jeden Pentests, aber diese übersehen oft die größeren Risiken.
Der Umfang der manuellen Tests ist eine weitere einfache Möglichkeit, potenzielle Qualitätsprobleme bei dem jeweiligen Anbieter festzustellen.
Ein Qualitäts-Pentest wird weitgehend ein manueller, tiefgehender Prozess sein. 90 % des Tests sollten manuelle Arbeit widerspiegeln.

Die Erfahrung des Pentesters wird einen größeren Einfluss haben als die spezifischen Werkzeuge.
Scanner und andere automatisierte Tools tragen nur wenig zu einem gründlichen Pentest bei. Das Gespräch über den Tool-Fokus kann auch zur nächsten Sektion führen, die sich mehr auf die Methodik und den Prozess des Testens konzentriert.

Wenn der Anbieter angibt, dass der größte Teil des Tests automatisiert ist oder nicht viele Fragen zu Ihrer Umgebung stellt, sollten Sie vorsichtig sein.
Diese Security Assessments können ein falsches Sicherheitsgefühl vermitteln - und dabei zusätzliche Risiken mit sich bringen. Gründliche und umfassende Pentests sind manuell, strukturiert und liefern somit die besten Ergebnisse.

Nach welchen Standards und Methoden wird getestet?

Jeder Pentest braucht eine klar definierte Methodik und muss einem strukturierten Prozess folgen. Dies hilft, einen angemessenen Arbeitsablauf zu etablieren, um Konfusionen zu minimieren und gleichzeitig den Sicherheitsnutzen und die Testergebnisse zu maximieren.

  • Die branchenübliche Methodik für Web- und API-Dienste sowie mobile Apps ist der OWASP Testing Guide.
  • Weitere Standards für Infrastruktur-Pentests sind OSSTMM, NIST, PTES, BSI und ISSAF.
  • Die BSI-Methodik wird benötigt, um Grundschutz-Normen einzuhalten.
  • PCI DSS legt den Mindeststandard für die Datensicherheit bei Zahlungssystemen fest.

Professionelle Analysten arbeiten stets nach strukturierten Prozessen und Verfahren. Achten Sie darauf, dass der Pentest mit einer Erkundungs- bzw. Informationsbeschaffungsphase beginnt. Dieses Detail mag klein erscheinen, doch eine gründliche Aufklärungsphase wird häufig vernachlässigt - mit der Folge, dass Sicherheitslücken unentdeckt bleiben.
Eine offene und proaktive Kommunikation ist entscheidend, um potenzielle Probleme frühzeitig zu erkennen. Das Pentest-Team sollte bei Bedarf jederzeit für einen direkten Austausch zur Verfügung stehen.

Stellen Sie sicher, dass der Anbieter eine klare und gut definierte Methodik eingeführt hat, die den Industriestandards entspricht. Methoden helfen bei der Definition von Standards und dem Arbeitsablauf, um Pentests mit Ihrem Umfang, Ihren Testzielen und Erwartungen in Einklang zu bringen.

Wie sieht der Dokumentationsprozess aus?

Pentest-Berichte sind entscheidend, damit Sie verstehen, wo in Ihrer Umgebung IT-Sicherheitsrisiken und -schwächen bestehen. Diese Dokumente werden nach Abschluss der Bewertung auch an diejenigen versandt, die nie mit dem Anbieter interagiert haben. Eine klare und gründliche Dokumentation ist deshalb entscheidend!

In der Praxis ist das anspruchsvoller als es klingt, denn die Berichte müssen den Anforderungen unterschiedlichster Zielgruppen gerecht werden - von den technischen Fachleuten bis hin zum Management. Diese Bandbreite stellt eine besondere Herausforderung dar.

Durch die Durchsicht der Beispielberichte werden Sie schnell merken, ob diese Ihren internen sowie externen Bedürfnissen entsprechen.

Es gibt eine große Auswahl an Berichtsoptionen für Pentests, aber es gibt einige Punkte, die immer vorhanden sein sollten:

  • Die Management Summary bietet einen Gesamtüberblick über den Pentest auf strategischer Ebene. Sie richtet sich an das Management und stellt die Ergebnisse in nicht-technischer Form dar.
  • Die Schwachstellen-Übersicht richtet sich sowohl an Führungskräfte als auch an technische Fachleute. Sie sollte für jede identifizierte Schwachstelle eine zusammenfassende Handlungsempfehlung enthalten.
  • Die Details zu Schwachstellen sind eine risikopriorisierte technische Aufschlüsselung der Funde nach dem CVSS-3.0-Standard. Die Analyse sollte auch dokumentieren, wie die jeweilige Schwachstelle ausgenutzt wurde.
  • Detaillierte Behebungsschritte sind Bestandteil jeder Schwachstellenbeschreibung und sollten konkrete Maßnahmen zur Beseitigung des jeweiligen Problems aufzeigen.

Fordern Sie einen Beispielbericht von jeder potenziellen Firma an. Gute Anbieter werden immer Muster von jeder Pentest-Art für Sie zur Überprüfung bereithalten.

Werden kostenlose Nachtests durchgeführt?

Das Ziel eines Pentests sollte neben der Bewertung der Sicherheit einer Anwendung oder Infrastruktur auch die Verbesserung ebendieser sein. Ob die von Ihnen, auf Basis des Abschlussberichts, getroffenen Gegenmaßnahmen den gewünschten Effekt haben, lässt sich in einer anschließenden Validierungsphase bewerten.

Bei einem Nachtest werden alle während des Pentests identifizierten Schwachstellen erneut überprüft. Die Ergebnisse eines solchen Nachtests werden in den Abschlussbericht eingearbeitet und dieser wird Ihnen in einer aktualisierten Version zur Verfügung gestellt. Mit einem solchen Bericht können Sie auch externen Beteiligten belegen, dass Ihr Unternehmen entsprechende Gegenmaßnahmen getroffen hat.

Wenn ein Dienstleister einen effizienten Dokumentationsprozess etabliert hat und identifizierte Schwachstellen, mit sogenannten Proof-of-Concepts, also kleinen Beispielen für die Ausnutzung der Schwachstelle, versieht, fällt der Zusatzaufwand nur sehr gering aus. Aus diesem Grund werden Nachtests von einigen führenden Anbietern als kostenlose Ergänzung zu einem Pentest angeboten.

Sollte ein Anbieter Ihnen diese Leistung zusätzlich in Rechnung stellen, deutet dies meist auf ineffiziente Prozesse oder Fehlkalkulationen hin.

Ein Nachtest ist ein wichtiger Bestandteil eines Pentests. Der von Ihnen gewählte Dienstleister sollte Ihnen diese Leistung nicht zusätzlich in Rechnung stellen.

Gibt es Kompetenz im Bereich Security Engineering?

Der Begriff Security Engineering bezeichnet dieses Spezialgebiet der Technik. Das US-Verteidigungsministerium definiert es als ein Element der Systemtechnik, das wissenschaftliche und ingenieurtechnische Prinzipien anwendet, um Sicherheitsschwachstellen zu identifizieren und die mit diesen Schwachstellen verbundenen Risiken zu minimieren oder einzudämmen.

Gefundene Schwachstellen und die daraus resultierenden Sicherheitsprobleme sollten entsprechend den Maßnahmenempfehlungen behoben werden. Security Engineering bildet den Übergang zwischen Softwareentwicklung und IT-Sicherheit. Erfahrene Security Engineers können Sie im hektischen und schnelllebigen Entwicklungsalltag bei der Behebung von in Pentests identifizierten Schwachstellen sowie auch schon während des Entwicklungsprozesses bei der Implementierung von sicherheitskritischen Programmteilen unterstützen.

Auftragnehmer, ohne eigene IT-Sicherheitsabteilung oder Security Engineers, können auf erfahrene Berater zurückgreifen, sollte es bei der Behebung von Schwachstellen zu Engpässen oder Schwierigkeiten kommen.

Dass Pentest-Dienstleister Schwachstellen nicht nur identifizieren, sondern auch bei der Behebung dieser unterstützen können, sollte bei der Auswahl berücksichtigt werden. Weitere Informationen zum Security Engineering.

Werden kontinuierliche Sicherheitsprozesse angeboten?

Kontinuierliche Sicherheit bedeutet, dass in modernen Entwicklungsumgebungen (DevOps, NoOps, etc.) Sicherheitsprozesse nicht nur punktuell, sondern fest in die Softwareentwicklung und Systemintegration eingebunden werden. Pentests sind nur Momentaufnahmen und bei kurzlebigen Software-Artefakten schnell überholt. Automatisierte Sicherheit in der Entwicklungsumgebung bietet nicht den gleichen Sicherheitsstandard wie ein vollwertiger Pentest, jedoch kann so dauerhaft ein befriedigendes Maß an Sicherheit gewährleistet werden.

Auch bei der Suche nach einem Anbieter für manuelle Pentests sollte die Qualifikation im Bereich der automatisierten Sicherheit abgefragt werden. So kann sichergestellt werden, dass langfristige Zusammenarbeit möglich ist und tiefergehende Kompetenz existiert. Weiterhin ist gewährleistet, dass der Anbieter sich am Puls der Zeit befindet und für zukünftige Projekte im Bereich DevOps Security genutzt werden kann.

Fundierte Kenntnisse und Angebote im Bereich der automatischen Sicherheit bieten eine hervorragende Erweiterung des Portfolios eines Pentestdienstleisters und sollten während Ihrer Auswahl berücksichtigt werden.

Fazit

Die Suche nach dem passenden Anbieter für Penetrationstests mag aufwendig erscheinen, doch die obigen Fragen geben Ihnen eine klare Orientierung.
Wenn Sie diese Fragen an jeden Anbieter richten, können Sie eine fundierte Entscheidung treffen - auch ohne tiefgehende technische Vorkenntnisse.

Vertrauen, technische Expertise, die Qualifikation des Personals und die Qualität der Berichterstattung gehören zu den wichtigsten Aspekten bei der Auswahl eines Pentest-Anbieters. Darüber hinaus sollten Sie auch die Preisstruktur, vorhandene Referenzen und die Branchenerfahrung in Ihre Bewertung einbeziehen.

Ergänzen Sie die hier vorgestellten Fragen durch eigene und stellen Sie sicher, dass Sie sich bei dem gewählten Anbieter gut aufgehoben fühlen. Denn bei der IT-Sicherheit sollten Sie keine Kompromisse eingehen.

Unsere Services

Penetrationstest