Unternehmen in Deutschland sind gesetzlich verpflichtet, IT-Risiko-Management zu betreiben. Bei Verstößen können empfindliche Geldbußen und Schadensersatzforderungen drohen. Außerdem steht das Management selbst in der Haftung. So hat etwa der Vorstand einer Aktiengesellschaft "geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden" (Paragraf 91 Absatz 2 Aktiengesetz, AktG).
In diesem Zusammenhang und um sich vor Hackern zu schützen erwägen viele IT-Verantwortliche, Sicherheitsanalysen und Penetrationstests durch Spezialisten durchführen zu lassen. Mit der Frage, was dabei im Vertrag geregelt sein sollte, hat sich bereits Daniel Hamburg, Head of Security Engineering bei TÜV Rheinland i-sec, ausführlich beschäftigt. Aber wie sieht es mit den Kosten aus? Nach Aussage von Armin Harbrecht, Gründer und Geschäftsführer des Security-Dienstleisters Aramido, werden Penetrationstests meist nach der Zahl der für den Test kalkulierten Beratertage berechnet.
Darüber hinaus hängen die Kosten laut Harbrecht außerdem von folgenden Faktoren ab:
Testgegenstand: Nahe liegend ist, dass die entstehenden Kosten stark von der Frage abhängen, ob eine gesamte Organisation mit mehreren Hundert Mitarbeitern und diversen IT-Systemen oder ob nur eine vergleichsweise einfache Web-Anwendung geprüft werden soll.
Pentest-Module: Ebenso wichtig ist die Frage, welche Module überhaupt getestet werden sollen. So könne bei einer Web-Anwendung beispielsweise nur der Programm-Code und die Konfiguration oder aber auch die IT-Infrastruktur, auf der Anwendung gehostet wird, getestet werden. Um bei diesem Beispiel zu bleiben, könnte der Testumfang weiter steigen, wenn auch das Deployment- und sonstige Development-Systeme untersucht werden sollen. Harbrecht beschreibt auch eine weitere Variante von Penetrationstests, die "Red Teaming" oder "Tiger Teaming" genannt werden. Hier erhalten die Tester "freie Hand bei der Wahl ihrer Mittel und Ziele zum Eindringen in ein System":
Konfiguration des Tests: Nach dem Festlegen des Testumfangs gilt es, die konkrete Ausgestaltung zu konfigurieren. So genannte Black-Box-Tests sind mitunter aufwändiger durchzuführen, wenn sie dieselbe Zahl an Schwachstellen liefern sollen wie White-Box-Tests. Beim Black-Box-Modell bekommt der Tester nur wenige Informationen zum Testgegenstand übermittelt. Das Gegenteil ist der Fall bei White-Box-Tests, bei denen vorher umfangreiche Informationen übermittelt werden. Ebenso wichtig für die Höhe der voraussichtlichen Kosten ist die Frage, ob ein Penetrationstest nur von außen oder auch von innen durchgeführt werden soll.
Angestrebtes Sicherheitsniveau: Die Zahl der gefundenen Schwachstellen hängt außerdem von der Zeit ab, die zur Verfügung steht. Längere Tests führen zu einer umfassenderen Untersuchung des Ziels und damit zu einem höheren Sicherheitsniveau.
Echte Penetrationstests: Mehr als nur Schwachstellen-Scans
Unternehmen, die Angebote verschiedener Pentester einholen, werden teilweise gravierende Unterschiede bei den veranschlagten Kosten feststellen. Das liegt laut Harbrecht daran, dass manche Anbieter "den Begriff Penetrationstest fälschlicherweise für einfache Schwachstellen-Scans verwenden". Diese Tools könnten aber meist nur bereits bekannte Schwachstellen aufdecken und zudem keine Informationen über die Frage liefern, ob sich die gefundenen Probleme überhaupt von jemandem böswillig ausnützen lassen.
Trotzdem werden sie laut Harbrecht oft zu Beginn eines echten Penetrationstests eingesetzt, "um einen ersten Überblick zu erlangen". Im weiteren Verlauf entscheide dann die Erfahrung und Kreativität der jeweiligen Penetrationstester über die Qualität der Ergebnisse.
Kosten und mögliche Einsparungen
Wie bereits erwähnt, werden Penetrationstests nach Angaben von Harbrecht meist nach Tagessätzen abgerechnet, wobei der typische Tagessatz zwischen 1.000 und 1.800 Euro liege. Wenn man bedenke, dass ein Penetrationstest in der Regel zwei bis zehn Tage lang dauere, komme man auf Kosten, die zwischen 2.000 Euro für einen kürzeren und 18.000 Euro für einen aufwändigeren Penetrationstest liegen.
Diesen Kosten stehen mögliche Einsparungen gegenüber: So können erfolgreich durchgeführte Tests und damit der Nachweis, dass ein bestimmtes Maß an IT-Sicherheit gewährleistet ist, die Prämien einer Cyber-Risk-Versicherung senken.
Diese Art von Versicherungen basieren üblicherweise auf einem Standardangebot, welches individuell angepasst werden kann, da jeder Kunde ein spezifisches Risiko hat. Zu den Bedrohungen, die durch eine Cyber-Versicherung abgedeckt werden, zählen zum Beispiel:
Betriebsunterbrechung (beispielsweise als Folge eines Hacker-Angriffs)
Verlust von Datenträgern und Geräten
Erstattung der Kosten für Datenwiederherstellung
Haftpflichtschutz bei Ansprüchen Dritter (Fremdschaden)
Kostenübernahme der erforderliche Maßnahmen, um die Ursachen für den Schaden aufzuklären
Versicherungen kalkulieren, mit welcher Wahrscheinlichkeit ein Risiko eintritt und welche Schäden dabei entstehen können. Daraus ergibt sich eine Prämie, zu welcher der Versicherer bereit ist, das Risiko zu übernehmen und im eintretenden Schadensfall Ersatzleistungen erbringt. Durchgeführte Penetrationstests können dieses Risiko und damit die Prämien reduzieren.