Schwachstellen finden

Was kostet ein professioneller Penetrationstest?

25.11.2016 von Andreas Th. Fischer
Viele IT-Verantwortliche würden ihre eigene Infrastruktur und ihre eingesetzten Anwendungen gerne durch professionelle White-Hat-Hacker auf Schwachstellen prüfen lassen. Dieser Ratgeber zeigt, von welchen Punkten die Kosten eines typischen Penetrationstests abhängen.

Unternehmen in Deutschland sind gesetzlich verpflichtet, IT-Risiko-Management zu betreiben. Bei Verstößen können empfindliche Geldbußen und Schadensersatzforderungen drohen. Außerdem steht das Management selbst in der Haftung. So hat etwa der Vorstand einer Aktiengesellschaft "geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden" (Paragraf 91 Absatz 2 Aktiengesetz, AktG).

Penetrationstester verwenden häufig dieselben Tools wie böswillige Hacker, um Schwachstellen zu finden. Dabei sind sie jedoch im Auftrag des zu untersuchenden Unternehmens aktiv.
Foto: IIra2studio - shutterstock.com

In diesem Zusammenhang und um sich vor Hackern zu schützen erwägen viele IT-Verantwortliche, Sicherheitsanalysen und Penetrationstests durch Spezialisten durchführen zu lassen. Mit der Frage, was dabei im Vertrag geregelt sein sollte, hat sich bereits Daniel Hamburg, Head of Security Engineering bei TÜV Rheinland i-sec, ausführlich beschäftigt. Aber wie sieht es mit den Kosten aus? Nach Aussage von Armin Harbrecht, Gründer und Geschäftsführer des Security-Dienstleisters Aramido, werden Penetrationstests meist nach der Zahl der für den Test kalkulierten Beratertage berechnet.

Darüber hinaus hängen die Kosten laut Harbrecht außerdem von folgenden Faktoren ab:

Echte Penetrationstests: Mehr als nur Schwachstellen-Scans

Unternehmen, die Angebote verschiedener Pentester einholen, werden teilweise gravierende Unterschiede bei den veranschlagten Kosten feststellen. Das liegt laut Harbrecht daran, dass manche Anbieter "den Begriff Penetrationstest fälschlicherweise für einfache Schwachstellen-Scans verwenden". Diese Tools könnten aber meist nur bereits bekannte Schwachstellen aufdecken und zudem keine Informationen über die Frage liefern, ob sich die gefundenen Probleme überhaupt von jemandem böswillig ausnützen lassen.

Die Top 5 der besten Systemhäuser 2016 im Bereich Security
Die besten Systemhäuser 2016 im Bereich Security - Top 5
Die besten Systemhäuser 2016 in der Kategorie Security. Zugrunde liegen die Bewertungen von Kunden nach dem Schulnotenprinzip.
Die besten Systemhäuser 2016 im Bereich Security - Top 5
Platz 5: Microstaxx Note: 1,23
Die besten Systemhäuser 2016 im Bereich Security - Top 5
Platz 4: Dextra Data Note: 1,22
Die besten Systemhäuser 2016 im Bereich Security - Top 5
Platz 3: IBH IT-Service Note: 1,17
Die besten Systemhäuser 2016 im Bereich Security - Top 5
Platz 1: StarCom-Bauer Note: 1,15
Die besten Systemhäuser 2016 im Bereich Security - Top 5
Platz 1: microCAT Note: 1,15

Trotzdem werden sie laut Harbrecht oft zu Beginn eines echten Penetrationstests eingesetzt, "um einen ersten Überblick zu erlangen". Im weiteren Verlauf entscheide dann die Erfahrung und Kreativität der jeweiligen Penetrationstester über die Qualität der Ergebnisse.

Kosten und mögliche Einsparungen

Wie bereits erwähnt, werden Penetrationstests nach Angaben von Harbrecht meist nach Tagessätzen abgerechnet, wobei der typische Tagessatz zwischen 1.000 und 1.800 Euro liege. Wenn man bedenke, dass ein Penetrationstest in der Regel zwei bis zehn Tage lang dauere, komme man auf Kosten, die zwischen 2.000 Euro für einen kürzeren und 18.000 Euro für einen aufwändigeren Penetrationstest liegen.

Diesen Kosten stehen mögliche Einsparungen gegenüber: So können erfolgreich durchgeführte Tests und damit der Nachweis, dass ein bestimmtes Maß an IT-Sicherheit gewährleistet ist, die Prämien einer Cyber-Risk-Versicherung senken.

Diese Art von Versicherungen basieren üblicherweise auf einem Standardangebot, welches individuell angepasst werden kann, da jeder Kunde ein spezifisches Risiko hat. Zu den Bedrohungen, die durch eine Cyber-Versicherung abgedeckt werden, zählen zum Beispiel:

Versicherungen kalkulieren, mit welcher Wahrscheinlichkeit ein Risiko eintritt und welche Schäden dabei entstehen können. Daraus ergibt sich eine Prämie, zu welcher der Versicherer bereit ist, das Risiko zu übernehmen und im eintretenden Schadensfall Ersatzleistungen erbringt. Durchgeführte Penetrationstests können dieses Risiko und damit die Prämien reduzieren.