Kriterien zur Auswahl des richtigen Pentest-Anbieters
Im digitalen Zeitalter ist der jährliche Penetrationstest das absolute Minimum, um die IT-Sicherheit des Unternehmens oder eines bestimmten Systems zu gewährleisten. Hierfür den richtigen Pentest-Anbieter auszuwählen, ist gar nicht so einfach. Einige Kriterien und Tipps wollen wir Ihnen hier ans Herz legen.
Team & Erfahrung
Ein erfahrener Pentest-Anbieter sollte mehrere Jahre Erfahrung in der Branche haben. Die meisten Anbieter haben eine "Über uns" Seite, auf der Sie mehr über die Pentester erfahren können. Auch Zertifikate, wie OSCP oder CISSP, sind ein gutes Indiz - aber nicht alles. Hacking ist ein kreativer Prozess. Vorsichtig sollte man bei CEH sein - dieses sagt sehr wenig aus und hat zurecht einen schlechten Ruf.
Referenzen
Referenzen und Kundenstimmen sind ein wichtiger Indikator für die Qualität eines Anbieters - speziell in der IT-Sicherheit ist es aber oft nicht so einfach zu zeigen mit wem man gearbeitet hat (NDA,...). Das gilt vor allem, wenn man in der Vergangenheit im Bereich KRITIS oder für Großkonzerne gearbeitet hat. Nachfragen lohnt sich! Wir hätten da einige beeindruckende Kunden!
Kommunikation
Ein guter Pentest-Anbieter sollte in der Lage sein, komplexe Sachverhalte einfach zu erklären. Die Kommunikation sollte klar und verständlich sein. Die Chemie sollte ebenfalls stimmen. Ein Anruf oder ein persönliches Gespräch kann hier helfen.
Leistungen
Suchen Sie jemanden der alles kann (und damit vielleicht nichts wirklich gut) oder sind Sie auf der Suche nach einem Dienstleister, der vor allem Penetrationstests anbietet und sich so wie DSecured vor allem auf offensive IT-Sicherheit und Penetrationstests spezialisiert hat?
Flexibilität
IT-Sicherheit ist nichts striktes. Die Anforderungen an einen Penetrationstest weichen von Kunde zu Kunde stark ab. Ein guter Pentest-Anbieter sollte in der Lage sein, auf individuelle Anforderungen einzugehen und eigene Dienstleistungen so anzupassen, dass ein Kunde ein Maximum an Ergebnis mit seinem Budget bekommt. Bei DSecured ist das mit jeder Dienstleistung machbar.
Preisgestaltung
Ein Penetrationstesting-Dienstleister sollte transparente Preise anbieten. Sie sollten die Preisgestaltung verstehen. Der Tagessatz an sich ist auch ein guter Indikator für die Qualität des Anbieters. Üblich sind 1000,00 bis 2000,00 Euro als Tagessatz. Ist der Satz deutlich drunter oder drüber sollten Sie skeptisch werden. Nicht selten werden Penetrationstests von Menschen aus Fernost mit wenig Erfahrung durchgeführt und hier teuer verkauft.
Prozesse
Penetrationstests folgenden in der Regel festen Prozessen. Ein guter Anbieter sollte Ihnen zumindest sagen können, wie er arbeitet. Im besten Fall wird das schon im Vorfeld auf der Website oder im Gespräch klar kommuniziert.
Firmenstruktur
Ist es Ihnen wichtig, dass eine GmbH oder AG hinter dem Anbieter steht? Hierzu muss man verstehen, dass sich gute Penetrationstester in der Regel nur ungern einstellen lassen. Es ist profitabler als Freelancer oder im Team unterwegs zu sein. DSecured ist so ein Fall.
Versicherung
Arbeitet man im Bereich IT-Sicherheit und speziell im Bereich Penetrationstests, sollte der Pentest-Anbieter eine adäquate Versicherung haben. Beispielsweise haben wir eine spezielle IT-Versicherung, die einen starken Fokus auf offensive Aktivitäten legt - und das weltweit.
Finaler Bericht
Lassen Sie sich einen echten Bericht eines Penetrationstests zeigen. Ein guter Anbieter hat in der Regel einen Pentest-Bericht für diesen Fall griffbereit. Der Bericht sollte neben dem technischen Teil auch eine Zusammenfassung für das Management aufweisen. Außerdem sollte er klar lesbar und die Empfänger sollten mit den Informationen etwas anfangen können.
Penetrationstest: manuell oder automatisch?
So seltsam es klingt. Immer wieder bekommen wir Anfragen, bei denen wir die Ergebnisse eines Pentests begutachten oder erklären sollen, weil der Kunde nicht versteht, was er da vor sich hat. Oft handelt es sich hierbei um lange automatisch erstellte Berichte, generiert von Tools, wie Nessus, Qualys oder OpenVAS. Wenn ein Pentest Anbieter so etwas als vollständigen Penetrationstest verkauft, sollten Sie skeptisch sein. Ein Penetrationstest sollte ein manueller Test sein - ein automatischer Scan kann maximal nur ein Teil davon sein. Fragen Sie hier unbedingt nach!
DSecured: Ihr ehrlicher Pentest-Anbieter
Genauso, wie wir von DSecured wissen, was wir richtig gut können, wissen wir genauso gut, was wir nicht können bzw. wo aktuell niemand im Team für vorhanden ist. Hier sind wir ehrlich, wir wollen höchste Qualität abliefern und Bullshit ist da nicht förderlich. In der IT-Sicherheit gibt es schon genug Snake-Oil und Quatsch, der der C-Suite und irgendwelchen VPs angedreht wird. Wir sind anders, schreiben Sie uns an und wir schauen, ob wir zueinander finden oder ob ein andere Pentest-Anbieter vielleicht die bessere Alternative ist. Hier sprechen wir auch gerne Empfehlungen aus - sowohl für Firmen als auch für Freelancer.

Damian Strobel
Gründer und CEO
"Ich wundere mich immer wieder, wie viele Unternehmen in Deutschland einen automatischen Scan mit Nessus oder Qualys als Penetrationstest bezeichnen."
Konnten Wir Sie überzeugen? Lassen Sie uns sprechen!
Penetrationstest anfragen