Pentest as a service (PTaaS)

Kontinuierliche und punktuelle Penetrationstests erlauben die Sicherheit Ihrer IT-Systeme zu gewährleisten - und das zu einem günstigen Preis.

Der jährliche Penetrationstest ist das absolute Minimum - gibt es viele Änderungen an Software oder Infrastruktur verliert ein normaler Pentest schnell die Aussagekraft. Eine preiswerte Lösung ist hier PTaaS - hierbei wird nur geprüft, was neu oder wichtig ist.

Damian Strobel

Gründer und CEO

"PTaaS wird auf jedes Unternehmen angepasst und kann von Auftraggeber zu Auftraggeber ganz unterschiedlich ausfallen. Wir finden eine Lösung!"

Was ist PTaaS - Penetrationstests als Service?

In einer digitalisierten Welt werden Änderungen an Software, Hardware und Netzwerken täglich vorgenommen - das mindert ziemlich schnell die Aussagekraft eines einmaligen Penetrationstests. Gestern mag alles in Ordnung gewesen sein - mit dem neusten Produktupdate kann das schon ganz anders aussehen. Aus unserer Praxis sehen wir, wie oft und wie schnell Sicherheitslücken entstehen und für längere Zeit unentdeckt bleiben - viele davon könnte in kürzester Zeit entdeckt werden. Um das zu ermöglichen bietet DSecured "Pentest as a Service" an.

PTaaS ist ein flexibler und skalierbarer Service, der es Unternehmen ermöglicht, regelmäßig Penetrationstests durchzuführen - wir bei DSecured nennen diese kurzen punktuellen Tests "Mini-Pentest".

Allgemein ist die Definition von PTaaS nicht wirklich einheitlich. Im DACH-Raum bedeutet PTaaS meist konzentrierte kurze Penetrationstests, die von einem Menschen durchgeführt werden und einen bestimmten Fokus haben, den der Auftraggeber vorgibt. In anderen Ländern kann PTaaS auch ein automatisierter Prozess sein, der kontinuierlich nach Sicherheitslücken sucht und quasi einen Penetrationstester ersetzen soll. Hybride Modelle sind ebenfalls möglich.

Der DSecured PTaaS folgt dem hybriden Modell: Wir führen Mini-Pentests manuell durch und lassen parallel immer unsere automatiesierten Tools laufen.

Was wird bei Pentest as a service getestet?

PTaaS ist eine maßgeschneiderte Lösung, die auf die Anforderung des Auftraggebers zugeschnitten wird. Wie bei einem normalen Penetrationstest wird der Scope sowie Go/NoGos vorab definiert. In der Regel wird eine bestimmte Anzahl an Stunden pro Monat vereinbart, die das Unternehmen jederzeit abfragen kann. Dabei wird meist innerhalb sehr kurzer Zeit (2-3 Stunden) ein Mini-Pentest durchgeführt, der nach groben Schwachstellen sucht. Das Ziel ist oft eine neue Funktion in einer bestehenden Applikation) oder der Launch einer neuen Webseite oder einer neuen API. Die Kommunikation erfolgt auf möglichst kurzen Wegen und Berichte werden meist per E-Mail (oder einen anderen Kanal) mit dem relevanten Entwickler-Team geteilt. Die Tests können auch automatisiert durchgeführt werden - beispielsweise, wenn der Auftraggeber ein großes externes Netzwerk in der Cloud hat.

DSecured PTaaS beinhaltet IMMER (kostenlos) ebenfalls unsere eASM-Plattform Argos, so können wir unsere Zeit effizient nutzen und dort suchen, wo automatische Lösungen nicht weiter kommen würden.

Für wen ist PTaaS geeignet?

PTaaS ist für jedes Unternehmen geeignet, das agil arbeitet und in dem Deploymentzyklen von wenigen Tagen oder Wochen üblich sind. PTaaS ist auch für Unternehmen geeignet, die eine hohe Anzahl an Apps oder Webseiten betreiben und sicherstellen wollen, dass diese regelmäßig auf Schwachstellen geprüft werden. Auch wenn der Schutzbedarf besonders hoch ist - weil beispielsweise Finanzdaten oder persönliche Daten gespeichert werden - lohnt es sich nachzudenken, ob eine Kombination aus jährlichem Penetrationstest und PTaaS sinnvoll ist.

Wie viel kostet PTaaS?

Wir sind hier flexibel - die meisten Kunden buchen ein festes Stundenkontingent pro Monat. Dieses wird mit unserem Stundensatz multipliziert. Je nach Menge der Stunden und Laufzeit können wir Rabatte anbieten. Die Möglichkeit auf "Zuruf" kurze Tests durchzuführen, ist ebenfalls möglich - hier kann es aber zu Wartezeiten kommen. Wir empfehlen daher, ein festes Stundenkontingent zu buchen - so gibt es Planbarkeit auf beiden Seiten. PTaaS beginnt bei DSecured bei einem Stundenkontingent von 8 Stunden im Monat. Hierfür werden aktuell 1599,00 € pro Monat berechnet. Die Laufzeit beträgt mindestens 3 Monate.

Wir machen Ihnen ein unschlagbares PTaaS-Angebot! Kontaktieren Sie uns!

Angebot anfordern

Vergleich zwischen Penetrationstest und PTaaS

	Penetrationstest	PTaaS
Scope/Umfang	Einmalig definierte Ziele und Umfang	Anpassbar an neue Bedrohungen und Geschäftsanforderungen
Berichterstattung	Umfassender Bericht nach Abschluss des Tests	Fortlaufende kurze Berichte und Updates zu einzelnen Findings
Engagement	Kurzfristiges Engagement für einen spezifischen Zeitraum	Langfristige Partnerschaft mit kontinuierlicher Überwachung und Tests
Flexibilität	Gering: Fester Plan und Umfang, schwer anzupassen	Hoch: Flexibler Ansatz, um auf neue Bedrohungen und Änderungen zu reagieren
Kostenstruktur	Einmalig: Feste Kosten für den definierten Testzeitraum	Abonnement-basiert: Regelmäßige Zahlungen über die Vertragslaufzeit
Skalierbarkeit	Begrenzt: Feste Ressourcen für die Dauer des Tests	Hoch: Ressourcen können je nach Bedarf angepasst werden
Kontinuierliche Sicherheit	Keine: Sicherheit wird nur während des Testzeitraums geprüft	Ja: Kontinuierliche Überwachung und regelmäßige Sicherheitstests

Pentest as a service beinhaltet auch

Web Application Penetrationstest

Große Teile des Internets basieren auf Websites und Webapplikationen.

API Penetrationstest

Moderne Webseiten und SPA kommunizieren in aller Regel mit irgendeiner Art von API.

Schwachstellenscans

Vollautomatisierte Schwachstellenscans für Ihre IT-Infrastruktur oder Applikation.

Pentest as a Service: Ergänzendes

Wie viel kostet ein Penetrationstest?

Kosten zu nennen ist schwierig, da jeder Test individuell ist - aber wir finden immer eine Lösung, die zu jedem Budget passt.

Wie oft sollte man einen Penetrationstest durchführen lassen?

Die Häufigkeit eines Pentests hängt von verschiedenen Faktoren ab - wir geben Ihnen eine Übersicht.

Welche Arten von Penetrationstests gibt es?

Das Wort Penetrationstest ist ein sehr allgemeines Wort und kann diverse Arten von Tests beschreiben. Eine Übersicht gibt es hier.

Wie läuft ein Penetrationstest in der Regel ab?

Der Ablauf eines Pentests ist in der Regel immer gleich - je nach Art des Tests unterscheiden sich die Schritte jedoch.

Einige Unternehmen, denen wir bisher helfen konnten

Weitere Fragen samt Antworten zum Thema
"Pentest as a service (PTaaS)"

Wie lang dauert typischerweise Pentest as a Service (PTaaS)?

PTaaS ist ein kontinuierlicher Prozess, der je nach Umfang und Komplexität der IT-Infrastruktur eines Unternehmens variieren kann. In der Regel wird ein Vertrag über einen definierten Scope mit festgeschriebenen Stunden abgeschlossen. Dieser dauert minimal 3 Monate.

Welche Arten von Sicherheitslücken können durch Pentest as a Service (PTaaS) identifiziert werden?

Unsere Penetrationstester fokussieren sich auf kritische Sicherheitslücken in Ihren Anwendungen. Es kommt aber immer ganz stark darauf an, was das Ziel ist, was der Scope ist und auf welche Arbeitsweise man sich einigt.

Welche Empfehlungen kann man für Pentest as a Service (PTaaS) abgeben?

Das Ziel von PTaaS ist es schnell und fokussiert reagieren zu können - ohne Zeit für komplexe Berichte zu verschwenden. Wichtig ist das Finden von Sicherheitslücken. Wir empfehlen daher pro Monat mindestens ein Zeitbudget von 15 Stunden zu haben, damit können unsere Tester auf Zuruf relevante Teile Ihrer Systeme testen.

Welche Informationen benötigt man, um mit einem Pentest as a Service (PTaaS) zu beginnen?

Im Grunde die gleichen wie bei einem regulären Pentest: Scope, Dauer, NoGos.

PTaaS anfragen