Pentest as a service (PTaaS)

Kontinuierliche und punktuelle Penetrationstests erlauben die Sicherheit Ihrer IT-Systeme zu gewährleisten - und das zu einem günstigen Preis.

Der jährliche Penetrationstest ist das absolute Minimum - gibt es viele Änderungen an Software oder Infrastruktur verliert ein normaler Pentest schnell die Aussagekraft. Eine preiswerte Lösung ist hier PTaaS - hierbei wird nur geprüft, was neu oder wichtig ist.

Penetrationstest as a service

Was ist PTaaS - Penetrationstests als Service?

In einer digitalisierten Welt werden Änderungen an Software, Hardware und Netzwerken täglich vorgenommen - das mindert ziemlich schnell die Aussagekraft eines einmaligen Penetrationstests. Gestern mag alles in Ordnung gewesen sein - mit dem neusten Produktupdate kann das schon ganz anders aussehen. Aus unserer Praxis sehen wir, wie oft und wie schnell Sicherheitslücken entstehen und für längere Zeit unentdeckt bleiben - viele davon könnte in kürzester Zeit entdeckt werden. Um das zu ermöglichen bietet DSecured "Pentest as a Service" an.

PTaaS ist ein flexibler und skalierbarer Service, der es Unternehmen ermöglicht, regelmäßig Penetrationstests durchzuführen - wir bei DSecured nennen diese kurzen punktuellen Tests "Mini-Pentest".

Allgemein ist die Definition von PTaaS nicht wirklich einheitlich. Im DACH-Raum bedeutet PTaaS meist konzentrierte kurze Penetrationstests, die von einem Menschen durchgeführt werden und einen bestimmten Fokus haben, den der Auftraggeber vorgibt. In anderen Ländern kann PTaaS auch ein automatisierter Prozess sein, der kontinuierlich nach Sicherheitslücken sucht und quasi einen Penetrationstester ersetzen soll. Hybride Modelle sind ebenfalls möglich.

Der DSecured PTaaS folgt dem hybriden Modell: Wir führen Mini-Pentests manuell durch und lassen parallel immer unsere automatiesierten Tools laufen.

Was wird bei Pentest as a service getestet?

PTaaS ist eine maßgeschneiderte Lösung, die auf die Anforderung des Auftraggebers zugeschnitten wird. Wie bei einem normalen Penetrationstest wird der Scope sowie Go/NoGos vorab definiert. In der Regel wird eine bestimmte Anzahl an Stunden pro Monat vereinbart, die das Unternehmen jederzeit abfragen kann. Dabei wird meist innerhalb sehr kurzer Zeit (2-3 Stunden) ein Mini-Pentest durchgeführt, der nach groben Schwachstellen sucht. Das Ziel ist oft eine neue Funktion in einer bestehenden Applikation) oder der Launch einer neuen Webseite oder einer neuen API. Die Kommunikation erfolgt auf möglichst kurzen Wegen und Berichte werden meist per E-Mail (oder einen anderen Kanal) mit dem relevanten Entwickler-Team geteilt. Die Tests können auch automatisiert durchgeführt werden - beispielsweise, wenn der Auftraggeber ein großes externes Netzwerk in der Cloud hat.

DSecured PTaaS beinhaltet IMMER (kostenlos) ebenfalls unsere eASM-Plattform Argos, so können wir unsere Zeit effizient nutzen und dort suchen, wo automatische Lösungen nicht weiter kommen würden.

Für wen ist PTaaS geeignet?

PTaaS ist für jedes Unternehmen geeignet, das agil arbeitet und in dem Deploymentzyklen von wenigen Tagen oder Wochen üblich sind. PTaaS ist auch für Unternehmen geeignet, die eine hohe Anzahl an Apps oder Webseiten betreiben und sicherstellen wollen, dass diese regelmäßig auf Schwachstellen geprüft werden. Auch wenn der Schutzbedarf besonders hoch ist - weil beispielsweise Finanzdaten oder persönliche Daten gespeichert werden - lohnt es sich nachzudenken, ob eine Kombination aus jährlichem Penetrationstest und PTaaS sinnvoll ist.

Wie viel kostet PTaaS?

Wir sind hier flexibel - die meisten Kunden buchen ein festes Stundenkontingent pro Monat. Dieses wird mit unserem Stundensatz multipliziert. Je nach Menge der Stunden und Laufzeit können wir Rabatte anbieten. Die Möglichkeit auf "Zuruf" kurze Tests durchzuführen, ist ebenfalls möglich - hier kann es aber zu Wartezeiten kommen. Wir empfehlen daher, ein festes Stundenkontingent zu buchen - so gibt es Planbarkeit auf beiden Seiten. PTaaS beginnt bei DSecured bei einem Stundenkontingent von 8 Stunden im Monat. Hierfür werden aktuell 1599,00 € pro Monat berechnet. Die Laufzeit beträgt mindestens 3 Monate.

Damian Strobel

"PTaaS wird auf jedes Unternehmen angepasst und kann von Auftraggeber zu Auftraggeber ganz unterschiedlich ausfallen. Wir finden eine Lösung!"

Damian Strobel - Gründer von DSecured

Wir machen Ihnen ein unschlagbares PTaaS-Angebot! Kontaktieren Sie uns!

Vergleich zwischen Penetrationstest und PTaaS

Penetrationstest PTaaS
Scope/Umfang Einmalig definierte Ziele und Umfang Anpassbar an neue Bedrohungen und Geschäftsanforderungen
Berichterstattung Umfassender Bericht nach Abschluss des Tests Fortlaufende kurze Berichte und Updates zu einzelnen Findings
Engagement Kurzfristiges Engagement für einen spezifischen Zeitraum Langfristige Partnerschaft mit kontinuierlicher Überwachung und Tests
Flexibilität Gering: Fester Plan und Umfang, schwer anzupassen Hoch: Flexibler Ansatz, um auf neue Bedrohungen und Änderungen zu reagieren
Kostenstruktur Einmalig: Feste Kosten für den definierten Testzeitraum Abonnement-basiert: Regelmäßige Zahlungen über die Vertragslaufzeit
Skalierbarkeit Begrenzt: Feste Ressourcen für die Dauer des Tests Hoch: Ressourcen können je nach Bedarf angepasst werden
Kontinuierliche Sicherheit Keine: Sicherheit wird nur während des Testzeitraums geprüft Ja: Kontinuierliche Überwachung und regelmäßige Sicherheitstests

Einige Unternehmen, denen wir bisher helfen konnten

Grab
PayPal
BMW
Goldman Sachs
Starbucks
ATT
TikTok
Hilton
Kontaktieren Sie DSecured

PTaaS anfragen