Kostenfaktor: Dauer des Penetrationstests
In der IT-Sicherheit ist es generell so, dass je mehr Zeit ein Angreifer hat, um ein bestimmtes Ziel zu erreichen (beispielsweise Finden einer kritischen Sicherheitslücke), desto wahrscheinlicher wird es, dass das Ziel auch erreicht wird. Im Umkehrschluss wird ein Penetrationstest, der doppelt so lange dauern darf, mehr und vor allem solidere Ergebnisse liefern.
Mehr Zeit erlaubt den Testern das anzugreifende System besser zu verstehen und damit oft auch subtilere Schwachstellen zu entdecken.
Kostenfaktor: Komplexität des Zielsystems
Ein Zielsystem kann eine simpele Website sein, die nur wenige Funktionen aufweist. Es kann aber auch eine komplexe Software-as-a-Service Plattform sein, die verschiedene Schnittstellen, API und Nutzergruppen aufweist. Letzteres so zu testen, dauert einfach länger und ist aufwendiger.
Diese Aussage kann verallgemeinert übertragen werden auf mobile Applikationen, Netzwerke, Gebäude und andere digitale oder physische Systeme. Je komplexer das System in Aufbau, Größe und Funktionsumfang sowie bestehender Absicherung, desto mehr Zeit wird benötigt.
Kostenfaktor: Prüftiefe und Prüfart
Penetrationstests werden allgemein als Blackbox-, Greybox oder Whitebox-Test durchgeführt. Mit welchem Wissensstand ein Pentest Anbieter in das Projekt geht beeinflusst ebenfalls die Pentest Kosten Die Einarbeitungszeit in beispielsweise vorhandenen Quellcode, Dokumentation und ähnliches sollte nicht vernachlässigt werden.
Im Allgemeinen gibt es zwischen einem strikt manuellem und einem vollautomatisierten Penetrationstest diverse Nuanzen, die die Kosten beeinflussen. Ein vollautomatisierter Test ist in der Regel günstiger, aber auch weniger aussagekräftig. Trotzdem lohnt sich der Blick, ob eventuell Dienstleistungen, wie eine Schwachstellenanalse oder PTaaS sinnvoll sind.
Pentest as a service IT SchwachstellenanalyseKostenfaktor: Bericht und Meetings
Vernachlässigt wird oft, wie viel Zeit das Schreiben eines aussagekräften Berichts in Anspruch nehmen kann. Je nach Art des Penetrationstests kann das reine Berichtswesen bis zu 15% des gesamten Budgets auffressen.
Gleiches gilt für Meetings während des Penetrationstests aber auch nach dem Test. Systeme, die vom Auftraggeber nicht gut auf einen Test vorbereitet wurden, erfordern oft zusätzliche vermeidbare Kommunikation mit Technikern. Vor-Ort-Termine kosten ebenfalls mehr als Online-Meetings.
Penetrationstest-Kosten von Projekten
Die hier gezeigten Beispiele sind echte Beispiele - es ist zu beachten, dass in jedem Fall die Komplexität und der Umfang kleiner aber auch größer sein können. Die Preise sollen lediglich ein Anhaltspunkt sein und können stark variieren.
CMS mit Custom-Komponenten
Ein klassisches Beispiel hierfür wäre ein WordPress/WooCommerce-Shop mit individuellen Plugins und einem eigenen Theme. Die Softwarequalität in diesem Bereich lässt oft zu wünschen übrig. Das Testen des gesamten CMS macht keinen Sinn, ebensowenig ein Blackbox-Ansatz. Es würde mehr Sinn machen den Quellcode der wirklich relevanten Bestandteile durchzugehen und zu untersuchen.
Kostenrahmen: 1000,00 bis 3000,00 Euro
SaaS Plattformen mit vielen Gruppen
Der Fall hier wäre z.B. eine in .NET oder Java entwickelte Software-as-a-Service Plattform, die 2-3 verschiedene Nutzergruppen hat. Allgemein ist die Komplexität im mittleren Bereich anzusiedeln, es gibt wenig Datenverarbeitung. Daten werden nicht über eine API an weitere Dienste zur Verfügung gestellt. Der Auftraggeber wünscht einen Blackbox-Ansatz und stellt für jede Nutzergruppe Testaccounts zur Verfügung. Siehe SaaS Penetrationstest.
Kostenrahmen: 4000,00 bis 8000,00 Euro
Multi-Tenant SaaS-Plattform mit API
Eine komplexe Plattform mit diversen Nutzerrollen, Nutzerrechteverwaltung sowie Multi-Tenant-Fähigkeit. Die Plattform bietet Funktionen zum Upload und Verarbeitung diverser Dateitypen. Login via SSO/MFA. Es gibt eine komplexe API, die von Drittanbietern genutzt werden kann. Es wird der Greybox-Ansatz gewählt. Der Quellcode der App steht nicht zur Verfügung, dafür aber eine Dokumentation aller Funktionen sowie der API.
Kostenrahmen: 12000,00 bis 18000,00 Euro
Limitiertes Spear-Phishing
Gezieltes Ausfindigmachen von "interessanten" Personen im Zielunternehmen und Verschicken einer E-Mail mit einem Link, der auf eine Phishing-Seite führt. Hierbei wird versucht, Zugangsdaten zu stehlen. Der Auftraggeber will sehen, welche Personen gefunden werden und reagiert wird.
Kostenrahmen: 1000,00 bis 1500,00 Euro
OSINT/Darkweb Intelligence
Der Auftraggeber will wissen, welche Informationen über das Unternehmen, die Infrastruktur, Applikationen und "Persons of Interest" zu finden sind und ob bereits Daten im Darkweb zu finden sind, die ausnutzbar wären. Es wird eine Liste mit gefundenen Informationen und Quellen erstellt.
Kostenrahmen: 2000,00 bis 3000,00 Euro
Kleines öffentliches Netzwerk
Ein Mittelständler mit etwa 40 verschiedenen Diensten/Portalen will den Perimeter (mehrheitlich AWS) untersuchen und bewerten lassen. Wir müssen sie erst finden, alle Dienste bewerten und nach "Low Hanging Fruits" suchen. Es folgende fokussierte Penetrationstests gegen kritische Assets.
Kostenrahmen: 3000,00 bis 7000,00 Euro
Jetzt kostenlosen Vorschlag zur Verbesserung Ihrer App oder Ihres Netzwerks anfragen!
Wie kann man die Kosten für einen Penetrationstest senken?
Bisher konnten wir für jedes Budget und jedes Projekt eine passende Lösung finden. Es gibt jedoch Dinge, die Sie als Auftraggeber tun können, um die Penetrationstest Kosten zu senken bzw. eher die Ergebnisse zu optimieren.
Ordentliche Vorbereitung
Wir erleben es häufig, dass Systeme nicht für einen Pentest vorbereitet sind. Es gibt kein Demo/Test-System bzw. es ist leer und es fehlen relevante Daten, um bestimmte Funktionen ausführlich und korrekt zu testen. Der Penetrationstester sollte sich nicht darum kümmern müssen, dass alle und korrekte Daten vorhanden sind.
Priorisierung
Speziell wenn das Budget kleiner ist, lohnt es sich nachzudenken, welche Funktionen vielleicht problematisch sein könnten und diese priorisiert zu testen und damit den Fokus auf schwere und kritische Lücken zu setzen. Bei Aufträgen mit großer Infrastruktur sollte man ebenfalls vorab wissen, wo ein Angriff am meisten Schaden verursachen würde.
Bericht und Meeting
Ist eine Zusammenfassung für das Management wichtig? Reicht nicht vielleicht eine kurze Liste mit allen Funden - kurz erklärt und mit Proof of Concept? Die Zeit, die wir in das Schreiben des Berichts investieren müssen, könnten wir auch damit verbringen einen ausführlicheren und tieferen Pentest durchzuführen.
Regelmäßige Wiederholung
Beim ersten Penetrationtest müssen sich Auftragnehmer und Auftraggeber erst einmal kennenlernen. Wir müssen uns einarbeiten und alle Systeme kennenlernen. Bei regelmäßiger Wiederholung von Penetrationstest durch das gleiche Team kann dieser Teil oft übersprungen werden und man arbeitet effizienter und fokussierter.
Teamgröße minimieren
Für gewöhnlich arbeiten wir in 2-3 Personen-Teams. Auch hier gilt das Mehr-Augen-Prinzip. Die Fähigkeiten ergänzen sich in der Regel hervorragend und entsprechend sind die Ergebnisse. Logischerweise gibt es auch hier Einsparpotenzial. Wenn es nötig wird, kann auch nur eine Person einen Test komplett abwickeln.
FAQ
"Pentest Kosten"
Welche Faktoren beeinflussen Pentest Kosten?
Die Hauptfaktoren, die die Kosten beeinflussen, sind die Dauer des Tests, die Komplexität des Zielsystems, die Prüftiefe und -art sowie der Aufwand für Berichte und Meetings.
Beeinflusst die Wahl der Pentest-Art die Kosten?
Ja, ein Blackbox-Test erfordert weniger spezifische Vorkenntnisse, während Greybox- und Whitebox-Tests eine tiefere Einarbeitung in Dokumente und Quellcode erfordern. Daher sind sie in der Regel teurer.
Warum ist es wichtig, das zu testende System für einen Penetrationstest gut vorzubereiten?
Es spart Zeit und Geld. Sorgen Sie dafür, dass der Penetrationstester alle notwendigen Informationen und Zugriffsrechte hat, um den Test durchzuführen. Es ist schade, wenn Zeit verschwendet wird, um relevante Informationen einzuholen.
Ist ein Meeting nach dem Penetrationstest notwendig und beeinflusst es die Kosten?
Nötig ist es nicht. Wenn der Bericht klar genug ist, kann auf ein Meeting verzichtet werden, denn natürlich kostet es Zeit und sorgt dafür, dass die Kosten des Penetrationstests steigen.
Welche Rolle spielen regelmäßige Wiederholungen von Penetrationstests bei der Kostenoptimierung?
Kennt ein Penetrationstester das System schon aus der Vergangenheit, muss er nicht unnötig viel Zeit darauf verwenden, sich einzuarbeiten. Er ist dann schneller und kann sich auf neue Schwachstellen konzentrieren.
Beeinflusst die Teamgröße die Kosten eines Penetrationstests?
Ja. Ein Pentest, der von 5 Leuten parallel durchgeführt werden muss, ist natürlich teurer als ein Test, der nur durch eine Person durchgeführt wird. Die meisten Pentests kommen allerdings mit 1-2 Personen aus.
Wie genau wird die Dauer eines Penetrationstests geschätzt?
Je nach Scope ist eine Möglichkeit die Anzahl an Zielen bei der Schätzung der Pentest-Kosten zu berücksichtigen. Weitere Variablen können sein: Anzahl von IP-Addressen, Anzahl von Diensten, Anzahl an Routes von Webanwendungen, Größe der API, Anzahl an Parametern in HTTP Requests
Kann man Kosten beim Pentest sparen, wenn man auf einen Bericht verzichtet?
Ja. Wenn Sie lediglich an den technischen Details interessiert sind, verzichten wir liebend gern auf einen Bericht und geben alle nötigen Informationen beispielsweise per Slack/E-Mail als Text-Dateien oder ähnliches durch.
Kann ich mit der Prüftiefe die Kosten des Penetrationstests beeinflussen?
Na klar. Penetrationstests können oberflächlich oder tiefgreifend durchgeführt werden. Je tiefer der Test, desto mehr Zeit und damit Geld wird benötigt.
Penetrationstest anfragen