Wie viel kostet ein Penetrationstest?

Die Kosten für einen Penetrationstest variieren je nach Umfang, Komplexität und dem Sicherheitsniveau der IT-Infrastruktur.

Die Preisspanne für Penetrationstests kann von einigen tausend bis zu mehreren zehntausend Euro reichen, abhängig von der Größe und Komplexität der zu testenden Systeme sowie der Tiefe der gewünschten Analyse.

Penetrationstests

Kostenfaktor: Dauer des Penetrationstests

In der IT-Sicherheit ist es generell so, dass je mehr Zeit ein Angreifer hat, um ein bestimmtes Ziel zu erreichen (beispielsweise Finden einer kritischen Sicherheitslücke), desto wahrscheinlicher wird es, dass das Ziel auch erreicht wird. Im Umkehrschluss wird ein Penetrationstest, der doppelt so lange dauern darf, mehr und vor allem solidere Ergebnisse liefern.

Mehr Zeit erlaubt den Testern das anzugreifende System besser zu verstehen und damit oft auch subtilere Schwachstellen zu entdecken.

Pentest Kosten: Faktor Dauer
Pentest Kosten: Faktor Komplexität

Kostenfaktor: Komplexität des Zielsystems

Ein Zielsystem kann eine simpele Website sein, die nur wenige Funktionen aufweist. Es kann aber auch eine komplexe Software-as-a-Service Plattform sein, die verschiedene Schnittstellen, API und Nutzergruppen aufweist. Letzteres so zu testen, dauert einfach länger und ist aufwendiger.

Diese Aussage kann verallgemeinert übertragen werden auf mobile Applikationen, Netzwerke, Gebäude und andere digitale oder physische Systeme. Je komplexer das System in Aufbau, Größe und Funktionsumfang sowie bestehender Absicherung, desto mehr Zeit wird benötigt.

Kostenfaktor: Prüftiefe und Prüfart

Penetrationstests werden allgemein als Blackbox-, Greybox oder Whitebox-Test durchgeführt. Mit welchem Wissensstand ein Pentest Anbieter in das Projekt geht beeinflusst ebenfalls die Pentest Kosten Die Einarbeitungszeit in beispielsweise vorhandenen Quellcode, Dokumentation und ähnliches sollte nicht vernachlässigt werden.

Im Allgemeinen gibt es zwischen einem strikt manuellem und einem vollautomatisierten Penetrationstest diverse Nuanzen, die die Kosten beeinflussen. Ein vollautomatisierter Test ist in der Regel günstiger, aber auch weniger aussagekräftig. Trotzdem lohnt sich der Blick, ob eventuell Dienstleistungen, wie eine Schwachstellenanalse oder PTaaS sinnvoll sind.

Pentest as a service IT Schwachstellenanalyse
Pentest Kosten: Faktor Prüftiefe
Pentest Kosten: Faktor Bericht und Meetings

Kostenfaktor: Bericht und Meetings

Vernachlässigt wird oft, wie viel Zeit das Schreiben eines aussagekräften Berichts in Anspruch nehmen kann. Je nach Art des Penetrationstests kann das reine Berichtswesen bis zu 15% des gesamten Budgets auffressen.

Gleiches gilt für Meetings während des Penetrationstests aber auch nach dem Test. Systeme, die vom Auftraggeber nicht gut auf einen Test vorbereitet wurden, erfordern oft zusätzliche vermeidbare Kommunikation mit Technikern. Vor-Ort-Termine kosten ebenfalls mehr als Online-Meetings.

Penetrationstest-Kosten von Projekten

Die hier gezeigten Beispiele sind echte Beispiele - es ist zu beachten, dass in jedem Fall die Komplexität und der Umfang kleiner aber auch größer sein können. Die Preise sollen lediglich ein Anhaltspunkt sein und können stark variieren.

Einsatzgebiete

CMS mit Custom-Komponenten

Ein klassisches Beispiel hierfür wäre ein WordPress/WooCommerce-Shop mit individuellen Plugins und einem eigenen Theme. Die Softwarequalität in diesem Bereich lässt oft zu wünschen übrig. Das Testen des gesamten CMS macht keinen Sinn, ebensowenig ein Blackbox-Ansatz. Es würde mehr Sinn machen den Quellcode der wirklich relevanten Bestandteile durchzugehen und zu untersuchen.

Kostenrahmen: 1000,00 bis 3000,00 Euro

Einsatzgebiete

SaaS Plattformen mit vielen Gruppen

Der Fall hier wäre z.B. eine in .NET oder Java entwickelte Software-as-a-Service Plattform, die 2-3 verschiedene Nutzergruppen hat. Allgemein ist die Komplexität im mittleren Bereich anzusiedeln, es gibt wenig Datenverarbeitung. Daten werden nicht über eine API an weitere Dienste zur Verfügung gestellt. Der Auftraggeber wünscht einen Blackbox-Ansatz und stellt für jede Nutzergruppe Testaccounts zur Verfügung. Siehe SaaS Penetrationstest.

Kostenrahmen: 4000,00 bis 8000,00 Euro

Einsatzgebiete

Multi-Tenant SaaS-Plattform mit API

Eine komplexe Plattform mit diversen Nutzerrollen, Nutzerrechteverwaltung sowie Multi-Tenant-Fähigkeit. Die Plattform bietet Funktionen zum Upload und Verarbeitung diverser Dateitypen. Login via SSO/MFA. Es gibt eine komplexe API, die von Drittanbietern genutzt werden kann. Es wird der Greybox-Ansatz gewählt. Der Quellcode der App steht nicht zur Verfügung, dafür aber eine Dokumentation aller Funktionen sowie der API.

Kostenrahmen: 12000,00 bis 18000,00 Euro

Einsatzgebiete

Limitiertes Spear-Phishing

Gezieltes Ausfindigmachen von "interessanten" Personen im Zielunternehmen und Verschicken einer E-Mail mit einem Link, der auf eine Phishing-Seite führt. Hierbei wird versucht, Zugangsdaten zu stehlen. Der Auftraggeber will sehen, welche Personen gefunden werden und reagiert wird.

Kostenrahmen: 1000,00 bis 1500,00 Euro

Einsatzgebiete

OSINT/Darkweb Intelligence

Der Auftraggeber will wissen, welche Informationen über das Unternehmen, die Infrastruktur, Applikationen und "Persons of Interest" zu finden sind und ob bereits Daten im Darkweb zu finden sind, die ausnutzbar wären. Es wird eine Liste mit gefundenen Informationen und Quellen erstellt.

Kostenrahmen: 2000,00 bis 3000,00 Euro

Einsatzgebiete

Kleines öffentliches Netzwerk

Ein Mittelständler mit etwa 40 verschiedenen Diensten/Portalen will den Perimeter (mehrheitlich AWS) untersuchen und bewerten lassen. Wir müssen sie erst finden, alle Dienste bewerten und nach "Low Hanging Fruits" suchen. Es folgende fokussierte Penetrationstests gegen kritische Assets.

Kostenrahmen: 3000,00 bis 7000,00 Euro

Jetzt kostenlosen Vorschlag zur Verbesserung Ihrer App oder Ihres Netzwerks anfragen!

Wie kann man die Kosten für einen Penetrationstest senken?

Bisher konnten wir für jedes Budget und jedes Projekt eine passende Lösung finden. Es gibt jedoch Dinge, die Sie als Auftraggeber tun können, um die Penetrationstest Kosten zu senken bzw. eher die Ergebnisse zu optimieren.

Ordentliche Vorbereitung

Wir erleben es häufig, dass Systeme nicht für einen Pentest vorbereitet sind. Es gibt kein Demo/Test-System bzw. es ist leer und es fehlen relevante Daten, um bestimmte Funktionen ausführlich und korrekt zu testen. Der Penetrationstester sollte sich nicht darum kümmern müssen, dass alle und korrekte Daten vorhanden sind.

Priorisierung

Speziell wenn das Budget kleiner ist, lohnt es sich nachzudenken, welche Funktionen vielleicht problematisch sein könnten und diese priorisiert zu testen und damit den Fokus auf schwere und kritische Lücken zu setzen. Bei Aufträgen mit großer Infrastruktur sollte man ebenfalls vorab wissen, wo ein Angriff am meisten Schaden verursachen würde.

Bericht und Meeting

Ist eine Zusammenfassung für das Management wichtig? Reicht nicht vielleicht eine kurze Liste mit allen Funden - kurz erklärt und mit Proof of Concept? Die Zeit, die wir in das Schreiben des Berichts investieren müssen, könnten wir auch damit verbringen einen ausführlicheren und tieferen Pentest durchzuführen.

Regelmäßige Wiederholung

Beim ersten Penetrationtest müssen sich Auftragnehmer und Auftraggeber erst einmal kennenlernen. Wir müssen uns einarbeiten und alle Systeme kennenlernen. Bei regelmäßiger Wiederholung von Penetrationstest durch das gleiche Team kann dieser Teil oft übersprungen werden und man arbeitet effizienter und fokussierter.

Teamgröße minimieren

Für gewöhnlich arbeiten wir in 2-3 Personen-Teams. Auch hier gilt das Mehr-Augen-Prinzip. Die Fähigkeiten ergänzen sich in der Regel hervorragend und entsprechend sind die Ergebnisse. Logischerweise gibt es auch hier Einsparpotenzial. Wenn es nötig wird, kann auch nur eine Person einen Test komplett abwickeln.

Kontaktieren Sie DSecured

Penetrationstest anfragen