Hält Ihre IT-Gefahrenabwehr den Angriffen stand, für die sie konzipiert wurde? Sind Ihre Daten ausreichend gegen Missbrauch geschützt (Adresshandel, Identity Theft, Ransomware)? Und wie steht es um Ihre Steuerungssysteme?
Penetrationstests sind praktische Überprüfungen die feststellen, wie gut eine IT-Umgebung gegen Versuche gewappnet ist, sich unbefugt zu ihr Zugang zu verschaffen.
Somit stellt der Penetrationstest das Pendant dar zu den im Rahmen einer Risikoanalyse festgestellten Schwächen und den dagegen gesetzten Maßnahmen: Er prüft, ob die Analyse vollständig und die Maßnahmen wirksam waren.
Wichtig: Penetrationstests müssen regelmäßig oder anlassbezogen wiederholt werden.
Schnell zum Penetrationstest
Wählen Sie zunächst den Modus des Tests: Er beschreibt den Grad der Kenntnisse über die IT-Umgebung, die der Auftragnehmer erhält (wir nennen einen Test ohne jeglichen Hinweis „Blindtest“). Dies bestimmt in weiten Teilen die Dauer und den Aufwand des Tests. Erst dann sollte der Umfang des Tests festgelegt werden. Es werden verschiedene Leistungspakete angeboten, die individuell ergänzt werden können. Allen gemeinsam sind eine Vor- sowie eine Nachbereitungsphase (siehe unten), für die jeweils ein halber Tag (ggfs. mehr) vor Ort vorgesehen ist.
Die Leistungspakete haben folgende Umfänge:
Entspricht in seiner Durchführung weitgehend einem „Vulnerability Scan“.
Erweitert den Kurzcheck um einen Test der On-Site Umgebungssicherheit, der den Zugang zu Arbeitsplätzen, Peripheriegeräten und offenen Netzwerkzugängen umfasst. Außerdem erfolgt ein Basis-Test der Cloud-Systeme und von Steuerungssystemen.
Dieser Test erweitert die vorigen Tests um systematische Angriffe auf Verschlüsselungstechnik von Web-Servern, Cloud-Systemen und Steuerungssystemen.
Auf Wunsch werden auch „brute-force“-Methoden eingesetzt.
Der Testaufwand ist abhängig von Komplexität der Umgebung, Modus, Umfang und Tiefe der Tests. Daher wird grundsätzlich in Personentagen (PT) abgerechnet.
Nachfolgende Erfahrungswerte für Organisationsgrößen dienen als unverbindliche Hinweise. Die Werte in den zwei linken Spalten sind wahlweise zu verstehen.
Nutzer
|
Applikationen
|
Test-Paket
|
Geschätzte PT
|
250
|
50
|
Check
Kompakt
Voll
Check, Blindtest
Kompakt, Blindtest
Voll, Blindtest
|
3
7
9
5
10
12
|
Der Aufwand lässt sich zwar skalieren, allerdings ist auch bei kleineren Organisationen oder geringerer Anzahl Applikationen ein geringerer Aufwand als oben angegeben nicht realistisch.
Der Aufwand fällt nicht linear „in Vollzeit“ an, daher sind für jeden PT Aufwand ca. 3 Arbeitstage Dauer anzusetzen.
Penetrationstests sind Vertrauenssache.
Lassen Sie sich unverbindlich beraten.