Hinweis: Der folgende Artikel hilft Ihnen dabei: 4 Dinge, auf die Sie bei der Auswahl eines Anbieters für Penetrationstests achten sollten
Heutzutage sind Unternehmen bei alltäglichen Routineaufgaben stark von IT-Systemen abhängig. Dies ist einer der Hauptgründe, warum IT-Sicherheit zu einem so wichtigen Thema in Vorstandsgesprächen geworden ist. Unsichere Systeme bedeuten ein höheres Risiko für Störungen, Datenverluste, finanzielle Verluste, Reputationsschäden und die Nichteinhaltung von Vorschriften.
Penetrationstests (oder Pentests) haben an Bedeutung gewonnen, da Unternehmen jeder Größe bestrebt sind, ihre Informationssysteme zu sichern. Der Besitzer eines Systems und der Entwickler können bei der Bewertung seiner Sicherheit blinde Flecken haben, daher ist die Beauftragung eines Penetrationstest-Unternehmens wie Emagined Security unerlässlich. Anbieter von Penetrationstests gibt es jedoch in zahlreichen Schattierungen.
Sie möchten sicher sein, dass der von Ihnen ausgewählte Anbieter für die Aufgabe geeignet ist. Hier sind einige der kritischeren Faktoren, die Sie berücksichtigen sollten.
Lesen Sie auch: Top kostenloses, unbegrenztes VPN für PC (keine Registrierung erforderlich)
1. Art des Pentests
Welche Art von Penetrationstest (Pentest) suchen Sie? Handelt es sich um einen Netzwerk-/Infrastrukturtest, einen mobilen Anwendungstest, einen Webanwendungstest, einen Desktop-Anwendungstest oder einen Datenbanktest?
Wie soll der Test Ihrer Meinung nach durchgeführt werden? Dabei kann es sich um einen Black-Box-, White-Box- oder Grey-Box-Test handeln. Black-Box-Tests erfolgen, wenn der Tester keine Vorkenntnisse über das System hat. Es ist die Perspektive eines Außenstehenden.
Gray-Box-Tests werden mit begrenzten Kenntnissen der Systemumgebung durchgeführt. Es spiegelt die Sichtweise und Berechtigungsstufen eines autorisierten Systembenutzers wider. White-Box-Tests werden mit umfassenden Kenntnissen über das zugrunde liegende Design und die Struktur der Testumgebung durchgeführt.
Die verschiedenen Arten von Pentests erfordern unterschiedliche Fähigkeiten, Kenntnisse und Tools. Wählen Sie einen Anbieter, der Erfahrung mit genau der Art von Pentest nachweisen kann, die Sie suchen.
2. Datenschutzverfahren
Ein guter Pentester verfügt über eine außergewöhnliche Fähigkeit, auf die vertraulichen Daten Ihres Systems zuzugreifen und diese zu manipulieren. Ergo müssen sie nachweisen, dass sie diese Informationen vor, nach und während des Tests sicher verarbeiten und speichern. Sie vertrauen die sensibelsten Daten Ihres Unternehmens einem Dritten an. Es ist nur fair, dass sie eine plausible Erklärung dafür liefern, wie sie damit umgehen werden.
Zu den wichtigsten Fragen, die es zu stellen gilt, gehört, wie die Daten übermittelt, gespeichert und gelöscht werden. Finden Sie heraus, wie lange der Pentester Ihre Unterlagen aufbewahren wird.
Erkundigen Sie sich, ob sie schon einmal gehackt wurden. Auch wenn es überraschend sein könnte, dass ein Pentester es sich selbst verrät, fragen Sie trotzdem. Gehackt zu werden bedeutet nicht unbedingt, dass der Pentester inkompetent ist. Aber wenn es an einer leicht vermeidbaren Lücke lag, sollten Sie die Zusammenarbeit mit ihnen vielleicht noch einmal überdenken.
3. Haftpflichtversicherung
Trotz aller Bemühungen kann ein Pentest schief gehen und unbeabsichtigte negative Folgen haben. Bevor Sie also einen Vertrag mit einem Pentesting-Anbieter abschließen, vergewissern Sie sich, dass dieser über eine Haftpflichtversicherung verfügt. Der Versicherungsschutz bietet unternehmerischen Schutz für den Fall, dass die Haftungsrisiken eintreten.
Wenn das Pentesting beispielsweise Schäden an Ihrer physischen oder technischen Infrastruktur verursacht, kann der Versicherungsschutz den Folgeschaden beheben. Ein Anbieter von Penetrationstests ist im Bereich Datenschutz und Informationsrisikomanagement tätig. Eine gültige Haftpflichtversicherung ist der Beweis dafür, dass sie die Verantwortung zum Schutz der Umwelt des Kunden ernst nehmen.
4. Budget
Geld sollte bei der Auswahl eines Anbieters niemals der Hauptfaktor sein. Dennoch verfügt jedes Unternehmen über begrenzte Ressourcen und kann es sich nicht leisten, einfach jeden angegebenen Betrag auszugeben. Verschiedene Anbieter geben unterschiedliche Kosten für die Tests an.
Wenn Sie bereits einen Pentest auf einem oder mehreren Ihrer Systeme durchgeführt haben, wissen Sie wahrscheinlich ungefähr, wie viel es Sie kosten wird. Daher können Sie im Vorfeld ein realistisches Budget erstellen.
Wenn Sie jedoch noch nie einen Pentest in Auftrag gegeben haben, sollten Sie sich besser anhören, wie viel verschiedene Anbieter verlangen. Danach können Sie bestimmen, welche Gebühr für Sie akzeptabel ist. Stellen Sie beim Vergleich von Anbieterangeboten sicher, dass es sich um Gleiches handelt. Nur weil eine Aktion als Pentest bezeichnet wird, heißt das nicht, dass sie von jedem Anbieter gleich durchgeführt wird.
Diese vier sind sicherlich nicht alle. Weitere Dinge, nach denen Sie potenzielle Anbieter fragen sollten, sind relevante Referenzen, Beispielberichte, Projektmanagement-Expertise und Testmethodik. Wenn Sie diese Dinge überprüfen, erhöht sich die Wahrscheinlichkeit, dass Sie ein gutes Preis-Leistungs-Verhältnis erhalten.
