Der Penetrationstest-Käuferratgeber: Richtig scopen, Budget sinnvoll einsetzen

Penetrationstest Käuferratgeber, Scoping, Blackbox vs. Greybox, den richtigen Anbieter wählen

This page is also available in English.


Du hast entschieden, dass du einen Penetrationstest brauchst. Gute Entscheidung. Aber bevor du einen Auftrag unterzeichnest, kann vieles schiefgehen: falscher Scope, falsche Methodik, falsche Erwartungen. Das Ergebnis ist ein Bericht, der in der Schublade verstaubt, und ein Budget, das verschwendet wurde.

Dieser Ratgeber richtet sich an die Menschen, die Pentests kaufen, nicht an jene, die sie durchführen. Er erklärt, was ein Pentest wirklich ist, wann man ihn durchführen sollte, was man erwarten kann und wie man die häufigsten und teuersten Fehler vermeidet.

Was ein Pentest wirklich ist (und was nicht)

Ein Penetrationstest ist der manuelle Prozess des Auffindens von Schwachstellen und Fehlkonfigurationen in IT-Systemen, durchgeführt von einem unabhängigen menschlichen Tester. Das Ergebnis ist ein Bericht, der jede Schwachstelle dokumentiert, erklärt, warum sie ein Problem ist, und zeigt, wie sie behoben werden kann.

Zwei Dinge sind nicht verhandelbar:

  • Er muss von einem Menschen durchgeführt werden. Wenn niemand aktiv darüber nachdenkt, wie Schwachstellen miteinander verkettet werden können, bekommt man keinen Pentest. Man bekommt einen Vulnerability-Scan mit einer teureren Rechnung.
  • Der Tester muss unabhängig sein. Jemand, der am Aufbau des Systems mitgewirkt hat, kann es nicht objektiv testen. Er weiß bereits, wo er nachgeschaut hat und was er ausgelassen hat.

Es gibt einen neueren Trend, bei dem Anbieter „KI-Penetrationstests" verkaufen. Ein automatisiertes Tool, das vordefinierte Prüfungen durchführt, ist ein Vulnerability-Scanner. Ein erfahrener Tester, der KI-Tools als Unterstützung einsetzt, führt einen Pentest durch. Der Unterschied ist enorm.

Ein technisches Audit ist ein verwandtes, aber eigenständiges Konzept. Während ein Pentest einen Angreifer simuliert, überprüft ein Audit die Konfiguration anhand einer Baseline: Wie viele Admin-Konten existieren? Ist das Patch-Management dokumentiert? Werden Logs gesammelt? Für Standardprodukte und -plattformen liefert ein Audit oft mehr Wert pro Euro als ein Pentest.

Es gibt nie den perfekten Zeitpunkt. Aufhören zu warten.

Der häufigste Grund, warum Unternehmen ihren ersten Pentest verzögern: „Wir sind gerade dabei, X zu implementieren. Wenn das fertig ist, macht es mehr Sinn."

Nach X kommen Y und Z. IT-Systeme sind keine statischen Objekte, die irgendwann fertig sind. Sie wachsen, verändern sich und akkumulieren Komplexität, und in der Komplexität leben die Schwachstellen.

Angreifer warten nicht darauf, dass dein Implementierungsplan abgeschlossen ist. Jeder Monat, den du wartest, ist ein Monat, in dem die Schwachstellen in deinem aktuellen System ausnutzbar sind.

Die richtige Antwort ist regelmäßiges Testen, nicht ein einzelner Test, der auf einen Meilenstein abgestimmt ist. Das Ziel ist nicht, einen Snapshot deiner Infrastruktur zu zertifizieren. Es geht darum, die Angriffsfläche kontinuierlich zu reduzieren, während sich das System weiterentwickelt.

Blackbox, Greybox, Whitebox: Was kaufst du wirklich?

Blackbox-Tests geben dem Tester keine Zugangsdaten und kein Wissen über die internen Systeme. Der Tester arbeitet wie ein nicht authentifizierter externer Angreifer. Das ist der natürliche Ausgangspunkt für einen externen IT-Infrastruktur-Penetrationstest.

Das Problem: Ein externer Angreifer ohne Zugangsdaten findet selten etwas, das ein Vulnerability-Scanner nicht auch finden würde. Wenn deine externen Systeme vernünftig gepatcht und konfiguriert sind, liefert ein Blackbox-Test oft nur niedrige bis mittlere Ergebnisse, nicht weil deine Systeme sicher sind, sondern weil die gefährlichsten Schwachstellen erst sichtbar werden, sobald ein Angreifer bereits innen ist.

Greybox-Tests (bei denen der Tester gültige Benutzer-Zugangsdaten oder Teilwissen erhält) sind fast immer der bessere Einsatz des Budgets. Sie simulieren das realistische Szenario: Ein Phishing-Angriff war erfolgreich, oder ein unzufriedener Mitarbeiter hat Zugang. Hier liegen die interessanten Schwachstellen, und es ist der Standardansatz für einen internen IT-Infrastruktur-Penetrationstest.

Whitebox-Tests geben dem Tester vollen Zugang zu Dokumentation, Quellcode und Konfiguration. Das ist die gründlichste Option und die richtige Wahl für kritische Systeme oder Software-Entwicklungspipelines.

Meine ehrliche Meinung: Externe Blackbox-Tests, die Jahr für Jahr ohne Änderung der Methodik wiederholt werden, sind oft der teuerste Weg, am wenigsten zu lernen. Bevor du diesen Vertrag verlängerst, frag dich, was du beim letzten Mal wirklich gelernt hast.

Scope und Preis: Warum das kein Vertriebsjob ist

Pentests sind nicht günstig. Das ist in Ordnung: wenn Qualität und Scope stimmen, sind sie jeden Cent wert.

Das Problem ist, dass Scope- und Preisentscheidungen oft von Vertriebsmitarbeitern getroffen werden, die selbst nicht testen. Ein Vertriebsmitarbeiter kann dir Stunden und Tagessätze nennen. Er kann dir nicht sagen, ob deine Umgebung 20 oder 80 Stunden braucht, ob ein externer Test oder eine interne Prüfung mehr Wert liefert oder welche Systeme das größte Risiko tragen.

Diese Entscheidung erfordert jemanden, der das schon hunderte Male gemacht hat. Ein erfahrener Pentester, der vor dem Schreiben eines Angebots die richtigen Fragen stellt, ist ein Zeichen für einen seriösen Anbieter. Ein schnelles Standardangebot ohne Scoping-Gespräch ist ein Warnsignal.

Das richtige Scoping-Gespräch beginnt mit deiner Motivation:

  • Machst du das, weil es Compliance erfordert?
  • Hast du kürzlich etwas Kritisches in die Cloud migriert?
  • Bist du besorgt über Insider-Bedrohungen?
  • Ist das dein erster Test oder eine Nachfolge-Prüfung nach der Behebung?

Die Antworten auf diese Fragen sollten direkt bestimmen, was getestet wird, wie und wie lange.

Erwartungen managen: Was ein „sauberer" Bericht wirklich bedeutet

Es gibt eine häufige Angst bei Menschen, die Pentests beauftragen: Was, wenn der Tester nichts findet?

In meiner Erfahrung hat es noch nie einen Pentest mit null Schwachstellen gegeben. Aber es gibt einen Unterschied zwischen einem Test, der eine kritische Kette von Schwachstellen aufdeckt, die zu einer vollständigen Domain-Kompromittierung führt, und einem, der fünf mittelschwere Schwachstellen zurückgibt.

Beide sind wertvoll. Hier ist warum:

Externe Perimeter-Tests finden oft keine kritischen Schwachstellen. Und das ist eigentlich das Ziel. Deine externe Angriffsfläche sollte gehärtet sein. Festzustellen, dass sie es ist, gibt dir Vertrauen und Daten. Wenn du erwartest, dass ein Tester deine Server von fünf IP-Adressen ohne Zugangsdaten kompromittiert, hast du entweder zu viele Hacking-Filme gesehen oder deine Infrastruktur hat ernsthafte Probleme.

Interne Prüfungen sind eine andere Geschichte. In meiner Erfahrung sind kritische Schwachstellen häufig, sobald man im Netzwerk ist. Fehlkonfigurationen in Active Directory, übermäßige Rechtedelegation, veraltete interne Dienste: diese tauchen regelmäßig auf.

Auch niedrige und mittlere Schwachstellen verdienen Aufmerksamkeit. Die meisten realen Angriffe nutzen keine einzelne kritische Schwachstelle. Sie verketten mehrere kleinere Schwächen. Eine mittlere Schwachstelle, die isoliert harmlos erscheint, könnte das Bindeglied sein, das eine Kette erst möglich macht. Wird sie behoben, entfällt ein Trittstein.

Das Ziel eines Pentests ist nicht, dein Team bloßzustellen. Es geht darum, zu finden, was es selbst nicht finden konnte, nicht weil es inkompetent ist, sondern weil jeder, der ein System aufbaut, nicht den Kopfraum hat, jede seiner Annahmen zu hinterfragen.

Dein erster Pentest: Kleiner anfangen ist klüger

Wenn das dein erster Pentest ist, lass dich nicht von einem Anbieter zu einem riesigen Engagement überreden.

Was typischerweise bei einem ersten Assessment passiert: Es dauert nicht lange, bis kritische Schwachstellen gefunden werden. Das interne IT-Team verbringt dann Monate mit der Behebung. Ein wochenlanger Test in dieser Phase erzeugt einen Bericht, mit dem man nicht umgehen kann: man ist überwältigt, bevor man das Grundlegende behoben hat.

Ein besserer Ansatz:

  1. Fokussiert beginnen. Zuerst die am stärksten exponierten oder wertvollsten Systeme testen. Das Pentest Starter Pack ist genau für diese Situation entwickelt: eine scope-begrenzte erste Prüfung, die dir ein klares Bild deines Sicherheitsstands gibt, ohne dein Team zu überfordern.
  2. Schwachstellen beheben. Dem Team Zeit zur Behebung geben, bevor erneut getestet wird.
  3. Beim nächsten Mal tiefer gehen. Sobald die offensichtlichen Schwachstellen beseitigt sind, sind längere Tests mehr wert, weil der Tester härter arbeiten muss, um etwas zu finden.

Sicherheit ist ein Prozess, kein Projekt. Ein guter Pentest-Anbieter bemisst seine Engagements daran, wo du in diesem Prozess wirklich stehst, nicht daran, seine Rechnung zu maximieren.

Fragen, die du vor der Unterschrift stellen solltest

Nutze diese, um einen Anbieter zu bewerten oder ein Angebot zu prüfen:

  • Wer führt den Test tatsächlich durch, und was ist sein Hintergrund?
  • Ist beim Scoping-Gespräch ein Tester dabei oder nur ein Vertriebskontakt?
  • Schlagst du Blackbox-Tests vor, und wenn ja, warum ist das für unsere Umgebung die richtige Wahl?
  • Welche Deliverables sind enthalten, und kann ich einen Beispielbericht sehen? (VidraSec veröffentlicht Musterberichte, damit du weißt, was du bekommst.)
  • Wie gehst du mit kritischen Schwachstellen während des Engagements um?
  • Empfiehlst du Folgetests nach der Behebung, und wie ist das strukturiert?

Ein Anbieter, der auf diese Fragen nachdenklich zurückfragt, statt sie nur zu beantworten, ist meist die richtige Wahl.

Zusammenfassung

FrageKurze Antwort
Pentest vs. Vulnerability-ScanManuell, menschengetrieben, unabhängiger Tester
Wann anfangenJetzt. Nicht nach Abschluss von X.
Blackbox vs. GreyboxGreybox liefert fast immer mehr Wert
Wer scopt das ProjektEin Tester, kein Vertriebsmitarbeiter
Größe des ersten PentestsKlein anfangen, beheben, dann tiefer gehen
„Sauberer" BerichtImmer noch wertvoll: Sicherheit ist auch ein Deliverable

Der Markt hat viele Anbieter, die dir gerne einen Compliance-Haken verkaufen. Die, mit denen es sich lohnt zu arbeiten, sind jene, die dir sagen, wenn ein anderer Ansatz dir mehr nützen würde.

Fragen zum Scoping deines nächsten Pentests? Meld dich gerne.

martin​@​vidrasec.com

+43 670 3081275

+43 670 3081275

Termin auswählen

Zugehörige Dienstleistungen