FAQ

Preise und Dauer

Was kostet ein Penetrationstest?

VidraSec verwendet transparente, personentagebasierte Preisgestaltung. Jedes Angebot enthält die geplante Anzahl an Personentagen, den Tagessatz und einen Fixpreis: der genannte Preis ist der berechnete Preis, auch wenn die Arbeit ein paar Stunden länger dauert. Engagements beginnen typischerweise ab 6.000 €. Der endgültige Preis hängt vom Umfang und der Dauer ab. Nimm Kontakt auf, um ein auf dich zugeschnittenes Angebot zu erhalten.

Wie lange dauert ein Penetrationstest?

Typische Engagements umfassen 3-10 Tage aktives Testing, abhängig vom Umfang. Ein Webanwendungstest für eine einzelne Applikation dauert üblicherweise 3-5 Tage; ein vollständiger interner Infrastrukturtest mit Active Directory im Scope kann 5-10 Tage in Anspruch nehmen. Die Berichtserstellung kommt mit etwa 30-50% der Testzeit obendrauf.

Wie schnell kann es losgehen?

Nach der Unterzeichnung beträgt die typische Vorlaufzeit bis zum Projektstart etwa 4 Wochen, abhängig von der aktuellen Auslastung. Bei dringenden Anfragen kannst du Martin direkt kontaktieren, um die Verfügbarkeit zu besprechen.

Der Ablauf

Wie läuft das erste Gespräch ab?

Das Gespräch dauert etwa 30 Minuten. Keine Vorbereitung notwendig. Ich stelle dir ein paar Fragen zu deiner Umgebung und was dich zum Thema Testing treibt. Wenn du bereits Details hast (Anzahl der Systeme, Compliance-Anforderungen, frühere Testergebnisse), kannst du sie gerne teilen, aber es gibt keine Pflicht dazu. Du erhältst innerhalb weniger Werktage ein schriftliches Angebot.

Wer führt den Test tatsächlich durch?

Martin Grottenthaler führt jedes Engagement persönlich durch. Es gibt keine Account Manager, Delivery-Teams oder Substitutionen. Die Person, mit der du vor der Unterzeichnung sprichst, ist die Person, die deine Systeme testet, den Bericht schreibt und das Debriefing leitet.

Was passiert, wenn der Tester während eines Engagements krank wird?

Das Engagement wird pausiert und so bald wie möglich fortgesetzt. Es gibt keine Substitutionen: eine kurze Verzögerung ist ein besseres Ergebnis, als jemanden weitermachen zu lassen, den du nie gesprochen hast. In der Praxis führt Krankheit selten zu mehr als einer kurzen Unterbrechung. Wenn du einen fixen Compliance-Termin hast, sprich ihn beim Scoping an; ich stelle sicher, dass der Zeitplan genug Puffer lässt.

Remote oder vor Ort?

Interne Pentests werden in der Regel vor Ort durchgeführt, können aber bei entsprechender Netzwerkkonfiguration auch remote über VPN oder einen dedizierten Jump Host durchgeführt werden. Externe und Cloud-Assessments werden immer remote durchgeführt.

Was enthält ein Pentest-Bericht?

Jeder Bericht enthält eine Management-Zusammenfassung (nicht-technisch), einen detaillierten technischen Abschnitt pro Schwachstelle mit Beschreibung, Nachweis, Risikobewertung und Reproduktionsschritten sowie umsetzbare Empfehlungen zur Behebung. Alle Schwachstellen werden manuell verifiziert. Berichte enthalten keine automatisierten Scanner-Ausgaben. Sieh dir Beispielberichte an, um zu sehen, wie das in der Praxis aussieht.

Ist ein Retest nach der Behebung enthalten?

Ein Retest ist nicht standardmäßig enthalten, kann aber als optionaler Zusatz hinzugefügt werden. Beim Retest verifiziert VidraSec, ob die identifizierten Schwachstellen erfolgreich behoben wurden.

In welcher Sprache werden Berichte geliefert?

Berichte können auf Deutsch oder Englisch geliefert werden, vereinbart beim Scoping. Beide Sprachen werden vollständig unterstützt.

Vertraulichkeit und Datenschutz

Wird ein NDA unterzeichnet?

Ja. VidraSec unterzeichnet routinemäßig Geheimhaltungsvereinbarungen vor Beginn von Engagements. Kundennamen, Schwachstellen und Infrastrukturdetails werden nie an Dritte weitergegeben.

Wie werden sensible Kundendaten behandelt?

Alle Kundendaten werden im Rahmen des internen Informationssicherheits-Managementsystems (ISMS) von VidraSec behandelt, das an ISO-27001-Grundsätzen ausgerichtet ist. Dies umfasst sichere Speicherung von Testergebnissen und Berichten, strenge Zugriffskontrollen, Datensparsamkeit und definierte Löschverfahren nach Projektabschluss.

Compliance

Gilt ein VidraSec-Pentest für ISO 27001 / NIS2 / TISAX / DORA?

Ja. VidraSec-Penetrationstests dienen als dokumentierter Nachweis technischer Sicherheitsprüfungen für ISO 27001, NIS2, TISAX und DORA (Artikel 25). VidraSec stellt keine Compliance-Zertifikate aus; das ist Aufgabe der zuständigen Zertifizierungs- oder Prüfstelle. Hinweis: DORA-Artikel-26-TLPT (Threat-Led Penetration Testing für bedeutende Finanzunternehmen) ist ein separat regulierter Prozess und liegt außerhalb des Umfangs von Standard-VidraSec-Engagements.

Hat VidraSec mit regulierten Organisationen gearbeitet?

Ja. VidraSec hat Engagements für Organisationen durchgeführt, die ISO 27001, TISAX, DORA und NIS2 anstreben oder bereits einhalten. Diese Frameworks erfordern regelmäßige, dokumentierte technische Sicherheitsprüfungen. VidraSec-Assessments sind entsprechend strukturiert.

Umfang und Methodik

Ist VidraSec auch für kleinere Unternehmen geeignet?

Ja. VidraSec arbeitet sowohl mit KMUs als auch mit größeren Unternehmen. Ein kleineres Unternehmen mit weniger Systemen benötigt in der Regel weniger Personentage, und der Fixpreis spiegelt das wider. Nimm Kontakt auf, um zu besprechen, wie ein passendes Engagement für deine Organisation aussehen könnte.

Welche Zertifizierungen hat Martin Grottenthaler?

• OSCP: Offensive Security Certified Professional
• CISSP: Certified Information Systems Security Professional
• GCFA: GIAC Certified Forensic Analyst
• GWAPT: GIAC Web Application Penetration Tester

Noch Fragen? Nimm Kontakt auf. Unverbindlich.