Pentest FAQ

In unserem Pentest FAQ findest du Antworten zur Prüfung von IT Schwachstellen in deinem Unternehmen. Du erfährst alles Wissenswerte über Hacker Angriffe und Ransomware – und warum es wichtig ist, deine Netzwerksicherheit rechtzeitig prüfen zu lassen, bevor es zu Schäden kommt.

Pentest – Warum ist er sinnvoll?

Warum sollte ich einen Pentest durchführen lassen?

Ein Penetrationstest hilft dir dabei, die Gesamtsicherheit deines Unternehmens zu beurteilen und Schritte für die Absicherung zu planen, falls deine IT Sicherheit riskante Schwachstellen aufweist. Da ein Hacker Angriff nicht nur enorme Schäden in deinem Netzwerk anrichten kann, sondern oft auch hohe Kosten und lange Ausfallzeiten deines Systems nach sich zieht, ist es wichtig, es gar nicht erst so weit kommen zu lassen!

Unsere Welt wird durch die Digitalisierung immer schnelllebiger – und auch Hacker bleiben
dabei nicht stehen. Sie setzen immer ausgefeiltere Methoden ein, um in dein IT System
einzubrechen. Vorkehrungen wie Anti-Viren-Software reichen da schon lange nicht mehr
aus. Und auch, wenn viele Firmen mittlerweile mehr Wert auf eine breit aufgestellte
Netzwerksicherheit legen, werden bestimmte Bereiche in der IT Sicherheit oft vergessen.
Während sich die Hacker also stetig weiterentwickeln, bleiben die IT Schwachstellen oft über
Monate, wenn nicht Jahre, unentdeckt bestehen – bis ein findiger Hacker darauf stößt und
sie ausnutzt.

Verhindern lässt sich das nur, indem du diese Schwachstellen rechtzeitig erkennst und die
Sicherheitslücken schließt. Und genau hier kommt Pentesting ins Spiel: Schwachstellen werden aufgedeckt und wir zeigt dir konkret, wo Handlungsbedarf besteht.

Unterscheidet sich ein Pentest von einem Security Scan?

Ein Security-Scan ist eine Sicherheitsanalyse, die z.B. von Systemhäusern oder
Datenschützern angeboten und mit einer automatisierten Software durchgeführt wird. Dabei werden bereits bekannte IT Schwachstellen der letzten Jahre in einer
Standardkonfiguration überprüft und anschließend in einem Bericht zusammengefasst.

Ein Security Scan ist ein erster Schritt in Richtung IT Sicherheit – allerdings kann nur ein
Pentest eine wirklich tiefgehende IT Schwachstellenanalyse liefern. Das liegt daran, dass
beim Pentesting eine Kombination aus einer manuellen und halb-automatisierten Analyse
durchgeführt wird. Ein Pentest ist daher keine Standardprüfung, sondern eine
maßgeschneiderte Lösung, die passgenau auf dein System abgestimmt wird.

Der Pentest geht detailliert auf die Einzigartigkeit deiner Unternehmensstruktur ein.
Dadurch werden auch die IT Schwachstellen sichtbar, die für einen automatisierten Scanner
nicht erkennbar sind – z.B. logische Schwachstellen, Kreuzabhängigkeiten, individuelle
Konfigurationen von Software oder Betriebssystemen.

Wie oft sollte ich einen Pentest machen lassen?

Als Faustregel empfehlen wir einen Pentest pro Jahr sowie bei jeder größeren Software-
Einführung und jedem größeren Update. Dazu gehören z.B. Upgrades deines Betriebssystems oder wenn du die Kernsoftware deines Unternehmens umstellst.

Ansonsten ist die Empfehlung vom Tätigkeitsbereich deines Unternehmens und seiner
„Attraktivität“ für Angreifer abhängig. Ebenso ist entscheidend, welche Schnittstellen dein
Unternehmen zur Außenwelt nutzt.

Wie gründlich ist ein Pentest überhaupt? Findet er alle IT Schwachstellen?

Vorneweg: Je mehr Zeit du uns für das Pentesting gibst, desto gründlicher können wir deine
Netzwerksicherheit testen. Mehr Zeit ergibt für dich also ein höheres Sicherheitsniveau.
Denn egal, wie erfahren ein Pentester ist, es ist nicht möglich alle IT Schwachstellen innerhalb weniger Stunden aufzuspüren – denn ein Hacker hat im Vergleich zum Pentester nahezu unbegrenzt Zeit, um nach Lücken in deiner IT Sicherheit zu suchen!

Was ist mit White Box Test, Black Box Test und Grey Box Test gemeint?

Die drei Begriffe beschreiben unterschiedliche Testmethoden, die bei einem Pentest zum
Einsatz kommen können. White Box Pentests und Black Box Pentest haben wir hier für dich zusammengefasst.

Ein Grey Box Pentest ist eine Mischform aus Black Box und White Box Test. Er kommt zum
Einsatz, wenn wir die externe Infrastruktur aus den Augen eines Hackers, also ohne Vorkenntnisse, testen und die interne Infrastruktur mit einem White Box Test geprüft werden soll.

Ich erstelle gerade eine neue Website bzw. Software – macht ein Pentest jetzt schon Sinn?

Der Pentest einer Website oder App sollte unmittelbar nach dem letzten Feinschliff
durchgeführt werden – also zu einem Zeitpunkt, an dem du (bis auf evtl. Fehlerbehebungen)
nichts mehr am Code ändern musst. 

Der Ablauf: So funktioniert Pentesting

Wie läuft ein Pentest ab?

Wie lange dauert ein Pentest?

Die Dauer eines Penetrationstests hängt davon ab, was wir für dich überprüfen sollen:
Die Analyse der externen Infrastruktur und einer Website können wir i.d.R. schon innerhalb
weniger Tage für dich durchführen. Tiefergehende Pentests und Phishing Tests benötigen
etwas mehr Vorbereitungszeit mit ca. zwei bis vier Wochen Vorlauf.

Die Dauer des eigentlichen Pentestings hängt dann hauptsächlich vom Umfang deines IT Systems ab und welches Sicherheitsniveau du erreichen möchtest. Je mehr Zeit du uns gibst, desto gründlicher können wir dein System nach Schwachstellen absuchen. Natürlich spielt auch das Budget eine Rolle – wir empfehlen, die möglichen Kosten eines Hackerangriffs mit den Kosten eines Pentests abzuwägen. So kannst du am besten einschätzen, wie viel Budget und Zeit für dich Sinn ergeben.

Du benötigst zeitnah einen Pentest?
Dann schreib uns einfach eine Mail oder ruf uns an, und wir finden eine Lösung!

Welche Ergebnisse bekomme ich nach dem Pentesting?

Nach dem Pentesting bekommst du einen umfangreichen Audit-Bericht von uns. Darin
werden alle überprüften Bereiche genau dokumentiert und alle Schwachstellen anschaulich
aufgelistet, die wir beim Pentest ermittelt haben. Anschaulich heißt konkret, dass wir dir die
Schwachstellen anhand von Screenshots und Auszügen der gefundenen Daten aufzeigen.
Du bekommst von uns außerdem eine Beschreibung der möglichen Szenarien, in denen die
Schwachstellen ausgenutzt werden können – inklusive Risikoschätzung.

Damit der Bericht auch für Nicht-ITler verständlich ist, enthält er zudem eine
Zusammenfassung in nicht-technischer Sprache – die du dann z.B. an dein Management
geben kannst.

Werden die gefundenen Sicherheitslücken direkt behoben?

In deinem Audit-Bericht bekommst du Vorschläge und Tipps zur Schließung der einzelnen
Sicherheitslücken, die anschließend von deiner IT-Abteilung bewertet und umgesetzt
werden können. Jede IT Schwachstelle wird dabei detailliert aufgeführt, sodass deine IT
direkt mit der Umsetzung loslegen kann. Sobald sie alle Schwachstellen behoben haben, überprüfen wir dein IT System selbstverständlich noch einmal kostenlos mit einem weiteren
Pentest.

Falls du selbst kein eigenes IT-Team zur Verfügung hast, empfehlen wir dir gerne einen
unserer langjährigen Partner, der die Schließung deiner Sicherheitslücken schnell und
zuverlässig übernimmt.

Wie viel kostet ein Pentest?

Wie werden die Kosten für einen Pentest kalkuliert?

Ein echter Hacker hat nahezu unbegrenzt Zeit, nach Schwachstellen in deinem Netzwerk zu
suchen, um diese auszunutzen. Einem Pentester steht hingegen nur so viel Zeit zur
Verfügung, wie du ihm durch dein Budget zur Verfügung stellst. Deswegen ist es wichtig, als
Unternehmen die sog. Opportunitätskosten eines Hackerangriffs mit den Kosten eines
Penetrationstests abzuwägen.

Als Orientierungshilfe kannst du folgende Pentest Kosten planen:

  • Webanwendung: 3.000 – 10.000 Euro
  • Netzwerkinfrastruktur: 3.000 – 20.000 Euro
  • Active Directory: 10.000 Euro bis 15.000 Euro
  • Externe Infrastruktur: 3.000 Euro bis 10.000 Euro

Die genauen Kosten eines Pentests sind stark von der Komplexität deines IT Systems und dem
gewünschten Sicherheitsniveau abhängig. Gerne erstellen wir dir unverbindlich ein genaues
Angebot für einen Penetrationstest – fülle dazu einfach unser Kontaktformular aus. Wir melden uns umgehend bei dir!

Wie viel kostet ein Phishing Test?

Die Kosten für einen Phishing Test beginnen grob bei 3.000,- EUR. Der genaue Preis ist dabei
von der Komplexität des Szenarios abhängig, das wir nachstellen, sowie von der Anzahl der
Personen, die getestet werden sollen.

Da ein Phishing Test sehr individuell ist, arbeiten wir mit einem Pauschalpreis, der sich aus
folgenden Punkten ergibt:

 

  • Aufwand für die Erstellung des Szenarios (Besprechung der Ziele, Nachbau einer Seite, Domainkosten, Infrastrukturkosten, etc.)
  • Zustellversuche
  • Fehlerbehebungen
  • Auswertung der gewonnenen Daten
  • ggf. Überprüfung der Daten auf Echtheit
  • Berichterstellung

Ich stehe gerade am Anfang und habe ein kleines Unternehmen – gibt es bei BreakinLabs auch Sonderpreise oder Rabatte?

Wir verstehen, dass es gerade in der Gründungsphase wichtig ist, die Kosten so gering wie
möglich zu halten. Deswegen bieten wir für Start-ups, Kleinunternehmer und akademische
Einrichtungen Pentesting zu folgenden Sonderkonditionen an:

  • Start-ups: 700,- EUR für einen eintägigen Pentest (s. Start-up Package)
  • gGmbH: 1.000,- EUR Pentest Tagessatz
  • Akademischer Bereich: 1.000,- EUR Pentest Tagessatz

Wenn du zu einer der drei Gruppen gehörst, kontaktiere uns bitte über unser Kontaktformular.

Bitte habe Verständnis, dass wir darüber hinaus keine weiteren Rabatte anbieten können.

Start-up-Package

Wir alle haben einmal klein angefangen und hatten dabei nur eingeschränkt Ressourcen
zur Verfügung. Da aber gerade IT Sicherheit essenziell ist, um neue Ideen vor Diebstahl
durch Hacker zu schützen, bieten wir unseren Pentest für Start-ups zum Einstiegspreis von
700,- EUR zzgl. MwSt. an.

Bedingungen:

  • Dein Start-up ist nicht älter als 3 Jahre
  • Maximal ein Pentest-Tag
  • Du buchst das Start-up-Package zum ersten Mal

Unser Start-up-Package kannst du direkt über unser Kontaktformular anfordern. 

Rechtliche Fragen zum Pentest

Warum benötige ich für Pentesting die Erlaubnis meiner Hoster?

Der Server und die Infrastruktur sind Eigentum des Hosters und unterliegen somit den
„Hacker-Paragrafen“. Das bedeutet, dass ein unerlaubtes Eindringen rechtliche
Konsequenzen nach sich ziehen kann – auch, wenn dieser „Angriff“ im Rahmen eines
Pentests von professionellen Sicherheitsexperten vorgenommen wird.

Alle uns bekannten Hoster erlauben einen Pentest unter bestimmten Bedingungen. Falls du
dir nicht sicher bist, ob dein Hoster Pentesting genehmigt, nimm gerne Kontakt mit uns auf.

Ihr habt 7 Seiten AGB – ist das nicht ein bisschen viel?

Ja, du hast recht, sieben Seiten sind ganz schön viel Text. Dass unsere AGB so lang sind, liegt an den rechtlichen Vorgaben in Deutschland. Der Gesetzgeber hat 2008 durch die aufgeweichte und leider unklare Gesetzgebung der sog. „Hacking-Paragrafen“ eine Grauzone geschaffen, die bisher nicht behoben wurde. Wenn du mehr dazu lesen möchtest, haben wir dir einen passenden Artikel verlinkt.

Unsere AGB beschreiben die rechtliche Situation und ermöglichen es uns, deine Systeme auf
IT Schwachstellen zu überprüfen, ohne dabei mit dem Gesetz in Konflikt zu geraten.

Wir hoffen, unsere Pentest FAQ haben dir weitergeholfen! Falls du noch weitere Fragen hast
kannst du uns gerne via Kontaktformular oder Telefon erreichen.


Und wie sieht es im Bereich IT Security aus – weißt du hier schon Bescheid? Falls nicht
findest du in unseren IT-Sicherheit FAQs? Antworten auf alle wichtigen Fragen rund um das
Thema IT Sicherheit – und wie du dein Unternehmen schützen kannst.