klsjdajsdhaksjdhasj

Ein Pentest ist eine schnelle, gut planbare und vor allem günstige Überprüfung, um die Sicherheit von Systemen zu einem bestimmten Zeitpunkt zu bestimmen. Er bietet eine hohe Transparenz und dient daher oft auch in Datenschutzfragen als objektiver Nachweis über den sorgfältigen Umgang mit vertrauenswürdigen Daten im Unternehmen.

  • Risikoabschätzung
  • Ausführlicher Bericht
  • Lösungsvorschläge
  • Zertifizierte Sicherheitsexperten

Wann ist ein Pentest sinnvoll?

Typischerweise werden Pentests auf einzelnen Systeme im Zuge von Abnahmetests unmittelbar vor Produktivsetzung vorgenommen. Danach sollten Pentests im Rahmen eines Informationssicherheits-Management in regelmäßigen Abständen wiederholt werden, idealerweise aufeinander aufbauen und vom Releasezyklus entkoppelt durchgeführt werden.

Welche Alternativen zu einem Penetrationstest gibt es?

SEC Consult bietet für Kunden, die DevOps als Entwicklungsmethode bevorzugen, mit AppSecMon ein kontinuierliches Sicherheitsüberprüfungs-Service zu planbaren Kosten. Weiters reduziert sich bei dieser Alternative zum klassichen Pentesting auch der Aufwand für die Koordination und Vorbereitung von einzelnen, individuellen Sicherheitsüberprüfungen.

Wann macht ein Pentest keinen Sinn?

Kurz vor der Inbetriebnahme eines Systems, nur um der Legal Compliance zu entsprechen, bringt ein Pentest oft mehr Stress und Probleme ins Projekt als an einem früheren Zeitpunkt im Projet. Insbesondere wenn es vorher noch keine Sicherheitsüberprüfungen gab und die letzten Projektphasen üblicherweise auch ohne ein Pentesting schon sehr hektisch verlaufen. Außerdem können gefundene Schwachstellen mitunter so kritisch sein, dass diese umgehend behoben werden müssen. Bei Sicherheitsrisiken in der Architektur kann das im schlimmsten Fall eine Neuentwicklung bedeuten.

Was kostet ein Pentest?

Pentetrationstests verursachen Aufwände im Bereich von ein- bis dreistelligen Personentagen. Dabei gibt es im wesentlichen zwei Faktoren, die dafür verantwortlich sind. Die Kritikalität der Systeme und die Komplexität der Systeme im jeweiligen Scope. Je komplexer und kritischer die Anwendung durch deren Daten ist, z.B. digitaler Menüplan der Kantine versus Finanztransaktionsdaten, desto höher sollte das (Zeit-)Budget für ein einzelnes oder wiederholtes Pentesting im Projekt eingeplant werden.

SEC Consult führt jährlich über 600 Pentests weltweit durch. Als besonders heikle aber wiederkehrende Fehlerquellen gelten zum Beispiel Datenbankanbindungen, Login-Proceduren, Einbindung von externen Quellen, zentrale Input- und Output-Validierung

Welche Arten von Pentests gibt es?

Bei einem Penetrationstest stehen dem Pentester eine gewisse Menge an Informationen über die Systeme zur Verfügung. Dabei geht die Bandbreite von keiner Information – einem sogenannten Blackbox Test – bis zur kompletten Dokumentation inklusive Adminstrator-Accounts mit entsprechenden Zugriffsrechten – einem sogenannten Whitebox-Test. Alle Auspträgungen des Detailliertheitsgrades dazwischen bezeichnet man als Greybox-Test.

SEC Consult bietet noch eine weitere Überprüfungsmethode, den Glassbox-Test. Dabei steht den Auditoren komplette Information über die Anwendung und sogar der Source Code von den relevanten Teilen des Scopes zur Verfügung

Es gibt immer etwas zu finden.

Cookie Preference

Welche Cookies möchten Sie zulassen?

Bitte treffen Sie eine Auswahl

Danke! Auswahl gespeichert.

Hilfe

Keine Tracking-Cookies zulassen

To continue, you must make a cookie selection. Below is an explanation of the different options and their meaning.

  • Alle Cookies erlauben:
    All cookies such as tracking and analytics cookies.
  • Nur Cookies von dieser Seite zulassen:
    Only cookies from this website.
  • Keine Tracking-Cookies zulassen:
    No cookies except for those necessary for technical reasons are set.

You can change your cookie setting here anytime: Blog. Blog

Back