Was kostet ein Penetrationstest bei secion?

von

Lesezeit: Minuten ( Wörter)

Mit der Beauftragung eines secion Penetrationstests entscheiden Sie sich dafür, ein optimales Sicherheitsniveau Ihrer Dienste und Systeme sicherzustellen und somit Ihr Unternehmen wirksam vor Schäden, die durch Cyber-Kriminalität verursacht werden, zu schützen.

Welches Verfahren ist das richtige für Ihre Zielsetzung?

Planen Sie, Ihre gesamte Organisation mit einer entsprechend hohen Anzahl an Systemen und Anwendungen zu überprüfen oder soll eine einfache Web-Anwendung im Mittelpunkt der IT-Sicherheitsüberprüfung stehen? Auch eine (teilweise automatisierte) IT-Schwachstellenanalyse zählt im weitesten Sinne bereits zur Kategorie der Penetrationstests. Jedoch erfolgen hier keine intelligenten Angriffe auf Ihre IT-Umgebung, um Sicherheitslücken aufzuspüren. Unsere unter realen Gegebenheiten agierenden Pentester gehen weiter und werden gefundene Schwachstellen durch den Einsatz weiterer Tools, Module oder eines Exploits verifizieren.

  • Mit der Kategorisierung unserer Pentest-Verfahren nach Fallbeispielen geben wir Ihnen eine Übersicht und zugleich auch eine Entscheidungshilfe an die Hand.
  • Wir erläutern Ihnen in Kurzform die am häufigsten von uns durchgeführten Penetrationstests und gehen dabei auf die spezifischen Zielsetzungen, Vorgehensweisen und die zu veranschlagenden Kosten der einzelnen Untersuchungsmethoden ein.

Was kostet ein Penetrationstest?

Je nachdem, welche Zielsetzung Sie mit der Durchführung eines Penetrationstests verfolgen, ist der zeitliche Aufwand in unterschiedlicher Höhe anzusetzen – und damit auch die Kosten, die für das jeweilige Security Audit einzuplanen sind. Beim Black Box Audit muss die Projektzeit beispielsweise generell höher veranschlagt werden als beim White Box Audit, da dem Pentester bei erstgenanntem Verfahren kaum Vorabinformationen über die zu prüfenden IT-Systeme vorliegen. Die Preisspanne für einen secion Penetrationstest beginnt bei ca. 3.800 EUR (IT-Schwachstellenanalyse) und reicht bis zu ca. 18.200 EUR (Black Box Audit) oder höher, abhängig vom individuellen Projektauftrag.

Die Kategorisierung der einzelnen Pentest-Verfahren erfolgt nach folgenden Faktoren:

  • Kundenreferenz (Branche, Anzahl der Mitarbeiter)
  • Projektauftrag
  • Tätigkeiten / Phasen des Audits
  • Projektkosten
IT-Schwachstellenanalyse

Kundenreferenzen:

Unternehmen der Chemieindustrie
Anzahl der Mitarbeiter: ca. 350

Lottogesellschaft
Anzahl der Mitarbeiter: ca. 120

Projektauftrag:
Interner Schwachstellenscan von 50-100 Systemen in bis zu 5 Netzen, Testbereich Infrastruktur

Projektkosten:
ca. 3.800 EUR


Vorbereitende Tätigkeiten auf Aufraggeberseite

  • Zugang zum Kundennetzwerk wird temporär bereitgestellt
  • Administrativer Ansprechpartner ist kundenseitig verfügbar / Netzwerkkenntnisse sind vorhanden (ggf. werden Firewall- und Netzwerkanpassungen notwendig)
  • Vertragsdokumente müssen vor dem Beginn der Überprüfung unterzeichnet sein

Tätigkeiten secion

  • Scanning der gewünschten Anzahl von (internen und externen) IP-Adressen auf vorhandene IT-Schwachstellen
  • Erstellung eines Ergebnisberichts über alle gefundenen Schwachstellen inklusive Priorisierung dieser nach Gefahrenpotenzial
  • Definition einer konkreten Handlungsempfehlung zur Beseitigung jeder identifizierten Schwachstelle
  • Übermittlung des Ergebnisreports
  • Gemeinsame Besprechung aller Überprüfungsergebnisse
Black Box Audit

Kundenreferenzen:

Verbraucherportal
Anzahl der Mitarbeiter: ca. 400

Anzahl der zu prüfenden Systeme: 4

Projektauftrag: IT-Sicherheitsüberprüfung vorab definierter IP-Adressen auf aktuell vorhandene Sicherheitslücken. Den IT Security Consultants liegen kaum Vorkenntnisse über die zu prüfenden Systeme vor.

Projektkosten:
ca. 7.100 EUR


Kreditinstitut
Anzahl der Mitarbeiter: ca. 200

Anzahl der zu prüfenden Systeme: 18

Projektauftrag: IT-Sicherheitsüberprüfung vorab definierter IP-Adressen auf aktuell vorhandene Sicherheitslücken. Den IT Security Consultants liegen kaum Vorkenntnisse über die zu prüfenden Systeme vor.

Projektkosten:
ca. 18.200 EUR


Vorbereitende Tätigkeiten auf Auftraggeberseite

  • Administrativer Ansprechpartner ist kundenseitig verfügbar
  • Das Audit muss ggf. beim Hosting-Dienstleister angekündigt werden
  • Nennung eines Ansprechpartners beim Service Provider (z.B. Webshop, Content Management System etc.)
  • Vertragsdokumente müssen vor dem Beginn der Überprüfung unterzeichnet sein

Tätigkeiten secion

Informationsgewinnung und automatisiertes Scannen sowie Ergebnisauswertung

  • Zusammenführung der Informationen und Analyse von Wirkungszusammenhängen (Profiling)
  • Validierung der Ergebnisse hinsichtlich False Positives
  • Definition der nächsten bzw. „attraktivsten“ Angriffsziele aus Sicht eines Angreifers
  • Abstimmung der nächsten Schritte sowie der weiteren Überprüfungsschwerpunkte mit dem Auftraggeber
  • Manuelle Analyse der IT-Sicherheitslücken in den identifizierten Applikationen, u.a. Prüfung von unautorisierten Zugriffsmöglichkeiten auf nicht öffentliche Daten, Prüfung der eingesetzten Kommunikations- und Verschlüsselungsverfahren, Überprüfung der Rechte-Verwaltung

Bewertung aller identifizierten Schwachstellen und Ausarbeitung von Handlungsempfehlungen

  • Priorisierung der Bedrohungen anhand der Kritikalität
  • Erstellung der Ergebnis-Dokumentation mit Management Summary und Aktionsplan
  • Vorstellung / Präsentation der Ergebnis-Dokumentation vor Ort
  • Erörterung der Handlungsempfehlungen

Optional: Retest der gefundenen Schwachstellen

  • Überprüfung der vorab identifizierten Schwachstellen auf deren Behebung
  • Anpassung der Dokumentation inklusive aktualisiertem Behebungsstatus
  • Auf Wunsch: Erstellung eines schriftlichen Testats zum Nachweis des vorhandenen IT-Sicherheitsniveaus
  • Klassifizierung der Ergebnisse anhand Common Vulnerability Scoring System (CVSS 3.0) oder OWASP Top 10
White Box Audit

Kundenreferenzen:

Verein 1. Fußball-Bundesliga
Anzahl der Mitarbeiter: ca. 300

Anzahl der zu prüfenden Systeme: 5

Rechtsanwaltskanzlei
Anzahl der Mitarbeiter: ca. 450

Anzahl der zu prüfenden Systeme: 9

Projektauftrag: IT-Sicherheitsüberprüfung des betreffenden Systems/ IP-Adresse auf aktuell vorhandene Sicherheitslücken anhand eines White Box Audits: IT-Security Consultants werden alle notwendigen Informationen über die IT-Systeme und interne Strukturen des Unternehmens vor Testbeginn zur Verfügung gestellt.

Projektkosten:
Jeweils ca. 9.800 EUR


Vorbereitende Tätigkeiten auf Auftraggeberseite

  • Administrativer Ansprechpartner ist kundenseitig verfügbar
  • Das Audit muss ggf. beim Hosting-Dienstleister angekündigt werden
  • Nennung eines Ansprechpartners beim Service Provider (z.B. Webshop, Content Management System etc.)
  • Vertragsdokumente müssen vor dem Beginn der Überprüfung unterzeichnet sein

Tätigkeiten secion

  •  Übergabe der Informationen für das White Box Audit durch den Auftraggeber, u.a. Netzwerkarchitektur, Betriebssysteme und Applikationen
  • Technische Dokumentation der Systeme
  • Vorstellung des grundlegenden Funktionsumfangs der Applikation
  • Bereitstellung von API-Files (u.a.: swagger, wsda, bdsl) zur Überprüfung der API (wenn vorhanden)
  • Anmeldung / Freigabe mit dem Hoster abstimmen
  • Übergabe von Zugangsdaten (z.B. Demo-Kundenlogin oder Rollenkonzept)
  • Prüfung der Informationen und Klärung von Fragen

Informationsgewinnung und automatisiertes Scannen sowie Ergebnisauswertung

  • Zusammenführung der Informationen und Analyse von Wirkungszusammenhängen (Profiling)
  • Validierung der Ergebnisse hinsichtlich False Positives
  • Manuelle Analyse der IT-Sicherheitslücken in den identifizierten Applikationen, u.a. Prüfung von unautorisierten Zugriffsmöglichkeiten auf nicht öffentliche Daten, Prüfung der eingesetzten Kommunikations- und Verschlüsselungsverfahren, Überprüfung der Rechte-Verwaltung

Weiterführende (manuelle) Analyse der Dienste und Systeme inklusive Nutzer-Rollen  

Bewertung aller identifizierten Schwachstellen und Ausarbeitung von Handlungsempfehlungen

  • Priorisierung der Bedrohungen anhand der Kritikalität
  • Erstellung der Ergebnis-Dokumentation mit Management Summary und Aktionsplan
  • Vorstellung / Präsentation der Ergebnis-Dokumentation vor Ort
  • Erörterung der Handlungsempfehlungen

Optional: Retest der gefundenen Schwachstellen

  • Überprüfung der vorab identifizierten Schwachstellen auf deren Behebung
  • Anpassung der Dokumentation inklusive aktualisiertem Behebungsstatus
  • Auf Wunsch: Erstellung eines schriftlichen Testats zum Nachweis des vorhandenen IT-Sicherheitsniveaus
  • Klassifizierung der Ergebnisse anhand Common Vulnerability Scoring System (CVSS 3.0) oder OWASP Top 10
Social Engineering Audit

Kundenreferenzen:

Hersteller von Medizinprodukten
Anzahl der Mitarbeiter: ca. 4.000

Dienstleistungsbranche
Anzahl der Mitarbeiter: ca. 25

Projektauftrag: Überprüfung der Wirksamkeit vorhandener IT- Sicherheitsmechanismen des Unternehmens anhand eines Social Engineering Audits. Schwachstellen in organisatorischen Abläufen, im Sicherheitsverhalten der Mitarbeiter oder bei der Gebäudesicherheit werden durch unsere IT-Sicherheitsexperten enttarnt und konkrete Handlungsempfehlungen für deren Beseitigung geliefert.

Projektkosten:
ca. 11.200 EUR


Vorbereitende Tätigkeiten auf Auftraggeberseite

  • Administrativer Ansprechpartner wird vom Kunden gestellt / Netzwerkkenntnisse (ggf. Firewall- und Netzwerkanpassungen notwendig)
  • Audit muss ggf. beim Hostingdienstleister angekündigt und genehmigt werden
  • Ansprechpartner beim Integrator der Dienste vorhanden (z.B. Webshop, CMS System, etc.)
  • Vertragsdokumente müssen vor dem Beginn der Überprüfung unterzeichnet sein

Tätigkeiten secion

  • Projektvorbereitung (Remote)
    • Übergabe der Informationen für das White Box Audit durch den Kunden
    • Übergabe von Zugangsdaten (z.B. Demo Kunden Login oder Rollenkonzept)
    • Prüfung der Informationen und Klärung von Fragen gemeinsam mit secion Experten
  • Informationsgewinnung und automatisiertes Scannen sowie Ergebnisauswertung
  • Individuelle Prüfung der Applikationen
  • Bewertung der gefundenen Schwachstellen und Ausarbeitung von Handlungsempfehlungen
  • Dokumentation und Präsentation der Ergebnisse
  • Nachhaltiges Schwachstellenmanagement (4 Monate)

Optional:

  • Retest der gefundenen Schwachstellen
  • Bewertung der Ergebnisse anhand OWASP Top 10
  • Eingruppierung der Ergebnisse anhand Common Vulnerability Scoring System (CVSS 3.0)
Innentäter Simulation

Kundenreferenzen:

Kreditinstitut
Anzahl der Mitarbeiter: ca. 1.200

Unternehmen der Chemieindustrie
Anzahl der Mitarbeiter: ca. 350

Auftrag: Überprüfung der Wirksamkeit vorhandener IT-Sicherheitsmechanismen des Unternehmens  anhand einer Innentäter Simulation. Aufdeckung bestehender Angriffspotentiale aus den eigenen Reihen, sog. Insider Threats, sowie Definition von Handlungsempfehlungen für deren Beseitigung.

Projektkosten:
ca. 11.200 EUR


Vorbereitende Tätigkeiten auf Aufraggeberseite

  • Administrativer Ansprechpartner beim Kunden für Rückfragen: Netzwerkkenntnisse (ggf. Firewall- und Netzwerkanpassungen notwendig)
  • Vertragsdokumente müssen vor Projektbeginn unterzeichnet sein
  • Ein Standard PC und Benutzerkonto müssen unseren Consultants zur Verfügung gestellt werden, Details abhängig von Testszenario

Tätigkeiten secion

  • Überprüfung eines Standard Benutzeraccounts ohne administrative Rechte (inkl. Mail) und Arbeitsplatz vor Ort:
    Ziel ist die Überprüfung des Erfolgspotentials von Innentäter-Angriffen – An welchen Stellen sind Zugriffe auf Ihr Unternehmensnetz möglich? Und wann wird dies von Ihren IT-Verantwortlichen bemerkt?
  • Überprüfung der Arbeitsprozesse des HelpDesk
    Gezielte Ansprache von HelpDesk Mitarbeitern per Mail, Telefon bspw. mit dem Ziel der Erweiterung von Benutzerrechten
  • Bewertung der gefundenen Schwachstellen und Entwicklung von Handlungsempfehlungen
  • Dokumentation und Präsentation der Ergebnisse vor Ort
Mobile App Analyse (iOS/Android)

Kundenreferenzen:

Start up Unternehmen
Anzahl der Mitarbeiter: ca. 35

Medienproduktion
Anzahl der Mitarbeiter: ca. 60

Auftrag: Manuelle Analyse von IT-Sicherheitslücken von Smartphone Apps

Projektkosten:
8.400 EUR


Vorbereitende Tätigkeiten auf Auftraggeberseite

  • Administrativer Ansprechpartner beim Kunden
  • Ansprechpartner aus der App Entwicklung
  • Vertragsdokumente müssen vor dem Beginn der Überprüfung unterzeichnet sein

Tätigkeiten secion

  • Manuelle Analyse der IT-Sicherheitslücken der Smartphone Apps, z.B.:
    • Informationssuche im Code ( IP-Adressen, Hostnamen, Passwörter)
    • Überpürfung auf fest hinterlegte Zugangsadten.
  • Manuelle Überprüfung der implementierten Funktionen bzw. Module, z.B.
    • Überprüfung der Kommunikation mit dem Backend (Burp)
    • Zertifikatsvalidierung
  • Prüfung der eingesetzten Kommunikations- und Verschlüsselungsverfahren zwischen Web Service (Backend) und Apps
  • Dokumentation und Präsentation der Ergebnisse

Zurück