Bild Was kostet ein Penetrationstest

Mit der Beauftragung eines secion Penetrationstests entscheiden Sie sich für eines der wichtigsten grundlegenden Untersuchungsverfahren, um die (aktuelle) IT-Sicherheit Ihres Unternehmens auf den Prüfstand zu stellen.

Aber welches Verfahren ist das richtige für Ihre Zielsetzung und was kostet Sie ein Pentest überhaupt?

  • Mit der Kategorisierung unserer Pentest-Verfahren nach Fallbeispielen möchten wir Ihnen eine Übersicht und zugleich auch Entscheidungshilfe an die Hand geben.
  • Wir erläutern Ihnen in Kurzform die am häufigsten von uns durchgeführten Penetrationstests und gehen dabei auf die spezifischen Zielsetzungen, Vorgehensweisen und die zu veranschlagenden Kosten der einzelnen Untersuchungsmethoden ein.
Mehr Informationen

Je nachdem, welche Zielsetzung Sie mit dem Penetrationstest verfolgen, ist der zeitliche Aufwand in unterschiedlicher Höhe anzusetzen – und damit auch die Kosten, die für das jeweilige Security Audit zu veranschlagen sind.
Welches ist beispielsweise Ihr gewählter Untersuchungsgegenstand, der dem Pentest zugrunde liegen soll? Handelt es sich um eine einfache Web-Anwendung oder Ihre gesamte Organisation mit einer entsprechend hohen Anzahl an zu überprüfenden Systemen und Anwendungen?

Welche Untersuchungsmethode wird dem Pentest zugrunde liegen? Auch eine (teilweise automatisierte) IT-Schwachstellenanalyse zählt im weitesten Sinne bereits zur Kategorie der Penetrationstests. Jedoch erfolgen hiermit keine intelligenten Angriffe auf Ihre IT-Umgebung, um Sicherheitslücken aufzuspüren. Ein real agierender Pentester geht weiter und wird gefundene Schwachstellen durch den Einsatz weiterer Tools, Module oder eines Exploits verifizieren.

Je nachdem, welche Zielsetzung Sie mit dem Pentest verfolgen, wird auch die Wahl des Pentest-Verfahrens beeinflussen, z.B. White Box Audit oder Black Box Audit. Beim Black Box Audit muss die Projektzeit beispielsweise generell höher veranschlagt werden, da dem Pentester kaum Vorabinformationen über die zu prüfenden IT-Systeme vorliegen.

Die Kategorisierung der einzelnen Pentest-Verfahren erfolgt nach folgenden Faktoren:

  • Kundenreferenz (Branche, Anzahl der Mitarbeiter)
  • Zielsetzung des Verfahrens
  • Tätigkeitsumfang / Phasen des Audits
  • Projektkosten

Black Box Audit

Kundenreferenz:

Industrieunternehmen
Anzahl der Mitarbeiter: > 1000

Anzahl der zu prüfenden Systeme: 12

Projektauftrag: IT-Sicherheitsüberprüfung der betreffenden Systeme/ IP-Adressen auf aktuell vorhandene Sicherheitslücken anhand eines Black Box Audits: IT-Security Consultants liegen kaum Vorabkenntnisse über die zu prüfenden Systeme vor.

Projektkosten:
ca. 6.800 EUR*

Kundenreferenz:

Verbraucherportal
Anzahl der Mitarbeiter: ca. 400

Anzahl der zu prüfenden Systeme: 4

Projektauftrag: IT-Sicherheitsüberprüfung der betreffenden Systeme/ IP-Adressen auf aktuell vorhandene Sicherheitslücken anhand eines Black Box Audits: IT-Security Consultants liegen kaum Vorabkenntnisse über die zu prüfenden Systeme vor.

Projektkosten:
ca. 9.800 EUR*

Kundenreferenz:

Kreditinstitut
Anzahl der Mitarbeiter: ca. 200

Anzahl der zu prüfenden Systeme: 18

Projektauftrag: IT-Sicherheitsüberprüfung der betreffenden Systeme/ IP-Adressen auf aktuell vorhandene Sicherheitslücken anhand eines Black Box Audits: IT-Security Consultants liegen kaum Vorabkenntnisse über die zu prüfenden Systeme vor.

Projektkosten:
ca. 18.200 EUR*

Mitwirkungspflichten des Kunden

  • Administrativer Ansprechpartner wird vom Kunden gestellt / Netzwerkkenntnisse sind vorhanden (ggf. Firewall- und Netzwerkanpassungen notwendig)
  • Audit muss ggf. beim Hostingdienstleister angekündigt und genehmigt werden
  • Ansprechpartner beim Integrator der Dienste (z.B. Webshop, CMS System, etc.) muss gestellt werden
  • Vertragsdokumente müssen vor dem Beginn der Überprüfung unterzeichnet sein

Tätigkeiten secion Team Professional Services

  • Informationsgewinnung und automatisiertes Scannen sowie Ergebnisauswertung
  • Individuelle Prüfung der Applikationen
  • Bewertung der gefundenen Schwachstellen und Ausarbeitung von Handlungsempfehlungen
  • Dokumentation und Präsentation der Ergebnisse
  • Nachhaltiges Schwachstellenmanagement (4 Monate)

Optional:

  • Retest der gefundenen Schwachstellen
  • Bewertung der Ergebnisse anhand OWASP Top 10
  • Eingruppierung der Ergebnisse anhand Common Vulnerability Scoring System (CVSS 3.0) (optional)

Kontaktieren Sie uns!

Bild secion Ansprechpartner Black Box Audit
Ansprechpartner: Patrick Jung

Sie möchten einen Black Box Audit über secion durchführen lassen und wünschen ein detailliertes Angebot? Wir beraten Sie gerne! Kontaktieren Sie uns telefonisch unter: 0 40 38 90 71-0 oder schreiben Sie uns eine E-Mail.

Angebot per E-Mail anfordern

Weiterführende Informationen zum Thema Black Box Audit finden Sie auch auf folgender Seite:

Black Box Audit

White Box Audit

Kundenreferenzen:

Verein Fußball-Bundesliga
Anzahl der Mitarbeiter: ca. 300

Rechtsanwaltskanzlei
Anzahl der Mitarbeiter: ca. 450

Anzahl der zu prüfenden Systeme: jeweils 1

Projektauftrag: IT-Sicherheitsüberprüfung des betreffenden Systems/ IP-Adresse auf aktuell vorhandene Sicherheitslücken anhand eines White Box Audits: IT-Security Consultants werden alle notwendigen Informationen über die IT-Systeme und interne Strukturen des Unternehmens vor Testbeginn zur Verfügung gestellt.

Projektkosten:
ca. 9.800 EUR*

Mitwirkungspflichten des Kunden:

  • Administrativer Ansprechpartner wird vom Kunden gestellt / Netzwerkkenntnisse (ggf. Firewall- und Netzwerkanpassungen notwendig)
  • Audit muss ggf. beim Hostingdienstleister angekündigt und genehmigt werden
  • Ansprechpartner beim Integrator der Dienste vorhanden (z.B. Webshop, CMS System, etc.)
  • Vertragsdokumente müssen vor dem Beginn der Überprüfung unterzeichnet sein

Tätigkeiten secion Team Professional Services:

  • Projektvorbereitung (Remote)
    • Übergabe der Informationen für das White Box Audit durch den Kunden
    • Übergabe von Zugangsdaten (z.B. Demo Kunden Login oder Rollenkonzept)
    • Prüfung der Informationen und Klärung von Fragen gemeinsam mit secion Experten
  • Informationsgewinnung und automatisiertes Scannen sowie Ergebnisauswertung
  • Individuelle Prüfung der Applikationen
  • Bewertung der gefundenen Schwachstellen und Ausarbeitung von Handlungsempfehlungen
  • Dokumentation und Präsentation der Ergebnisse
  • Nachhaltiges Schwachstellenmanagement (4 Monate)

Optional:

  • Retest der gefundenen Schwachstellen
  • Bewertung der Ergebnisse anhand OWASP Top 10
  • Eingruppierung der Ergebnisse anhand Common Vulnerability Scoring System (CVSS 3.0)

Kontaktieren Sie uns!

Bild secion Ansprechpartner White Box Audit
Ansprechpartner: Patrick Jung

Sie möchten einen White Box Audit über secion durchführen lassen und wünschen ein detailliertes Angebot? Wir beraten Sie gerne! Kontaktieren Sie uns telefonisch unter: 0 40 38 90 71-0 oder schreiben Sie uns eine E-Mail.

Angebot per E-Mail anfordern

Weiterführende Informationen zum Thema White Box Audit finden Sie auch auf folgender Seite:

White Box Audit

Social Engineering Audit

Kundenreferenzen:

Hersteller von Medizinprodukten
Anzahl der Mitarbeiter: ca. 4.000

Dienstleistungsbranche
Anzahl der Mitarbeiter: ca. 25

Projektauftrag: Überprüfung der Wirksamkeit vorhandener IT- Sicherheitsmechanismen des Unternehmens anhand eines Social Engineering Audits:

Schwachstellen in organisatorischen Abläufen, bei dem Sicherheitsverhalten der Mitarbeiter oder bei der Gebäudesicherheit werden durch unsere IT-Sicherheitsexperten enttarnt und konkrete Handlungsempfehlungen für deren Beseitigung geliefert.

Projektkosten:
ca. 9.800 – 11.200 EUR*

Mitwirkungspflichten des Kunden:

  • Administrativer Ansprechpartner wird vom Kunden gestellt / Netzwerkkenntnisse (ggf. Firewall- und Netzwerkanpassungen notwendig)
  • Audit muss ggf. beim Hostingdienstleister angekündigt und genehmigt werden
  • Ansprechpartner beim Integrator der Dienste vorhanden (z.B. Webshop, CMS System, etc.)
  • Vertragsdokumente müssen vor dem Beginn der Überprüfung unterzeichnet sein

Tätigkeiten secion Team Professional Services:

  • Projektvorbereitung (Remote)
    • Übergabe der Informationen für das White Box Audit durch den Kunden
    • Übergabe von Zugangsdaten (z.B. Demo Kunden Login oder Rollenkonzept)
    • Prüfung der Informationen und Klärung von Fragen gemeinsam mit secion Experten
  • Informationsgewinnung und automatisiertes Scannen sowie Ergebnisauswertung
  • Individuelle Prüfung der Applikationen
  • Bewertung der gefundenen Schwachstellen und Ausarbeitung von Handlungsempfehlungen
  • Dokumentation und Präsentation der Ergebnisse
  • Nachhaltiges Schwachstellenmanagement (4 Monate)

Optional:

  • Retest der gefundenen Schwachstellen
  • Bewertung der Ergebnisse anhand OWASP Top 10
  • Eingruppierung der Ergebnisse anhand Common Vulnerability Scoring System (CVSS 3.0)

Kontaktieren Sie uns!

Bild secion Ansprechpartner Social Engineering Audit
Ansprechpartner: Tim Heinsohn

Sie möchten ein Social Engineering Audit über secion durchführen lassen und wünschen ein detailliertes Angebot? Wir beraten Sie gerne! Kontaktieren Sie uns telefonisch unter: 0 40 38 90 71-0 oder schreiben Sie uns eine E-Mail.

Angebot per E-Mail anfordern

Weiterführende Informationen zum Thema Social Engineering finden Sie auch auf folgender Seite:

Social Engineering Audit

Innentäter Audit

Kundenreferenzen:

Kreditinstitut
Anzahl der Mitarbeiter: ca. 1.200

Unternehmen der Chemieindustrie
Anzahl der Mitarbeiter: ca. 350

Auftrag: Überprüfung der Wirksamkeit vorhandener IT-Sicherheitsmechanismen des Unternehmens anhand eines Innentäter Audits:

Aufdeckung bestehender Angriffspotentiale aus den eigenen Reihen, sog. insider threats, sowie Definition von Handlungsempfehlungen für deren Beseitigung.

Projektkosten:
11.200 EUR*

Mitwirkungspflichten des Kunden:

  • Administrativer Ansprechpartner beim Kunden für Rückfragen: Netzwerkkenntnisse (ggf. Firewall- und Netzwerkanpassungen notwendig)
  • Vertragsdokumente müssen vor Projektbeginn unterzeichnet sein
  • Ein Standard PC und Benutzerkonto müssen unseren Consultants zur Verfügung gestellt werden, Details abhängig von Testszenario

Tätigkeiten secion Team Professional Services:

  • Überprüfung eines Standard Benutzeraccounts ohne administrative Rechte (inkl. Mail) und Arbeitsplatz vor Ort:
    Ziel ist die Überprüfung des Erfolgspotentials von Innentäter-Angriffen – An welchen Stellen sind Zugriffe auf Ihr Unternehmensnetz möglich? Und wann wird dies von Ihren IT-Verantwortlichen bemerkt?
  • Überprüfung der Arbeitsprozesse des HelpDesk
    Gezielte Ansprache von HelpDesk Mitarbeitern per Mail, Telefon bspw. mit dem Ziel der Erweiterung von Benutzerrechten
  • Bewertung der gefundenen Schwachstellen und Entwicklung von Handlungsempfehlungen
  • Dokumentation und Präsentation der Ergebnisse vor Ort

Kontaktieren Sie uns!

Bild secion Ansprechpartner Innentäter Audit
Ansprechpartner: Tim Heinsohn

Sie möchten ein Innentäter Audit über secion durchführen lassen und wünschen ein detailliertes Angebot? Wir beraten Sie gerne! Kontaktieren Sie uns telefonisch unter: 0 40 38 90 71-0 oder schreiben Sie uns eine E-Mail.

Angebot per E-Mail anfordern

Weiterführende Informationen zum Thema Innentäter Audit finden Sie auch auf folgender Seite:

Innentäter Audit

IT-Schwachstellenanalyse

Kundenreferenzen:

Unternehmen der Chemieindustrie
Anzahl der Mitarbeiter: ca. 350

Lottogesellschaft
Anzahl der Mitarbeiter: ca. 120

Projektauftrag:
Interner Schwachstellenscan von 50-100 Systemen in bis zu 5 Netzen

Projektkosten:
ca. 5.600 EUR*

Mitwirkungspflichten des Kunden

  • Zugang zum Kundennetzwerk wird ermöglicht
  • Administrativer Ansprechpartner wird vom Kunden gestellt / Netzwerkkenntnisse sind vorhanden (ggf. Firewall- und Netzwerkanpassungen notwendig)
  • Vertragsdokumente müssen vor dem Beginn der Überprüfung unterzeichnet sein

Tätigkeiten secion Team Professional Services

  • Vorbereitung und Konfiguration (Remote)
  • Durchführung und Auswertung des Schwachstellenscans (Remote)

Kontaktieren Sie uns!

Bild secion Ansprechpartner IT-Schwachstellenanalyse
Ansprechpartner: Tim Heinsohn

Sie möchten eine IT-Schwachstellenanalyse über secion durchführen lassen und wünschen ein detailliertes Angebot? Wir beraten Sie gerne! Kontaktieren Sie uns telefonisch unter: 0 40 38 90 71-0 oder schreiben Sie uns eine E-Mail.

Angebot per E-Mail anfordern

Weiterführende Informationen zum Thema IT-Schwachstellenmanagement finden Sie auch auf folgender Seite:

Managed Vulnerability Scanning Platform

Mobile App Analyse (iOS/Android)

Kundenreferenzen:

Start up Unternehmen
Anzahl der Mitarbeiter: ca. 35

Medienproduktion
Anzahl der Mitarbeiter: ca. 60

Auftrag: Manuelle Analyse von IT-Sicherheitslücken von Smartphone Apps

Projektkosten:
8.400 EUR*

Mitwirkungspflichten des Kunden

  • Administrativer Ansprechpartner beim Kunden
  • Ansprechpartner aus der App Entwicklung
  • Vertragsdokumente müssen vor dem Beginn der Überprüfung unterzeichnet sein

Tätigkeiten secion Team Professional Services

  • Manuelle Analyse der IT-Sicherheitslücken der Smartphone Apps, z.B.:
    • Informationssuche im Code ( IP-Adressen, Hostnamen, Passwörter)
    • Überpürfung auf fest hinterlegte Zugangsadten.
  • Manuelle Überprüfung der implementierten Funktionen bzw. Module, z.B.
    • Überprüfung der Kommunikation mit dem Backend (Burp)
    • Zertifikatsvalidierung
  • Prüfung der eingesetzten Kommunikations- und Verschlüsselungsverfahren zwischen Web Service (Backend) und Apps
  • Dokumentation und Präsentation der Ergebnisse

Kontaktieren Sie uns!

Bild secion Ansprechpartner Mobile App Analyse
Ansprechpartner: Patrick Jung

Sie möchten eine Mobile App Analyse über secion durchführen lassen und wünschen ein detailliertes Angebot? Wir beraten Sie gerne! Kontaktieren Sie uns telefonisch unter: 0 40 38 90 71-0 oder schreiben Sie uns eine E-Mail.

Angebot per E-Mail anfordern