Die Vertraulichkeit, Integrität und Verfügbarkeit digitaler Ressourcen sind die wichtigsten Schutzziele der IT-Sicherheit. Pentests helfen hier, mögliche Schwachstellen in Ihren Maßnahmen zur Erfüllung dieser Ziele aufzudecken. Doch die Effektivität von Penetrationstests steht in direktem Zusammenhang mit den Fähigkeiten und der strategischen Herangehensweise der Pentester. Um dies vorher zu prüfen, haben wir fünf Fragen an potenzielle Dienstleister zusammengestellt.

Mit diesen fünf Fragen können Sie sich ein umfassendes Bild davon machen, was ein bestimmter Pentest zu bieten hat. So können Sie beispielsweise sicher sein, dass die richtige Mischung aus automatisierten und manuellen Tests eingesetzt wird, ermitteln, wie tatsächliche Schwachstellen von Falschmeldungen unterschieden werden und wie Sie mit transparenten und fundierten Reports auf dem Laufenden gehalten werden. Anhand der Antworten auf diese Fragen können Sie einen Pentestanbieter auswählen, der mehr als nur routinemäßige Checks anbietet.

1. Wie hoch ist der Anteil der manuellen Analysen

Um sicherzustellen, dass Sie das Beste aus Ihren Pentests herausholen, fragen Sie Ihren Dienstleister nach dem Verhältnis zwischen manuellen und automatisierten Pentests. Alles, was weniger als 80 % manuelle Penetrationstests umfasst, sollte Sie stutzig machen, da es darauf hindeutet, dass man den Großteil der sprichwörtlich schweren Arbeit automatisierten Tools überlässt und damit Ihre Webanwendungen möglicherweise einem Risiko aussetzt.

Obwohl automatisierte Tests bei der schnellen Identifizierung bekannter Schwachstellen effektiv sind, sind sie bei der Erkennung komplexer, logikbasierter Schwachstellen oder kundenspezifischer Systeme ungeeignet. Nur durch die Kombination von automatisierten Tools und dem fundierten Know-how sowie den kreativen Lösungsansätzen eines professionellen Pentesters können Sie dafür sorgen, dass Ihre Webanwendungen gründlich unter die Lupe genommen werden.

2. Welche automatisierten Tools verwenden Sie? 

Wenn Sie sich darüber informieren, welche automatisierten Tools für Ihre Pentests verwendet werden, erhalten Sie einen Einblick in das Fachwissen und die Herangehensweise der Penetrationstester. Sicherheitsexperten und Bug-Bounty-Jäger können beispielsweise ein Tool wie Burp Suite oder ZAP für Pentests von Webanwendungen verwenden – und wenn sie diese Tools gut einsetzen, sind sie hilfreich bei der proaktiven Identifizierung von Schwachstellen, ehe diese von Angreifern ausgenutzt werden können. 

Wenn sich der Pentest-Anbieter jedoch ausschließlich auf ein Tool verlässt – oder keine klare, durchdachte Erklärung dafür geben kann, warum er die einzelnen Tools verwendet – sollten Sie vorsichtig sein. Beide Szenarien können darauf hindeuten, dass Sie es mit einem Dienstleister zu tun haben, dessen Fachwissen nicht über das hinausgeht, was das Tool meldet. 

Bestehen Sie darauf, mit einem Penetrationstester zusammenzuarbeiten, der das Bestmögliche aus den automatisierten Tools herausholt und mit seiner Expertise kombiniert, um alle potenziellen Angriffsvektoren abzudecken. Für geschäftskritische Anwendungen wäre auch eine Penetrationstest-as-a-Service-Lösung (PTaaS) sinnvoll. Solche Lösungen kombinieren die Gründlichkeit und Präzision manueller Tests mit der Skalierbarkeit und Geschwindigkeit automatisierter Lösungen.

3. Welcher Ansatz wird bei den Penetrationstests verfolgt?

Bevor Sie einen Pentest beauftragen, sollten Sie sich ein Bild von der Vorgehensweise der Pentester machen – und sicherstellen, dass Sie mit der Antwort zufrieden sind. Die zugrundeliegende Methodik ist entscheidend für die Ergebnisse der Analyse. Erkundigen Sie sich nach den einzelnen Schritten, von Discovery, Exploitation und der Post-Exploitation-Phase, die die Experten durchführen. So erhalten Sie einen besseren Eindruck von der strategischen Planung des Pentests, der Anpassungsfähigkeit an individuelle Systemumgebungen und der Sorgfalt, mit der potenzielle Schwachstellen ermittelt werden. 

Dabei sollte ein datengestützter Ansatz verfolgt werden, der Bedrohungsinformationen über die Online-Services, Systeme und Mitarbeiter Ihres Unternehmens in die Teststrategie einfließen lässt. Mit diesem Ansatz kann der Pentest auf die individuelle Bedrohungslage und Sicherheitsanforderungen Ihrer Organisation abgestimmt werden, was die Wahrscheinlichkeit erhöht, dass relevante Schwachstellen effektiv identifiziert werden können.

4. Wie werden False-Positives herausgefiltert?

Die absichtliche Auslösung eines Feueralarms, obwohl es nicht brennt, ist nicht ohne Grund eine Straftat nach §145 StGB, da dadurch Ressourcen von tatsächlichen Gefahren abgelenkt werden und die Wahrscheinlichkeit steigt, dass eine legitime Bedrohung unbeantwortet bleibt. False Positives bei einem Penetrationstest kann das gleiche Problem für Ihr Sicherheitsteam verursachen und Ihr Unternehmen daran hindern, echte Sicherheitsrisiken effektiv zu priorisieren und zu beseitigen. Qualifizierte Pentester sollten jedoch in der Lage sein, detailliert darzulegen, wie sie ihre Ergebnisse validieren, um sicherzustellen, dass es sich bei den gemeldeten Schwachstellen um echte Bedrohungen handelt, auf die Sie reagieren sollten.

Sobald Sie verstehen, wie Ihr Dienstleister Falschmeldungen von relevanten Schwachstellen unterscheidet, können Sie beurteilen, ob die Ergebnisse und Befunde relevant und zutreffend sind. Somit können Sie bei der Behebung von Schwachstellen besser Prioritäten setzen und Ihre Ressourcen auf die Schwachstellen konzentrieren, die die Sicherheit Ihres Unternehmens am stärksten gefährden könnten.

5. Wie werden die Ergebnisse und Befunde kommuniziert?

Penetrationstests sind so wirkungsvoll wie ihre Fähigkeit, technische Erkenntnisse in anwendbare Informationen umzuwandeln. Deshalb ist es wichtig, dass Sie genau wissen, wie die Ergebnisse des Pentests mit Ihnen geteilt werden sollen. Stellen Sie Fragen wie:

• Wie wird der Abschlussbericht aufgebaut sein? Die besten Reports über die Ergebnisse von Penetrationstests können sowohl vom IT-Sicherheitsteam als auch von der Geschäftsleitung gelesen und verstanden werden. Bitten Sie potenzielle Dienstleister um einen Beispielbericht und vergewissern Sie sich, dass die Aufbereitung der Informationen aus technischer und unternehmerischer Sicht für Ihr Unternehmen von Nutzen ist.
• Wie wird der Report zugestellt? Denken Sie daran, dass die Reports aus einem Pentest hochsensible Informationen enthält, die, wenn sie an die falschen Personen weitergegeben werden, Ihrem Unternehmen großen Schaden zufügen könnten. Daher sollten solche Reports per verschlüsselter E-Mail, sicherem Dateitransferprotokoll oder persönlich übergeben werden. Vermeiden Sie Pentest-Dienstleister, die ihren Report an eine unverschlüsselte E-Mail oder einen ungesicherten Cloud-Speicher anhängen wollen.
• Wie wird die Kommunikation während des Pentests verlaufen? Klären Sie vorab, wie oft während des Tests kommuniziert wird. Bei einem kurzen Pentest können Sie sich für tägliche oder vierzehntägige Updates entscheiden; bei einem längeren Pentest können wöchentliche Updates ausreichen. Wichtig ist dabei, dass Sie schnellstmöglich über kritische Schwachstellen informiert werden, die entdeckt wurden. 

Die Vorteile von PTaaS bei kontinuierlichen Pentests

Die fünf Fragen können dabei helfen einen geeigneten Dienstleister für Penetrationstests zu finden, der einen positiven Impact auf die Sicherheitslage Ihrer Organisation haben wird. Jedoch ist es eine zeitaufwändige Angelegenheit, dies jedes Mal zu wiederholen, wenn Sie einen neuen Pentest-Anbieter beauftragen möchten. Hier bietet eine Pentesting-as-a-Service-Lösung (PTaaS) ( Wie die von Outpost24 ) die Chance, kontinuierlich die Sicherheit von Webanwendungen zu gewährleisten, ohne regelmäßig durch die organisatorischen Prozesse zu gehen.

Ein weiterer Vorteil von PTaaS ist, dass Sie nicht mehr auf den finalen Report warten müssen, ehe Sie mit der Remediation von Schwachstellen beginnen können, denn es werden alle gefundenen und validierten Gefahren direkt über ein sicheres Portal gemeldet. Bei Rückfragen zu Schwachstellen können Sie direkt mit den Pentestern in Kontakt treten, um Gegenmaßnahmen oder Replizierung zu besprechen. Ein großer Pool von Testern stellt außerdem sicher, dass die Testansätze kreativ und neu sind.

Wie bereits im vorhergehenden Abschnitt erwähnt, bietet PTaaS besonders beim Schutz von wichtigen Webanwendungen ein hohes Maß an Sicherheit und Zuverlässigkeit, da es die Tiefe und Präzision manueller Penetrationstests mit automatisiertem Schwachstellen-Scanning kombiniert. Gerne beraten unsere Experten Sie darüber, wie PTaaS von Outpost24 Sie bei der Verbesserung der Sicherheitslage Ihrer Organisation unterstützen kann.