Die Zahl der Unternehmen, die von Cyberkriminellen ins Visier genommen werden, um Informationen und Kennwörter zu stehlen oder Unternehmensprozesse zu sabotieren, steigt seit Jahren.  Laut dem Branchenverband Bitkom waren 2024 46 Prozent der Unternehmen in Deutschland von digitalem Diebstahl von Geschäftsdaten betroffen, weitere 28 Prozent vermuten, Ziel eines solchen Angriffs gewesen zu sein. Mehr als jedes dritte Unternehmen war zudem Ziel von digitaler Sabotage und Ausspähversuchen.

Um Schwachstellen und mögliche Schlupflöcher in der IT zu finden, bevor sie von Cyberkriminellen oder ausländischen Geheimdiensten ausgenutzt werden können, setzen viele Unternehmen und Organisationen auf White-Hat-Hacker. Pentests – also autorisierte, simulierte Cyberangriffe, bei denen ethische Hacker ermitteln, auf welchem Weg und wie tief Angreifer in ein System eindringen können – sind längst ein grundlegender Bestandteil der IT-Sicherheitsstrategie geworden. Zudem verlangen Standards wie beispielsweise PCI DSS regelmäßige Pentests; und Unternehmen wie z. B. Betreiber kritischer Infrastrukturen können mit Penetration Tests nachweisen, dass sie regulatorische Anforderungen an die Cybersicherheit erfüllen.

Allerdings ist Penetration Testing keine exakte Wissenschaft mit standardisierter Methodik. Verschiedene Pentester haben unterschiedliche Fähigkeiten und Schwerpunkte, nutzen verschiedenartige Methoden und Tools. Manche setzen stärker auf manuelle Tests, andere eher auf automatisierte; manche testen ausgiebig bestimmte Angriffsvektoren (etwa Social Engineering), andere testen breiter.  Daher können Auftraggeber nie sicher sein, dass alle Schwachstellen gefunden werden. Aus diesen Gründen gilt es bei vielen Unternehmen als Best Practice, Pentest-Anbieter regelmäßig zu wechseln, in der Hoffnung, dass so mittelfristig mehr Probleme aufgedeckt werden. Wir werfen einen Blick auf die Vor- und Nachteile dieser Praxis und auf mögliche Alternativen.

Was spricht für einen regelmäßigen Wechsel von Pentest-Anbietern?

Eine zentrale Annahme hinter der Rotationspraxis ist, dass die Beauftragung eines neuen Teams dazu beitragen könnte, Schwachstellen aufzudecken, die ein früherer Tester übersehen hat. Mit dem regelmäßigen Wechsel ist häufig auch die Erwartung verbunden, über die verschiedenen Tests hinweg eine umfassendere und objektivere Bewertung der IT-Sicherheit zu erhalten und somit die Abwehrmaßnahmen gegen potenzielle Cyberangriffe kontinuierlich zu verbessern.

Auch der Vergleich verschiedener Pentest-Anbieter bzw. eine bessere Einschätzung ihrer jeweiligen Ergebnisse kann Grund für einen regelmäßigen Wechsel sein. Um dabei die bestmöglichen Ergebnisse zu erzielen, empfiehlt es sich allerdings, dem neuen Pentester nur die unbedingt nötigen Informationen über bereits durchgeführte Tests und deren Ergebnisse zu geben – etwa Hinweise auf Bereiche, die sich als besonders vulnerabel herausgestellt haben oder Hinweise zu Methodiken, wenn diese gezielt verglichen werden sollen. So können unterschwellige Voreingenommenheit vermieden und ein frischer Blick auf die IT-Landschaft gewährleistet werden.

Es gibt mehrere Gründe, die für einen regelmäßigen Wechsel von Pentest-Anbietern sprechen:

• Vermeidung von Betriebsblindheit: Neue Tester betrachten die IT-Infrastruktur des Unternehmens aus einer frischen Perspektive und können auf diese Weise Probleme identifizieren, die vorherige Tester möglicherweise übersehen haben.
• Unterschiedliche Herangehensweisen: Verschiedene Anbieter verwenden in der Regel unterschiedliche Tools und Methoden. So können besondere Schwachstellen aufgedeckt werden, die anderen Testern entgangen sind.
• Benchmarking: Durch den Vergleich der Ergebnisse verschiedener Anbieter können diese besser eingeschätzt werden. Auch ist eine sicherere Beurteilung der Sicherheitslage möglich.
• Wettbewerb: Ein regelmäßiger Wechsel der Anbieter kann zu einem gesunden Wettbewerb führen, bei dem jeder Anbieter bestrebt ist, Ihr Unternehmen durch besonders gründliche Tests zu beeindrucken und sich zukünftige Aufträge zu sichern.

Welche Nachteile hat die Rotation von Pentest-Anbietern?

Es gibt also gute Gründe dafür, dass die Rotation von Pentest-Anbietern in vielen Unternehmen inzwischen als Best Practice gilt. Warum entscheiden sich einige Unternehmen trotzdem gegen diese Praxis? Zunächst einmal darum, weil die Wahl und das Onboarding eines passenden Anbieters immer mit Aufwand verbunden ist. Dagegen verfügen Anbieter, die bereits Penetration Tests im Unternehmen durchgeführt haben, über die notwendige gute Kenntnis der IT-Infrastruktur. Und nicht zuletzt spielt auch das Vertrauen in den Tester eine wichtige Rolle. Daher weisen Experten auch immer wieder darauf hin, dass der Aufbau einer langfristigen Beziehung zu einem vertrauenswürdigen Pentest-Anbieter vorteilhafter sein kann als ein regelmäßiger Wechsel.

Die möglichen Nachteile eines regelmäßigen Wechsels von Pentest-Anbietern im Einzelnen:

• Längere, ineffizientere Startphase: Jeder neue Anbieter benötigt Zeit und Ressourcen, um die Infrastruktur eines Unternehmens zu verstehen. Dadurch sind die Tests zunächst möglicherweise nicht so effektiv wie die eines Anbieters, der bereits über fundierte Kenntnisse zu IT-Struktur und Sicherheitslage des Unternehmens verfügt.
• Interner Aufwand: Auch das interne Sicherheitsteam muss Zeit und personelle Ressourcen für das Onboarding eines neuen Anbieters aufwenden.
• Kosten: Vertragsverhandlungen, Lieferantenmanagement und Wissenstransfer können zusätzliche Kosten zur Folge haben und weitere Ressourcen binden.
• Mangelnde Konsistenz: Da jeder Anbieter einen neuen Testansatz und Berichtsstil mit sich bringt, ist es schwieriger, Fortschritte über einen längeren Zeitraum hinweg konsistent zu verfolgen.
• Systemstörungen: Neue Tester könnten aufgrund fehlender Vertrautheit mit Netzwerk, System und Anwendungen Testansätze wählen, die zu Störungen der IT-Infrastruktur führen.
• Datenschutz: Bei jedem neuen Pentest-Anbieter muss sichergestellt werden, dass er die rechtlichen Vorgaben zum Datenschutz (z. B. der DSGVO) einhält, insbesondere wenn personenbezogene Daten betroffen sind.

Je nach Sicherheitslage des Unternehmens, der IT-Infrastruktur und Unternehmensgröße können die Nachteile beträchtlich sein und die Vorteile überwiegen. Es empfiehlt sich also, genau abzuwägen, welche Pentest-Strategie für Ihr Unternehmen die geeignete ist.

Wann sollten Sie Ihren Pentest-Anbieter wechseln?

Auch wenn Sie sich gegen eine regelmäßige Rotation entscheiden, sollten Sie die Ergebnisse Ihres Pentest-Anbieters immer einer kritischen Prüfung unterziehen. Denn es kann Situationen geben, in denen ein Wechsel eines langjährigen Pentest-Anbieters angezeigt ist: Insbesondere, wenn bei den letzten ein bis zwei Tests keine neuen Schwachstellen gefunden wurden, sollten Sie über einen Anbieterwechsel nachdenken. Denn angesichts der Dynamik von IT-Systemen und der Vielzahl von Cyberangriffen – auch auf kleine und mittlere Unternehmen – liegt der Verdacht nahe, dass ihr Pentest-Anbieter betriebsblind ist oder nicht gründlich genug testet. Ähnliches gilt, wenn sich die Test-Ergebnisse kaum von den Ergebnissen eines automatisierten Schwachstellentests (VA-Test) unterscheiden.

Allerdings stehen Sie in einem solchen Fall wieder vor Herausforderungen, die Sie eigentlich vermeiden wollten: Sie müssen einen vertrauenswürdigen Anbieter finden, Zeit und Ressourcen für dessen Onboarding bereitstellen und es droht ein erhöhtes Risiko von Systemstörungen, wenn wichtige Besonderheiten Ihrer Infrastruktur beim Onboarding nicht genügend thematisiert wurden.

Die Alternative: Penetration Testing as a Service (PTaaS)

PTaaS bietet die Vorteile eines regelmäßigen Pentest-Anbieter-Wechsels und vermeidet viele der damit verbundenen Nachteile. Bei diesem Modell werden Pentests von einem einzigen Anbieter durchgeführt und verwaltet – wobei die großen Anbieter über einen großen Pool von Testern verfügen, die eine Vielzahl von Fähigkeiten und Perspektiven in den Testprozess einbringen. Weitere Vorteile von PTaaS sind:

• Standardisierter Testansatz: Analyse und Vergleich der Ergebnisse über die Dauer der Zusammenarbeit werden durch einen standardisierten Testansatz erleichtert. So können Sie nachvollziehen, wie sich die Angreifbarkeit Ihrer Webapplikationen durch die Mühen Ihrer Entwickler verändert.
• Skalierbarkeit und Flexibilität: Umfang, Häufigkeit und Methodik (z. B. manuell/automatisiert, Testbereiche, Parameter) der Tests können jederzeit auf aktuelle Bedürfnisse angepasst werden.
• Kosteneffizienz: Es fallen keine Kosten durch erneutes Onboarding, Vertragsverhandlungen etc. an.
  In unserem Whitepaper haben wir eine Reihe weiterer Kosten aufgeführt, die bei Penetrationstests entstehen können.

PTaaS: Mehr als eine Momentaufnahme

Klassische Penetration Tests sind immer Momentaufnahmen. Sie bilden Schwachstellen und Sicherheitslücken der IT-Infrastruktur zu einem bestimmten Zeitpunkt ab. Aber Netzwerk, Systeme und Anwendungen sind nicht statisch, sondern entwickeln sich – bei vielen Unternehmen mit zunehmender Dynamik.

Auch in dieser Hinsicht bietet Pentesting as a Service Vorteile, denn es verfolgt einen Ansatz kontinuierlichen Monitorings. PTaaS verbindet manuelle Tests mit automatisierten Scans, um fortlaufend nach Schwachstellen und Bedrohungen zu suchen und diese dann vertieft zu analysieren. Dadurch können potenzielle Schlupflöcher jederzeit erkannt und beseitigt werden, bevor Angreifer sie ausnutzen können. Mehr dazu erfahren Sie in unserem Blogartikel „So verbessern Sie mit kontinuierlichem Monitoring die Sicherheit Ihrer Anwendungen“.

OutPost24 PTaaS für Web-Apps

Die PTaaS-Lösung SWAT von Outpost24 kombiniert die Tiefe und Präzision manueller Penetrationstests mit Schwachstellen-Scans, um Webanwendungen umfassend zu sichern – auch, wenn Änderungen daran vorgenommen oder neue Angriffsmethoden entdeckt werden. Um falsch positive Ergebnisse zu vermeiden, werden alle Ergebnisse von Fachleuten begutachtet.

Zu den weiteren Vorteilen gehören:

• Manuelles Testen mit menschlichen Analysten: Ein großes Team von Testern verfügt über vielfältige Fähigkeiten und Erfahrungen und stellt sicher, dass Ihre Anwendungen aus verschiedenen Perspektiven bewertet werden.
• Konsistenz und Tiefe des Wissens: Mit konsistenten Testmethoden und Berichtsstandards erhalten Sie ein tieferes Verständnis der Sicherheitslage Ihrer Anwendungen.
• Ausrichtung auf Agile und DevOps: SWAT fügt sich nahtlos in Agile- und DevOps-Umgebungen ein und unterstützt eine kontinuierliche Integration und Bereitstellung.
• Echtzeit-Einblicke und schnelle Reaktion: Echtzeit-Einblicke ermöglichen sofortige Maßnahmen bei identifizierten Schwachstellen.
• Skalierbarkeit und Flexibilität: SWAT lässt sich flexibel mit Ihren Anforderungen skalieren.

Langfristig kostengünstig: Durch den Wegfall des regelmäßigen Anbieterwechsels und der damit verbundenen Aufwände kann die PTaaS-Lösung von Outpost24 auf lange Sicht kostengünstiger sein.

Nehmen Sie noch heute Kontakt mit uns auf und erfahren Sie, wie die Lösungen von Outpost24 Sie bei der Stärkung Ihrer Anwendungssicherheit unterstützen können!