Sysbus
ArtikelSecurity

Pentesting: Nutzen, Kosten und der beste Zeitpunkt

gcg

Wann ist der beste Zeitpunkt für einen Pentest?

Grundsätzlich können Penetrationstests in allen Phasen der Entwicklung oder Bereitstellung von Softwareprogrammen durchgeführt werden und doch gibt es bessere und schlechtere Zeitpunkte für eine solche Überprüfung. In vielen Unternehmen passieren Pentests während der funktionellen Endabnahme der in der Entwicklung befindlichen Software, das heißt kurz vor der Live-Produktion. Dies ist strategisch gesehen jedoch kein guter Moment, da die letzten Wochen eines Softwareentwicklungsprojekts – auch ohne eine zusätzlicheSicherheitsüberprüfung – in der Regel schon hektisch genug sind. Darüber hinaus könnte die Behebung der beim Test identifizierter Schwachstellen zu einer unerwarteten Verzögerung führen. Bei architektonischen Problemen kann es im schlimmsten Fall zu erheblichen Nacharbeiten kommen, die kostspielig, zeitaufwendig und mit Umsatzeinbußen verbunden sein können.

Sinnvoller ist es, den ersten Pentest bereits nach Entwicklung des Prototypen oder dem Minimum Viable Product (MVP) anzusetzen. Nach Fertigstellung des Release-Kandidaten und bevor der Produktivbetrieb aufgenommen wird, würde dann eine zweite Überprüfung durchgeführt werden. Dieser schrittweise Ansatz hat sich als Best Practice in der Branche etabliert und ist die kostengünstigste Methode zur Minimierung der mit der Anwendungsentwicklung verbundenen Risiken.

Was kostet ein Pentesting?

Je komplexer und kritischer das zu überprüfende System oder die zu überprüfende Anwendung ist, desto höher sollte das Zeit- und Finanzierungsbudget für den Pentest ausfallen. Bei der Festlegung des Budgets sollte man dabei auch den Konfigurations- und Koordinationsaufwand im Blick haben, den ein solches Projekt erfordert, bevor der eigentliche Test beginnen kann.

Bild: SEC Consult

Die Dauer der Test-Durchführung hängt letztlich vom Unternehmen und dem Projekt ab: So kann der Pentest einer Web-Applikation in der Regel in ein paar Tagen durchgeführt werden, während zum Beispiel das Testing eines Kundendienst-Helpdesks eines großen Telekommunikationsunternehmens mehrere Wochen dauern kann. Ein 360 Grad-Pentest für ein DAX-Unternehmen kann wiederum leicht bis zu einer dreistelligen Anzahl von Tagen in Anspruch nehmen. Berücksichtigen Sie dabei immer die Kritikalität Ihrer Anwendung und rechnen Sie mit den in der IT-Branche lokal üblichen Tagessätzen. Auf diese Weise lässt sich grob einschätzen, was einen finanziell erwartet.

Fazit

Ein Pentest ist eine effektive und relativ kostengünstige Maßnahme, um den Sicherheitsstatus von Anwendungen zu bewerten. Er liefert Unternehmen die Transparenz und Objektivität, die sie brauchen, um bestehende Sicherheitslücken zu identifizieren, und ist damit eine wichtige Maßnahme für die Einhaltung gesetzlicher Vorschriften. Wie eingangs bereits erwähnt, stellen die Ergebnisse nur eine Momentaufnahme dar und machen eine kontinuierliche Überprüfung und Optimierung der Unternehmenssicherheit und angemessene Risikomanagementprozesse nicht hinfällig.

Denken Sie daran: je lückenloser die Sicherheit Ihrer Systeme, umso frustrierenderist der Angriff für den Hacker. Im besten Fall verlässt ihn die Motivation und er stürzt sich auf ein einfacheres Ziel.

Ähnliche Beiträge:

  1. Hacked in Translation: Check Point zeigt, wie Hacker Untertitel nutzen können, um Geräte zu übernehmen
  2. Was macht ein erfolgreiches Bug Bounty-Programm aus?
  3. Was Hardware Token wirklich kosten
  4. eHealth: Nicht auf Kosten der Patientensicherheit

Das könnte dir auch gefallen

White Paper: 10 entscheidende Schritte zur E-Mail-Sicherheit

gg

Während der Feiertage haben Cyberkriminelle Hochsaison

gg

Kenne Deinen Open Source Code

gg