Pentest beauftragen – diese 5 Punkte sollten beachtet werden!

Wer einen Pentest beauftragen will, der findet im Internet zahlreiche Unternehmen, Einzelpersonen und andere Organisationen die eine IT-Sicherheitsuntersuchung durchführen. Es gibt jedoch einige Punkte die ein Auftraggeber beachten sollte, bevor der Auftrag vergeben wird. Welche Aspekte das sind und wie diese geprüft werden können erklären wir im Detail.

Der Auftrag einen Pentest durchzuführen ist schnell vergeben. Doch wie gelingt es seriöse Anbieter zu erkennen und das Budget zielgerichtet zu investieren um Sicherheitslücken, Schwachstellen oder akute Bedrohungen aufzudecken?

1. Wen beauftrage ich konkret für die Durchführung einer Sicherheitsuntersuchung?

Pentest beauftragen - so finden sie den richtigen anbieter

Die erste Frage, gar bevor die Anfrage zur Abgabe eines Angebots versendet wird, sollte schnell beantwortet sein: Werfen Sie einen Blick in das Impressum. Im Impressum sehen Sie die für die Webseite verantwortliche Person oder Organisation. Dabei sind folgende Aspekte interessant:

  1. Um welche Rechtsform handelt es sich?
    Klassischerweise sind IT-Sicherheitsunternehmen eine GmbH, AG oder GmbH & Co. KG. Ausnahmen bestätigen die Regel – es gibt jedoch auch einige Punkte, bei denen Sie stutzig werden sollten:

    1. Die Organisation ist eine UG (Haftungsbeschränkt)Die Mini GmbH, die mit wenigen Euro Startkapital gegründet werden kann, macht es Unternehmer:innen leicht eine Firma zu eröffnen die Haftungsbeschränkt ist und somit keine 25.000 Euro Stammeinlage benötigt. Doch es ist vorgesehen, dass aus dem Gewinn ca. 25% zurückgelegt werden um über kurz oder lang den Status einer GmbH zu erreichen. Doch was bedeutet das für Sie als Auftraggeber für die Beauftragung von einem Pentest? Sie haben es hier mit einem sehr jungen Unternehmen zu tun. Ein Unternehmen, das entweder nicht bereit war eine Stammeinlage i.H.v. 25.000 Euro zu leisten oder es noch nicht konnte. Wir empfehlen an der Stelle nur kleine Untersuchungen mit einem Projektvolumen von weniger als 10.000 Euro zu beauftragen. (Hier finden Sie heraus, wie viel ein Penetrationstest kostet.)
    2. Die Verantwortlichen im Impressum sind Einzelpersonen
      Nicht selten findet sich anstatt einer juristische Person eine Einzelperson als verantwortliche Person wieder. Wir empfehlen an der Stelle von einer Beauftragung abzusehen. Sie haben keinerlei Möglichkeit die Echtheit einer Person nachzuweisen. Vorsicht ist auch bei GbR geboten. Es herrscht keine Registerpflicht.
    3. Im Impressum ist keine Umsatzsteuer-Identifikationsnummer angegeben
      Wer ein Gewerbe anmeldet, der muss den Fragebogen zur steuerlichen Erfassung ausfüllen und beim Finanzamt einreichen. Dort lässt sich von der Kleinunternehmerregelung gebrauch machen. Die besagt, dass der prognostizierte Umsatz nicht über 50.000 Euro und der Umsatz im vergangenen Jahr nicht höher als 22.000 Euro sein darf. Der Gewerbetreibende darf dann keine Vorsteuer in Abzug bringen und keine Umsatz- bzw. Mehrwertsteuer in Rechnungen ausweisen. Auch wenn dies grundsätzlich ein leichter Einstieg in die Selbstständigkeit ist, so sollten Sie auch in diesem Fall von einer Beauftragung absehen. Die fehlende Ust. Id. Nr. zeigt Ihnen direkt, dass der potenzielle Auftragnehmer nur sehr wenige, kleine Projekte im letzten und laufenden Jahr durchgeführt hat.



2. Tagesgeschäft oder ein Service von vielen?

Tagesgeschaeft PentestUnabhängig davon wie Sie auf Ihren potenziellen IT-Security Dienstleister aufmerksam geworden sind, Sie sollten immer überprüfen welche Kernkompetenz dieser besitzt.

Sie sollten einen Pentest nur dann beauftragen, wenn Sie der Organisation die Expertise zutrauen und diese über das notwendige, technisch ausgebildete Personal verfügt diesen auch fachgemäß durchzuführen.

Ausschließlich große bis sehr große IT-Dienstleister haben die monetären und personellen Möglichkeiten den Ansprüchen von mehreren Kerngeschäften nachzugehen.

Wir empfehlen jedoch für die Durchführung eines Pentests Klein- und mittelständische Unternehmen zu beauftragen. Flexibilität, die Möglichkeit zur zügigen Projektabwicklung sowie auch von flachen Hierarchien können Sie profitieren.

Hinzu kommt die intrinsische Motivation der verantwortlichen Personen: Nicht selten sind die neusten Angriffsarten und Untersuchungen auf Sicherheitslücken bei der Durchführung Ihres Pentests inbegriffen. Das sollten Sie bei Organisationen mit mehreren Hunderten wenn nicht gar Tausenden Mitarbeitern nicht erwarten.

3. Angebotsaufforderung, Vorgehensweise und Beteiligte

Sie haben einen Dienstleister gefunden der über eine passende Rechtsform verfügt und das Personal sowie auch die Expertise besitzt einen Pentest durchzuführen? Herzlichen Glückwunsch – fragen Sie nun nach einem Angebot. Sie können es dem IT-Sicherheitsunternehmen leicht machen, in dem Sie angeben ob Sie einen Black, White oder Greybox Pentest durchführen wollen.

Darüber hinaus können Sie den potenziellen Auftragnehmer mitteilen, zu welchem Zweck Sie den Test durchführen. Vergessen Sie nicht Ihre Telefonnummer oder E-Mail-Adresse anzugeben: Häufig müssen noch weitere Bedingungen geklärt werden, damit der mögliche Auftragnehmer ein verbindliches Angebot abgeben kann.

Angebotsaufforderung richtig machen

Spätestens im bzw. mit dem Angebot sollte dann die Vorgehensweise und Produktbeschreibung enthalten sein. Mit der Hilfe dieser Unterlagen müssen Sie folgende Fragen beantworten können:

  1. Wie ist die Vorgehensweise bei der Durchführung des Pentests?
  2. Wird nach internationalen Standards getestet?
  3. Wie viele Personen sind am Projekt beteiligt?
  4. Über welche Qualifikationen verfügt das beteiligte Personal?

4. Bevor Sie einen Pentest beauftragen: Hat das Unternehmen eine statische IP-Adresse?

Bestandteil des Angebots, wenn Sie einen Pentest beauftragen, sollte immer auch eine Genehmigungsvereinbarung sein. In dieser ist festgehalten, dass der Auftragnehmer von den zu erwarteten Strafen bei der Computer-Sabotage befreit ist. Hier findet sich häufig der sog. „Hacker-Paragraf“ wieder. Die Unterzeichnung der Genehmigungsvereinbarung ist jedoch zweck- und sinnlos, falls der Auftragnehmer keine IP-Adresse nennen kann, von der aus er testet.

Mit der Hilfe einer statischen IP-Adresse kann nicht nur der Auftragnehmer ein Whitelisting durchführen, er kann auch auf einen Blick erkennen welche Angriffe und Test der Auftragnehmer auf die eigene Infrastruktur durchführt. Des Weiteren erlaubt es der IT-Abteilung des Auftraggebers festzustellen ob erkannte Angriffe teil des Pentests sind oder ob es sich um einen realen Angriff handelt.

Von Pentest-Anbietern welche keine statische IP-Adresse preisgeben sollte für eine Beauftragung abgesehen werden, da nur diese es erlaubt auf Seiten des Auftraggebers festzustellen was und wie getestet wurde.

5. Der Single-Point-of-Contact: Wer ist verantwortlich?

Nach dem Sie das Angebot erhalten und die statische IP-Adresse notiert haben, sollten Sie mit dem Auftragnehmer eine Kontaktperson ausmachen. Selbst an kleine Pentests werden nicht von nur einer Person durchgeführt: Es handelt sich dabei immer um Teamarbeit.

Ähnlich sieht es auch bei der IT-Abteilung des Auftraggebers aus. Hier arbeiten große Teams an jedem Projekt. Damit es nun bei der Durchführung eines Pentests nicht zu Komplikationen und unnötig komplexer Kommunikation kommt, sollten auf beiden Seiten Ansprechpartner definiert werden welche als Kontaktperson fungieren.

Dadurch wird es ermöglicht den Aufwand der Kommunikation und unnötige Meetings zu minimieren. Beide Kontaktpersonen tauschen somit die notwendigen Informationen und Fragen untereinander aus und geben diese gegebenenfalls an Ihre Kollegen zur Klärung weiter.

Single-Point-of-Contact fuer die Beauftragung eines Pentests

Im Vorfeld zu allen Pentests erfolgt ein Kick-Off Gespräch. Beide Seiten tauschen die nötigen Informationen aus und können letzte Fragen klären. An diesem Kick-Off Termin sollten mindestens die beiden für den Pentest verantwortlichen Personen und Ansprechpartner teilnehmen. Bei solch einem Termin sollten die Folgeenden Informationen und Fragen geklärt und ausgetauscht werden:

  1. Wie ist der genaue Testzeitraum?
  2. Hat sich am Umfang des Tests noch etwas kurzfristig geändert?
  3. Gibt es spezielle Anforderungen für bestimmte Systeme/Netze?
  4. Stehen den Testern alle nötigen Accounts und Ziele zur Verfügung?
  5. Wie soll mit kritischen Schwachstellen umgegangen werden?
  6. Wie erreichen sich die Kontaktpersonen der Unternehmen am schnellsten zur Klärung von Problemen?

Wenn Sie nun einen Pentest beauftragen und dabei die oben beschriebenen Faktoren berücksichtigen, sollte der erfolgreichen Durchführung nichts mehr im Weg stehen. Wir wünschen Ihnen viel Erfolg bei der Durchführung und der Verbesserung ihres IT-Sicherheitsniveaus!