ISGroup Cybersicherheitsberatung

Penetrationstest: Wie man ein effektives Unternehmen auswählt

Die Wahl eines Cybersecurity-Unternehmens für einen Penetration Test (Pentest) ist eine entscheidende Entscheidung für die Sicherheit Ihres Unternehmens. Ein effektiver Web Application Penetration Test (WAPT) kann versteckte Schwachstellen aufdecken und Ihre Web-Infrastruktur vor potenziellen Angriffen schützen. Dieser Artikel führt Sie durch die grundlegenden Kriterien für die Auswahl des richtigen Unternehmens, erläutert die Unterschiede zwischen internen und externen Pentests und bietet Ihnen eine hilfreiche Checkliste mit Fragen.

Grundlegende Auswahlkriterien

Bei der Auswahl eines Cybersecurity-Unternehmens für einen Penetration Test ist es wichtig, verschiedene Faktoren zu bewerten:

  • Zertifizierungen: Zertifizierungen sind ein Indikator für Kompetenz und Professionalität. Suchen Sie nach Unternehmen, die über anerkannte Branchenzertifizierungen verfügen, wie z. B. ISO 9001:2015 für Qualitätsmanagementsysteme und ISO/IEC 27001:2013 für Informationssicherheit. Diese Zertifizierungen belegen, dass das Unternehmen strenge Standards und hochwertige Prozesse einhält.
  • Branchenerfahrung: Erfahrung in spezifischen Sektoren ist ein Mehrwert. Ein Unternehmen, das bereits mit ähnlichen Organisationen wie Ihrer gearbeitet hat, wird ein tieferes Verständnis für Ihre Bedürfnisse und die spezifischen Risiken Ihrer Branche haben. ISGroup beispielsweise verfügt über Erfahrung in verschiedenen Sektoren, darunter kritische Infrastrukturen wie Chemie, Energie und Transport sowie in privaten Sektoren wie Banken und Versicherungen.
  • Methoden: Ein zuverlässiges Cybersecurity-Unternehmen sollte anerkannte Testmethoden und internationale Standards anwenden. Standards wie PTES (Penetration Testing Execution Standard) und OSSTMM (Open Source Security Testing Methodology Manual) sind Indikatoren für einen strukturierten und umfassenden Ansatz. Zudem sollte ein gutes Unternehmen eine Mischung aus manuellen Techniken und geeigneten Tools verwenden, um sowohl offensichtliche als auch versteckte Schwachstellen zu identifizieren.
  • Expertenteam: Stellen Sie sicher, dass das Unternehmen über ein Team qualifizierter Fachleute verfügt, die Experten in Ethical Hacking und Sicherheitsanalyse sind. Suchen Sie nach Unternehmen, deren Mitglieder in der INFOSEC-Forschungsgemeinschaft aktiv sind, Sicherheits-Advisories veröffentlichen und an der Erstellung von Zertifizierungskursen mitwirken. Praktische Erfahrung ist entscheidend; ein Team, das aus der Hacking-Welt stammt, kann eine tiefere und realistischere Perspektive bieten. ISGroup betont beispielsweise seine Herkunft aus dem Hacking-Bereich und seine langjährige Erfahrung.
  • Transparenz und Garantie: Transparenz im Testprozess und eine Ergebnisgarantie sind unerlässlich. Ein seriöses Unternehmen sollte eine Geld-zurück-Garantie anbieten, falls es die Leistung nicht erbringen kann. Die Fähigkeit, klare und detaillierte Berichte zu liefern – mit einem Executive Summary für das Management und technischen Details für IT-Spezialisten – ist ein weiteres Zeichen für Professionalität.
  • Proprietäre Tools: Die Verwendung eigener Software und Verfahren kann einen Vorteil bei der Identifizierung ungewöhnlicher oder besonders gut versteckter Schwachstellen bieten. Dies deutet auf hohe Investitionen des Unternehmens in Forschung und Entwicklung hin.
  • Compliance: Ein Unternehmen sollte in der Lage sein, Sie bei der Erfüllung von Compliance-Anforderungen zu unterstützen, wie z. B. DSGVO, ISO/IEC 27001 und Richtlinien für die öffentliche Verwaltung wie AgID.

Interne vs. externe Penetration Tests

Es ist wichtig, den Unterschied zwischen internen und externen Pentests zu verstehen:

Interne PT: Simulieren einen Angriff durch einen internen Akteur, wie einen Mitarbeiter oder einen Auftragnehmer. Diese Tests sind nützlich, um Schwachstellen innerhalb des Netzwerks zu identifizieren und Risiken durch interne Bedrohungen zu bewerten.

Externe PT: Simulieren einen Angriff durch einen externen Angreifer, wie einen Hacker, der aus dem Internet agiert. Diese Tests sind entscheidend, um die Sicherheit der mit dem Internet verbundenen Infrastruktur und der öffentlich zugänglichen Webanwendungen zu bewerten. Auf Pentests spezialisierte Unternehmen verwenden oft einen Black-Box-Ansatz, bei dem ein Angreifer simuliert wird, der über keine Vorabinformationen verfügt.

Quellen weisen darauf hin, dass simulierte Angriffe standardmäßig von außen, also aus dem Internet, erfolgen, sofern nicht anders angegeben.

Wichtige Fragen bei der Auswahl

Hier sind einige Fragen, die Sie den Cybersecurity-Unternehmen stellen sollten, die Sie in Betracht ziehen:

  • Über welche Zertifizierungen verfügen Sie?
  • Wie viel Erfahrung haben Sie in meiner spezifischen Branche?
  • Welche Testmethoden wenden Sie an?
  • Verfügen Sie über ein Team von Ethical-Hacking-Experten?
  • Bieten Sie eine Garantie auf die Testergebnisse?
  • Verwenden Sie proprietäre Tools und Software?
  • Wie gehen Sie während des Tests mit sensiblen Daten um?
  • Wie werden die Testergebnisse präsentiert?
  • Bieten Sie Unterstützung bei der Behebung (Remediation) von Schwachstellen an?
  • Können Sie uns bei Compliance-Anforderungen unterstützen?

Penetration Test: Vergleich internationaler Standards

Pentest-Methoden basieren auf internationalen Standards wie:

PTES (Penetration Testing Execution Standard): Bietet ein detailliertes Framework für die Durchführung von Penetration Tests und deckt alle Phasen ab, von der Planung bis zur Berichterstattung.

OSSTMM (Open Source Security Testing Methodology Manual): Bietet eine detaillierte Methodik zur Sicherheitsbewertung mit Fokus auf die Identifizierung technischer und prozeduraler Schwachstellen. ISGroup gibt beispielsweise an, eine Mischung aus diesen etablierten Methoden mit moderneren Techniken zu verwenden.

OWASP (Open Web Application Security Project): Bietet einen spezifischen Leitfaden für Web Application Penetration Tests (WAPT) mit Fokus auf die häufigsten Schwachstellen in Webanwendungen, wie die OWASP Top 10.

Die Wahl eines Cybersecurity-Unternehmens für einen effektiven Penetration Test erfordert eine sorgfältige Bewertung verschiedener Faktoren, von Zertifizierungen bis hin zur Branchenerfahrung. Ein zuverlässiger Partner muss in der Lage sein, einen methodischen Ansatz, ein Expertenteam und eine Ergebnisgarantie zu bieten. Mit den Informationen und Fragen aus diesem Artikel sind Sie in der Lage, eine fundierte Entscheidung zu treffen, um Ihr Unternehmen vor Cyber-Bedrohungen zu schützen.

Denken Sie daran: Sicherheit ist eine Investition, keine Ausgabe.

In

Leave a Reply

Your email address will not be published. Required fields are marked *