Ziel eines Penetration Tests ist es, den aktuellen Sicherheitsstand Ihrer IT-Systeme festzustellen sowie alle Schwachstellen zu identifizieren, die es Cyberkriminellen ermöglichen könnten, ihr Unternehmen anzugreifen, Daten abzugreifen oder Sie durch eine Ransomware (Verschlüsselung) zu erpressen. Wesentliche Punkte sind Antworten auf folgende Fragen:

1. Was kann ein Angreifer sehen? (Externer Penetration Test)

2. Was kann ein Angreifer an Schaden anrichten? (Interner Penetration Test)

3. Fällt der Angriff jemanden auf?

4. Wie angreifbar sind Ihre Mitarbeiter? (Social Engineering Tests)

All diese Fragen beantworten wir in einem umfassenden Penetration Test. 

In einem Red Team Assessment sind dem "Angreifer" bzw. uns als Tester kaum Grenzen gesetzt. Auch der physische Zugang zum Unternehmen / Server etc. kann hier als Angriffsmuster gewertet werden.

Diese Frage wird bei vielen Anbietern wenig bis gar nicht beantwortet. Der Grund dafür ist einfach: Der Umfang eines Penetration Tests ist so individuell wie unsere Auftraggeber. Daher beraten wir Sie ausgiebig und völlig kostenfrei, um vorab den Scope (Umfang) des Tests genau zusammen mit Ihnen abzustecken - und um uns gegenseitig kennenzulernen.

Handelt es sich um einen ersten Black Box Test, um zu sehen wo man steht?

Wie viele Filialen gibt es im Unternehmen, wie hoch ist die Zahl der Mitarbeiter?

Handelt es sich um einen Nachtest oder gar nur um eine Webseite?

Wie tief soll intern getestet werden, gibt es prominente Schwachstellen wie ein Active Directory, Zertifikatsserver oder ähnliches?

All diese Informationen führen zu einer Angebotserstellung des Penetration Tests in Stunden. Dabei sind in Deutschland Tagessätze von 1200 bis 2000 Euro branchenüblich. Geht es tiefer in die Programmierung von Applikationen komplexe SIcherheitsprüfungen, kann sich auch dieser Tagessatz schnell verdoppeln. Allgemein lässt sich sagen, dass ein guter Penetration Test bei ca. 5.000 Euro beginnt und je nach Größe des Unternehmens bei ca. 20.000 - 30.000 Euro endet.

Die netzsicher GmbH ist aus einer Volkswagen Autohaus IT Abteilung entstanden, Handwerk und Mittelstand vertrauen auf uns. Daher bieten wir im Bereich Penetration Testing moderate Tagessätze im Bereich von 1200 - 1400 Euro an. Unsere zertifizierten Sicherheitsexperten "hacken" aus Leidenschaft und sind seit Jahren erfolgreich im White Hat Hacking unterwegs. Ebenso sind Sie immer wieder gern als Referenten oder Berater geladen, ob auf IT Sicherheitstagen, Cybersecurity Veranstaltungen, als Berater im TV sowie als Moderatoren des erfolgreichen Podcasts "netzsicher - der Hacking Podcast".

Eine pauschale Aussage über die Dauer zu tätigen ist nicht möglich, denn jeder Test ist anders und hängt stark von der Größe und dem Umfang der zu testenden Systeme ab. In einem ersten Informationsgespräch stecken wir mit Ihnen den Umfang und die mögliche Dauer ab. Bei kleinen und mittelständischen Unternehmen, die zu unseren Kunden gehören, leigt die durchschnittliche Dauer bei circa 3 bis 21 Tagen. Dabei arbeiten wir gern in Blöcken, um zwischen den einzelnen Testphasen den Systemen und dem  Betriebsablauf etwas Ruhe zu gönnen.

Einschränkungen können grundsätzlich nicht ausgeschlossen werden, wir sind allerdings bemüht, etwaige Störungen im System frühzeitig zu erkennen und absehbare Ausfälle oder verlgeichbere Störungen mit Ihnen zu besprechen, bevor sie tatsächlich entstehen. Dabei halten wir uns an die von Ihnen vorgegeben Test-Zeitfenster. Bisher hatten wir in keinem unserer Tests Beeinträchtigungen, Fehlermeldungen oder Prozessminderungen. 

Einen Schaden an einem IT-System durch einen Penetration Test können wir pauschal nicht ausschließen. Im Rahmen unserer Tests sind bisher keine Schäden eingetreten. Sofern die netzsicher GmbH schuldhaft gegen die mit Ihnen vorab festgelegten Testregeln verstoßen hat, haften wir selbstverständlich für die jeweiligen Schäden. Im Rahmen einer Haftpflichtversicherung sind auch umfangreichere Schäden abgedeckt. Alle Informationen hierüber sind in unseren AGBs aufgeführt, die wir Ihnen bei einem Angebot mit übersenden.

Sollte es zu einem Auftrag kommen, übersenden wir Ihnen unseren Datenschutzvertrag samt einer Verschwiegenheitsvereinbarung (NDA). Den Umgang mit Ihren sensiblen Daten behandeln wir  verantwortungsvoll  - aus diesem Grund bleiben gefundene Daten bis zum Ende des Tests für einen Bericht in unserem Besitz, lokal verschlüsselt und für niemanden einsehbar. Im Anschluss an die Übergabe des Berichts werden diese Daten vernichtet und die Mitarbeiter / Administratoren sowie Geschäftsführer angewiesen, die gefundenen Passwörter durch neue, sichere Passphrasen zu ersetzen. Uns ist bewusst, wie viel Vertrauen Sie uns in unsere Hände legen und wir werden alles tun, Sie zu überzeugen, dass wir ein kompetenter und verlässlicher Ansprechpartner für Penetration Tests sind.

Im Rahmen der Digitalförderung können bis zu 80% der Summe einer Cybersicherheits-Investition von den Bundesländern erstattet werden.Die netzsicher GmbH ist an dieser Stelle für Penetration Tests akkreditiert. Alle Informationen hierzu haben wir HIER für Sie zusammengetragen.

Responsible Disclosure steht für unsere ethische Verantwortung, Schachstellen zu melden, die wir auch außerhalb eines Penetration Tests finden. Diese Schwachstellen können im Rahmen von Sicherheitsforschung, Projektvorbereitungen sowie zufällige Fundstücke während eines offiziellen Penetration Tests sein. Wir haben bereits Schwachstellen im Passwort-Manager NordPass entdeckt und gemeldet, ebenso bei einem Kundenkarten-Anbieter, einem europäischen Wallbox und Ladesäulenhersteller und anderen Teils wichtigen Institutionen (Gesundheitswesen, Automotive etc.). Mit unseren Meldungen kommen wir unserer ethischen sowie auch gesellschaftlichen  Verantwortung nach und geben dem Gegenüber in Form eines Responsible Disclosure immer genug Zeit, die Schwachstelle zu schließen, bevor wir diese öffentlich machen.

IT-Zertifikate sind Momentaufnahmen, auf die man in seiner Cybersecurity Laufbahn lange hinarbeitet, bevor die Leistungskurve nach der Prüfung wieder abflacht.  Da wir wissen, dass Absolventen in der Vorbereitungsphase auf dem höchsten und professionellsten Niveau arbeiten, haben wir diese Trainingsphase zu unserem Alltag gemacht. Neben unserer Haupttätigkeit, dem ethischen Hacken für unsere Kunden, trainieren wir täglich in virtuellen Labs und Akademien. So durchspielen wir täglich den Ernstfall und sind sensibilisiert für eine ständig wachsende und sich wöchentlich verändernde Bedrohungslage. Unser  tägliches Trainingsniveau liegt auf den Standards des OSCP (Offensive Security Certified Professional) und des CPTS (Certified Penetration Testing Specialist).