Ziel eines Penetration Tests ist es den  aktuellen SIcherheitsstand Ihrer IT-Systeme festzustellen. Wesentliche Punkte sind Antworten auf folgende Fragen:

1. Was kann ein Angreifer sehen? (Externer Penetration Test)

2. Was kann ein Angreifer an Schaden anrichten? (Interner Penetration Test)

3. Fällt der Angriff jemanden auf?

4. Wie angreifbar sind Ihre Mitarbeiter? (Social Engineering Tests)

All diese Fragen beantworten wir in einem umfassenden Penetration Test. 

In einem Red Team Assessment sind dem "Angreifer" bzw. uns als Tester kaum Grenzen gesetzt. Auch der physische Zugang zum Unternehmen / Server etc. kann hier als Angriffsmuster gewertet werden.

Diese Frage wird bei vielen Anbietern wenig bis gar nicht beantwortet. Der Grund dafür ist einfach: Der Umfang eines Penetration Tests ist so individuell wie unsere Auftraggeber. Daher ist es wichtig, dass vorab der Scope (Umfang) des Tests genau abgesteckt wird.

Handelt es sich um einen ersten Black Box Test, um zu sehen wo man steht?

Wie viele Filialen gibt es im Unternehmen, wie hoch ist die Zahl der Mitarbeiter?

Handelt es sich um einen Nachtest oder gar nur um eine Webseite?

Soll intern getestet werden, gibt es ein Active Directory?

All diese Informationen führen zu einer Berechnung des Penetration Tests in Stunden. Dabei sind Tagessätze von 1000 Euro branchenüblich. Geht es tiefer in die Programmierung von Applikationen oder Webanwendungen, kann sich auch dieser Tagessatz schnell verdoppeln. Ein üblicher Penetration Test beginnt bei ca. 2000 Euro und endet im Schnitt bei größeren Unternehmen bei ca. 18000 Euro.

netzsicher ist aus einer Volkswagen Autohaus IT Abteilung entstanden, Handwerk und Mittelstand sind uns bestens vertraut. Daher bieten wir auch im Bereich Penetration Testing moderate Tagessätze im Bereich von 1000 Euro an. Unsere beiden zertifizierten Sicherheitsexperten "hacken" aus Leidenschaft und sind seit Jahren erfolgreich im White Hat Hacking unterwegs. Ebenso sind Sie immer wieder gern als Referenten oder Berater geladen, ob auf IT Sicherheitstagen, Cybersecurity Veranstaltungen, als Berater im TV sowie als Moderatoren des netzsicher Podcasts.

Eine pauschale Aussage über die Dauer zu tätigen ist nicht möglich, denn jeder Test ist anders und hängt stark von der Größe und dem Umfang der zu testenden Systeme ab. In einem ersten Informationsgespräch stecken wir mit Ihnen den Umfang und die mögliche Dauer ab. Bei kleinen und mittelständischen Unternehmen, die zu unseren Kunden gehören, leigt die durchschnittliche Dauer bei circa 7 bis 14 Tagen. Dabei arbeiten wir gern in Blöcken, um zwischen den einzelnen Testphasen den Systemen und dem  Betriebsablauf etwas Ruhe zu gönnen.

Einschränkungen können grundsätzlich nicht ausgeschlossen werden, wir sind allerdings bemüht, etwaige Störungen im System frühzeitig zu erkennen und absehbare Ausfälle oder verlgeichbere Störungen mit Ihnen zu besprechen, bevor sie tatsächlich entstehen. Dabei halten wir uns an die von Ihnen vorgegeben Test-Zeitfenster.

Einen Schaden an einem IT-System durch einen Penetration Test können wir pauschal nicht ausschließen. Im Rahmen unserer Tests sind bisher keine Schäden eingetreten. Sofern netzsic her schuldhaft gegen die mit Ihnen vorab festgelegten Testregeln verstoßen hat, haften wir selbstverständlich für die jeweiligen Schäden. Im Rahmen einer Haftpflichtversicherung sind auch umfangreichere Schäden abgedeckt. Alle Informationen hierüber sind in unseren AGBs aufgeführt, die wir Ihnen gerne mit einem Angebot übersenden.

Sollte es zu einem Auftrag kommen, übersenden wir Ihnen auf Wunsch gerne unseren Datenschutzvertrag samt einer Verschwiegenheitsklausel. Der Umgang mit sensiblen Daten ist uns bewusster als vielen Ihrer Mitarbeiter - aus diesem Grund bleiben gefundene Daten bis zum Ende des Tests für einen Bericht in unserem Besitz. Im Anschluss werden die Daten vernichtet und die Mitarbeiter / Administratoren sowie Geschäftsführer angewiesen, die gefundenen Passwörter durch neue, sichere Passphrasen zu ersetzen. Uns ist bewusst, wieviel Vertrauen Sie uns in unsere Hände legen und wir werden alles tun, um SIe zu überzeugen, dass wir ein kompetenter und verlässlicher Ansprechpartner für Penetration Tests sind.

Im Rahmen der Digitalförderung NRW können bis zu 80% der Summe einer Cybersicherheits-Investition gefördert werden. netzsicher ist an dieser Stelle für Penetration Tests akkreditiert. Alle Informationen hierzu haben wir HIER für SIe zusammengetragen.

Responsible Disclosure steht für unsere ethische Verantwortung, Schachstellen zu melden, die wir auch außerhalb eines Penetration Tests finden. Ein Beispiel: Ein Kunde beauftragt uns, seine Sicherheit und die seiner Kundendaten zu prüfen. In diesem Rahmen prüfen wir eventuelle Drittanbieter, wie diese mit Kundendaten umgehen. Sollten wir hier Schachstellen finden, brechen wir den Test nach einem "Proof of Work" ab und informieren den Drittanbieter über seine Schwachstelle. Dieses Vorgehen ist eng mit unseren Anwälten abgesprochen. Auch wenn hier der Drittanbieter NICHT unser Auftraggeber ist, sehen wir es als unsere Verpflichtung an, diesen in Grundzügen zu prüfen und über seine Schwachstellen zu informieren.