Der Ruf des Dienstleisters ist ein wichtiger Aspekt, welcher berücksichtigt werden sollte. Dabei sollten Sie einen besonderen Fokus auf die Qualität, Vertrauenswürdigkeit, Unabhängigkeit und technische Expertise der Anbieter legen.
Qualität spiegelt sich in Zertifikaten, detaillierten Blogeinträgen und Berichterstattungen in Fachzeitschriften oder Kundenerfahrungen wider.
Vertrauenswürdigkeit ist natürlich ein weiterer wichtiger Faktor, da der beauftragte Dienstleister Zugriff auf Ihre sensiblen Unternehmensdaten erhält. Darum sollten Werte, Philosophie und Sympathie Ihres Unternehmens und des Penetrationstest Anbieters zusammenpassen.
Unsere Gründer geben in einem Podcast des BSI Einblicke in unsere Unternehmensphilosophie.Unabhängigkeit ist ebenfalls wichtig, denn der Verkauf von Hard- und Softwarelösungen sollte nicht im Fokus stehen. Somit fungiert ein seriöser Pentest-Anbieter als objektiver Gutachter und unabhängiger Berater.
Es gibt einige Indikatoren für die technische Expertise und Kompetenz eines Penetrationstest Anbieters: Erstens spielt die Erfahrung eine wichtige Rolle. Schließlich braucht es Zeit und ständiges Training, um eine große Expertise im Bereich der IT-Security aufzubauen. Zweitens sind auch Forschung und Weiterentwicklung bei den Dienstleistern im eigenen Unternehmen relevant. Der Anbieter sollte ständig auf dem neusten Stand der Sicherheitslücken und Schwachstellen sein und sich kontinuierlich weiterentwickeln, um Sie umfänglich beraten zu können. Denn ein veralteter Stand kann fatale Folgen haben.
Die Beratung des Unternehmens durch den potenziellen Penetrationstest Anbieter ist der Grundstein einer guten Zusammenarbeit. Aus diesem Grund sollten Sie darauf achten, dass der Anbieter auf Ihre Bedürfnisse und Erwartungen eingeht. Jedes Unternehmen ist differenziert zu betrachten, da es auf einen individuellen Schutz angewiesen ist. Genauso individuell sollte auch Ihr entsprechender Penetration-Test aufgebaut sein. Ein guter Hinweis auf einen professionellen Penetrationstest Anbieter ist daher, dass im Angebotsprozess viele Fragen zu Ihrer zu testenden Infrastruktur gestellt werden, um Art und Umfang des Tests so genau wie möglich koordinieren zu können.
Fragen Sie in der Angebotssituation, wie der Penetrationstest Anbieter die Analyse durchführt. Es gibt sehr unterschiedliche Ansätze, bei denen das Risiko bei der Datenerfassung sehr unterschiedlich ist. Allerdings gibt es hier wie so oft kein richtig oder falsch – aber das Verfahren sollte Ihren Wünschen und Erwartungen entsprechen:
Jeder Penetrationstest Anbieter sollte bei seinem Pentest einem klar strukturierten Prozess folgen, um Irritationen zu vermeiden und die maximalen Testergebnisse zu liefern. Der Ablauf des Penetrationstests ist der Rahmen des Projektes.
Hier sollten Informationen über den Ansprechpartner, den zeitlichen Ablauf, die Abstimmungstermine, den Testzeitraum und Abschluss des Projektes klar kommuniziert werden, damit Sie immer auf dem aktuellen Stand und in Ihrem Tagesgeschäft nicht eingeschränkt sind.
Ein angemessener Pentest basiert immer auf der Funktion der zu testenden Infrastruktur. Mit anderen Worten: Wenn Sie hingegen einen Server mit geringer Funktionalität haben, wird der Test wahrscheinlich sehr schnell durchgeführt. Wenn Sie 100 Server haben, dauert der Test länger. Der Aufwand für den Test sollte sich daher auf die Infrastruktur beziehen.
Das Durchführungsformat und die klar definierte Methodik spiegeln die Qualität des Penetrationstests wider. Deshalb sollte ein Augenmerk auf die Umsetzung gelegt werden. Ein automatisierter Penetrationstest wird Ihren individuellen Bedürfnissen nicht gerecht werden, da dieser nur oberflächlich agieren kann. Diese Security Assessments vermitteln ein fehlerhaftes Sicherheitsgefühl und verbergen zusätzliche Risiken.
Ein manueller Pentest hingegen kann optimal an Ihren individuellen Schutzbedarf angepasst werden und führt dazu, dass Sie umfangreiche Ergebnisse erhalten.
Um einen Penetrationstest abzurunden, sollte das Risiko „Mensch“ von dem Penetrationstest Anbieter nicht außer Acht gelassen werden. Informieren Sie sich daher, ob das Thema Social Engineering mit abgedeckt wird, denn dies wird oft vernachlässigt. Zusätzlich können Sie die User Awareness Ihrer Mitarbeiter durch eine IT-Sicherheitsschulung verbessern.
Die Dokumentation ist das Herz eines Penetrationtests. In diesem Bericht sollten alle Sicherheitsrisiken und Schwachstellen umfangreich und gründlich festgehalten werden.
Sie sollten darauf achten, in welchem Format diese Informationen übermittelt werden. Idealerweise sollten unterschiedliche Versionen für das Management und die IT mit Handlungsempfehlungen und eine umfangreiche Präsentation existieren. So kann sichergestellt werden, dass Sie es tatsächlich mit IT-Sicherheitsexperten zu tun haben. Denn nur wer sein Handwerk auch versteht, kann dies auch verständlich übermitteln.
Die Suche nach dem passenden Penetrationstest Anbieter ist kompliziert und umfangreich. Doch mit den 5 genannten Tipps möchten wir Ihnen helfen, eine fundierte Entscheidung zu treffen.
Auf diese Weise können Sie auch ohne technische Expertise die potenziellen Penetrationstest Anbieter auf Herz und Nieren prüfen.
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.