Was ist Pentest as a Service (PTaaS)?
Penetration Tests sind heutzutage in der IT-Sicherheit nicht mehr wegzudenken. Viele Unternehmen und Organisationen führen diese einmal pro Jahr durch, um sich ein aktuelles Bild von ihrer Cyber Resilienz gegenüber aktuellen Bedrohungen zu verschaffen. Für Konzerne und Unternehmen, welche in der Software- oder Produktentwicklung tätig sind, reicht eine jährliche Überprüfung allerdings nicht aus.
Unsere Lösung in diesen Fällen: das Vertragsmodell „Pentest as a Service”. Dies ermöglicht zeitlich und individuell auf das Unternehmen abgestimmte Penetration Tests, beispielsweise nach Bedarf monatlich oder quartalsweise.
Dieses Service Modell richtet sich an dich, wenn dein Unternehmen einen der folgenden Punkte erfüllt:
Was sind also die prägnanten Unterschiede zwischen dem klassischen Penetration Test und dem Vertragsmodell „Pentest as a Service”?
Für jeden regulären Penetration Test benötigt man für eine ordentliche (rechtlich korrekte) Durchführung ca. 1/4 bis 1/3 der Projektzeit für Organisation (Projektmanagement) und die Erstellung der Dokumentation. Diesen zeitlichen und finanziellen Overhead reduzieren wir mit dem PaaS-Modell erheblich, da wir wiederkehrend in einem vereinbarten Zeitraum eine Testphase durchführen können.
Durch diese regelmäßigen Prüfungen verbesserst du deine IT und schaffst durch zugeteilte Arbeitspakete zur internen Umsetzung ein optimiertes Zeit- und Prioritätenmanagement. Weitere Unterschiede möchten wir dir in der folgenden Tabelle erläutern:
Testbereich
Festgelegt
Dynamish erweiterbar
Ergebnisse (Finding)
Gesamt am Ende
Zeitlich beliebige Stückelung
Statusreport
Einmalig
Agil
Zusammenarbeit
2-8 Wochen
6-12 Monate
Im Bereich KRITIS handelt es sich bei PaaS oft um einen Rahmenvertrag, der regelt, wann welche Systeme vor Ort getestet werden sollen.
Sprich uns hier bitte an, da es keine Pauschallösungen gibt.
Wir erarbeiten mit dir ein zu deinem Schutzbedarf passendes Modell. Diese Vorab-Beratung ist selbstverständlich kostenfrei, alles andere wäre schlicht unseriös.
Wir stimmen in einem kostenlosen Termin mit dir deinen genauen Bedarf ab. In einem Kick-off Termin definieren wir anschließend Prüfzeiträume (was soll wann wie in welchen Zyklen getestet werden) und konfigurieren ein Remote Gateway in deinem Netzwerk.
Dieses sollte aus Sicherheitsgründen immer nur dann eingeschaltet werden, wenn getestet werden soll. Auch wenn unsere „Penetrator Box“ höchsten Standards gerecht wird (BSI Grundschutz, ISO27001), wissen wir zu gut, dass es immer Restrisiken gibt. Sollten die Daten in deinen Systemen für dieses Modell zu sensibel sein, bieten wir auch klassische Onsite-Modelle an (Penetration Tester vor Ort).
So oder so – es handelt sich um eine Qualitätsdienstleistung, die individuell sein muss. Daher können wir ab diesen Punkt keine weiteren Einblicke geben, freuen uns aber auf ein persönliches Kennenlernen für mehr Details.
