Penetrationstest: Dienstleister sollte sorgfältig ausgewählt werden

Penetrationstests decken Sicherheitslücken in IT-Systemen auf, noch bevor diese durch Cyber-Kriminelle genutzt werden können. Sie sind daher ein wichtiger Baustein der Vorbeugung gegen Hackerattacken und digitale Einbrüche. Die Durchführung von Pentests erfordert jedoch umfangreiche Expertise, weshalb in der Regel selbst Großkonzerne davon absehen, eine eigene Penetrationsabteilung aufzubauen. Die Tests werden demnach fast in jedem Fall durch externe Dienstleister durchgeführt. Einerseits ist dies kostengünstiger, andererseits wird hierdurch eine neutrale Außensicht gewährleistet. Hinzu kommen oft umfangreiche Erfahrungen und Best Practices aus verschiedensten Kundenprojekten. Bei der Anbieterauswahl gilt es jedoch, einige Entscheidungskriterien zu berücksichtigen.

Ein wesentliches Auswahlkriterium ist die Spezialisierung des Dienstleisters. Ausgeprägtes Know-how und Erfahrung sind erforderlich, um eine professionelle Herangehensweise zu gewährleisten. In der Regel ist der Aufbau entsprechender Expertise für Dienstleister mit enormen Kosten verbunden. Diese Aufwände werden meist nur in Kauf genommen, wenn Penetrationstests zum Kerngeschäft gehören. Zudem sollte hinterfragt werden, seit wann der Dienstleister sich bereits mit Pentests befasst. Zwar ist eine lange Marktexistenz kein Garant für Qualität, dennoch legt sie das Vorhandensein von Erfahrung und Wissen nahe. Weitere Faktoren sind das Mitarbeiterprofil, eigenentwickelte Tools, Referenzen und Zertifizierungen.

Nur wenige IT-Dienstleister haben sich wirklich auf Pentests spezialisiert. Der Markt- und Technologieführer in Deutschland und Europa ist die Tübinger SySS GmbH. Sie wurde im Jahr 1998 gegründet, um hochwertige Sicherheitstests anzubieten. Der Fokus des Anbieters liegt also seit den Anfangstagen auf der Durchführung qualitativ hochwertiger Penetrationstests. Zum Kundenkreis zählen Unternehmen aller Größenordnungen und Branchen. Zudem hat SySS erstmals den Vorstoß unternommen, eine grundlegende Ethik für Penetrationstester zu erstellen. Diese wurde 2009 erstmals veröffentlicht und spiegelt bis heute die Basis der Zusammenarbeit mit der SySS GmbH wider.

So agiert der Dienstleister beispielsweise stets hersteller- und produktunabhängig. Die Mitarbeiter bilden sich ständig fort und forschen selbst an neuen Methoden, um in IT-Infrastrukturen einzudringen. Mit diesem Know-how identifizieren die Spezialisten sowohl gängige Schwachstellen als auch außergewöhnliche Sicherheitslücken. Am Ende jedes Projekts erhalten Kunden einen detaillierten Bericht mit konkreten Vorschlägen für die Problemlösung.