Der Website Penetrtionstest: Das sind die heufigsten Fragen vor dem PentestHäufig gestellte Fragen bei Website-Sicherheitstests und Penetrationstests

Auftraggeber und Website-Betreiber die einen Penetrationstest in Auftrag geben möchten, stellen oftmals die selben Fragen, bevor Sie einen Auftrag erteilen. Wir möchten die häufigsten Fragen zu Penetrationstests und Website-Sicherheitstests für Sie kurz zusammenfassen, und auf einer Seite übersichtlich darstellen.

Penetrationstest: Was ist das?

Ein Penetrationstest kann auch als Sicherheitstest bezeichnet werden. Bei einem Penetrationstest oder Sicherheitstests geht es darum, die Schwachstellen und Sicherheitslücken einer Website, eines Onlineshop oder einer Webanwendung, sprich Software zu prüfen und Mängel in der IT-Sicherheit aufzudecken. Dies gilt auch für Netzwerke, Clients, Computer oder Physische Penetrationstests.

Penetrationstests werden dann durchgeführt, wenn befürchtet wird, das die entsprechende Anwendung nicht sicher genug sind, um Angriffen aus dem Internet zu überstehen.

Wie ist der Ablauf eines Penetrationstest?

Nach einem entsprechen Penetrationstest Auftrag, gibt es ein Kickoff Meeting bei Ihnen oder bei uns. Bei einem entsprechenden Kick-off Meeting werden Ziele, Wünsche, Risiken und Chancen besprochen die auf Ihren speziellen Fall abgestimmt werden müssen. Nach dem Kick-Off Meeting zum Thema Sicherheitstest oder Pentest, kann bereits in die direkte durchführungsphase übergegangen werden.

  • Kickoff-Meeting (Erleutung von Zielen, Angriffen, Wünschen etc.)
  • Durchführung des Sicherheitstests
  • Dokumentation und Aufbereitung
  • Präsentration der Ergebnisse aus dem Test
  • Schließen von Sicherheitslücken

 

Welche Angriffe werden während des Sicherheitstests durchgeführt?

Die Angriffsmethoden lassen sich genau absprechen und definieren. Hierbei wird zwischen Auftraggeber und Auftragnehmer ein entsprechender Vertrag erstellt, um genau zu bestimmt welche Angriffe durchgeführt werden sollen. Um neue Angriffe und Sicherheitslücken zu erkennen, muss ein gesonderter Vertrag unterschrieben werden. Hierbei sprechen wir dann über die Sicherheitsforschung. Eine Auflistung erhalten Sie in unserem 98 Seitigen Dokument zum Thema Penetrationstest>

Der Penetrationstest Auftrag 

Wenn Sie sich entscheiden einen Penetrationstest oder Sicherheitstest bei uns durchführen zu lassen, stellen Sie einen entsprechenden Auftrag. Dieser stellt jedoch noch keinen Vertrag dar. Ein entsprechender Vertrag wird zwischen den beiden Partien ausgearbeitet. Ein Beispiel für den Penetrationstest Auftrag finden Sie hier>

Werden Penetrationstest an Live-oder Produktiv Systemen durchgeführt?

Das hängt ganz von den Wünschen des Auftraggeber ab. Generell sollten Sie uns ein Systemabbild zu Verfügung stellen. Ein Penetrationstest an eine Live System ist natürlich sehr real, den echte Angreifer haben so die Möglichkeit ebenfalls großen Schaden anzurichten. Diese Frage werden wir im Kickoff-Meeting genauer beleuchten, und auf Ihre Wünsche und Vorstellungen genauer eingehen.

Der Pentest und Sicherheitstest Umfang: Die Kosten eines Penetrationstest

Je nach Penetrationstest Gegenstand, das bedeutet dem Gegenstand der einem Sicherheitstest unterzogen werden soll, wird nach Ihrem Bedarf entsprechend ein Plan erstellt, der Ihnen die Penetrationstest Dauer  und die Kosten genau definiert. Wenn der Penetrationstest Gegenstand eine Website ist, dann kommen Kosten in Hohe von 5.300 EUR bis etwa 15.000 EUR auf Sie zu. Da jedes Projekt jedoch individuell ist, bedarf es einer genauen Bedarfs und Umfangsanalyse die im Kickoff-Meeting besprochen wird.

Ist der Penetrationstest Gegenstand ein Gegenstand wie eine Firewall oder ein komplettes Unternehmen das einen Sicherheitstest durchführen möchte, dann wird auch hier ein gesondertes Angebot für Sie erstellt. Je Arbeitstag rechnen wir 1700 EUR Netto ab.

Wie wird mit Sicherheitslücken umgegangen?

Nach unserem Vertrag, werden Sicherheitslücken die Ihren Anwendungen, IT-Systemen inkl. Konfigurationsfehler hinreichend Dokumentiert. Einen entsprechenden Bericht erhalten Sie verschlüsselt per Email oder per Fax, alternativ gern auch per Posteinschreiben. Natürlich erhalten Sie eine komplette Dokumentation auch gern persönlich. Etwaige Daten werden bei uns sofort nach Auftragserbringung vernichtet und nicht gespeichert. Zu der nicht Speicherung zählen etwa:

  • Keine Daten zu Ihrem Unternehmen
  • Keine Daten zu Ihren Sicherheitslücken und Schwachstellen
  • Keine Speicherung von Daten zu persönlichen Gesprächen
  • Keine Speicherung von Kommunikation

Wir garantieren darüber hinaus höchste Verschwiegenheit und Diskretion.

Welche Daten von Ihnen werden bei uns gespeichert?

Wir nehmen den Schutz Ihrer Daten ernst. Daher Speichern wir keine Daten von Ihnen, und falls dann nur nach Absprache. Der Gesetzgeber verpflichtet und aus Steuerlichen Gründen jedoch, Daten aus Ihrer Rechnung mindestens 10 Jahre vorzuhalten. Diese Daten werden von uns jedoch nur auf Papierform verschlossen aufbewahrt und nicht auf Computersystemen gespeichert.

Das Schließen von Sicherheitslücken nach dem Penetrationstest

Wenn Sie sich entscheiden bei uns einen Penetrationstest durchführen zu lassen, haben Sie natürlich die Möglichkeit, aufgrund unserer Dokumentation, Sicherheitslücken auch selbst zu schließen. Wenn Sie bei dem Schließen von Sicherheitslücken merken, das Sie dazu nicht in der Lage sind, können wir Ihnen Maximal 3 Wochen nach dem Penetrationstest unterstützend beim schließen von Sicherheitslücken helfen. Diese Zeit sollte ohnehin nicht überschritten werden, vor allem aber deshalb, da ein technischer Penetrationstest eine Momentaufnahme der tatsächlichen IT-Sicherheit darstellt.

Wenn Sie versuchen Sicherheitslücken nach 5 oder gar 8 Wochen zu schließen, können Zusammenhänge und Verkettungen in Software, Netzwerktechnik, Netzwerken oder Computersystemen bereits von einander abweichen. Wenn der Zeitraum überschritten wurde, kann nur ein erneuert Penetrationstest empfehlen werden um eine aktuelle Momentaufnahme zu erstellen.

Vielen Dank für Ihr Interesse

Ihr Adrian Janotta

Kundenhinweis
Liebe Kunden, liebe Interessenten.

Unser Team ist bis einschließlich Samstag bei einem Auftrag in Berlin. Ab Montag sind wir wie gewohnt für Sie da. In der Zwischenzeit, können Sie uns eine Email schreiben, uns erreichen E-Mails Mobil schnell und zuverlässig.
Schreiben Sie uns
Thank You. We will contact you as soon as possible.

JPC Consulting schützt Ihre Privatsphäre. Lesen Sie dazu auch unsere Datenschutzerklärung. Daher bitten wir Sie, Cookies zu akzeptieren oder zu deaktivieren.