Antworten auf die häufigsten Fragen zu Pentests

Pentest FAQ

„Wie läuft ein Pentest genau ab?“

Vor jedem Pentest erfolgt eine genaue Abstimmung mit Ihnen als Kunden. Zuerst erfassen wir die Rahmenbedingungen und Ziele. Danach erstellen wir ein individuelles Konzept, das genau auf Sie zugeschnitten wird. Sobald dies erfolgt ist, legen wir auch schon los. Für maximale Transparenz stehen wir Ihnen vor, während und nach den Tests mit Rat und Tat zur Seite. Im Grunde genommen läuft der Pentest, auch Penetrationstest genannt, jedoch relativ unbemerkt ab. Anschließend dokumentieren wir die gefundenen Schwachstellen und händigen Ihnen diese Auflistung natürlich aus. Überdies erhalten Sie eine Risikobewertung sowie Empfehlungen zur Schließung der jeweiligen Sicherheitslücke.

„Können Penetrationstests während des Live-Betriebs stattfinden?“

In der Regel führen wir die Penetrationstests während Ihrer normalen Betriebs- und Arbeitszeiten durch. Vorher identifizieren wir jedoch vorsorglich die Systeme, die möglicherweise empfindlich auf Anfragen von außen reagieren. Speziell bei diesen Systemen legen wir dann ein besonderes Augenmerk auf eine schonende Testdurchführung. In dem unwahrscheinlichen Fall, dass Ihr System „in die Knie geht“, leiten wir sofort entsprechende Maßnahmen ein. Dafür erhalten Ihre IT-Verantwortlichen vor dem Test die Kontaktdaten unseres Penetrationstesters. Somit garantieren wir für den Fall der Fälle sehr kurze Reaktionszeiten. Sie können sich jedoch entspannt zurücklehnen, denn bisher haben wir noch kein System (ungewollt) zum Absturz gebracht.

„Was passiert, wenn CSM MeinSystemhaus während der Pentests Zugriff auf sensible Unternehmensdaten erhält?“

Wir garantieren Ihnen absolute Verschwiegenheit! Denn strikte Geheimhaltung ist für uns selbstverständlich. Daher verwenden wir Informationen, von denen wir Kenntnis erhalten, ausschließlich zur und innerhalb der Auftragsabwicklung. Überdies sichern wir Ihnen unsere Verschwiegenheitspflicht vorher vertraglich zu.

„Ich möchte einen Pentest buchen, was muss ich tun?“

Sprechen Sie uns an, denn wir beraten Sie gerne transparent und unverbindlich. Lassen Sie uns gemeinsam herausfinden, ob ein Pentest für Sie sinnvoll ist. Nach unseren Erfahrungen trifft das allerdings in den meisten Fällen zu. Sollten Sie sich schließlich für einen Penetrationstest entschieden haben, definieren wir die Rahmenbedingungen und schon kann es losgehen.

„Welchen Umfang haben Penetrationstests? Wie lange dauert so etwas? Wie sehen die Kosten aus?“

Leider lässt sich diese Frage pauschal nicht beantworten, denn Pentests variieren von Fall zu Fall. Das liegt daran, dass sie meist genau auf das jeweilige Unternehmen zugeschnitten sind. Daher gibt es fast so viele Pentest-Varianten wie es Unternehmen gibt. Es kommt immer auf die jeweilige Größe des Unternehmens und die Zielsetzung an. Hier zwei Beispiele: Der Pentest für ein Webportal kann bereits nach wenigen Werktagen abgeschlossen sein. Das Pentesting eines mittelständischen Unternehmensnetzwerks kann hingegen bis zu einigen Wochen dauern. Trotzdem können wir häufig bereits im ersten Beratungsgespräch eine grobe Aussage hinsichtlich Dauer und Preis treffen. Sprechen Sie uns einfach an – ein erstes Gespräch ist stets unverbindlich und kostenfrei. Nur so finden Sie heraus, ob ein Penetrationstest für Sie und Ihr Unternehmen in Frage kommt.

„Ich möchte nicht das ganze Unternehmensnetzwerk testen lassen, sondern nur Teile einer Software. Geht das?“

Natürlich ist ein umfassender Pentest, der möglichst alles abdeckt, sinnvoll. Wir passen uns jedoch Ihren Wünschen an. Dazu nennen Sie uns Ihre Anforderungen und wir erstellen für Sie ein maßgeschneidertes Leistungspaket. Folglich testen wir nach Wunsch auch nur ganz bestimmte Teilbereiche eines Systems oder einer Applikation. Dabei kann es sich beispielsweise um Webportale, Desktop und Mobile Applikationen handeln. Auch Source-Code Audits sind möglich. Grundsätzlich können wir erstens Angriffe von außen simulieren, zweitens mit einer internen Lösung arbeiten oder drittens eine Kombination aus beidem durchführen.

„Habe ich nach einem Penetrationstest 100%ige Sicherheit?“

Eine hundertprozentige Sicherheit gibt es nie, auch im IT-Bereich leider nicht. Alle anderen Aussagen wären unseriös. Daher können wir nicht garantieren, dass Ihr System nach dem Testing (und anschließendem „Fixing“) 100%ig sicher ist. Wir garantieren Ihnen aber die bestmöglichen Ergebnisse, um eine sehr gute Sicherheit mit einem sehr geringen Restrisiko darzustellen. Sie können also davon ausgehen, dass nach einem Pentest 99 Prozent aller böswilligen Angriffe außen vor bleiben. Angreifer haben dann nahezu keine Chance mehr ein Schlupfloch zu finden.

„Erhalten wir ein Zertifikat, nachdem unser System oder unsere Applikation getestet wurde?“

Nach Abschluss des Penetrationstests erhalten Sie selbstverständlich ein Zertifikat. Dieses Dokument bestätigt die Überprüfung auf Schwachstellen durch CSM MeinSystemhaus, Ihren externen Dienstleister für IT-Sicherheitstests. Zum einen bestätigen wir die Durchführung des Penetrationstests. Zum anderen bescheinigen wir, dass Ihr System dadurch einem intensiven „hardening“ Prozess unterzogen wurde.

„Kann CSM MeinSystemhaus aussagekräftige Referenzen in diesem Bereich vorweisen?“

Erstens ist IT-Sicherheit immer eine Sache des Vertrauens. Zweitens haben strenge Geheimhaltung und Diskretion bei uns absolute Priorität. Um sensible Projekte und Kundendaten nicht zu gefährden, geben wir grundsätzlich keine Referenzen aus diesem Bereich an die breite Öffentlichkeit. Auf Anfrage stellen wir Ihnen jedoch gerne Referenzen zur Verfügung. Die Einwilligung der Referenzgeber liegt uns selbstverständlich vor.
Unsere Spezialisten für Pentests verfügen über langjährige Erfahrungen in den Bereichen Penetrationstesting und ethical Hacking. Zudem haben sie mit namhaften Unternehmen wie ebay, Yahoo und Microsoft zusammengearbeitet. Auch dort haben sie nachweislich kritische Schwachstellen aufgedeckt und so die Sicherheit verbessert. Auf Anfrage stellen wir Ihnen gerne auch diese Referenzen zur Verfügung.

„Ich habe noch weitere Fragen. Wie bekomme ich Antworten darauf?“

Wir beantworten gerne Ihre Fragen oder beraten Sie individuell zum Thema Pentesting. Dafür bieten wir Ihnen ein kostenfreies Erstgespräch an. Nutzen Sie unser Angebot und nehmen Sie unverbindlich Kontakt zu uns auf. Weitere Informationen finden Sie auch hier.

Kontakt aufnehmen