Cyberangriffe gehören heute zur Tagesordnung. Eine der effektivsten Methoden, um Schwachstellen in einem Netzwerk oder einer Anwendung aufzudecken, sind Penetrationstests. In diesem Artikel beleuchten wir, warum Penetrationstests wichtig sind – aber auch, welche versteckten Kosten damit verbunden sind und wie Sie durch den Einsatz von „Pentesting as a Service“ (PTaaS) kostengünstiger mehr erreichen.

Was ist ein Penetrationstest?

Ein Penetrationstest oder Pentest (von engl. Penetration Testing oder Pentesting), simuliert einen gezielten Cyberangriff auf ein IT-System, ein Netzwerk oder eine Anwendung, um Schwachstellen und Sicherheitslücken aufzudecken. Ein Penetrationstester, oft auch als „Ethical Hacker“ bezeichnet, nutzt dabei mit Genehmigung des Auftraggebers die Methoden von böswilligen Hackern (und im Falle von Threat-Led-Penetrationstests die TTPs relevanter Threat-Actors), um potenzielle Einbruchsmöglichkeiten zu identifizieren, damit diese behoben werden können, bevor echte Angreifer sie ausnutzen. Zu den Zielen von Penetrationstests gehören die Erhöhung der Sicherheit technischer Systeme, die Identifikation von Schwachstellen, eine externe Bestätigung der IT-Sicherheit der Organisation oder auch die Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur (z. B. Eskalationsprozesse). Übergeordnetes Ziel von Pentesting ist es, die Sicherheitslage einer Organisation realistisch zu bewerten und geeignete Maßnahmen zu ihrer Verbesserung zu empfehlen. Empfehlungen zur Durchführung gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI): Studie „Durchführungskonzept für Penetrationstests“.

Warum sind Pentests wichtig?

Pentests tragen proaktiv dazu bei, die Sicherheit Ihrer Organisation zu gewährleisten. Sie können Schwachstellen aufdecken, die durch andere Sicherheitsmaßnahmen wie Vulnerability-Scans, Firewalls oder Antivirus-Software möglicherweise nicht erkannt werden. Damit helfen sie zu verhindern, dass Sie sich in falscher Sicherheit wiegen. Denn erfolgreiche Cyberangriffe verursachen Unternehmen nicht nur erhebliche finanzielle Verluste – laut 2024 Cost of a Data Breach Report von IBM im Durchschnitt 4,88 Millionen US-Dollar – sie können auch den Ruf und die Kundenbeziehungen eines Unternehmens dauerhaft schädigen und zudem zu rechtlichen Konsequenzen führen.

Darüber hinaus helfen Pentests dabei, die Einhaltung gesetzlicher Vorschriften und Branchenstandards wie der DSGVO, ISO 27001, PCI DSS, TIBER-EU oder DORA sicherzustellen, die zunehmend strengere Sicherheitsanforderungen an Unternehmen stellen. Denn regelmäßig wird nun gesetzlich gefordert, dass Unternehmen nicht nur technische und organisatorische Maßnahmen zur Absicherung von Systemen und Daten implementieren, sondern auch deren Wirksamkeit regelmäßig überprüfen. Dafür – und für die ebenfalls geforderte Risikoanalyse – ist der Einsatz von Penetrationstests eine sinnvolle Maßnahme.

Wann und wie oft sollten Penetrationstests durchgeführt werden?

Es gibt keine allgemeingültige Antwort darauf, wie oft eine Organisation Pentests durchführen sollte, denn dies hängt stark von der individuellen Sicherheitslage und dem Risikoprofil ab. Je nach Bedarf veranstalten Unternehmen Pentests nur zu besonderen Anlässen (das ist heute nicht mehr empfehlenswert), regelmäßig einmal im Jahr oder auch deutlich häufiger, etwa vierteljährlich. Gerade mit modernen DevOps-Teams, die kontinuierlich neuen Code veröffentlichen, kann der Bedarf an Pentests für Anwendungen ziemlich hoch sein.

Relevante Faktoren, um den konkreten Bedarf zu bestimmen, sind unter anderem die Bedeutung der getesteten Systeme für das Geschäft, die damit verbundenen systemischen Risiken, die Häufigkeit von Änderungen daran und natürlich Compliance-Anforderungen. Folgende Best Practices können dabei als Orientierung dienen:

• Regelmäßige Überprüfungen: Idealerweise sollten Unternehmen mindestens einmal im Jahr einen umfassenden Pentest kritischer Systeme durchführen lassen. Nur so ist sichergestellt, dass neue Schwachstellen, die etwa durch Updates, neue Technologien oder Änderungen in der IT-Infrastruktur entstanden sind, erkannt und behoben werden.
• Nach größeren Updates oder Änderungen: Immer dann, wenn signifikante Änderungen an der IT-Infrastruktur oder kritischen Systemen vorgenommen werden, zum Beispiel die Einführung neuer Systeme und Anwendungen oder eine neue Softwareversion, sollte ein Pentest durchgeführt werden.
• Im Rahmen der Compliance: Viele Branchenvorschriften und Standards verlangen oder empfehlen regelmäßige Pentests als Teil der Compliance, PCI DSS beispielsweise mindestens einmal pro Jahr. Unternehmen sollten sicherstellen, dass sie diese Anforderungen erfüllen, um Bußgelder und andere rechtliche Konsequenzen zu vermeiden.
• Nach Sicherheitsvorfällen: Nach einem Cyberangriff oder einer entdeckten Sicherheitsverletzung sollten umgehend Pentests betroffener bzw. kritischer Systeme durchgeführt werden, um sicherzustellen, dass alle Schwachstellen identifiziert und geschlossen wurden.

Die versteckten Kosten von Pentests

Die Kosten eines Pentests können je nach Art, Umfang und Komplexität erheblich variieren. Auf den ersten Blick erscheinen die von Anbietern genannten Preise oft überschaubar; sie bewegen sich meist zwischen 3.000 und 25.000 Euro. Doch in der Realität können die tatsächlichen Kosten inklusive aller dafür anfallenden Aufwände weitaus höher sein. Denn es gibt einige nicht sofort erkennbare und oft auch nicht leicht kalkulierbare Kostenfaktoren, die Unternehmen berücksichtigen sollten, z. B.:

1. Vorbereitungsaufwand: Ein Pentest erfordert umfangreiche Vorbereitungen, einschließlich der Bereitstellung von Informationen und Zugängen für den Pentester. Dies bindet interne Ressourcen, die andernfalls für produktivere Aufgaben verwendet werden könnten.

2. Folgekosten für Nachbereitung und Umsetzung der Empfehlungen: Ein Pentest allein genügt nicht. Die identifizierten Schwachstellen müssen behoben werden, was je nach Umfang der Schwachstellenbehebung erhebliche Zeit und Ressourcen in Anspruch nehmen kann. In einigen Fällen müssen Systeme oder Anwendungen vollständig überarbeitet oder ersetzt werden. All das kann zu weiteren unerwarteten Kosten führen.

3. Wiederholungstests: Oftmals sind nach der Behebung der Schwachstellen erneute Tests erforderlich, um sicherzustellen, dass die Maßnahmen wirksam waren. Diese zusätzlichen Tests erhöhen die Gesamtkosten.

4. Produktivitätsverlust: Während des Pentests kann es notwendig sein, bestimmte Systeme oder Anwendungen vorübergehend offline zu nehmen, um den Test sicher durchzuführen. Dies kann zu Produktivitätsverlusten führen, die indirekt die Gesamtkosten des Tests erhöhen.

5. Komplexität und Umfang: Die Kosten steigen exponentiell an, wenn die Komplexität der IT-Infrastruktur zunimmt. Unternehmen mit komplexen, multinationalen Netzwerken oder Anwendungen, die in mehreren Sprachen und Regionen betrieben werden, müssen mit deutlich höheren Kosten rechnen.

Ein Beispiel aus der Praxis

Eine Beispielrechnung kann die versteckten Kosten eines klassischen Pentests verdeutlichen. Ein typischer Penetrationstest für eine relativ einfache Webanwendung könnte von einem Anbieter mit 10 Personentagen und zwischen 1.000 € und 2.000 € pro Testtag veranschlagt werden. Bei der Abschätzung Ihrer Gesamtkosten müssen Sie aber auch eigene Aufwände berücksichtigen. Das beginnt vor dem eigentlichen Test bei der Ausschreibung des Pentesting-Projektes (wir gehen von 2 Personentagen aus), Anbieterauswahl und Vertragsverhandlungen (5 Tage) sowie Scoping und Briefing des Pentesters (2 Tage). Damit beträgt der Zeitaufwand Ihres Teams vor Beginn des Tests bereits 9 Tage entsprechend 4.500 Euro (bei einem angenommenen Tagessatz für interne Mitarbeiter von 500 €) und bis zu 14.500 € Gesamtaufwand für den Penetrationstest.

Hinzu kommen weitere Aufwände für notwendige Tätigkeiten nach dem Test, beispielsweise für die Analyse des Berichts durch Ihre Experten (geschätzte 3 Tage), die Konzeption von Maßnahmen zur Schließung der gefundenen Lücken (2 Tage) sowie die Durchführung dieser Maßnahmen (dies kann schnell 10 oder mehr Tage in Anspruch nehmen). Die 15 Tage Mehraufwand würden Sie noch einmal 8.000 Euro kosten, sodass die Gesamtkosten für solche Tests schnell auf über 20.000 Euro ansteigen können.

Weitere Nachteile klassischer Pentests

Noch nicht enthalten sind hier die Kosten für das Retesting (ob die Abhilfemaßnahmen erfolgreich waren) und implizite Kosten, die sich daraus ergeben, dass klassische Pentesting-Projekte nicht immer zu Ihrer Arbeitsweise passen – zum Beispiel zu Ihren DevOps-Prozessen.

Gerade wenn ein Unternehmen Pentests nicht alle Tage beauftragt, kann es schnell zu Verzögerungen kommen: Die Pentester stehen in der Tür, aber das Unternehmen ist noch nicht bereit. Noch schwerer wiegt, wenn Pentests eine Unterbrechung des Entwicklungsprozesses erfordern, weil der Zeitplan der Tester eingehalten werden muss. Der klassische Pentesting-Ansatz unterstützt nicht die Testanforderungen von agiler Softwareentwicklung und DevOps – für Code, der kontinuierlich (wöchentlich, täglich oder gar stündlich) veröffentlicht wird. Ändert sich mitten im Prozess der Scope für den Test, treibt das die Kosten weiter in die Höhe. Und die Beseitigung von eventuell gefundenen Schwachstellen erfolgt erst lange nach Abschluss des Tests; in der Zwischenzeit steht womöglich ungeprüfter Code online.

Die ökonomischere Lösung: Pentesting as a Service

Diese versteckten Kosten von Pentesting machen es für viele Unternehmen schwierig, die tatsächlichen Kosten eines Pentests im Voraus genau zu kalkulieren. Aus diesem Grund ist es wichtig, sich gründlich über die potenziellen Gesamtkosten zu informieren und Alternativen zu klassischen Pentests in Betracht zu ziehen.

Wer mitgerechnet hat, wird vielleicht zwei Ideen haben, wie Pentesting-Kosten gesenkt werden können. Die erste lautet Automatisierung. Tatsächlich setzen günstige Anbieter verstärkt auf automatisierte Tests, um Aufwand zu sparen. Der Nachteil: Diese produzieren auch viele Fehlalarme (False Positives), die dann zusätzlichen Aufwand durch Nachprüfungen erzeugen. Und natürlich übersehen sie auch Schwachstellen; manuelle Expertise lässt sich hier nicht ersetzen. Beispiele dazu finden Sie hier zum Thema „Warum automatische Scanner Schwachstellen in der Zugriffskontrolle nicht erkennen können“ und „HTTP-Request Smuggling„

Die zweite Idee: Könnte man nicht die Administrationskosten durch Rahmenvereinbarungen senken, sodass nicht immer neu verhandelt werden muss? Hier ist zu bedenken, dass bei wiederholten Tests die Tester wechseln sollten, um realistische Bedingungen zu simulieren und auch verschiedene Fähigkeiten, Techniken und Blickwinkel zum Einsatz bringen zu können. Kleinere Anbieter mit nur wenigen Pentesting-Experten scheiden da aus.

Aber beide Ideen gehen doch in die richtige Richtung: Ein moderner Ansatz, um mehr Nutzen aus Pentests zu ziehen, ist „Pentesting as a Service“ (PTaaS). PTaaS ist insbesondere für die Absicherung von Webanwendungen geeignet und bietet dafür eine Reihe von Vorteilen gegenüber herkömmlichen Pentests. Unternehmen können damit kostensparend einen einzigen Anbieter nutzen (meist ohne langfristig an diesen gebunden zu sein). Leistungsfähige PTaaS-Anbieter wie Outpost24 verfügen über einen größeren Pool von zertifizierten Pentestern, die eine Vielzahl von Fähigkeiten und Perspektiven in den Testprozess einbringen, aber gleichzeitig einem standardisierten Testansatz folgen, was den Vergleich und die Analyse der Ergebnisse erleichtert.

Durch die Kombination von automatischen, Machine-Learning-unterstützten Scans und maßgeschneiderten manuellen Penetrationstests durch hoch qualifizierte Sicherheitsexperten bietet PTaaS eine kontinuierliche Überwachung, mit der Schwachstellen in Echtzeit erkannt und behoben werden können. Manuelle Tests werden gemeinsam mit dem Auftraggeber geplant, was Koordinierungsprobleme minimiert. DevOps-Integration ist bei Outpost24 selbstverständlich, False Positives gibt es aufgrund des Vier-Augen-Prinzips nicht und die Wirksamkeit von Korrekturmaßnahmen kann sofort überprüft werden. Vor allem aber bietet PTaaS Kostenkontrolle und Transparenz mit klar definierten SLAs, transparenten Preismodellen und ohne versteckte Kosten für Ihre Pentests – von der Planung bis zur Nachbereitung.

Nehmen Sie noch heute Kontakt mit uns auf und erfahren Sie, wie die PTaaS-Lösungen von Outpost24 Sie beim Schutz Ihrer Webanwendungen unterstützen können!