Was kostet ein Penetration Test?

Die Kosten eines Penetrationstests sind primär von zwei Faktoren abhängig: Vom Aufwand und vom Tagessatz.

1. Der zeitliche Aufwand eines Penetration Tests

Die Dauer eines Penetrationstests ist abhängig von der Größe und Komplexität einer Anwendung oder einer IT-Infrastruktur. Grundsätzlich gibt es keine pauschalen Schätzwerte und es kommt immer auf den Einzelfall an. Angebote ohne vorherige Aufwandschätzung halte ich für grundsätzlich nicht seriös und rate davor ab.

Die grobe Richtung sieht aber wie folgt aus: Bei einer kleinen Webanwendung, also eine zweistellige Anzahl von Seiten mit ein paar Formularen und Parametern liegt man inklusive der Vorbesprechung, dem eigentlich Pentest und der Berichtserstellung bei etwa einem Tag. Der Aufwand wächst danach bei Webanwendungen weniger mit der Anzahl der Links, sondern eher mit einer steigenden Komplexität: Session Management, Rollen- und Benutzermanagement, AJAX usw. können schnell den notwendigen Aufwand erhöhen.

Den Aufwand eines IT-Infrastruktur-Penetrationstests pauschal zu beziffern ist noch schwieriger. Es hängt hier vom eigentlichen Ziel, der Anzahl der Hosts, der Anwendungen und Dienste ab. Manchmal macht es hier mehr Sinn, die eigentlichen Ziele des Tests zu konkretisieren und dann eine fixe Anzahl von Tagen dafür einzuplanen.

2. Der Tagessatz des Penetration Tester

Der Tagessatz im Penetration Testing ist auch hier von verschiedenen Faktoren abhängig: Zum Beispiel von der Erfahrung und Qualifikation vom Penetration Tester, von der dazugehörigen Unternehmensgröße, dem Unternehmensstandort, den Vertriebszielen usw.

Ist man auf der Suche nach einem qualifizierten Pentest-Freelancer landet man schnell bei Tagessätzen von 800€ und höher. Wobei alle Beispielpreise aus meinen Erfahrungen hier für Unternehmen netto wären. Beauftragt man ein Unternehmen mit ein paar Mitarbeitern mit einem Pentest liegt man anfänglich irgendwo bei 1.000€, man kann aber auch schnell 1.200€ bis 1.300€ pro Tag zahlen. Nach oben wie immer offen.

Die c’t Security – mehr iX als c’t

Früher war ich c’t-Leser, heute stöbere ich manchmal noch in der iX. Der Heise-Verlag hat nun wieder ein Sonderheft herausgegeben. Dieses Mal zum Thema IT-Security – die Zeitschrift „c’t Security“. Ob ich hier für mich noch etwas Interessantes finden kann, wagte ich zu bezweifeln.

Nach einer halben Stunde querlesen bin ich doch positiv überrascht. Das Niveau der Themen ist irgendwo zwischen dem Anspruch der c’t und der iX angesiedelt. Wobei, vielleicht doch eher in Richtung iX. Die Themen sind überraschend breit gestreut: Passwort-Strategien, Forensik-Tools, Router-Sicherheit, DANE, Smartphones und vieles mehr. Die c’t Security hat es tatsächlich auf meinen Nachttisch geschafft.

Die Ausgabe wurde mir vom Verlag kostenlos zur Verfügung gestellt. Der Preis ist mit 9,90€ relativ hoch, wobei ich das Geld vermutlich auch dafür ausgegeben hätte. Wer sich für IT-Security interessiert, sollte im Bahnhofsladen zumindest das Inhaltsverzeichnis überfliegen. Der nächste Streik der GDL kommt bestimmt ;-).