Vorgehensweise

Pentesting as a Service (PTaaS)

Bei agilen Projekten oder Systemen mit einem hohen Schutzbedarf, reichen einmalige Penetrationstests oft nicht aus. Wir bieten mit Pentesting as a Service eine effektive Möglichkeit, kontinuierlich die Sicherheit zu überprüfen.

Mehr als eine einmalige Bestandsaufnahme

Die Sicherheit von Anwendungen und IT-Komponenten ist kein einmalig zu erreichender Zustand. Vielmehr handelt es sich um einen laufenden Prozess. Daher macht es Sinn, Penetrationstests auch als kontinuierliche Überprüfung durchzuführen. Gerade bei agilen Projekten und Systemen mit einem hohen Innovationsgrad, können mit jeder neuen Funktion und jedem Release neue Sicherheitslücken entstehen.

Continuous Testing

Ihre Systeme werden nicht nur einmalig, sondern laufend überprüft und überwacht.

Kein Overhead

Der vertragliche Overhead bei klassischen Pentests fällt für Pentest Programme nur einmal an.

Schnelle Reaktionszeit

Die Zeit bis zur Identifikation einer Schwachstelle wird wesentlich reduziert.

Kosteneffektivität

Die Aufwände pro Pentest sinken deutlich, da z.B. weniger Zeit für Vorbereitung eingeplant werden muss.

Prüfung der Maßnahmen

Es werden nicht nur neue Schwachstellen identifiziert, sondern umgesetzte Maßnahmen verifiziert.

Integration

Wir können Findings direkt in Ihre Systeme einpflegen und integrieren, so dass der Pflegeaufwand reduziert wird.

Vorbereitung

Auch in einem Pentest Programm werden alle Tests genau geplant und vorbereitet. Schwerpunkte können durch Sie gesetzt werden.

Durchführung

Wir führen die Pentests nach Vereinbarung zeit- oder aktionsgesteuert durch. Natürlich nach unseren bewährten Qualitätsstandards.

Re-Test

In der Regel wird ein Re-Test der Findings bei jedem neuen Durchlauf automatisch durchgeführt. Dadurch dokumentieren wir laufend die Umsetzung der Maßnahmen und deren Wirksamkeit.

Reporting

Alle Ergebnisse werden in einem abgestimmten Format reportet. In der Regel wird nach dem initialen Pentest auf einen Bericht verzichtet und die Ergebnisse werden als dynamische Liste geführt.

Pentesting als Prozess

Regelmäßig und hoch flexibel

Bei einem Pentest Programm oder Pentesting as a Service müssen Sie nicht auf Flexibilität verzichten. Der Vorteil liegt in der Integration des Pentests in den Prozess. Dabei kann ein Pentest innerhalb eines Programms regelmäßig oder aktionsgesteuert (z.B. bei einem neuen Release) gestartet werden.

Eine der wichtigsten Faktoren bei regelmäßigen Tests ist es, dass die Prüfintensität nicht nachlässt. Daher führen wir jeden Penetrationstest manuell aus. Automatisierte Verfahren werden nur als Hilfsmittel verwendet. Zusätzlich rotieren die eingesetzten Mitarbeiter in den Pentest Programmen, um immer wieder unterschiedliche Schwerpunkte setzen zu können.

Häufige Fragen zu Pentesting as a Service

Pentesting as a Service oder das klassische Pentest Programm ist für Unternehmen sinnvoll, die ein hohes Sicherheitsbedürfnis und eine agile Systemlandschaft oder Anwendungen betreiben. Wenn Sie davon ausgehen, dass Ihre Systeme regelmäßig angegriffen werden, ist ebenso eine regelmäßige Überprüfung ratsam.

Die Ausgestaltung eines Pentest Programms ist sehr flexibel. Es kann sich um fest definierte Pentests handeln oder auch um eine Art Abrufkontingent. Wenn Sie wissen, dass Sie z.B. eine gewisse Anzahl an Penetrationstests pro Jahr benötigen, macht ein Pentest Programm auf jeden Fall Sinn.

Im Gegenteil. Die Kosten pro Pentest sind bei einem Pentest Programm deutlich geringer, als wenn Sie jeden Pentest einzeln einkaufen. Das liegt daran, dass der Overhead reduziert wird z.B. müssen die vertraglichen Regelungen nur einmal geschlossen werden. Weiterhin lassen sich oft Aufwände für Abstimmung und Reporting einsparen.

In komplexen Infrastrukturen kann ein Pentest Programm selbstverständlich auch auf mehrere Systeme angewendet werden. Oftmals legen interne Richtlinien fest, dass alle Komponenten einer Anwendung einmal pro Jahr getestet werden müssen. Wir legen dann zusammen eine Jahresplanung fest und variieren den Scope der Prüfung, um alle Komponenten abzudecken.

Weiterhin können auch in gleichen Systemen durch Updates neue Sicherheitslücken eingeführt werden. Ebenso werden täglich neue Sicherheitslücken entdeckt und dadurch bei jedem Pentest potenziell mehr Schwachstellen überprüfbar.