1. Februar 2023

Warum der Preis kein alleiniges Entscheidungskriterium bei der Auswahl von Penetrationstest Dienstleistern sein sollte #pentestwissen

Der Preis ist heiß! So oder so ähnlich lief es früher in der gleichnamigen Spielshow im linearen Fernsehen mit Harry Wijnvoord und Walter Freiwald ab: in der Vorrunde eines Preisspiels musste der Preis eines angebotenen Gegenstandes geschätzt werden. Dabei war es aber wichtig, als Kandidat den Preis nicht zu hoch anzusetzen. Aber was genau hat das mit #Pentestwissen zu tun? Unser Kollege Simon Bieber, BSI-zertifizierter Penetrationstester, hat das mal zusammengefasst.

Wir erhalten Anfragen zur Teilnahme an (beschränkt) ausgeschriebenen Penetrationstest-Dienstleistungen. Wir werten diese Anfragen bzw. Ausschreibungen intern für uns aus und stellen immer häufiger fest: der Preis ist heiß oder anders ausgedrückt: der Preis ist das einzige Bewertungskriterium. Leider wird dies unserer Meinung nach eher über- als  unterschätzt, denn das mindestens ebenso wichtige Kriterium „Qualifikation“ bleibt dabei oft auf der Strecke.

Inzwischen lehnen wir – in der Regel – solche Ausschreibungen grundsätzlich ab. Warum eigentlich?

Keine Frage: Niemand hat Geld zu verschenken. Wir kommen aus dem Schwabenland und wer, wenn nicht wir (oder Zeitgenossen schottischer Herkunft 😉), weiß, dass Geld nicht auf den Bäumen im Garten wächst? Also achten wir auch sehr darauf, dass unser Geld keine Flügel bekommt. 💸

Spezialisierte Dienstleistungen wie Penetrationstests sind eben keine Schrauben. Eine Schraube kann in all ihren Attributen genau spezifiziert werden. Bei ausreichender Spezifikation kann dies zu einer absoluten „fachlichen“ Vergleichbarkeit der Angebote führen, so dass der Preis das einzige Kriterium sein kann. Bei Penetrationstests hingegen ist zum Einen eine fachliche Vergleichbarkeit schwierig bis unmöglich.

Qualifikation von Penetrationstester:innen und der Organisation

Als vom BSI zertifizierter Sicherheitsdienstleister in allen unseren Geschäftsfeldern haben wir als Unternehmen das Programm zur Anerkennung von Prüfstellen und Zertifizierung von Sicherheitsdienstleistern durchlaufen und erfüllen die dort gestellten Anforderungen an Qualität unserer Dienstleistungen. Dafür betreiben wir an der einen oder anderen Stelle sicherlich mehr Aufwand, als viele unserer Marktbegleiter. Dazu gehört unter anderem ein an der ISO 17025 orientiertes Qualitätsmanagement, an dem wir unsere Dienstleistungsprozesse ausrichten. So wird z. B. jedes Ergebnis eines Penetrationstests vor Übermittlung an den Kunden einer Qualitätssicherung unterzogen oder der Projekterfolg nach Projektabschluss intern evaluiert und extern z. B. durch Kundenbefragungen gemessen.

Wir qualifizieren aber auch unsere Mitarbeiter:innen für die qualitativ hochwertige Dienstleistungsdurchführung. Ob

So stellen wir sicher, dass nur geschultes und damit qualifiziertes Personal Prüfungen für unsere Kunden durchführt. Wir sind uns auch unserer Verantwortung als Unternehmen bewusst und versuchen mit allen Ressourcen nachhaltig umzugehen.

Darüber hinaus stecken wir viel Aufwand in die Planung der Tests. Insbesondere bei Anwendungsprüfungen verfolgen wir sehr effiziente Testansätze. Wenn also z. B. 10 Tage abgefragt werden, können bei uns im Regelfall mehr Prüfungen in dieser Zeit durchgeführt werden, als bei anderen Anbietern. Wird nur der Tagessatz als Vergleich herangezogen, wird der Effizienzvorteil nicht bewertet.

Penetrationstest: Am Stück oder geschnitten?

Für Firmen die Pentests ausschreiben, ist die Spezifikation schlicht schwer. Es gibt viel Literatur, viele dort beschriebene Methoden sind veraltet, so dass wir am Ende häufig nicht, nicht ausreichend oder widersprüchlich formulierte Anforderungen bekommen. „Den“ Penetrationstest gibt es eben nicht.

Daher sind solche Anfragen verständlich, aber können nur in einem unverbindlichen Vorgespräch und nicht in einem Angebot münden.

Es gibt auch detailliertere Ausschreibungen, die dann aber (meist) nicht ausreichend spezifiziert sind. Dieser Vortrag zu Penetrationstest von Anwendungen zeigt ein wenig die Komplexität auf.

DevSecCon Germany - Application Penetration Testing – Do’s and Dont’s by Tobias Glemser

Nur ein Preis ohne Methoden?

Schreibt man nur nach Preis aus, kann das Angebot so knapp ausfallen wie der Einkaufszettel beim Bäcker. Die Ausschlusskriterien werden beantwortet (wenn sie überhaupt existieren) und ein Preis benannt. Formal reicht das. Reicht das Ihnen wirklich aus, um eine so sicherheitskritische und auf Vertrauen in den Anbieter basierende Dienstleistung einzuschätzen?

Und nun?

Der Vergleich von Angeboten ist insbesondere bei Pentests schwer. Wie empfehlen Ihnen: Schauen Sie sich Methoden der Häuser an. Wie werden Mitarbeitende qualifiziert? Wie wird auf Ihre individuellen Bedürfnisse eingegangen? Gibt es Methoden zur Aufwandsabschätzung? Gibt es eine Zertifizierung von Mitarbeitenden und der Firma für die angefragte Dienstleistung?

Wenn Sie neu ausschreiben, können Sie Tagessätze und Prüfmethoden abfragen. Daraus kann man eine Shortlist bilden und dann zu (remote-)Bieterpräsentationen einladen. Ausschreibungen für viele 1000 Testtage machen genau das. Der Aufwand für die ausschreibende Stelle wird reduziert, die Fachseite vorab entlastet und der Markt sowohl preislich, als auch qualitativ sondiert.

Sie können natürlich auch gerne unseren Workshop „Planung von Penetrationstests“ besuchen 😉