![[Tabelle Marktübersicht Penetration Tests]](34-0-341.jpg)
zusammengefasste Tabelle aus KES 2002/2 und KES 2002/3 (plus Online-Ergänzungen) als InfoScape
Eigentlich machen alle das Gleiche: Penetration Tests. Und doch machen es die meisten jedesmal anders: nämlich so, wie es der Kunde will beziehungsweise wie es dessen Anforderungen gerecht wird. Der "TÜV fürs Firmennetz" ist schon eine sehr "persönliche" Dienstleistung. Das setzt einem – bei fast 50 Firmen zwangsläufig – tabellarischen Vergleich gewisse Grenzen und gebietet eine gewisse Vorsicht bei der Interpretation von Einträgen. Zwei Jas in einer Zeile bedeuten nicht unbedingt dasselbe. Ein Nein heißt nicht zwangsläufig, dass einem Dienstleister das Know-how fehlt, um einen entsprechenden Service anzubieten – einige Firmen lehnen es jedoch ab, bestimmte Attacken selbst testweise allgemein anzubieten.
Andererseits wäre unsere Marktübersicht nicht mehr übersichtlich zu nennen gewesen, wenn wir all die interessanten Details aufgenommen hätten, mit denen viele Dienstleister ihre Angaben hinterfüttert haben... Trotz einer gewissen notwendigen Gleichmacherei unterscheiden sich aber die Angebote noch immer in ihrem Umfang, eventuellen Spezialisierungen auf bestimmte Systeme oder Umgebungen, ihren standardmäßigen Ergebnissen und den groben Preisvorstellungen. Bei den Kosten ist jedoch erneut eine Warnung angebracht: Die Berechnungsmodelle sind sehr unterschiedlich und ließen sich bei manchen Dienstleistern nur schwer auf den angefragten typischen Preis pro IP abbilden. Wo nicht nach konkretem Aufwand abgerechnet wird, gibt es teilweise Jahres- oder Monatspauschalen, die ein gewisses Kontingent an abrufbaren Tests abdecken.
Auch die Erwartungen und Anforderungen an Penetration Tests unterscheiden sich von Fall zu Fall und von Netz zu Netz gewaltig. Es ist schon ein großer Unterschied, ob man nach erfolgter Implementierung von Sicherheitsmaßnahmen in seinem Serverbereich fürs Web mit einem automatisierten Check prüfen möchte, ob man bei der Konfiguration auch nichts vergessen hat, oder ob man für ein abgeschottetes internes Netzwerksegment mit sensitiven Daten die Resistenz gegen spezifische Attacken untersuchen lassen will.
Viele Dienstleister haben das gesamte Spektrum an Angeboten in ihrem Programm. Viele Dienstleister bieten zudem sehr spezielle Services, deren Aufzählung den Rahmen einer Marktübersicht deutlich gesprengt hätte. Lange Rede, kurzer Sinn: Die meisten Penetration Tests kauft man nicht von der Stange. Noch stärker als sonst gilt es demzufolge hierbei, nach einer Vorauswahl konkrete Angebote einzuholen und zu vergleichen.
Dabei sollte man – ebenfalls noch stärker als sonst – peinlich genau darauf achten, dass man nicht nur dieselbe Sprache spricht, sondern auch das Gleiche unter dem jeweiligen Begriff versteht. Die Vor- und Randbedingungen sowie erwarteten Ergebnisse sollte man exakt ausformuliert festlegen, um Überraschungen und Verwirrung während und nach den "Angriffen" zu vermeiden.
Eine "InfoZoom"-Fassung dieser Marktübersicht ist mittlerweilen online. Per Java-Applet wird es damit möglich sein, online mit wenigen Mausklicks durch die Vorgabe von Selektrionskriterien die Auswahl in Frage kommender Anbieter einzugrenzen (vgl. KES 2000/6, S. 79). Diese Version wird zunächst nur unseren Abonnenten über einen Link in der HTML-Fassung dieses Beitrags im passwortgeschützten Bereich zur Verfügung stehen.
Ab einer gewissen Zahl von Anbietern ist es zudem beinahe unmöglich, wirklich jeden mit vertretbarem Vorlauf in einer Marktübersicht zu erfassen: Auch der KES ist naturgemäß nicht jedes Dienstleistungsunternehmen bekannt, Anschreiben gehen schon einmal unter oder bleiben aufgrund von drängenden Aufgaben, Urlaub, Krankheit oder Weggang von Mitarbeitern unbeantwortet. Fast zwangsläufig dürften daher trotz der großen Zahl von 49 Teilnehmern in der folgenden Tabelle nennenswerte Anbieter fehlen. Bis zur Jahresmitte sammeln wir deshalb weiter und ergänzen neue Erkenntnisse in der Online-Version unserer Marktübersicht. Unseren Fragebogen schicken wir gerne auf Anfrage per E-Mail.
Die nachfolgende Marktübersichtstabelle enthält folgende Abkürzungen:
Telefon- und Faxnummern sind für die Anwahl aus Deutschland angegeben; zur Anwahl deutscher Nummern aus dem Ausland bitte die führende "0" durch die Länderkennung +49 ersetzen.
Zur Klarstellung: Der Begriff "Hacker" (in dicken Anführungszeichen) impliziert in der Tabelle – wie auch sonst (vgl. S. 30) – keine dunkle Vergangenheit der fest angestellten oder freiberuflich verpflichteten Mitarbeiter an einem Penetration Test. Gemeint sind lediglich diejenigen Mitarbeiter des Dienstleistungsunternehmens, die bei gezielten manuellen Überprüfungen in die Rolle des Angreifers schlüpfen und das entsprechende Know-how hierfür besitzen. Häufig sind müssen solche Angestellten ein polizeiliches Führungszeugnis vorlegen oder sind sogar weiter gehend sicherheitsüberprüft.
Alle Daten beruhen auf Anbieterangaben. Für ihre Richtigkeit kann die Redaktion daher keine Gewähr übernehmen.
zusammengefasste Tabelle aus KES 2002/2 und KES 2002/3
(plus Online-Ergänzungen) als InfoScape
![[Tabelle Marktübersicht Penetration Tests]](34-1.jpg)
Tabelle S. 35 als JPG-Grafikdatei (Stand 15.4.2002)
![[Tabelle Marktübersicht Penetration Tests]](34-2.jpg)
Tabelle S. 36–37 als JPG-Grafikdatei (Stand
15.4.2002)
![[Tabelle Marktübersicht Penetration Tests]](34-3.jpg)
Tabelle S. 38–39 als JPG-Grafikdatei (Stand
15.4.2002)
![[Tabelle Marktübersicht Penetration Tests]](34-4.jpg)
Tabelle S. 40–41 als JPG-Grafikdatei (Stand
15.4.2002)
![[Tabelle Marktübersicht Penetration Tests]](34-5.jpg)
Tabelle S. 42–43 als JPG-Grafikdatei (Stand
15.4.2002)
![[Tabelle Marktübersicht Penetration Tests]](34-6.jpg)
Tabelle S. 44–45 als JPG-Grafikdatei (Stand
15.4.2002)
Teil 2 der Marktübersicht, siehe KES 2002/3, S. 30
© SecuMedia-Verlags-GmbH,
D-55205 Ingelheim,
KES 2002/2, Seite 34
