Management und Wissen

Sicherheits-Audits

Marktübersicht Penetration Tests (2)

Für die Suche nach Schwachstellen in den digitalen Verteidigungslinien von Unternehmensnetzen bietet heute eine große Zahl von Dienstleistern ihre Hilfe an. Nach Redaktionsschluss der Marktübersicht in KES 2 erreichten uns noch 14 weitere Antworten von Firmen.

49 Firmen hatten rechtzeitig für Teil 1 unserer Marktübersicht in KES 2002/2 auf unsere Fragen nach Details ihrer Penetration Tests geantwortet. Trotz der großen Zahl hatte die KES schon befürchtet, dass aus verschiedenen Gründen noch einige fehlen dürften. Angesichts von nochmals 14 Firmen, haben wir uns nun auch zu einer gedruckten Ergänzung entschlossen.

Im passwortgeschützten Bereich steht KES-Abonnenten bereits seit Anfang Juni eine ergänzte Fassung online zur Verfügung. Zum Monatsende werden wir dort weitere Nachträge aufnehmen und die Marktübersichts-Tabelle ab dem 1. Juli 2002 auch Nicht-Abonnenten verfügbar machen.

Bei der Online-Fassung handelt es sich um ein so genanntes InfoScape: Ein Java-Applet aus dem Hause humanIT (übrigens der einzige aktive Inhalt auf KES-online) ermöglicht es, auch umfangreiche Tabellenwerke in einem Webbrowser übersichtlich darzustellen. Dabei geht in der InfoScape-Ansicht zunächst der Spaltenzusammenhang verloren: Die Software sortiert im Übersichtsmodus alle Zeilen unabhängig voneinander nach ihren Werten. Dadurch lassen sich alle Wertebereiche der Zeilen unmittelbar erfassen. Man sieht beispielsweise auf einen Blick, wieviele Anbieter eine bestimmte gewünschte Prüfung durchführen oder in einem gewissen Preisbereich liegen. Durch einen einfachen Mausklick auf diese Angabe oder die Selektion eines Bereiches lassen sich alle nicht infrage kommenden Einträge ausblenden.

Durch Anklicken weiterer Kriterien, die für die eigene Anwendung besonders wichtig sind, kann der Nutzer die Vielzahl der Angebote auf die wesentlichen reduzieren und anschließend in "komprimierter" Form darstellen, welche die verbleibenden Tabelleneinträge in gewohnter Weise anzeigt. Hier sind weiterhin Selektionen möglich, außerdem kann der Benutzer die Tabelle anhand beliebiger Zeilen sortieren lassen (Postleitzahl, Tagessatz usw.).

Äpfel und Birnen

Auch zur Ergänzung der Marktübersicht sei darauf hingewiesen, dass Penetration Tests eine recht "persönliche" Dienstleistung sind. Das setzt einem tabellarischen Vergleich gewisse Grenzen und gebietet eine gewisse Vorsicht bei der Interpretation von Einträgen. Zwei Jas in einer Zeile bedeuten nicht unbedingt dasselbe. Ein Nein heißt nicht zwangsläufig, dass einem Dienstleister das Know-how fehlt, um einen entsprechenden Dienst anzubieten.

Auch die Berechnungsmodelle sind sehr unterschiedlich und ließen sich bei manchen Dienstleistern nur schwer auf den angefragten typischen Preis pro IP abbilden. Wo nicht nach konkretem Aufwand abgerechnet wird, gibt es teilweise Jahres- oder Monatspauschalen, die ein gewisses Kontingent an abrufbaren Tests abdecken.

Die meisten Penetration Tests kauft man aber ohnehin nicht von der Stange. Noch stärker als sonst gilt es demzufolge hierbei, nach einer Vorauswahl konkrete Angebote einzuholen und zu vergleichen. Dabei sollte man – ebenfalls noch stärker als sonst – peinlich genau darauf achten, dass man nicht nur dieselbe Sprache spricht, sondern auch das Gleiche unter dem jeweiligen Begriff versteht. Die Vor- und Randbedingungen sowie erwarteten Ergebnisse sollte man exakt ausformuliert festlegen, um Überraschungen und Verwirrung während und nach den "Angriffen" zu vermeiden.

Hinweise zur Tabelle

Die nachfolgende Marktübersichtstabelle enthält folgende Abkürzungen:

a. A.
auf Anfrage
et al
und andere
i. V.
in Vorbereitung
k. A.
keine Angabe
OSS
Open Source Software
1234+
mindestens 1234

Telefon- und Faxnummern sind für die Anwahl aus Deutschland angegeben; zur Anwahl deutscher Nummern aus dem Ausland bitte die führende "0" durch die Länderkennung +49 ersetzen.

Zur Klarstellung: Der Begriff "Hacker" (in dicken Anführungszeichen) impliziert in der Tabelle – wie auch sonst – keine dunkle Vergangenheit der fest angestellten oder freiberuflich verpflichteten Mitarbeiter an einem Penetration Test. Gemeint sind lediglich diejenigen Mitarbeiter des Dienstleistungsunternehmens, die bei gezielten manuellen Überprüfungen in die Rolle des Angreifers schlüpfen und das entsprechende Know-how hierfür besitzen. Häufig sind müssen solche Angestellten ein polizeiliches Führungszeugnis vorlegen oder sind sogar weiter gehend sicherheitsüberprüft.

Alle Daten beruhen auf Anbieterangaben. Für ihre Richtigkeit kann die Redaktion daher keine Gewähr übernehmen.

[Tabelle Marktübersicht Penetration Tests]
zusammengefasste Tabelle aus KES 2002/2 und KES 2002/3 (plus Online-Ergänzungen) als InfoScape (Stand 1.7.2002)

[Tabelle Marktübersicht Penetration Tests]
Tabelle S. 30/31 als JPG-Grafikdatei (Stand 1.6.2002)

[Tabelle Marktübersicht Penetration Tests]
Tabelle S. 32–33 als JPG-Grafikdatei (Stand 1.6.2002)

Teil 1 der Marktübersicht, siehe KES 2002/1, S. 34

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/3, Seite 30