Top 7 Qualitätsmerkmale Ihres Pentest-Partners

usd AG Cyber Defence, News, Pentest Insights

Im Zeitalter der Digitalisierung ist die Frage, ob Systeme und Applikationen sicher vor Angreifern geschützt sind, für viele Unternehmen businesskritisch. Die Auswahl passender Analyse-Methoden ist dabei ebenso relevant wie die Entscheidung für einen kompetenten Partner. In unserer Reihe stellen wir Ihnen heute Qualitätskriterien vor, die Ihnen dabei helfen, einen geeigneten Partner zur Durchführung sogenannter Pentests zu finden, eine der effektivsten Security-Analyse-Methoden am Markt.

1. Hochqualifizierte Pentester

Bei einem Pentest handelt es sich um einen simulierten Hackerangriff, bei dem der durchführende Security Analyst, kurz Pentester, individuell und erfinderisch versucht, in die Systeme des Unternehmens einzudringen. Der durchführende Pentester sollte über eine hervorragende Ausbildung, umfangreiche Erfahrung mit den eingesetzten Technologien und den unterschiedlichen Branchen verfügen sowie Zertifizierungen nach international anerkannten Standards vorweisen können. Dazu gehören unter anderem die Zertifizierungen von Offensive Security (z.B. Offensive Security Certified Professional, OSCP) oder SANS (z.B. GPEN, GXPN, GWAPT). Nur so erhalten Sie qualitativ hochwertige Ergebnisse.

2. Teamgröße

Bei der Durchführung von kritischen Pentests ist eine verlässliche Lieferfähigkeit seitens Ihres Anbieters besonders wichtig. Zudem entstehen Qualität und Effizienz auch durch Wiederholbarkeit der Tests und Wissensaustausch unter Experten. Achten Sie daher bei der Auswahl Ihres Pentest-Partners unbedingt darauf, dass dieser über ein Team verfügt, das groß genug ist, diesen Ansprüchen gerecht zu werden.

3. Wissensaustausch

Der Pentest-Anbieter sollte eine kontinuierliche Weiterbildung unterstützen. Dazu gehören externe Schulungen und die Teilnahme an nationalen und internationalen Konferenzen. Dadurch wird sichergestellt, dass die Fähigkeiten und das Know-how der Pentester stets auf dem neusten Stand sind. Im Optimalfall wird das gewonnene Wissen dem Team sowie der Security Community zur Verfügung gestellt.

4. Strukturierte Einarbeitung, Ausbildung und Spezialisierung

Eine gleichbleibende Qualität erfordert eine strukturierte und effiziente Einarbeitung in die unterschiedlichen Analysemethoden, interne Prozesse und verwendete Tools. Zudem ist eine kontinuierliche Weiterbildung und Spezialisierung auf eines der Themenfelder der IT Security maßgebend. Dies erlaubt die Kombination unterschiedlicher Kompetenzen aus den Einzelbereichen der IT Security.

5. Effizienter Einsatz von professionellen Tools

Der Einsatz professioneller Tools sowie deren stetige Qualitätssicherung ist unabdingbar. Dadurch können Standardüberprüfungen automatisiert durchgeführt werden und die Pentester verfügen über mehr Zeit für komplexe, manuelle Analysen. Dies führt zu effizienten und umfassenden Ergebnissen.

6. Optimale Unterstützung auch bei größeren IT-Umgebungen

Insbesondere bei der Analyse einer größeren IT-Umgebung ist eine Unterstützung bei der Vorbereitung und Durchführung der Pentests sowie der Remediation (Umgang mit/Beseitigung der gefundenen Schwachstellen) seitens des Pentests-Anbieters hilfreich. Im Idealfall kann plattformgestützt Ihr Asset-, Prozess- und Schwachstellenmanagement sicher und effizient abgebildet werden.

7. Pentest-Bericht

Im Anschluss an den Pentest sollte Ihnen ein umfangreicher Bericht zur Verfügung gestellt werden, der neben einer Management Summary auch einen technischen Bericht enthält. Darin sollten die Kritikalität der gefundenen Schwachstellen und Eintrittsrisiken aufgeführt sowie Maßnahmenempfehlungen zur Behebung gegeben werden. Ideal ist es, wenn bei der Berichtserstellung auf Ihre individuellen Bedürfnisse eingegangen werden kann.


Sie benötigen Unterstützung bei Pentests? Das usd HeroLab ist das Technologie- und Forschungszentrum der usd. Die rund 80 hervorragend ausgebildeten Security Analysten aus dem usd HeroLab überprüfen täglich diverse Netzwerkkomponenten (z.B. Firewalls), alle Arten von Servern oder Desktops (z.B. Datenbankserver) und Webanwendungen oder Webdienste.

Kontaktieren Sie uns,  wir beraten Sie gerne zu Ihren Möglichkeiten.