Das entscheidende Kriterium: Wer führt den Test durch? Eine gute Bewertungsbasis bieten hierfür die „gängigen“ Zertifizierungen (zum Beispiel Certified Ethical Hacker oder Offensive Security Certified Professional ) oder in einer Kombination mit einer Referenzliste. Idealerweise enthält die Referenzliste anrufbare Ansprechpartner, die telefonisch Auskunft über die Qualität des durchgeführten Penetrationstests geben können.
DOKUMENTATION
Das Ergebnis. Daraus müssen Sie Rückschlüsse ziehen können, welche Maßnahmen sinnvoll und angemessen die identifizierten Schwachstellen eliminieren und das daraus resultierende Risiko verringern können. Achten Sie auf eine verständliche Präsentation, Erklärung und Bewertung der Risiken. Nicht jede gefundene Schwachstelle bedeutet ein Risiko für Sie! Fordern Sie Beispieldokumentationen an, um sich ein Bild über das zu erwartende Ergebnis machen zu können. Ein ausgedrucktes Protokoll eines Schwachstellenscanners hilft Ihnen nur wenig, Sie sollten aus der Dokumentation erkennen können, wie das festgestellte Ergebnis erreicht wurde.
ANGEBOTSAUFBAU
Transparenz im Vorfeld. Verstehen Sie, wie der angebotene Penetrationstest durchgeführt werden soll? Machen Sie sich im Vorfeld Gedanken, inwiefern Sie Ihre IT-Infrastruktur, Webanwendungen, IT-Arbeitsplätze, LANs und WLANs auditieren lassen wollen. Ist eventuell eine Überprüfung des Sicherheitsbewusstseins Ihrer Mitarbeiter angebracht? Passt der im Angebot beschriebene Penetrationstest zu Ihren Sicherheitszielen? Werden Sie auf die rechtlichen Voraussetzungen hingewiesen? Die Test-Module sollten soweit abgestimmt sein, dass sie die Angriffsmöglichkeiten abdecken, die große Schäden verursachen können. Lassen Sie sich vom Anbieter einen Nachtest vorschlagen, mit dem Sie – nachdem die Gegenmaßnahmen getroffen wurden – die Wirksamkeit der umgesetzten Maßnahmen geprüft werden.
TOOLS
Prüfen Sie, ob aus dem Angebot bzw. den Produktinformationen hervorgeht, welche Tools eingesetzt werden sollen. In der Regel sollte hier eine Kombination von mehreren Werkzeugen verwendet werden.
Klären Sie zudem im Vorfeld ab, in welchem Umfang vor dem Penetrationstest dem Dienstleister Informationen bereitgestellt werden, also ob der Test als Blackbox-, Greybox- oder Whitebox-Penetrationstest durchgeführt werden soll. Oftmals empfiehlt sich der Greybox-Ansatz, da hier die Informationen über den Prüfungsgegenstand übermittelt werden, so dass der Penetrationstester effizient arbeiten kann.
Unterstützt Sie der Anbieter im Vorfeld bei Durchführungsfragen, zum Beispiel wer vorab zu informieren ist (Betriebsrat, Datenschutz, externer Dienstleister, Provider usw.)? Legen Sie gemeinsam mit Ihrem Dienstleister fest, wann die Arbeiten erfolgen und wer zu dieser Zeit zur Verfügung steht.
UND DANACH?
Auch nach der erfolgten Durchführung eines Penetrationstest sollte ein Anbieter in der Lage sein, Sie bei der Verbesserung Ihres Informationssicherheitsmanagementsystems (ISMS) zu unterstützen, Begriffe wie ISO27001 bzw. BSI Grundschutz sind wichtig für eine ganzheitliche Betrachtung des Themas „Informationssicherheit“. Schließlich werden im Rahmen von Penetrationstests nur Teile der Informationssicherheit geprüft.