Die Suche nach einem vertrauenswürdigen Anbieter von Penetrationstests kann sich als langwierig erweisen. Wir haben für Sie den deutschen Markt durchforstet und die Anbieter zusammengetragen, deren Testmethoden sich an relevanten Standards orientieren.
Welche Zertifikate für Pentester gibt es?
Es ist wichtig, die verschiedenen IT-Sicherheitszertifikate voneinander zu unterscheiden, mit denen sich die IT-Security-Anbieter schmücken. Nicht alle Zertifikate wie zum Beispiel die ISO27001-Zertifizierung beziehen sich dabei konkret auf die Durchführung von Penetrationstests, sondern allgemeiner auf IT-Sicherheitsaudits, deren Bestandteil ein solcher Test sein kann, aber nicht muss. In unserer Anbieterliste haben wir Anbieter in Deutschland berücksichtigt, die sich an einer der folgenden Standards und Empfehlungen orientieren bzw. entsprechend zertifiziert sind:
- BSI-Personenzertifizierung - Vom Bundesamt für Sicherheit in der Informationstechnik erteiltes personengebundenes Zertifikat für Pentester.
- OSSTMM - Open Source Security Testing Methodology Manual. Internationaler de-facto Standard für IT-Sicherheitschecks.
- OWASP Testing Project - Test-Richtlinien des Open Web Application Security Projects für Pentests von Web-Applikationen.
- Offensive Security - Die Firma aus Gibraltar bietet mehrere Ethical Hacking Zertifikate an, die Pentester nach dem erfolgreichen Durchlauf eines Trainings erwerben können: OSCP, OSWP, OSCE, OSEE und OSWE.
- PCI Approved Scanning Vendor - Zertifikat des PCI Security Standards Councils für den Schutz von Kreditkartendaten.
- Certified Ethical Hacker - Personengebundenes Zertifikat des US-Amerikanischen EC-Council.
- SANS GIAC (Global Information Assurance Certification) - Die internationale Organisation bietet mehrere personengebundene Zertifikate an, für die das Wissen zur Durchführung von Pentests verschiedener Art abgefragt wird: GPEN, GWAPT, GCIH, GPYC, GMOB, GAWN, GXPN, GCED und GCCC.
Einige der unten aufgeführten Anbieter sind auch Mitglieder in der vom BSI und der Bitkom geführten "Allianz für Cyber-Sicherheit".
BSI-zertifizierte Anbieter
Atos Information Technology GmbH
- Firmenstandort: Meppen
- Zertifikat gültig bis: 31.12.2019
- Firmenstandort: Bremen
- Zertifikat gültig bis: 11.5.2018
- Firmenstandort: Berlin
- Zertifikat gültig bis: 26.5.2017
- Firmenstandort: Essen
- Zertifikat gültig bis: 29.7.2019
- Firmenstandort: Gäufelden (bei Stuttgart)
- Zertifikat gültig bis: 15.12.2018
- Firmenstandort: Essen
- Zertifikat gültig bis: 31.1.2020
- Firmenstandort: Köln
- Zertifikat gültig bis: 31.8.2018
Weitere Anbieter
Die folgenden Anbieter haben zwar kein BSI-Zertifikat für Pentests, orientieren sich aber nach eigener Aussage an den Empfehlungen des BSI oder den anderen oben genannten internationalen Standards bzw. sind für diese zertifiziert.
- Firmenstandort: Langenfeld (Rheinland).
- Die Tests werden ausschließlich nach OSSTMM und OWASP durchgeführt.
- Firmenstandort: Karlsruhe, bedient vorwiegend den Süddeutschen Raum.
- Man orientiert sich an den Empfehlungen des BSI.
audatis - Datenschutz und Informationssicherheit
- Firmenstandort: Herford.
- Die Tester sind als Certified Ethical Hacker oder als Certified Professional Penetration Tester (CPPT) zertifiziert.
Bechtle Internet Security & Services
- Firmenstandort: Deutschlandweit über 50 Niederlassungen, weitere Niederlassungen in Österreich und der Schweiz.
- Das Security Competence Center BISS (Bechtle Internet Security & Services) besitzt die international anerkannte GPEN-Zertifizierung für Penetration Testing von der Global Information Assurance Certification Organisation (GIAC) und wurde für die hochwertige Dienstleistung mehrfach ausgezeichnet. Sie orientieren sich auch an Empfehlungen des BSI und anderer internationaler Organisationen wie ICSA und ITSEC.
- Firmenstandort: Berlin.
- Orientieren sich am Durchführungskonzept des BSI.
- Firmenstandort: Offenburg.
- Nutzen für die Schwachstellenanalyse unter anderem OWASP-Tools.
Dimension Data Germany AG & Co.KG
- Firmenstandort: Oberursel.
- Die Tester dieses internationalen IT-Dienstleisters können Zertifikate der SANS GIAC vorweisen.
- Firmenstandorte: Ulm, Heidenheim.
- Nutzen das BSI-Konzept für Pentests und orientieren sich am OWASP Testing Guide.
ft consult Unternehmensberatung AG (Rechtsnachfolger der Mikado AG)
- Firmenstandorte: München, Frankfurt am Main, Berlin.
- Orientieren sich an den internationalen Standards OSSTMM und OWASP und nutzen zusätzlich eine eigens entwickelte Methodik.
- Firmenstandort: Gelsenkirchen.
- Orientieren sich an den BSI-Empfehlungen.
- Firmenstandort: Ismaning (bei München).
- Orientieren sich an den Empfehlungen des BSI.
- Firmenstandort: Darmstadt.
- Das BSI ist deren Kunde. Vom BSI anerkannte Prüfstelle für IT-Sicherheit. Die Testmethodik orientiert sich an den Empfehlungen des BSI und OWASP.
- Firmenstandort: Paderborn.
- Die Tester sind als Certified Ethical Hacker zertifiziert. Die Testmethoden orientieren sich an den BSI-Empfehlungen, dem OWASP-Standard für Web-Pentests und OSSTMM für Infrastruktur-Pentests.
- Firmenstandorte: Thalwil (CH), Bern (CH), München.
- Nach OSSTMM zertifiziert. Vorgehen ähnelt stark den BSI-Empfehlungen.
- Firmenstandort: Brühl.
- Orientieren sich an den BSI-Empfehlungen.
- Firmenstandorte: deutschlandweit.
- Die eigens entwickelte Methodik orientiert sich an diversen Methoden und Standards, unter anderem der Methodik des BSI, OSSTMM und OWASP.
- Firmenstandort: Aachen.
- Sind ausschließlich auf Penetrationstests spezialisiert und orientieren sich an den Empfehlungen des BSI. Veröffentlichen auch eigene Forschungsergebnisse.
- Firmenstandorte: Essen, Berlin, Bonn, Borchen (bei Paderborn), Dresden, Eschborn (bei Frankfurt), Hamburg, Ilmenau (bei Erfurt), München, Siegen.
- Sicherheitspartner der Bundesrepublik Deutschland. Orientieren sich an dem Standard OSSTMM.
- Firmenstandort: Berlin.
- Das an der Freien Universität Berlin ansässige Startup setzt auf OSCP zertifizierte Auditoren.
- Firmenstandort: Bonn.
- Die ersten deutschen Homebanking-Systeme wurden von SRC-Mitarbeitern getestet. PCI Approved Scanning Vendor.
- Firmenstandort: Tübingen.
- PCI Approved Scanning Vendor. In ihrem Whitepaper beschreiben sie ausführlich den Testvorgang der verschiedenen angebotenen Pentests. Sie arbeiten gemäß der eigens entwickelten Grundethik für Penetrationstester und bringen sich national und international mit Fachvorträgen ein.
- Firmenstandort: München.
- PCI Approved Scanning Vendor.
- Firmenstandorte: Neu-Isenburg, Köln.
- PCI Approved Scanning Vendor.
Es gibt noch weitere Anbieter von Pentests in Deutschland, jedoch konnten wir keine Informationen finden, nach welchen Standards und Empfehlungen sie ihre Tests durchführen und ob ihre Mitarbeiter entsprechende Personenzertifizierungen zur Durchführung von Pentests haben.
Fragen an die Anbieter von Penetrationstests
Um Ihnen die weitere Sondierung der Anbieter zu erleichtern, haben wir einen Fragenkatalog zusammengestellt, den Sie beim Kontakt mit den einzelnen Anbietern nutzen können. Laden Sie es kostenlos herunter.
Bildquelle: © Gina Sanders - Fotolia.com