Jeder gute Kaufmann sollte sich verschiedene Angebote einholen und natürlich vergleichen. Das ist auch richtig. Problematisch wird es nur, wenn die Aufwände unterschiedlich eingeschätzt werden. Oder die Leistungen nicht miteinander vergleichbar sind.
Daher hier mal ein Vorschlag für eine mögliche Herangehensweise bei der Auswahl des Pentest oder Red Teaming Dienstleisters:
- Lassen Sie sich Referenzen an die Hand geben – am besten aus derselben Branche in der Sie tätig sind.
- Fragen Sie nach den Zertifizierungen der Mitarbeiter – und zwar bei den Mitarbeitern, die auch Ihr Projekt umsetzen sollen.
- Lassen Sie sich erklären warum es Unterschiede vom einen zum anderen Angebot gibt – klingt dies für Sie nachvollziehbar?
- Klären Sie ab, ob der Anbieter Ihr Projekt mit festen oder freien Mitarbeitern bearbeitet.
- Ebenso ist es wichtig sich zu erkundigen in welchem Land die Tester sitzen – und das nicht nur aus DSGVO -Sicht.
- Lassen Sie sich einen Beispielbericht zuschicken, um einen Eindruck von der Struktur des Berichts zu erhalten.
- Klären Sie die Spezialisierung des Dienstleisters ab – nicht jeder kann alles können, passt dies zu ihrer Branche?
- Prüfen Sie, ob Ihre Anforderungen vom Anbieter richtig verstanden wurden und sich im Angebot auch wiederfinden.
- Fragen Sie nach ob ein Re-Test auch von Ihnen selbst durchgeführt werden kann. Damit können Sie gute Rückschlüsse auf den Detailgrad des Berichts ziehen. Dieser muss dann etwas ausführlicher sein, sodass für Sie die Findings nachvollzogen werden können.
Letztendlich zählt neben, den oben aufgeführten Faktoren, das Vertrauen und auch ein bisschen das Bauchgefühl, ob der Dienstleister den man ausgewählt hat der Richtige ist. Erfahren wird man es spätestens nach bzw. während des Tests – und dass leider trotz vieler Vergleiche.