Preis-Dumping bei Penetration Tests Marc Ruef | 06.02.2012 Die moderne Gesellschaft hat realisiert, dass Sicherheitsüberprüfungen (http://www.scip.ch/?dienstleistungen.auditing) zum Schutz ihrer Daten ein wichtiger Bestandteil des Informationszeitalters geworden ist. Vor allem - aber nicht nur - Finanzinstitute investieren viel Geld in die Absicherung und Prüfung ihrer Lösungen. Die Gewinnoptimierung des Kapitalismus sieht vor, dass der Käufer bei Preisverhandlungen möglichst wenig für eine Leistung zahlen möchte. Dass gewisse Kunden lieber weniger zahlen, als eine Analyse kosten würde, scheint absehbar. Das geflügelte Wort "Geiz ist geil" hat dieses dubiose Konzept auf die Spitze getrieben. Als Verkäufer befindet man sich dann in der Lage, eine von zwei Entscheidungen zu treffen: Entweder gewährt man die gleiche Leistung bei niedrigerem Preis - Oder man gewährt eine verringerte Leistung wegen des niedrigeren Preises. So oder so fällt diese Situation nie zum sicherheitstechnischen Nutzen des Kunden aus. Im zweiten Fall ist es klar, dass bei einer verringerten Leistung eine Minderung der Abdeckung und/oder Qualität einhergehen muss. Anstatt ein System ganze 10 Tage einem Test zu unterziehen, kann nun beispielsweise nur noch eine Woche investiert werden. Oder anstelle dass zwei Analysten zugegen sind, um die Qualität mittels Vier-Augen-Prinzip hoch zu halten, wird nur noch ein Analyst eingesetzt. Doch auch der zweite Fall, auch wenn es auf den ersten Blick nicht so scheint, schlägt mit Nachteilen für den Kunden zu Buche. Wird immer weniger für ein Testing bezahlt, werden die Aufträge einerseits kommerziell weniger attraktiv. Und andererseits müssen die wirtschaftlichen Einbussen mit einer Minderung des Gehalts für die Analysten kompensiert werden. Im schlimmsten Fall gibt es dann plötzlich attraktivere Möglichkeiten, mit dem langwierig angehäuften Wissen Geld zu verdienen, als sich als professionellen Penetration Tester zu verdingen. In den Kreisen der Blackhat-Hacker wird die Meinung hoch gehalten, dass man als Cyberkrimineller bedeutend besseres Geld verdienen kann, weder als Whitehat-Hacker. Und tatsächlich musste ich die letzten 15 Jahre von ehemaligen Berufskollegen hören, dass sich diese in kriminelle Machenschaften verstricken liessen - So mancher von ihnen kam in direkten Konflikt mit dem Gesetz und sah sich einer konkreten Strafe (Geldstrafe oder gar Haft) ausgesetzt. Würde ein guter Penetration Tester nur noch wenig Geld verdienen, wäre er ebenso plötzlich anfällig für Bestechung. Bei einer Prüfung könnten Schwachstellen absichtlich übersehen und nicht gemeldet werden, so dass sich diese durch ihn selbst oder Dritte in krimineller Weise ausnutzen liessen. Vielleicht ist es deshalb trotzdem besser, wenn begabte Analysten geschätzt und auf ein Preis-Dumping bei Sicherheitsüberprüfungen verzichtet wird. Geizigkeit in dieser Hinsicht könnte unliebsame Folgen für Jedermann haben.