Phase 4 - Documentation: Ergebnisse festhalten

Dokumentation ist ein essentieller Bestandteil eines jeden Penetrationstests. Schon während des Pentests werden sämtliche Schritte von RedTeam Pentesting ausführlich dokumentiert. Dies stellt sicher, dass alle vorgenommenen Schritte nach dem Test bis ins Detail nachvollzogen werden können. Am Ende des Pentests wird aus der vorhandenen Dokumentation ein individueller Endbericht erstellt, welcher sowohl für das Management als auch für die technische Administration die Ergebnisse des Pentests nachvollziehbar macht. Der Umfang eines solchen Endberichts liegt meistens im dreistelligen Seitenzahlbereich. Der komplette Bericht wird von den beteiligten Pentestern erstellt, um den direkten Bezug zwischen Dokumentation und Durchführung des Pentests herzustellen.

Kurz und prägnant

Dieser Bericht besteht aus mehreren Teilen. Zu Anfang findet sich ein Managementkurzbericht, welcher auf wenigen Seiten alle wichtigen Ergebnisse des Tests in einem präzisen Überblick zusammenfasst. Dieser Bericht ist bewusst nichttechnisch gehalten, um sich auch ohne die entsprechenden technischen Kenntnisse einen Überblick über das vorhandene Gefahrenpotential verschaffen zu können und somit eine objektive Entscheidungsgrundlage zu schaffen.

Details und Technik

Der zweite Teil ist ein ausführlicher technischer Bericht in welchem detailliert der chronologische Ablauf des Pentests festgehalten wird. Hierdurch wird der Ablauf des Pentests für technisch geschulte Mitarbeiter transparent und nachvollziehbar. Zu jeder gefundenen Schwachstelle wird eine ausführliche Dokumentation erstellt, welche technisch genau beschreibt, was für eine Sicherheitslücke vorliegt und wie diese ausgenutzt werden kann. Dazu wird eine Risikoanalyse erstellt, welche das Gefahrenpotential der Lücke in den Gesamtkontext des Netzwerks stellt. Als dritter Punkt folgen konstruktive Lösungsvorschläge zu den einzelnen Problemen, um direkt Verbesserungsmöglichkeiten an die Hand zu geben.