skip to navigation. Skip to the content.
> Pentest > Documentation vertical divider

Phase 4 - Documentation: Ergebnisse festhalten

Documentation Dokumentation ist ein essentieller Bestandteil eines jeden Penetrationstests. Schon während des Pentests werden sämtliche Schritte, die zu einem erfolgreichen Angriff führen, von RedTeam Pentesting ausführlich dokumentiert. Dies stellt sicher, dass alle vorgenommenen Schritte nach dem Test bis ins Detail nachvollzogen werden können. Am Ende des Pentests wird aus der vorhandenen Dokumentation ein individueller Abschlussbericht erstellt, welcher die Ergebnisse des Pentests sowohl für das Management als auch für die technische Administration nachvollziehbar macht. Der Umfang eines solchen Berichts liegt meistens im dreistelligen Seitenzahlbereich. Der komplette Bericht wird von den beteiligten Pentestern erstellt, um den direkten Bezug zwischen Dokumentation und Durchführung des Pentests herzustellen und sicherzustellen, dass der Testbericht die Ergebnisse des Penetrationstests optimal beschreibt und alle wichtigen Detailinformationen zu einzelnen Schwachstellen enthält.

Kurz und prägnant

Ausführlicher Pentestbericht Der Testbericht besteht aus mehreren Teilen. Zu Anfang findet sich ein Managementkurzbericht, welcher auf wenigen Seiten alle wichtigen Ergebnisse des Tests in einem präzisen Überblick zusammenfasst. Dieser Bericht ist bewusst nichttechnisch gehalten, um sich auch ohne die entsprechenden technischen Kenntnisse einen Überblick über das vorhandene Gefahrenpotential verschaffen zu können und somit eine objektive Entscheidungsgrundlage zu schaffen.

Details und Technik

RedTeam Pentesting bot uns einen extrem professionellen Service und findet jedes Jahr neue Probleme, die zu überprüfen sind, und neue Wege Softwareschwachstellen auszunutzen. Wir haben den Eindruck, dass sie uns helfen im Kampf gegen Hacker der Zeit voraus zu sein und Angriffe auf unsere Seiten zu verhindern. Besonders gefällt uns die angenehm einfache Zusammenarbeit, ohne dabei auf Professionalität oder Kompetenz verzichten zu müssen. Die Demonstrationen der gefundenen Schwachstellen in den Abschlussgesprächen können niederschmetternd sein – aber genau diesen Effekt braucht es um Entwicklern und nichttechnischen Leuten die Gefahren von schlechtem Code im Internet zu zeigen.
Manager E-Business & CRM, Computerindustrie

Der zweite Teil ist ein ausführlicher technischer Bericht in welchem detailliert die gefundenen Schwachstellen beschrieben werden. Hierdurch wird der Ablauf des Pentests für technisch geschulte Mitarbeiter transparent und nachvollziehbar. Zu jeder gefundenen Schwachstelle wird eine ausführliche Dokumentation erstellt, welche technisch genau beschreibt, was für eine Schwachstellenklasse vorliegt, welche Sicherheitslücke gefunden wurde und wie diese ausgenutzt werden kann. Dazu wird eine Risikoanalyse gegeben, welche das Gefahrenpotential der Lücke in den Gesamtkontext stellt. Als dritter Punkt folgen konstruktive Lösungsvorschläge zu den einzelnen Problemen, um den technisch Verantworlichen direkt Verbesserungsmöglichkeiten basierend auf Best-Practice-Ansätzen an die Hand zu geben.