Phase 4 - Documentation: Ergebnisse festhalten
Dokumentation ist ein essentieller Bestandteil eines jeden Penetrationstests.
Schon während des Pentests werden sämtliche Schritte, die zu einem erfolgreichen
Angriff führen, von RedTeam Pentesting ausführlich dokumentiert. Dies stellt
sicher, dass alle vorgenommenen Schritte nach dem Test bis ins Detail
nachvollzogen werden können. Am Ende des Pentests wird aus der vorhandenen
Dokumentation ein individueller Abschlussbericht erstellt, welcher die
Ergebnisse des Pentests sowohl für das Management als auch für die technische
Administration nachvollziehbar macht. Der Umfang eines solchen Berichts liegt
meistens im dreistelligen Seitenzahlbereich. Der komplette Bericht wird von den
beteiligten Pentestern erstellt, um den direkten Bezug zwischen Dokumentation
und Durchführung des Pentests herzustellen und sicherzustellen, dass der
Testbericht die Ergebnisse des Penetrationstests optimal beschreibt und alle
wichtigen Detailinformationen zu einzelnen Schwachstellen enthält.
Kurz und prägnant
Der Testbericht besteht aus mehreren Teilen. Zu Anfang findet sich ein
Managementkurzbericht, welcher auf wenigen Seiten alle wichtigen Ergebnisse des
Tests in einem präzisen Überblick zusammenfasst. Dieser Bericht ist bewusst
nichttechnisch gehalten, um sich auch ohne die entsprechenden technischen
Kenntnisse einen Überblick über das vorhandene Gefahrenpotential verschaffen zu
können und somit eine objektive Entscheidungsgrundlage zu schaffen.
Details und Technik
Der Penetrationstest wurde von einem hochmotivierten Team durchgeführt. Wir können Ihr Team und Ihre professionelle Arbeitsweise nur weiterempfehlen und wir freuen uns auch zukünftig mit Ihnen zusammenarbeiten zu können.
Der zweite Teil ist ein ausführlicher technischer Bericht in welchem detailliert die gefundenen Schwachstellen beschrieben werden. Hierdurch wird der Ablauf des Pentests für technisch geschulte Mitarbeiter transparent und nachvollziehbar. Zu jeder gefundenen Schwachstelle wird eine ausführliche Dokumentation erstellt, welche technisch genau beschreibt, was für eine Schwachstellenklasse vorliegt, welche Sicherheitslücke gefunden wurde und wie diese ausgenutzt werden kann. Dazu wird eine Risikoanalyse gegeben, welche das Gefahrenpotential der Lücke in den Gesamtkontext stellt. Als dritter Punkt folgen konstruktive Lösungsvorschläge zu den einzelnen Problemen, um den technisch Verantworlichen direkt Verbesserungsmöglichkeiten basierend auf Best-Practice-Ansätzen an die Hand zu geben.