skip to navigation. Skip to the content.
> Pentest > Documentation vertical divider

Phase 4 - Documentation: Ergebnisse festhalten

Documentation Dokumentation ist ein essentieller Bestandteil eines jeden Penetrationstests. Schon während des Pentests werden sämtliche Schritte, die zu einem erfolgreichen Angriff führen, von RedTeam Pentesting ausführlich dokumentiert. Dies stellt sicher, dass alle vorgenommenen Schritte nach dem Test bis ins Detail nachvollzogen werden können. Am Ende des Pentests wird aus der vorhandenen Dokumentation ein individueller Abschlussbericht erstellt, welcher die Ergebnisse des Pentests sowohl für das Management als auch für die technische Administration nachvollziehbar macht. Der Umfang eines solchen Berichts liegt meistens im dreistelligen Seitenzahlbereich. Der komplette Bericht wird von den beteiligten Pentestern erstellt, um den direkten Bezug zwischen Dokumentation und Durchführung des Pentests herzustellen und sicherzustellen, dass der Testbericht die Ergebnisse des Penetrationstests optimal beschreibt und alle wichtigen Detailinformationen zu einzelnen Schwachstellen enthält.

Kurz und prägnant

Ausführlicher Pentestbericht Der Testbericht besteht aus mehreren Teilen. Zu Anfang findet sich ein Managementkurzbericht, welcher auf wenigen Seiten alle wichtigen Ergebnisse des Tests in einem präzisen Überblick zusammenfasst. Dieser Bericht ist bewusst nichttechnisch gehalten, um sich auch ohne die entsprechenden technischen Kenntnisse einen Überblick über das vorhandene Gefahrenpotential verschaffen zu können und somit eine objektive Entscheidungsgrundlage zu schaffen.

Details und Technik

Wir waren insgesamt sehr beeindruckt vom hohen Level an Professionalität und Kompetenz bei RedTeam Pentesting. Sie haben tiefgehende Kenntnisse verschiedenster Systeme gezeigt, angefangen bei Windows- und Unix-basierten Systemen über kaum bekannte Low-Level-Administrationstools bis hin zu Softwareentwicklungsproblemen in Sprachen wie etwa PHP, welche zu neuen Schwachstellen führen können. Das Wissen, was wir während des Penetrationstests erlangen konnten hat uns geholfen unsere Systemadministration zu verbessern und die Sicherheit unserer Systeme zu erhöhen.
CSO, Telecommunikation

Der zweite Teil ist ein ausführlicher technischer Bericht in welchem detailliert die gefundenen Schwachstellen beschrieben werden. Hierdurch wird der Ablauf des Pentests für technisch geschulte Mitarbeiter transparent und nachvollziehbar. Zu jeder gefundenen Schwachstelle wird eine ausführliche Dokumentation erstellt, welche technisch genau beschreibt, was für eine Schwachstellenklasse vorliegt, welche Sicherheitslücke gefunden wurde und wie diese ausgenutzt werden kann. Dazu wird eine Risikoanalyse gegeben, welche das Gefahrenpotential der Lücke in den Gesamtkontext stellt. Als dritter Punkt folgen konstruktive Lösungsvorschläge zu den einzelnen Problemen, um den technisch Verantworlichen direkt Verbesserungsmöglichkeiten basierend auf Best-Practice-Ansätzen an die Hand zu geben.