> Pentest > Documentation vertical divider

Phase 4 - Documentation: Ergebnisse festhalten

Documentation Dokumentation ist ein essentieller Bestandteil eines jeden Penetrationstests. Schon während des Pentests werden sämtliche Schritte, die zu einem erfolgreichen Angriff führen, von RedTeam Pentesting ausführlich dokumentiert. Dies stellt sicher, dass alle vorgenommenen Schritte nach dem Test bis ins Detail nachvollzogen werden können. Am Ende des Pentests wird aus der vorhandenen Dokumentation ein individueller Abschlussbericht erstellt, welcher die Ergebnisse des Pentests sowohl für das Management als auch für die technische Administration nachvollziehbar macht. Der Umfang eines solchen Berichts liegt meistens im dreistelligen Seitenzahlbereich. Der komplette Bericht wird von den beteiligten Pentestern erstellt, um den direkten Bezug zwischen Dokumentation und Durchführung des Pentests herzustellen und sicherzustellen, dass der Testbericht die Ergebnisse des Penetrationstests optimal beschreibt und alle wichtigen Detailinformationen zu einzelnen Schwachstellen enthält.

Kurz und prägnant

Ausführlicher Pentestbericht Der Testbericht besteht aus mehreren Teilen. Zu Anfang findet sich ein Managementkurzbericht, welcher auf wenigen Seiten alle wichtigen Ergebnisse des Tests in einem präzisen Überblick zusammenfasst. Dieser Bericht ist bewusst nichttechnisch gehalten, um sich auch ohne die entsprechenden technischen Kenntnisse einen Überblick über das vorhandene Gefahrenpotential verschaffen zu können und somit eine objektive Entscheidungsgrundlage zu schaffen.

Details und Technik

RedTeam Pentesting arbeitet sehr professionell und detailliert im Rahmen der vereinbarten Grenzen mit hervorragenden Ergebnissen, die für die praktische Umsetzung (Verbesserung der IT-Sicherheit) von großem Wert sind.
Leiter IT und Organisation, Maschinenbau

Der zweite Teil ist ein ausführlicher technischer Bericht in welchem detailliert die gefundenen Schwachstellen beschrieben werden. Hierdurch wird der Ablauf des Pentests für technisch geschulte Mitarbeiter transparent und nachvollziehbar. Zu jeder gefundenen Schwachstelle wird eine ausführliche Dokumentation erstellt, welche technisch genau beschreibt, was für eine Schwachstellenklasse vorliegt, welche Sicherheitslücke gefunden wurde und wie diese ausgenutzt werden kann. Dazu wird eine Risikoanalyse gegeben, welche das Gefahrenpotential der Lücke in den Gesamtkontext stellt. Als dritter Punkt folgen konstruktive Lösungsvorschläge zu den einzelnen Problemen, um den technisch Verantworlichen direkt Verbesserungsmöglichkeiten basierend auf Best-Practice-Ansätzen an die Hand zu geben.