Vorgehensweise

Beispielbericht

Der Bericht ist das Herzstück eines Penetrationstests. Durch umfangreiche Erläuterungen auf Technik- und Managementebene geben wir ein klares Verständnis aller Schwachstellen.

Management Summary

Unser Abschlussbericht umfasst eine nicht technische Zusammenfassung des Projekts und der identifizierten Feststellungen für die Management Ebene. Es werden alle kritischen Feststellungen prägnant zusammengefasst.

Vorgehen, Scope und Tools

Weiterhin beinhaltet unser Abschlussbericht eine umfassende Beschreibung der angewandten Testmethoden, dem analysierten Prüfobjekt und Scope sowie die zum Einsatz gekommenen Tools und Skripten während des Penetrationstests. 

Feststellungen und maßnahmen

Darüber hinaus enthält unser Abschlussbericht eine detaillierte, technische Beschreibung aller identifizierten Feststellungen. Weiterhin erhalten Sie eine umfassende Empfehlung zur Behebung jeder einzelnen Schwachstelle, passend für technisches Personal wie Administratoren oder Entwickler.

Standardisierte Risikobewertung

Wir folgen bekannten Standards wie der OWASP Risikobewertungsmethode für die Einschätzung unserer Feststellungen während des Pentest-Projekts. Das Risiko einer Schwachstelle basiert hierbei auf der Eintrittswahrscheinlichkeit und Auswirkung.

OWASP-Risikobewertungsmethode

Die Risikobewertung wird bei uns nach der OWASP-Risikobewertungsmethode  zugeordnet, welche auf den Faktoren Wahrscheinlichkeit und Auswirkung basiert. Im Folgenden ist unsere Risikobewertungsmatrix abgebildet:

Picture10
icon matrix1 e1618490140318

Diese Schwachstellen können selbst von einem Angreifer mit wenig Fachwissen mit öffentlich verfügbaren Exploits ausgenutzt zu werden.​

icon matrix2 1 e1618490133738

Schwachstellen, die von einem Angreifer manuell ausgenutzt werden können. Es existieren keine öffentlich bekannten Exploits.​

icon matrix3 e1618490151725

Schwachstellen, die es Angreifern ermöglichen sich unbefugten Zugang zu sensiblen Funktionen oder Informationen zu verschaffen. Die Privilegien, die ein Angreifer durch Missbrauch dieser Schwachstellen erlangen kann, sind begrenzt.​

icon matrix4 e1618490157443

Schwachstellen, die keine direkte Gefahr darstellen, jedoch eine Plattform für weitere Angriffe bieten könnten.​

icon matrix5 e1618490147633

Nützliche Informationen die auf potentielle Fehler hindeuten könnten. Diese Feststellungen stellen kein Sicherheitsrisiko dar, sollten aber angeschaut werden.​

Optional bieten wir eine Risikobewertungsmethode nach CVSS v3 an. Nähere Informationen finden Sie in der CVSS-Spezifikation.cvss

Häufige Fragen (FAQ)

Unsere Abschlussberichte erhalten Sie standardmäßig innerhalb von 1-2 Wochen nach Abschluss des Penetrationstests. Sollten Sie eine frühzeitigere Übermittlung der Ergebnisse benötigen, so sprechen Sie diese Thematik bitte im gemeinsamen Kick-Off Meeting an. Für zeitkritische Projekte stellen wir Ihnen unsere Ergebnisse gerne früher bereit, sofern möglich.

Mehr Informationen und einen Beispielbericht finden Sie hier.

Alle sensitiven Dokumente oder Zugangsdaten werden über unsere verschlüsselte Austauschplattform bereitgestellt. Die E2E-Verschlüsselung erfolgt auf Transportebene (TLS) sowie auf Dateiebene (AES-256). Wir betreiben unsere Plattform eigenständig in Deutschland. Der Abruf von Dokumenten ist nachvollziehbar und wird nach 30 Tagen automatisch durch eine vollständige Datenlöschung deaktiviert.

Über diese Austauschplattform erhalten Sie per E-Mail einen sicheren Link zum Abruf unseres Abschlussberichts im PDF-Format. Weiterhin erhalten Sie optional Logdaten oder Proof-of-Concept (PoC) Exploits im ZIP-Format.

Für alle unsere Tests und finalen Dokumente, welche Sie von uns erhalten, bieten wir sowohl die deutsche als auch die englische Sprache an. Unsere Mitarbeiter verfügen über fließende Sprachkenntnisse. 

Die Berichtssprache kann im Konfigurator ausgewählt werden. Weiterhin wird die Thematik erneut im gemeinsamen Kick-Off-Meeting angesprochen.

Sollten Sie eine individuelle Methode benötigen, um identifizierte Schwachstellen in ihrer Kritikalität zu bewerten, so sprechen Sie dieses Thema gerne bei uns an. Sollte Ihre Risikobewertungsmethode einem Standard folgen und nachvollziehbar sein, so kommen wir Ihrem Wunsch in der Regel entgegen.