Aufbau eines klassischen Pentest-Berichts
Ein Pentest-Bericht ist ein Dokument, das die Ergebnisse eines Penetrationstests zusammenfasst. Auf dieser Seite finden Sie einen Beispielbericht, der von uns regelmäßig aktualisiert wird und auf einem echten Bericht aus 2018 basiert. So können Sie sich einen guten Eindruck von unserer Arbeit und Methodik machen.
Der grundlegende Aufbau unserer Berichte sieht folgendermaßen aus:
- Deckblatt
- Inhaltsverzeichnis
- Zusammenfassung für das Management
- Einführung
- Scope
- Methodik
- Allgemeine Empfehlungen
- Übersicht zu allen relevanten Sicherheitslücken
- Fazit und Empfehlungen
Management-Summary
Wenn gewünscht, erstellen wir eine Zusammenfassung für das Management. Diese Zusammenfassung ist in der Regel sehr knapp gehalten (1-2 Seiten maximal) und enthält nur die wichtigsten Punkte. Es gibt eine allgemeine Zusammenfassung über die Funde mit Fokus auf die wirklich kritischen Sicherheitslücken und unsere Empfehlungen bzw. "Aktionsplan".
Bestätigungsschreiben
Speziell bei Lieferanten und SaaS bieten wir außerdem die Möglichkeit ein Bestätigungsschreiben zu erstellen. Dieses Schreiben bestätigt, dass ein Penetrationstest durchgeführt wurde und gibt eine kurze Übersicht über die Ergebnisse. Dieses Schreiben kann dann an Kunden oder Partner weitergegeben werden, um die Sicherheit der eigenen Systeme zu bestätigen.
Methodik
Unsere Methodik orientiert sich an Branchstandards, wie dem OWASP Web Security Testing Guide sowie den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Standard, wie OSSTMM oder PTEST, sind uns ebenfalls nicht fremd.
Allgemein ist es für uns so, dass ein Penetrationstest IMMER ein manueller Pentest eines Systems ist. Automatisierte Tools und Methoden dienen uns als Unterstützung, um die Effizienz zu steigern und um sicherzustellen, dass wir keine offensichtlichen Probleme übersehen. Wir setzen auf eine Kombination aus manuellen und automatisierten Tests, um die bestmöglichen Ergebnisse zu erzielen.
Je nach Kundenwusch und Anforderungen wird die Methodik angepasst. So kann es sein, dass wir beispielsweise einen Red Teaming Ansatz verfolgen, um die Sicherheit eines Unternehmens ganzheitlich zu prüfen.
CVSS 3.1 als Scoring
CVSS steht für Common Vulnerability Scoring System und ist ein Industriestandard, um die Schwere von Schwachstellen zu bewerten. CVSS 3.1 ist die aktuellste Version und wurde 2019 veröffentlicht. Zeitnah werden wir sicherlich auf CVSS 4.0 umsteigen und entsprechend diese Seite und unseren Beispiel-Bericht anpassen.

Allgemeine Empfehlungen
Neben klassischen sicherheitsrelevanten Funden, die seperat aufgelistet, beschrieben und bewertet sind, geben wir auch allgemeine Empfehlungen. Diese Empfehlungen sind nicht nur auf die getestete Applikation bezogen, sondern auch allgemein gültig. So können wir beispielsweise aufzeigen, dass eine bestimmte Technologie nicht mehr sicher ist und dringend aktualisiert werden sollte. Oder wir geben Hinweise, wie die Entwickler in Zukunft sicherer programmieren können.
Fazit
Das Fazit ist der Abschluss des Berichts. Hier fassen wir noch einmal die wichtigsten Punkte zusammen und geben eine klare Empfehlung ab. Diese Empfehlung kann beispielsweise sein, dass eine Schwachstelle dringend behoben werden sollte oder dass eine bestimmte Technologie nicht mehr verwendet werden sollte. Wir versuchen hierbei immer, so konkret wie möglich zu sein und dem Kunden eine klare Handlungsempfehlung zu geben.
Penetrationstest anfragen