Report und Berichterstattung
Wenn Sie möchten können wir Sie gerne mittels Zwischenberichten über den aktuellen Stand des Penetrationtest informieren. Beispielsweise können wir Ihnen nach der Hälfte der Zeit, oder bei längeren Tests jeweils an einem bestimmten Wochentag, mitteilen, was wir zum aktuellen Zeitpunkt gefunden haben. Falls wir wirklich kritische Schwachstellen finden (Root Zugriff auf Server, Einsicht in Kundendaten o.ä.) informieren wir Sie aber auch unabhängig von vereinbarten Zwischenterminen so schnell wie möglich, damit Sie die Schwachstelle schnellstmöglich schließen können.
Auf dieser Seite finden Sie einen Beispiel Report, den Sie gerne auch herunterladen können. Sollten Sie darüber hinaus noch Fragen haben oder einen alternativen Aufbau des Reports wünschen, kontaktieren Sie uns bitte.
Gerne können wir Ihnen die Ergebnisse des Penetrationtests in einem separaten Termin auch präsentieren. Sollten Sie dies wünschen, kreuzen Sie bitte im Leistungsschein „Präsentation der Ergebnisse in einem separaten Termin“ an.
Jeder Report enthält auch einen Anhang, in diesem führen wir vor allem auf, welche Tools und Webservices wir benutzt haben um den Penetrationtest durchzuführen. Auf diese Weise sind die Ergebnisse zu 100% transparent und können von Ihnen leicht nachvollzogen werden.
Mit welchen Mitarbeitern Sie den fertigen Report teilen hängt letztlich von Ihnen ab. Da die enthaltenen Informationen allerdings in höchstem Maße vertraulich sein können, würden wir empfehlen den Kreis der Leser klein zu halten. Mitarbeiter die Schwachstellen beseitigen sollen (etwa Softwareentwickler oder IT-Admins) benötigen natürlich Zugriff auf die Dokumentation der jeweiligen Schwachstelle, allerdings nicht auf die OSINT Informationen zu Geschäftsleitung. Wir würden deshalb empfehlen die entsprechenden Schwachstellen als Tickets aufzunehmen, sodass auch Ihre Behebung entsprechend dokumentiert werden kann.
Im Rahmen einer kurzen Zusammenfassung erfahren Sie zunächst wie es um den Gesamtzustand des untersuchten Systems bestellt ist. Anschließend folgen einige Formalien, etwa von welchen Mitarbeitern der Penetrationtest durchgeführt wurde, in welchem Zeitraum etc. Anschließend sind die Schwachstellen nach ihrer Kritikalität geordnet aufgeführt. Für jede Schwachstelle ist dabei angegeben wo sie sich befindet (z.B. eine bestimmte URL oder IP-Adresse), worin die Schwachstelle genau besteht, welche Maßnahmen getroffen werden sollten um das Risiko zu minimieren, sowie ein Proof of Concept der die Ausnutzung der Schwachstelle anhand von Screenshots zeigt. Im Anhang des Reports finden Sie zudem eine Übersicht aller verwendeter Tools und Webservices.
Unser Markenzeichen ist, dass wir die gefundenen Schwachstellen zügig in schriftliche Form bringen und Ihnen zukommen lassen, sodass Sie sich schnellstmöglich an die Behebung der Schwachstellen machen können. In der Regel dauert es etwa eine Woche bis der Report in der ersten Fassung vorliegt. Anschließend findet eine Qualitätskontrolle und gegebenenfalls eine Überarbeitung des Reports statt, dies nimmt in der Regel ein bis zwei Tage in Anspruch. Im Anschluss daran ist der Report freigegeben und Sie können damit arbeiten.
Das hängt natürlich von der Länge und vom Umfang des Penetrationtest ab, in der Regel erhalten Sie aber einen Report mit 30-80 Seiten (inklusive Anhang).
Jede gefundene Schwachstelle ist mit einer Tachonadel visualisiert, sodass Sie sofort sehen, ob sich das Risiko in einem mäßigen, mittleren oder kritischen Bereich befindet. Zudem geben wir eine Einschätzung darüber ab, wie aufwendig es ist die Schwachstelle auszunutzen und welche Aktionen einem Angreifer im Anschluss möglich wären.
Jede Schwachstelle die im Report aufgeführt wird, ist mit einem Proof of Concept versehen. In diesem zeigen wir mittels Screenshots was wir genau gemacht haben um die Schwachstelle auszunutzen und welche Aktionen uns dadurch möglich waren. Dadurch haben Sie den Beweis, dass diese Schwachstelle tatsächlich ein Sicherheitsproblem darstellt. Zudem kann der Proof of Concept von Ihren Entwicklern oder IT-Dienstleistern genutzt werden, um das Ergebnis zu reproduzieren.