Vorgehensweise

Pentest Abschlussbericht Beispiel

Der Abschlussbericht ist das Herzstück eines Penetrationstests. Durch umfangreiche Erläuterungen auf Technik- und Managementebene geben wir ein klares Verständnis aller Schwachstellen.

Management Summary

Unser Abschlussbericht umfasst eine nicht technische Zusammenfassung des Projekts und der identifizierten Feststellungen für die Management Ebene. Es werden alle kritischen Feststellungen prägnant zusammengefasst.

Vorgehen, Scope und Tools

Weiterhin beinhaltet unser Abschlussbericht eine umfassende Beschreibung der angewandten Testmethoden, dem analysierten Prüfobjekt und Scope sowie die zum Einsatz gekommenen Tools und Skripten während des Penetrationstests. 

Feststellungen und maßnahmen

Darüber hinaus enthält unser Abschlussbericht eine detaillierte, technische Beschreibung aller identifizierten Feststellungen. Weiterhin erhalten Sie eine umfassende Empfehlung zur Behebung jeder einzelnen Schwachstelle, passend für technisches Personal wie Administratoren oder Entwickler.

Standardisierte Risikobewertung

Wir folgen bekannten Standards wie der OWASP Risikobewertungsmethode für die Einschätzung unserer Feststellungen während des Pentest-Projekts. Alternativ bieten wir auch CVSS an. Die gewünschte Bewertungsmethode definieren wir im gemeinsamen Kick-Off-Meeting.

Inhaltsverzeichnis
Management Summary
Management Summary
Unser Vorgehen
Rahmendaten des Tests
Übersicht der Schwachstellen
Schwachstellendetails
Schwachstellendetails
Unsere Toollandschaft
ZUM KONFIGURATOR

OWASP Risikobewertungsmethode

Die Risikobewertung wird bei uns standardmäßig nach der OWASP-Risikobewertungsmethode  zugeordnet, welche auf den Faktoren Wahrscheinlichkeit und Auswirkung basiert. Diese Faktoren werden durch weitere, detaillierte Einzelvektoren bestimmt, um Schlussendlich das Gesamtrisiko zu bestimmen.

Im Folgenden ist die OWASP-Risikobewertungsmatrix abgebildet:

Picture10
icon matrix1 e1618490140318

Diese Schwachstellen können selbst von einem Angreifer mit wenig Fachwissen mit öffentlich verfügbaren Exploits ausgenutzt zu werden.​

icon matrix2 1 e1618490133738

Schwachstellen, die von einem Angreifer manuell ausgenutzt werden können. Es existieren keine öffentlich bekannten Exploits.​

icon matrix3 e1618490151725

Schwachstellen, die es Angreifern ermöglichen sich unbefugten Zugang zu sensiblen Funktionen oder Informationen zu verschaffen. Die Privilegien, die ein Angreifer durch Missbrauch dieser Schwachstellen erlangen kann, sind begrenzt.​

icon matrix4 e1618490157443

Schwachstellen, die keine direkte Gefahr darstellen, jedoch eine Plattform für weitere Angriffe bieten könnten.​

icon matrix5 e1618490147633

Nützliche Informationen die auf potentielle Fehler hindeuten könnten. Diese Feststellungen stellen kein Sicherheitsrisiko dar, sollten aber angeschaut werden.​

CVSS Risikobewertungsmethode

Neben der OWASP Risikobewertungsmethode bieten wir ebenfalls CVSS an.

Das Common Vulnerability Scoring System (CVSS) ist ein offener Industriestandard zur Bewertung der Schwere von IT-Sicherheitsschwachstellen. Im Gegensatz zu rein qualitativen Methoden liefert CVSS eine numerische Punktzahl zwischen 0,0 und 10,0, die eine objektive und vergleichbare Priorisierung von Schwachstellen ermöglicht.

CVSS wird von der FIRST (Forum of Incident Response and Security Teams) gepflegt und ist derzeit in Version 4.0 verfügbar. Es wird weltweit von Sicherheitsorganisationen, Herstellern und Behörden wie dem NIST (NVD) eingesetzt, wodurch unter anderem CVE-Schwachstellen bewertet werden.

CVSS definiert drei Metrikgruppen:

Beschreibt die intrinsischen Eigenschaften einer Schwachstelle, unabhängig von Zeit oder Umgebung. Er bildet die Grundlage der Bewertung und ändert sich nicht. Bei Penetrationstests kommt diese Metrikgruppe hauptsächlich zum Einsatz.

Folgende Metriken müssen hierbei definiert werden:

  • Attack Vector (AV)

    • Wie ist die Schwachstelle erreichbar?  Netzwerk, benachbartes Netz, lokal oder physischer Zugang erforderlich.

  • Attack Complexity (AC)

    • Wie komplex ist der Angriff? Niedrig (reproduzierbar) oder hoch (spezielle Voraussetzungen nötig).

  • Attack Requirements (AT)

    • Sind spezifische Voraussetzungen im Zielsystem nötig, die der Angreifer nicht selbst herbeiführen kann?

  • Privileges Required (PR)

    • Welche Berechtigungen benötigt ein Angreifer? Keine, niedrig (z.B. User) oder hoch (z.B. Admin).

  • User Interaction (UI)

    • Muss ein menschlicher Benutzer aktiv handeln, damit der Angriff gelingt? Passiv, aktiv oder keine Interaktion notwendig.

Berücksichtigt zeitabhängige Faktoren wie die Verfügbarkeit eines Exploits, Reifegrad des Angriffscodes oder offizieller Patches.

Passt die Bewertung an die spezifische IT-Umgebung des Unternehmens an. Zum Beispiel, wie kritisch das betroffene System für den Betrieb ist.

Häufige Fragen (FAQ)

Unsere Abschlussberichte erhalten Sie standardmäßig innerhalb von 1-2 Wochen nach Abschluss des Penetrationstests. Sollten Sie eine frühzeitigere Übermittlung der Ergebnisse benötigen, so sprechen Sie diese Thematik bitte im gemeinsamen Kick-Off Meeting an. Für zeitkritische Projekte stellen wir Ihnen unsere Ergebnisse gerne früher bereit, sofern möglich.

Mehr Informationen und einen Beispielbericht finden Sie hier.

Alle sensitiven Dokumente oder Zugangsdaten werden über unsere verschlüsselte Austauschplattform bereitgestellt. Die E2E-Verschlüsselung erfolgt auf Transportebene (TLS) sowie auf Dateiebene (AES-256). Wir betreiben unsere Plattform eigenständig in Deutschland. Der Abruf von Dokumenten ist nachvollziehbar und wird nach 30 Tagen automatisch durch eine vollständige Datenlöschung deaktiviert.

Über diese Austauschplattform erhalten Sie per E-Mail einen sicheren Link zum Abruf unseres Abschlussberichts im PDF-Format. Weiterhin erhalten Sie optional Logdaten oder Proof-of-Concept (PoC) Exploits im ZIP-Format.

Für alle unsere Tests und finalen Dokumente, welche Sie von uns erhalten, bieten wir sowohl die deutsche als auch die englische Sprache an. Unsere Mitarbeiter verfügen über fließende Sprachkenntnisse. 

Die Berichtssprache kann im Konfigurator ausgewählt werden. Weiterhin wird die Thematik erneut im gemeinsamen Kick-Off-Meeting angesprochen.

Sollten Sie eine individuelle Methode benötigen, um identifizierte Schwachstellen in ihrer Kritikalität zu bewerten, so sprechen Sie dieses Thema gerne bei uns an. Sollte Ihre Risikobewertungsmethode einem Standard folgen und nachvollziehbar sein, so kommen wir Ihrem Wunsch in der Regel entgegen.