Technik 2.3 — Penetration-Testing

Reporting — der eigentliche Wert

Findings ohne klaren Bericht sind wertlos. Ein guter Pentest‑Bericht ist 80 % der Arbeit — und das Liefer‑Ergebnis.

Bericht‑Aufbau:
  1. Executive Summary: 1 Seite für CEO/CIO.
  2. Scope, Methodik, Zeitfenster.
  3. Risiko‑Übersicht (Critical/High/Medium/Low).
  4. Findings im Detail mit:
    • Beschreibung der Schwachstelle.
    • Reproduktion: exakte Schritte.
    • Auswirkung: was passiert im worst case?
    • CVSS v3.1 Score.
    • Remediation‑Empfehlung.
    • Screenshots oder Code‑Snippets.
  5. Anhang: Logs, Tool‑Output, Tools verwendet.
CVSS v3.1 — Severity:
  • 0.0 None
  • 0.1–3.9 Low
  • 4.0–6.9 Medium
  • 7.0–8.9 High
  • 9.0–10.0 Critical
Retest:

Nach Fixes erfolgt eine zweite, gezielte Prüfung — oft im Festpreis enthalten. Status pro Finding: verified fixed / partially fixed / still vulnerable.

Zurück zu Technik