Reporting — der eigentliche Wert
Findings ohne klaren Bericht sind wertlos. Ein guter Pentest‑Bericht ist 80 % der Arbeit — und das Liefer‑Ergebnis.
Bericht‑Aufbau:
- Executive Summary: 1 Seite für CEO/CIO.
- Scope, Methodik, Zeitfenster.
- Risiko‑Übersicht (Critical/High/Medium/Low).
- Findings im Detail mit:
- Beschreibung der Schwachstelle.
- Reproduktion: exakte Schritte.
- Auswirkung: was passiert im worst case?
- CVSS v3.1 Score.
- Remediation‑Empfehlung.
- Screenshots oder Code‑Snippets.
- Anhang: Logs, Tool‑Output, Tools verwendet.
CVSS v3.1 — Severity:
- 0.0 None
- 0.1–3.9 Low
- 4.0–6.9 Medium
- 7.0–8.9 High
- 9.0–10.0 Critical
Retest:
Nach Fixes erfolgt eine zweite, gezielte Prüfung — oft im Festpreis enthalten. Status pro Finding: verified fixed / partially fixed / still vulnerable.
Zurück zu Technik