Next Level Reporting: Unser neuer Prüfbericht macht Pentest-Ergebnisse transparent und nachvollziehbar

8. April 2022

Zu einer guten Security-Analyse gehört auch ein aussagekräftiges Ergebnis. Die Mehrzahl von Pentest-Ergebnisberichten konzentriert sich auf die identifizierten Schwachstellen. Das Problem dabei: Der Umfang der getesteten Umgebung ist daraus nicht ersichtlich und für Sie nicht nachvollziehbar. Das reicht uns nicht.

Stephan Neumann Pentest

“Uns ist es wichtig, nicht nur qualitative Analysen durchzuführen, sondern Ihnen eine detaillierte Dokumentation der durchgeführten Prüfungen zu bieten. Mit unseren Prüfberichten machen wir unsere Analysen transparent und demonstrieren unseren Qualitätsanspruch. Im Jahr 2021 haben wir unser Reporting auf das nächste Level gehoben.“

Stephan Neumann
Head of usd HeroLab

In unserem Prüfbericht schaffen wir für Sie Transparenz

Mit steigender Nachfrage nach Pentests gibt es auch immer mehr Anbieter auf diesem Markt, was es Unternehmen schwierig macht, Unterschiede in der Qualität von Pentests zu bewerten – und das idealerweise vor Vertragsabschluss. Grund dafür ist, dass die Durchführung des eigentlichen Pentests aus Sicht des Auftraggebers weiterhin eine Blackbox ist:

In einem Ergebnisbericht wird lediglich dokumentiert, welche Schwachstellen im Rahmen des Pentests identifiziert wurden. Der Bericht enthält keine Information darüber, ob und in welchem Umfang eine Funktion getestet wurde. Unser Prüfbericht schafft mehr Transparenz: Er ist ein zusätzliches Dokument, das den Umfang sowie das Ergebnis der Durchführung zusammenfasst. Wir zeigen dort, welche Angriffsvektoren im Zusammenhang mit welchen Funktionen getestet wurden und mit welchem Ergebnis – auch wenn dort keine Schwachstelle identifiziert wurde. Somit erhalten Sie Klarheit und können die Qualität unserer Analyse bewerten.

Nachvollziehbare Pentest-Ergebnisse

Die beste Sicherheitsanalyse bringt keinen Mehrwert, wenn die Erkenntnisse nicht nachvollziehbar und übersichtlich dargestellt sowie mit konkreten Handlungsempfehlungen versehen werden. Aus diesem Grund haben wir unsere Pentest-Ergebnisberichte grundlegend überarbeitet und um viele nützliche Informationen ergänzt. Durch die Kategorisierung von Findings können beispielsweise grundlegende Probleme erkannt werden. Zum Beispiel: Viele Findings im Bereich „Umgang mit Benutzerdaten“ innerhalb einer Webanwendung deuten auf fehlende Awareness der Entwickler*innen für Injection-Angriffe hin. Insgesamt haben wir die Struktur und Darstellung der Ergebnisse in unserem Bericht überarbeitet und interne Referenzen ergänzt – alles für eine bessere Lesbarkeit.

Reporting angepasst an Ihre Bedürfnisse

Die Ergebnisse der technischen Analyse führen zu umfangreichen Folgemaßnahmen bei Ihnen:

  • Die Ergebnisse müssen unternehmensintern weiterverarbeitet werden
  • Aufgabenpakete müssen den richtigen Ansprechpartner*innen zugewiesen werden
  • Maßnahmen zur Behebung müssen installiert, nachverfolgt und dokumentiert werden

Viele Unternehmen nutzen dafür eigene Systeme, zum Beispiel auf Basis von Jira. Dafür können wir unkompliziert eine tabellarische Zusammenfassung der Ergebnisse in einem passenden Format für den Import zur Verfügung stellen. Auf Wunsch können wir auch unternehmenseigene Vorlagen für die Dokumentation von Pentest-Ergebnissen verwenden.


Sie interessieren sich für einen Pentest oder benötigen Unterstützung?

Kontaktieren Sie uns oder starten Sie direkt in Ihre Pentest-Planung.

Auch interessant:

usd AG Partner des PCI SSC GEAR 2022-2024

usd AG Partner des PCI SSC GEAR 2022-2024

Der PCI Security Standards Council (PCI SSC) hat die usd AG erneut zur Mitgliedschaft im Global Executive Assessor Roundtable (GEAR) berufen. Seit 2018 ermöglicht der GEAR einen direkten Austausch zwischen PCI Assessoren und dem PCI Security Standards...

mehr lesen
Security Advisories zu CA Harvest

Security Advisories zu CA Harvest

Die Analyst*innen des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen die CA Harvest Software Change Manager untersucht. Hierbei wurde eine unzureichende Eingabevalidierung beim CSV Export identifiziert, welche dem Hersteller im Rahmen...

mehr lesen

Kategorien

Kategorien