Zu einer guten Security-Analyse gehört auch ein aussagekräftiges Ergebnis. Die Mehrzahl von Pentest-Ergebnisberichten konzentriert sich auf die identifizierten Schwachstellen. Das Problem dabei: Der Umfang der getesteten Umgebung ist daraus nicht ersichtlich und für Sie nicht nachvollziehbar. Das reicht uns nicht.
“Uns ist es wichtig, nicht nur qualitative Analysen durchzuführen, sondern Ihnen eine detaillierte Dokumentation der durchgeführten Prüfungen zu bieten. Mit unseren Prüfberichten machen wir unsere Analysen transparent und demonstrieren unseren Qualitätsanspruch. Im Jahr 2021 haben wir unser Reporting auf das nächste Level gehoben.“
Stephan Neumann
Head of usd HeroLab
In unserem Prüfbericht schaffen wir für Sie Transparenz
Mit steigender Nachfrage nach Pentests gibt es auch immer mehr Anbieter auf diesem Markt, was es Unternehmen schwierig macht, Unterschiede in der Qualität von Pentests zu bewerten – und das idealerweise vor Vertragsabschluss. Grund dafür ist, dass die Durchführung des eigentlichen Pentests aus Sicht des Auftraggebers weiterhin eine Blackbox ist:
In einem Ergebnisbericht wird lediglich dokumentiert, welche Schwachstellen im Rahmen des Pentests identifiziert wurden. Der Bericht enthält keine Information darüber, ob und in welchem Umfang eine Funktion getestet wurde. Unser Prüfbericht schafft mehr Transparenz: Er ist ein zusätzliches Dokument, das den Umfang sowie das Ergebnis der Durchführung zusammenfasst. Wir zeigen dort, welche Angriffsvektoren im Zusammenhang mit welchen Funktionen getestet wurden und mit welchem Ergebnis – auch wenn dort keine Schwachstelle identifiziert wurde. Somit erhalten Sie Klarheit und können die Qualität unserer Analyse bewerten.
Nachvollziehbare Pentest-Ergebnisse
Die beste Sicherheitsanalyse bringt keinen Mehrwert, wenn die Erkenntnisse nicht nachvollziehbar und übersichtlich dargestellt sowie mit konkreten Handlungsempfehlungen versehen werden. Aus diesem Grund haben wir unsere Pentest-Ergebnisberichte grundlegend überarbeitet und um viele nützliche Informationen ergänzt. Durch die Kategorisierung von Findings können beispielsweise grundlegende Probleme erkannt werden. Zum Beispiel: Viele Findings im Bereich „Umgang mit Benutzerdaten“ innerhalb einer Webanwendung deuten auf fehlende Awareness der Entwickler*innen für Injection-Angriffe hin. Insgesamt haben wir die Struktur und Darstellung der Ergebnisse in unserem Bericht überarbeitet und interne Referenzen ergänzt – alles für eine bessere Lesbarkeit.
Reporting angepasst an Ihre Bedürfnisse
Die Ergebnisse der technischen Analyse führen zu umfangreichen Folgemaßnahmen bei Ihnen:
- Die Ergebnisse müssen unternehmensintern weiterverarbeitet werden
- Aufgabenpakete müssen den richtigen Ansprechpartner*innen zugewiesen werden
- Maßnahmen zur Behebung müssen installiert, nachverfolgt und dokumentiert werden
Viele Unternehmen nutzen dafür eigene Systeme, zum Beispiel auf Basis von Jira. Dafür können wir unkompliziert eine tabellarische Zusammenfassung der Ergebnisse in einem passenden Format für den Import zur Verfügung stellen. Auf Wunsch können wir auch unternehmenseigene Vorlagen für die Dokumentation von Pentest-Ergebnissen verwenden.
Sie interessieren sich für einen Pentest oder benötigen Unterstützung?
Kontaktieren Sie uns oder starten Sie direkt in Ihre Pentest-Planung.
