yurolaitsalbert - stock.adobe.co

Tipps zum Verfassen eines überzeugenden Pentest-Berichts

Nach dem Durchführen von Pentests müssen die Resultate in einem Bericht festgehalten werden. Diese Aufgabe gilt als unbeliebt. Dabei ist ein guter Report einfach zu erstellen.

Vielen Penetrationstestern fällt es schwer, einen überzeugenden Bericht über die von ihnen erledigten technischen Maßnahmen und gefundenen Ergebnisse zu schreiben. Viele Tester kratzen nur an der Oberfläche und gehen dabei nur auf die erfolgreichen Teile ihrer Tätigkeiten ein, während andere ihren Report eher als Kunstwerk ansehen und in größter Ausführlichkeit auf gelungene Tests eingehen und die gefundenen Schwachstellen sowie die empfohlenen Maßnahmen auf eine Weise erläutern, die auch nicht-technische Leser verstehen können.

Zu welcher Gruppe ein Pentester auch gehört, das Schreiben eines Berichts über die von ihm durchgeführten Penetrationstests sollte er nicht nur als lästige Zusatzaufgabe betrachten. Immerhin gehört auch dieser Teil zu den Aufgaben, für die er engagiert wurde. Die folgenden Tipps erleichtern das Schreiben eines Pentest-Berichts. Wenn Sie die Hinweise befolgen, können Sie sich wieder verstärkt auf die oft sehr spannenden Tests konzentrieren.

Eine Geschichte zu den gefundenen Schwachstellen liefern

Jede Schwachstelle, auf die ein Pentester stößt, sollte mit umfangreichen Details verbunden werden. Dieser Punkt lässt sich relativ leicht umsetzen, wenn versucht wird, spätestens im finalen Bericht Antworten auf die folgenden Fragen zu geben:

  • Was für eine Schwachstelle war es?
  • Welche Auswirkungen kann sie auf das jeweilige Unternehmen haben (bezogen auf den Geschäftsbereich, in dem es tätig ist)?
  • Hat der Tester versucht, die Schwachstelle mit einem Exploit auszunutzen? Falls das der Fall war, welches Ergebnis kam bei diesem Versuch heraus?
  • Welche Maßnahmen kann das Unternehmen ergreifen, um das Problem zu beheben?
  • Welche Schritte kann der Kunde darüber hinaus einleiten, um vergleichbare Probleme in Zukunft zu vermeiden?

Der Bericht sollte ebenfalls Informationen über fehlgeschlagene Angriffsversuche enthalten und nicht nur über erfolgreiche Tests berichten. Dadurch erfährt der Auftraggeber nämlich nicht nur, welche Schwachstellen er angehen muss. Er wird auch genau darüber informiert, an welchen Stellen seine Verteidigungsmaßnahmen greifen. Zudem hilft es ihm dabei, das konkrete Vorgehen des Testers besser zu verstehen.

Frühzeitig mit dem Erstellen des Berichts beginnen

Jeder Pentester sollte bereits während der Maßnahmen möglichst ausführliche Aufzeichnungen über seine Methoden und die gefundenen Ergebnisse erstellen. Wenn dies nicht erst zu einem Zeitpunkt erfolgt, nachdem die Tests abgeschlossen wurden, erleichtert es das Schreiben des eigentlichen Berichts teilweise erheblich. Dieses Vorgehen hat außerdem den Vorteil, dass die Vorgänge in Echtzeit dokumentiert, Screenshots erstellt und potenzielle Ergebnisse in einem kontinuierlich durchgeführten Prozess identifiziert werden können.

Ein frühzeitiges Aufschreiben von Notizen ist eine große Hilfe dabei, den Bericht später effektiv und gleichzeitig effizient vervollständigen zu können. Sobald die Testphase abgeschlossen ist, müssen dann die Aufzeichnungen nur noch überarbeitet und zu einem vollständigen Bericht erweitert werden. Weit aufwendiger ist es, erst nachträglich zu versuchen, sich die verschiedenen Ereignisse wieder in der richtigen Reihenfolge in Erinnerung zu rufen.

Immer organisiert bleiben

Ein sofortiges Aufschreiben oder Eintippen neuer Erkenntnisse während der Tests sorgt darüber hinaus dafür, dass die später erstellten Berichte besser organisiert sind. Es stellt zudem sicher, dass wichtige Ereignisse nicht untergehen oder dass manche Tests noch ein zweites Mal durchgeführt werden müssen.

Ein weiteres Hilfsmittel, um die Ergebnisse auch für den Kunden verständlicher zu machen, ist eine Auflistung der gefundenen Schwachstellen anhand einer relativen Risikoeinschätzung, die sie nach dem Grad des vermuteten Risikos einordnet. Diese Methode sorgt dafür, dass die wichtigsten und vor allem kritischen Sicherheitslücken an der Spitze des Teils im Bericht stehen, der die gefundenen Schwachstellen vorstellt. Als hoch, mittel oder weniger gefährlich eingestufte Probleme werden dann erst darunter aufgeführt.

Bedenken Sie auch, dass eine korrekte Nutzung von Rechtschreibung und Grammatik als nicht so wichtig erscheinen mögen, wenn es um Gefahren durch Schwachstellen geht, die durchaus auch zerstörerische Auswirkungen auf den Kunden oder das Unternehmen haben können.

IT-Sicherheitsexperten arbeiten aber in einem Bereich, in dem ein sehr großer Wert auf jedes noch so kleine Detail gelegt wird. Genau dasselbe gilt, wenn es um das Schreiben des Berichts geht. Daher sollten Penetrationstester auch in Sachen Rechtschreibung und Grammatik sehr sorgfältig vorgehen und alle zur Verfügung stehenden Hilfsmittel auch einsetzen. Bevor der Bericht dann abgegeben wird, sollte er noch einmal genau auf eventuelle inhaltliche Fehler geprüft werden.

Nächste Schritte

Anforderungen an einen Pentester

Das sollte ein gute Sicherheitsbericht enthalten

So unterscheiden sich Pentest- und Red-Team-Aktivitäten

Erfahren Sie mehr über IT-Sicherheits-Management

ComputerWeekly.de
Close