Zum Inhalt

Reporting Phase

Link zur offiziellen PTES-Dokumentation

Einleitung

Die Reporting Phase bildet den Abschluss eines Penetrationstests und stellt sicher, dass die gewonnenen Erkenntnisse verständlich, nachvollziehbar und umsetzbar dokumentiert werden.
In dieser Phase werden technische Details, Risiken und Handlungsempfehlungen so aufbereitet, dass sie sowohl für technische als auch für nicht-technische Ansprechpartner verständlich sind.

Ein gutes Reporting ist entscheidend dafür, dass die Ergebnisse des Tests einen konkreten Mehrwert liefern.

Um was geht es bei dieser Phase?

Die Reporting-Phase hat das Ziel, die Ergebnisse des Penetrationstests klar und strukturiert aufzubereiten.
Der Fokus liegt auf:

  • der verständlichen Darstellung der gefundenen Schwachstellen
  • der Beschreibung der Angriffsszenarien und Auswirkungen
  • der Risikobewertung auf Basis von Impact und Wahrscheinlichkeit
  • der Nachvollziehbarkeit der Testergebnisse
  • konkreten Empfehlungen zur Behebung
  • einer Zusammenfassung für das Management

Ein Bericht ist nicht nur eine technische Dokumentation, sondern auch eine Entscheidungsgrundlage.

Wichtige Aussagen aus der PTES-Dokumentation

Im Folgenden gehe ich auf zentrale Sätze aus der offiziellen PTES-Dokumentation ein und erläutere deren Bedeutung.

Fiktives Beispiel: Reporting in der Praxis

Ausgangssituation

Nach Abschluss aller Testphasen liegen mehrere bestätigte Schwachstellen vor,
darunter Zugriff auf fremde Rechnungen und die Übernahme von Benutzerkonten.

Schritt 1: Struktur des Berichts

Der Bericht wird in folgende Bereiche gegliedert:

  • Management Summary
  • Beschreibung der Testmethodik
  • Übersicht der identifizierten Schwachstellen
  • Detailbeschreibungen der Schwachstellen
  • Risikobewertung
  • Handlungsempfehlungen

Schritt 2: Management Summary (vereinfachtes Beispiel)

Zusammenfassung für Entscheider:

  • Kritische Schwachstellen ermöglichen den Zugriff auf vertrauliche Kundendaten
  • Ein externer Angreifer könnte ohne grossen Aufwand Daten missbrauchen
  • Mehrere Risiken sollten kurzfristig adressiert werden

Schritt 3: Technische Detailbeschreibung

Beispielhafte Schwachstelle:

  • Titel: Unzureichende Zugriffskontrolle beim Rechnungsdownload
  • Beschreibung:
    Durch Manipulation eines URL-Parameters können fremde Rechnungen abgerufen werden.
  • Auswirkung:
    Offenlegung sensibler Kundendaten
  • Schweregrad:
    Hoch

Schritt 4: Empfehlung zur Behebung

Zu jeder Schwachstelle werden konkrete Massnahmen angegeben:

  • Einführung einer serverseitigen Zugriffskontrolle
  • Prüfung, ob Rechnung und Benutzerkonto zusammengehören
  • Ergänzung automatisierter Zugriffstests

Schritt 5: Verständlichkeit für verschiedene Zielgruppen

  • Technische Details sind klar und reproduzierbar beschrieben
  • Risiken werden auch ohne tiefes technisches Wissen verständlich
  • Prioritäten sind klar erkennbar

Ergebnis der Reporting-Phase

Ein gutes Reporting stellt sicher, dass:

  • Risiken klar verstanden werden
  • Massnahmen priorisiert umgesetzt werden können
  • der Penetrationstest einen nachhaltigen Mehrwert bietet

Der Bericht ist die Brücke zwischen Test und Verbesserung.