Im Ergebnis der durchgeführten Analysen erhält der Kunde einen detaillierten Abschlussbericht, in dem sowohl die Schwachstellen detailliert beschrieben als auch konkrete Gegenmaßnahmen zu deren Beseitigung dargelegt sind. Strukturell und inhaltlich unterscheidet sich die Abschlussdokumentation eines Penetrationstest abhängig von der gewählten Testkategorie bzw. -art (bspw. Quellcodeanalyse, Netzwerk- und Infrastrukturtest oder Webapplikationstest). Allerdings halten sich die Abschlussdokumente der SmartTECS Cyber Security GmbH im Bereich des Penetrationstests an die folgende übergeordnete Struktur:

Executive Summary: Die Executive Summary gibt eine Zusammenfassung auf Management Ebene und fasst das Testergebnis auf einer abstrakten Ebene zusammen. Ziel des Kapitels stellt die komprimierte Zusammenfassung der Analyse dar und gibt das Sicherheitslevel des Testobjekts wieder. Der Text richtet sich an Führungskräfte und Entscheider, um eine Entscheidungsgrundlage für die nächsten Schritte einzuleiten.

Ergebnisübersicht: Bei der technischen Übersicht werden die Ergebnisse für Experten tabellarisch zusammengefasst. Zusätzlich werden die resultierenden Maßnahmen bzw. Empfehlungen zu jeder Sicherheitsschwachstelle wiedergegeben. Ziel des Kapitels stellt eine Übersicht der Testergebnisse dar.

Allgemeine Informationen zur Analyse: Das Kapitel Projektübersicht stellt detaillierte Informationen zum Testobjekt, Kategorie sowie der Testmethodik bereit. Ziel des Kapitels ist die Nachvollziehbarkeit der Analyse, um eine zielgerichtete Behebung der Schwachstellen zu ermöglichen. Weiterhin werden im Unterkapitel Methodik die Testschwerpunkte der vorliegenden Analyse dokumentiert, um ein Abgleich des Testumfangs sowie -tiefe zu ermöglichen.

Testergebnis: Schwerpunkt des Abschlussberichts stellen die Ergebnisse der Analyse dar. In diesem Kapitel werden detaillierte Informationen zu den identifizierten Schwachstellen dargelegt. Details zum Aufbau der Testergebnisse werden im Folgenden gegeben.

Anhang: Der Anhang eines jeden Abschlussberichts enthält weiterführende technische Informationen oder selbst-entwickelte Skripts oder Schadcode, um die Nachvollziehbarkeit und den Nachtest der identifizierten Schwachstellen zu ermöglichen. Darüber hinaus werden Informationen zur Einstufung des Sicherheitsniveaus und des Schweregrads der Schwachstellen gegeben.

Testergebnisse

Die Dokumentation der Ergebnisse, die während des Analysezeitraums identifiziert werden, orientieren sich bei der SmartTECS Cyber Security GmbH dem folgenden Schema. Abweichungen finden ausschließlich statt, wenn es die Testart oder Dokumentation erfordert.

Beschreibung: Die Beschreibung legt den Kontext dar, in dem sich die Schwachstelle innerhalb des betroffenen Systems einordnen lässt. Es werden weiterhin Hintergrundinformationen zur Kategorie der Schwachstelle angegeben.

Schweregrad: Der Schweregrad einer Schwachstelle dient der Grundlage für einen organisatorischen Schwachstellenmanagementprozess und kann für eine Priorisierung genutzt werden. Die SmartTECS Cyber Security GmbH orientiert sich hierbei am CVSS-Score (Common Vulnerability Scoring System) und kategorisiert Schwachstellen nach den folgenden Schweregraden: niedrig, mittel, hoch und kritisch.

Ergebnis: Das Ergebnis beschreibt die konkreten Auswirkungen der Ausnutzung der Schwachstelle auf das Testobjekt durch einen Angreifer. Zusätzlich wird ein Proof-of-Concept für den Nachweis der Ausnutzbarkeit der Schwachstelle auf einem sehr technischen Niveau erstellt und dokumentiert. Dieses dient dem Experten zur Reproduktion der Schwachstellen.

Behebung: Die Maßnahmenempfehlung gibt eine detaillierte und konkrete Erklärung zur Behebung der Schwachstelle wieder.

Referenzen: Abschließend werden weiterführende Links und Informationen zu der Schwachstelle bzw. zu deren Behebung zur Verfügung gestellt.