Penetrationstest: Scope, Methodik, Reporting
Wie ein Pentest aus Sicht der Organisation funktioniert – und wie Reports zu umsetzbaren Maßnahmen werden.
Scope: Was getestet wird (und was nicht)
- Assets: Domains, IP-Ranges, Apps, APIs, VPN, M365/AAD, WLAN
- Testfenster, Ansprechpartner, Notfallkontakt
- Regeln: DoS ausgeschlossen? Social Engineering? Phishing?
- Evidence: Welche Artefakte werden geliefert?
Methodik (praxisnah)
- Recon → Enumeration → Exploit → Post-Exploitation → Reporting
- Attack Paths dokumentieren (nicht nur CVEs)
- Kombination aus automatisierten Scans und manueller Verifikation
Report-Struktur, die Teams wirklich nutzen
- Executive Summary (Business Impact, Top-Risiken, Next Steps)
- Technische Findings (Repro Steps, Impact, Fix Guidance)
- Proof-of-Concept minimal & sicher
- Re-Test Abschnitt (Status: fixed/partially/not fixed)
Wichtig: Fix-Guidance muss zu eurer Plattform passen (nftables vs. Fortinet vs. Azure).
Evidence & Audit: Was aufbewahrt wird
- Scope-Freigabe, Testprotokoll, Findings-Liste
- Tickets/Changes zu Fixes
- Re-Test Ergebnis
- Abnahme durch Owner