Security Guides
In diesem Guide

Hinweis

Geprueft von Security Engineers, regelmaessig aktualisiert, keine Rechtsberatung.

Security Guide

Fragen vor einem Pentest

Ein guter Pentest beginnt nicht mit Tools, sondern mit klaren Entscheidungen. Wer Scope, Ziele und Erwartungen sauber klaert, spart Zeit, reduziert Reibung und bekommt verwertbare Ergebnisse.

Aus der Praxis: Die haeufigsten Verzogerungen entstehen durch unklare Testfenster, fehlende Zugriffe und uneinheitliche Erwartungen an Reporting und Re-Tests.

Kurzfassung

Scope

Welche Systeme, Zugriffe und Grenzen gelten?

Methodik

Wie wird getestet, dokumentiert und priorisiert?

Rahmen

Rechte, RoE, Zeitfenster und Ansprechpartner.

Passt dieser Guide fuer Sie?

Passt, wenn …
  • ein externer Test geplant ist oder gerade laeuft
  • Scope, Zeitfenster und Ziele noch unklar sind
  • Reporting und Re-Test festgelegt werden muessen
Nicht ausreichend, wenn …
  • Sie eine langfristige Red-Team-Uebung suchen
  • Sie konkrete Tool-Auswahl oder Exploit-Details brauchen
  • Sie rechtliche Einzelfallberatung benoetigen

Wann ist ein Pentest noetig?

  • vor Go-Live, Audit oder Zertifizierung
  • nach grossen Architektur-Aenderungen
  • bei externen Zugaengen und sensiblen Daten
  • wenn Risiken nicht mehr einschaetzbar sind
Vergleich (kurz)
FormatZielTypischer Output
PentestTiefentest definierter SystemeFindings + Priorisierung
Vulnerability ScanBreite, automatisierte ErkennungListen von Schwachstellen
Red TeamZielorientierte AngriffsuebungOperations-Report + Lessons learned

Vorbereitung in 5 Schritten

1. Ziele

Kritische Daten und Prozesse benennen.

2. Scope

Systeme, Zugaenge, Ausschluesse definieren.

3. RoE

Testfenster, Abbruchkriterien, Freigaben.

4. Zugriffe

Accounts, VPN, IP-Whitelisting klaeren.

5. Auswertung

Reporting-Format und Re-Test festlegen.

Vorbereitung: die wichtigsten Fragen

Scope & Ziele
  • Welche Systeme und Assets sind im Scope?
  • Welche Zugaenge (extern, intern, VPN, Cloud)?
  • Welche Ziele sind kritisch (Daten, Prozesse)?
  • Welche Bereiche sind explizit ausgeschlossen?
Methodik & Deliverables
  • Welche Methodik wird genutzt (OWASP, PTES, ASVS)?
  • Werden PoCs und Reproduktion beschrieben?
  • Gibt es Executive Summary und Priorisierung?
  • Ist ein Re-Test vorgesehen und terminiert?
Rechte & RoE
  • Welche Testfenster gelten (Prod vs. Staging)?
  • Welche Abbruchkriterien gibt es?
  • Sind NDA/AVV/DPA erforderlich?
  • Wer genehmigt kritische Tests?
Organisation
  • Gibt es Testaccounts oder Staging-Zugaenge?
  • Wer ist technischer Ansprechpartner?
  • Wie erfolgt das Debrief/Reporting?
  • Wie werden Findings intern priorisiert?
Rollen, die frueh beteiligt sein sollten

Security, Engineering/Operations, Produkt, Legal/Datenschutz und ggf. Compliance. Das reduziert Rueckfragen zu Zugriffen, RoE und Datenfluesse.

Entscheidungen, die Sie vorher treffen sollten

  • Tiefe vs. Breite: lieber wenige Systeme tief, oder viele Systeme oberflaechlich?

  • Technischer Fokus:

    Web, Netzwerk, Cloud oder kombiniert?

  • Verwertung: Wer setzt Findings um und in welchem Zeitfenster?

Trade-off Hinweis

Mehr Systeme im Scope bedeuten oft weniger Tiefe pro System. Definieren Sie bewusst, ob Sie Abdeckung oder Detailtiefe priorisieren.

Was Sie vom Anbieter erhalten sollten

Sie sollten bekommen
  • Executive Summary (Risiko, Impact, Prioritaet)
  • Technische Findings mit Reproduktion
  • Konkrete Empfehlungen je Finding
  • Re-Test-Bedingungen und Fristen
Sie sollten bereitstellen
  • Aktuelle Asset-Liste und Netzgrenzen
  • Testaccounts und Kontaktkette
  • Change-Fenster und Notfallkontakt
  • Freigaben fuer kritische Tests

Praktische Stolperfallen (aus der Praxis)

  • Testfenster kollidieren mit Deployments oder Wartung.
  • Staging weicht zu stark von Production ab.
  • Accounts haben unklare Rollen oder zu wenig Rechte.
  • Incident-Response weiss nichts vom Test und eskaliert.
Praxis-Tipp

Legen Sie eine einzige Kontaktkette fest (Primary/Backup). Das reduziert Wartezeiten, wenn Tester schnell Rueckfragen haben.

Scope-Hinweis

Diese Checkliste hilft bei der Vorbereitung eines Pentests. Sie ersetzt keine individuelle Rechtsberatung, kein Red Teaming und kein Compliance- Assessment.

Naechste Schritte

  • Scope und Ziele schriftlich festhalten
  • Testfenster und RoE genehmigen lassen
  • Accounts, VPN und IP-Whitelists vorbereiten
  • Reporting-Format und Re-Test Termin abstimmen
Naechster Schritt mit uns

Beschreiben Sie kurz Ihren Scope. Wir helfen bei der Einordnung und der Auswahl passender Anbieter. Hinweis: Wir beraten zur Vorbereitung und Auswahl, fuehren aber keine Tests durch.

Anfrage stellen