Security Guides
In diesem Guide

Hinweis

Geprueft von Security Engineers, regelmaessig aktualisiert, keine Rechtsberatung.

Security Guide

Fragen vor einem Pentest

Ein guter Pentest beginnt nicht mit Tools, sondern mit klaren Fragen. Wer Scope, Ziele und Erwartungen sauber klaert, spart Zeit, vermeidet Missverstaendnisse und erhaelt belastbare Ergebnisse.

Aus der Praxis: Die haeufigsten Verzogerungen entstehen durch unklare Testfenster, fehlende Zugriffe und uneinheitliche Erwartungen an Reporting und Re-Tests.

Kurzfassung

Scope

Welche Systeme, Zugriffe und Grenzen gelten?

Methodik

Wie wird getestet, dokumentiert und priorisiert?

Rahmen

Rechte, RoE, Zeitfenster und Ansprechpartner.

Wann ist ein Pentest noetig?

  • vor Go-Live, Audit oder Zertifizierung
  • nach grossen Architektur-Aenderungen
  • bei externen Zugaengen und sensiblen Daten
  • wenn Risiken nicht mehr einschaetzbar sind

Signale & Risiken

  • Unklare Angriffsfläche:

    Niemand kann sagen, was von aussen erreichbar ist.

  • Schnelles Wachstum:

    neue Systeme, neue Rollen, neue Abhaengigkeiten.

  • Vorfaelle: wiederkehrende Alerts oder echte Incidents.

  • Regulatorik: Kunden- oder Audit-Anforderungen verlangen Nachweise.

Vorbereitung: die wichtigsten Fragen

Scope & Ziele
  • Welche Systeme und Assets sind im Scope?
  • Welche Zugaenge (extern, intern, VPN, Cloud)?
  • Welche Ziele sind kritisch (Daten, Prozesse)?
  • Welche Bereiche sind explizit ausgeschlossen?
Methodik & Deliverables
  • Welche Methodik wird genutzt (OWASP, PTES, ASVS)?
  • Werden PoCs und Reproduktion beschrieben?
  • Gibt es Executive Summary und Priorisierung?
  • Ist ein Retest vorgesehen?
Rechte & RoE
  • Welche Testfenster gelten (Prod vs. Staging)?
  • Welche Abbruchkriterien gibt es?
  • Sind NDA/AVV/DPA erforderlich?
  • Wer genehmigt kritische Tests?
Organisation
  • Gibt es Testaccounts oder Staging-Zugaenge?
  • Wer ist technischer Ansprechpartner?
  • Wie erfolgt das Debrief/Reporting?
  • Wie werden Findings intern priorisiert?
Rollen, die frueh beteiligt sein sollten

Security, Engineering/Operations, Produkt, Legal/Datenschutz und ggf. Compliance. Das reduziert Rueckfragen zu Zugriffen, RoE und Datenfluesse.

Entscheidungen, die Sie vorher treffen sollten

  • Tiefe vs. Breite: lieber wenige Systeme tief, oder viele Systeme oberflaechlich?

  • Technischer Fokus:

    Web, Netzwerk, Cloud oder kombiniert?

  • Verwertung: Wer setzt Findings um und in welchem Zeitfenster?

Scope-Hinweis

Diese Checkliste hilft bei der Vorbereitung eines Pentests. Sie ersetzt keine individuelle Rechtsberatung, kein Red Teaming und kein Compliance- Assessment.

Naechster Schritt

Beschreiben Sie kurz Ihren Scope. Wir helfen bei der Einordnung und der Auswahl passender Anbieter. Hinweis: Wir beraten zur Vorbereitung und Auswahl, fuehren aber keine Tests durch.

Anfrage stellen