Pentest-Bericht schreiben

Der Pentest-Bericht ist das wichtigste Ergebnis eines Penetrationstests. Technisch brillante Testergebnisse ohne gute Dokumentation sind wertlos – der Kunde kann die Schwachstellen nicht beheben, wenn er sie nicht versteht. Ein professioneller Pentest-Bericht ist deshalb eine eigenständige Kernkompetenz, die genauso viel Aufmerksamkeit verdient wie die technische Arbeit selbst.

Ein guter Bericht hat zwei Zielgruppen: Das Management braucht eine knappe Executive Summary mit Risikoübersicht und Geschäftsauswirkungen – ohne technischen Jargon. Die IT-Abteilung braucht vollständige technische Details: genaue Schwachstellenbeschreibungen, Proof-of-Concept-Schritte, CVE-Nummern, CVSS-Scores und konkrete Handlungsempfehlungen.

1) Berichtsstruktur: Was muss enthalten sein?

Klicke auf einen Abschnitt, um die Anforderungen und typischen Inhalte zu sehen.

Standard-Pentest-Bericht – Gliederung

1Deckblatt & MetadatenAlle

Auftraggeber, Auftragnehmer, Scope-Zusammenfassung, Testdatum, Versionsnummer, Vertraulichkeitsvermerk. Wichtig: Bericht als „Vertraulich" kennzeichnen und verschlüsselt übermitteln (PGP, passwortgeschütztes PDF).

2Executive SummaryManagement

1–2 Seiten für Entscheider ohne technisches Vorwissen. Inhalt: Gesamtrisikoeinschätzung (z.B. Ampel: Rot/Gelb/Grün), Anzahl kritischer Befunde, wichtigste Risiken in Geschäftssprache, wichtigste Sofortmaßnahmen. Keine technischen Details. Antwort auf die Frage: „Wie gefährdet ist unser Unternehmen, und was muss als erstes gefixt werden?"

3Scope & MethodikAlle

Exakter Scope (getestete Systeme, IPs, Zeitraum), verwendete Methodik (PTES, OWASP), Testtyp (Black/Grey/White Box), eingesetzte Werkzeuge, Einschränkungen (z.B. DoS nicht getestet). Ermöglicht Vergleich mit späterem Re-Test.

4RisikozusammenfassungManagement

Visualisierung aller Befunde nach Schweregrad (Kritisch/Hoch/Mittel/Niedrig/Info). Tortendiagramm oder Balkendiagramm. Top-5-Risiken mit kurzem Freitext. Risikomatrix optional (Häufigkeit × Schwere).

5Technische BefundeIT-Abteilung

Kernstück des Berichts. Für jede Schwachstelle: Titel, CVSS-Score, CVE-Referenz, Beschreibung, Angriffspfad (Schritt-für-Schritt), Proof-of-Concept (Screenshots, Payloads), Auswirkung, konkrete Empfehlung mit Priorität. Detailliert genug, dass ein Entwickler ohne Rückfragen beheben kann.

6HandlungsempfehlungenAlle

Priorisierte Liste aller Maßnahmen: Sofort (Kritisch/Hoch), Kurzfristig (1–4 Wochen), Mittelfristig (1–3 Monate). Jede Empfehlung ist konkret und umsetzbar (nicht „Sicherheit verbessern", sondern „Apache auf Version 2.4.58 aktualisieren"). Verantwortliche benennen wenn möglich.

7Anhang: Beweismittel & ToolsIT-Abteilung

Vollständige Rohdaten: Nmap-Outputs, Scanner-Reports, Exploit-Payloads (anonymisiert), vollständige Screenshots, verwendete Werkzeuge mit Versionen. Ermöglicht Nachvollziehbarkeit und dient als Grundlage für Gerichtsverfahren bei echten Vorfällen.

2) Beispiel: Einzelner Schwachstellen-Eintrag

Jede gefundene Schwachstelle wird nach einem einheitlichen Schema dokumentiert. Das folgende Beispiel zeigt einen vollständigen Eintrag für eine SQL-Injection-Schwachstelle.

Muster-Schwachstelleneintrag – SQL-Injection

KRITISCH SQL-Injection im Login-Formular CVSS 9.8

CVE-Referenz:Keine (Anwendungsspezifisch)

Betroffenes System:shop.example.com/login (POST-Parameter: username)

Beschreibung:Der username-Parameter im Login-Formular wird unvalidiert in eine SQL-Abfrage eingebettet. Ein Angreifer kann durch Injection-Payload die Authentifizierung umgehen und sich als beliebiger Nutzer (inkl. Administrator) anmelden.

Angriffspfad:1. Login-Seite aufrufen
2. username: ' OR '1'='1' --, password: beliebig
3. Zugriff als admin gewährt

Proof of Concept:

POST /login HTTP/1.1
username=admin'--&password=x
→ HTTP 302, Location: /admin/dashboard

Auswirkung:Vollständige Kompromittierung aller Nutzerdaten, Admin-Zugang, potenzielle Datenbankdump aller Kundendaten (DSGVO-relevant)

✓ Empfehlung (Sofort): Alle Datenbankabfragen auf Prepared Statements umstellen. Validierung aller Eingabeparameter server-seitig. WAF als zusätzliche Schutzschicht.

3) Risikozusammenfassung – Beispiel

Risikozusammenfassung – Webshop-Pentest

Kritisch

Hoch

Mittel

Niedrig

Kritische und hohe Befunde sind sofort zu beheben. Mittlere innerhalb von 30 Tagen. Niedrige können in die nächste reguläre Wartung aufgenommen werden. Ein Re-Test nach 30–60 Tagen prüft, ob die Empfehlungen umgesetzt wurden.

Zusammenfassung

Ein Pentest-Bericht hat zwei Zielgruppen: Management (Executive Summary, Risikoübersicht) und IT (technische Details, Proof-of-Concept, konkrete Maßnahmen). Struktur: Deckblatt → Executive Summary → Scope → Risikozusammenfassung → Technische Befunde → Empfehlungen → Anhang. Jede Schwachstelle: CVSS-Score, CVE, Beschreibung, Angriffspfad, PoC, Empfehlung. Bericht vertraulich behandeln und verschlüsselt übermitteln. Abschluss des Pentests: IHK-Aufgaben Penetration Testing.

Pentest-Bericht schreiben

1) Berichtsstruktur: Was muss enthalten sein?

2) Beispiel: Einzelner Schwachstellen-Eintrag

3) Risikozusammenfassung – Beispiel

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title