Startseite » Forum
Forum IT-Sicherheit
Raum für Austausch mit Experten und Community
Wie behandle ich die Ergebnisse des Penetrationstests?
Der Bericht beinhaltet in der Regel eine Reihe von Schwachstellen bzw. potentiellen Angriffsvektoren die gemäß ihres technischen(!) Risikos gewichtet sind. Neben formalen Bewertungsschemata wie CVSS ( https://www.first.org/cvss/v4.0/specification-document) oder OWASP Risk Ratings ( https://owasp.org/www-community/OWASP_Risk_Rating_Methodology) ist eine vier bis fünfstufige Bewertung (Kritisch/Hoch, Mittel, Niedrig, Informativ) üblich. Da den Tester in den meisten Fällen der notwendige Einblick in interne Prozesse und Finanzdaten des Auftraggebers fehlt, kann das wirtschaftliche Risiko in der Regel nur durch die Auftraggeber selbst bzw. in Zusammenarbeit mit dem Dienstleister erfolgen. Schwachstellen und empfohlenen Gegenmaßnahmen nur anhand der Bewertung des Berichtes umzusetzen, führt unter Umständen zu einer falschen Priorisierung.
Wurden im Verlauf der Tests Schwachstellen in den von Dritten entwickelten Produkten und Lösungen identifiziert, sollte ein "Responsible/Coordinated Disclosure Process" angestoßen werden. Die Schwachstelle wird vom Auftraggeber (oder durch die Tester) an den Hersteller/Lieferanten gemeldet und Fristen für eine erste Reaktion (z.b. 5 Arbeitstage) und die Bereitstellung einer korrigierten Version oder entsprechender Gegenmaßnahmen (z.B. 90 Tage) gesetzt. Mit Bereitstellung der gesicherten Version oder nach Ablauf der Fristen werden die Informationen zu Schwachstellen veröffentlicht, um anderen Nutzern der gleichen Produkte und Lösungen die Chance zu geben, auf das Problem zu reagieren, bevor ein Schaden entsteht.
Deine Antwort
Fragen stellen, Erfahrungen teilen, Lösungen finden im Bereich IT-Sicherheit
Das Forum IT-Sicherheit des Marktplatzes IT-Sicherheit ist die interaktive Austauschplattform der Community, in der IT-Verantwortliche, Sicherheitsbeauftragte, Anbieter, Fachkräfte und Interessierte konkrete Fragen stellen, Praxiserfahrungen teilen und Einschätzungen zu IT-Sicherheitsthemen diskutieren können. Das Forum ergänzt die Fachinhalte des Marktplatzes um den direkten Austausch mit Experten und der IT-Sicherheitscommunity.
Ihr Nutzen
Nutzen Sie das Forum, um Fragen zur IT-Sicherheit zu stellen, Erfahrungen aus der Praxis zu teilen und von Einschätzungen der Community und Experten zu profitieren.

