Ihr stellt uns in einem kurzen Gespräch vor, welche Systeme ihr zu welchem Zweck testen lassen wollt.
Wir schätzen den Aufwand in Personentagen und legen euch ein Angebot.
Der Zeitraum unserer Tests ist auf diese Anzahl an Personentagen limitiert. Wir können nicht mit Sicherheit garantieren,
sämtliche vorhandene Sicherheitslücken auch tatsächlich aufzudecken. Sollten echte
Angreifer mehr Zeit investieren, könnten sie Schwachstellen finden, die wir eventuell
übersehen haben.
Wir verrechnen nur tatsächlich erbrachte Leistungen. Wenn sich herausstellt, dass wir
weniger Zeit benötigen, verrechnen wir entsprechend weniger.
Unsere Vorlaufzeit beträgt in der Regel etwa zwei Monate. Bei dringenden Aufträgen tun wir unser Bestes, um einen frühen Termin zu finden.
Wir brauchen bitte spätestens drei Werktage vor dem vereinbarten Test die Liste der
Zielsysteme (“Scope”). Das können IP-Adressen, Domains, Subdomains, oä sein.
Mit der Übermittlung geht implizit die Gewährung einer “Permission to Attack” (PtA), einer
Angriffserlaubnis einher. Ohne PtA könnten bestimmte Angriffe illegal sein. Wir bitten
euch sicherzustellen, dass ihr für die Zielsysteme auch tatsächlich ein PtA erteilen dürft
(z. B. ihr der Besitzer der Systeme seid).
Bitte informiert all eure Mitarbeiter und Kollegen, die in den Auftrag eingebunden werden
sollen, frühzeitig über den Penetration-Test. Besonders interessiert an einer Einbindung
ist in der Regel die Arbeitnehmervertretung (Betriebsrat).
Wir werden keine Maßnahmen durchführen, die absichtlich die Verfügbarkeit eurer Systeme
gefährden.
Es kann trotzdem passieren, dass Systeme nicht mehr erreichbar werden. Wir sind
während der Tests jederzeit für euch erreichbar, sollten euch Probleme auffallen.
Bitte sorgt dafür, dass die zu testenden Systeme jederzeit wiederhergestellt werden
können (z. B. über Backups), sollte doch einmal etwas passieren.