Zum Inhalt

Vor unseren Pentests

  • Ihr stellt uns in einem kurzen Gespräch vor, welche Systeme ihr zu welchem Zweck testen lassen wollt.
  • Wir schätzen den Aufwand in Personentagen und legen euch ein Angebot.
  • Der Zeitraum unserer Tests ist auf diese Anzahl an Personentagen limitiert. Wir können nicht mit Sicherheit garantieren, sämtliche vorhandene Sicherheitslücken auch tatsächlich aufzudecken. Sollten echte Angreifer mehr Zeit investieren, könnten sie Schwachstellen finden, die wir eventuell übersehen haben.
  • Wir verrechnen nur tatsächlich erbrachte Leistungen. Wenn sich herausstellt, dass wir weniger Zeit benötigen, verrechnen wir entsprechend weniger.
  • Unsere Vorlaufzeit beträgt in der Regel etwa zwei Monate. Bei dringenden Aufträgen tun wir unser Bestes, um einen frühen Termin zu finden.
  • Wir brauchen bitte spätestens drei Werktage vor dem vereinbarten Test die Liste der Zielsysteme (“Scope”). Das können IP-Adressen, Domains, Subdomains, oä sein.
  • Mit der Übermittlung geht implizit die Gewährung einer “Permission to Attack” (PtA), einer Angriffserlaubnis einher. Ohne PtA könnten bestimmte Angriffe illegal sein. Wir bitten euch sicherzustellen, dass ihr für die Zielsysteme auch tatsächlich ein PtA erteilen dürft (z. B. ihr der Besitzer der Systeme seid).
  • Bitte informiert all eure Mitarbeiter und Kollegen, die in den Auftrag eingebunden werden sollen, frühzeitig über den Penetration-Test. Besonders interessiert an einer Einbindung ist in der Regel die Arbeitnehmervertretung (Betriebsrat).
  • Wir werden keine Maßnahmen durchführen, die absichtlich die Verfügbarkeit eurer Systeme gefährden.
  • Es kann trotzdem passieren, dass Systeme nicht mehr erreichbar werden. Wir sind während der Tests jederzeit für euch erreichbar, sollten euch Probleme auffallen.
  • Bitte sorgt dafür, dass die zu testenden Systeme jederzeit wiederhergestellt werden können (z. B. über Backups), sollte doch einmal etwas passieren.