Kapitel 13. Berichterstattung

Aus allen Informationen in diesem Buch werden in diesem Kapitel einige der wichtigsten, aber oft weitgehend übersehenen Themen behandelt. Du kannst zwar viel Zeit damit verbringen, mit Systemen zu spielen, aber wenn du am Ende des Tages keinen nützlichen und umsetzbaren Bericht erstellst, war deine Mühe mehr oder weniger umsonst. Sicher, du hattest Spaß, aber es ist unwahrscheinlich, dass du für diesen Spaß bezahlt wirst. Das Ziel eines Sicherheitstests ist es immer, die Anwendung, das System oder das Netzwerk besser zu schützen, sei es durch eine bessere Absicherung oder durch bessere Detektivfähigkeiten. Der Sinn eines Berichts ist es, die Ergebnisse so zu vermitteln, dass sie klar erkennbar sind und wie sie behoben werden können. Dies ist, wie jede andere Prüfungsarbeit auch, eine erworbene Fähigkeit. Probleme zu finden ist etwas anderes als sie zu kommunizieren. Wenn du ein Problem entdeckst, aber nicht in der Lage bist, die Bedrohung für das Unternehmen zu kommunizieren und zu erläutern, wie du es beheben kannst, wird das Problem nicht behoben und ein Angreifer kann es ausnutzen.

Ein ernstes Problem bei der Erstellung von Berichten besteht darin, die Bedrohung für die Organisation, das Potenzial für die Realisierung dieser Bedrohung und die Auswirkungen auf die Organisation, wenn die Bedrohung realisiert ...