Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

Umfang eines Penetrationstests

ElementricaElementrica6 Min.
Umfang eines Penetrationstests

Ein anonymisiertes Musterdokument. Ein Auszug aus einem Statement of Work und Rules of Engagement.

Über dieses Dokument. Es ist ein Auszug aus einem echten Dokument, bereinigt um Kundendaten und sensible Angaben. Alle Namen, Domains und IP-Adressen sind fiktiv (Domains in der Zone .example, die Adressierung anonymisiert). Wir zeigen es, damit Sie sehen, wie wir die Grenze eines Tests ziehen und was wir bewusst in den Abschnitt „außerhalb des Umfangs“ schreiben. Die kommerzielle Seite (genauer Aufwand, Preis, Tagesplan) wird individuell vereinbart.

VersionDokumententypVertraulichkeitAutor
1.0Umfang und SpielregelnDemonstrationsmaterialElementrica

1. Kontext des Auftrags

Das Kundenprofil und das Ziel des Tests bestimmen, wo wir die Grenze ziehen. Deshalb beginnen wir mit dem Kontext, nicht mit einer Werkzeugliste.

FeldWert
Kunde (Profil)Ein mittelgroßer SaaS-Anbieter im Fintech-Bereich, rund 130 Mitarbeitende, Multi-Tenant-Modell.
Grund für den TestVorbereitung auf ein DORA-Audit sowie eine Sicherheitsanforderung eines Großkunden.
Art der DatenPersonen- und Finanzdaten der Plattformnutzer. Die zentrale Frage: Sind die Daten eines Mandanten von denen der anderen getrennt.

2. Ziele des Tests

Die Ziele formulieren wir in der Sprache des Kundenrisikos, nicht in Technik. Sie entscheiden, was wichtig ist und was nebensächlich.

  • Feststellen, ob sich aus dem Internet unbefugter Zugriff auf die Daten der Plattformnutzer erlangen lässt.
  • Die Datentrennung zwischen Mandanten prüfen (Broken Access Control, IDOR, horizontale und vertikale Autorisierungsfehler).
  • Die Widerstandsfähigkeit von Anmeldung, Passwort-Reset und Sitzungsverwaltung prüfen.
  • Nachweise und Prioritäten für einen Maßnahmenplan liefern, dazu Material für das Gespräch mit einem DORA-Prüfer.

3. Testumfang (in scope)

Jedes Asset ist namentlich genannt. Es gibt keinen Posten wie „alles Übrige“ oder „die restliche Infrastruktur“. Was nicht auf dieser Liste steht, wird nicht getestet.

AssetArtPerspektive und Hinweise
app.klient.exampleWebanwendung (Produktion)Grey box. Zwei Testkonten: eine Standardrolle und eine Rolle mit erhöhten Rechten.
api.klient.exampleREST APIGrey box, authentifiziert. Autorisierungstests auf Objekt- und Funktionsebene.
iOS + Android (Test-Builds)Mobile AppAnalyse nach OWASP MASTG. Lokaler Speicher, Kommunikation mit der API, Schutz von Secrets.
partners.klient.examplePartnerportalGrey box. Eine eigene Subdomain, auf Wunsch des Sicherheitsteams bewusst in den Umfang aufgenommen.
xxx.xxx.xxx.0/28Externe Infrastruktur16 Adressen. Externer Netzwerktest: exponierte Dienste, Konfiguration, bekannte Schwachstellen.

4. Testart und Perspektive

FeldWert
WissensmodellGrey box. Ein Testkonto verkürzt die Phase der Informationsbeschaffung und erlaubt es, in derselben Zeit tiefer in die Geschäftslogik der Anwendung einzusteigen.
StartpunkteAus dem Internet ohne Konto (Perspektive eines Anonymen) sowie mit einem Benutzerkonto in zwei Rollen.
UmgebungProduktion für Web, API und Infrastruktur (mit schriftlicher Zustimmung und den Einschränkungen aus Abschnitt 6). Test-Builds für die mobile App.

5. Methodik und Standards

Die Methodik sorgt dafür, dass das Ergebnis wiederholbar und überprüfbar ist und nicht davon abhängt, worauf ein bestimmter Tester an dem Tag Lust hatte.

  • PTES als Prozess für die Durchführung des Tests.
  • OWASP WSTG 4.x für die Webanwendung und das Partnerportal.
  • OWASP API Security Top 10 für die API.
  • OWASP MASTG für die mobile App.
  • NIST SP 800-115 für die externe Infrastruktur.
  • Risikoklassifizierung und -priorisierung nach CVSS 4.0.

6. Spielregeln (Rules of Engagement)

BereichFestlegung
ZeitfensterWerktags 08:00 bis 18:00 Uhr CET. Tests mit erhöhtem Risiko für die Stabilität nur nach vorheriger Absprache und außerhalb der Verkehrsspitzen.
ProduktionErlaubt, ohne Handlungen, die die Verfügbarkeit des Dienstes gefährden. Keine DoS- und DDoS-Tests.
Social EngineeringAußerhalb des Umfangs dieses Auftrags. Als eigenes Projekt verfügbar, wenn der Kunde es möchte.
Sensible DatenErhält ein Tester Zugriff auf echte personenbezogene Daten, stoppt er die Erkundung, dokumentiert den minimalen Nachweis und meldet es. Kundendaten werden nicht heruntergeladen und nicht gespeichert.
Kritische BefundeWerden sofort über den Notfallkanal gemeldet, noch vor dem Abschlussbericht.
NotfallkontaktEine benannte Person auf Kundenseite und ein Bereitschaftskontakt bei Elementrica. Zwei Nummern, erreichbar in den Testfenstern.
WhitelistingDie Quelladressen des Testers werden dem Team des Kunden übergeben, damit es den Test von einem echten Angriff unterscheiden kann und keine unnötige SOC-Reaktion auslöst.

7. Außerhalb des Umfangs (out of scope)

Das ist der wichtigste Teil dieses Dokuments. Es ist keine Liste von Dingen, die wir nicht können. Es ist eine Liste bewusster Entscheidungen, jede mit einem Grund.

ElementGrund für den Ausschluss
DoS- und DDoS-Angriffe, LasttestsRisiko eines Produktionsausfalls. Ziel des Tests ist unbefugter Zugriff, nicht Last.
Social Engineering und Phishing gegen MitarbeitendeBewusst aus diesem Auftrag ausgenommen. Als eigenes Projekt verfügbar.
Physischer Zugang zu Büros und HardwareAußerhalb des mit dem Kunden für diesen Auftrag vereinbarten Bedrohungsmodells.
Dienste externer Anbieter (Zahlungen, E-Mail, Hosting)Keine Zustimmung des Infrastrukturbetreibers. Fremde Systeme ohne Befugnis zu testen ist nicht zulässig.
Quellcode-Review (white box, SAST)Eine andere Art von Leistung. Dieser Auftrag läuft im Grey-box-Modell.
Domains und Subdomains außerhalb der Liste aus Abschnitt 3Außerhalb der vereinbarten Asset-Liste. Siehe die Anmerkung unten.

Was wir tun, wenn wir etwas jenseits der Grenze finden. Stoßen wir bei der Informationsbeschaffung auf ein relevantes Asset außerhalb des Umfangs (etwa eine vergessene Subdomain mit Admin-Panel), testen wir es nicht ohne Erweiterung des Auftrags. Wir melden es gesondert als Beobachtung, mit einer Beschreibung des Risikos. Die Grenze schützt beide Seiten, aber wir tun nicht so, als gäbe es ein Problem nicht, nur weil es ein paar Meter hinter der Linie liegt.

8. Aufwand und Ergebnisse

Die Zahl der Personentage ist die reale Obergrenze für die Tiefe eines Tests. Wir nennen sie offen, denn ein Umfang ohne zugeordnete Zeit ist eine Absicht, kein Plan. Die folgenden Werte sind Beispiele.

BereichPersonentage
Webanwendung6
REST API3
Mobile App (iOS + Android)4
Partnerportal2
Externe Infrastruktur2
Berichterstellung und Ergebnisbesprechung2
Retest nach Umsetzung der Korrekturen1
Gesamt (Beispiel)20

Was der Kunde am Ende erhält:

  • Einen technischen Bericht mit Nachweisen: Reproduktionsschritte, Funktionsnachweis, Prioritäten nach CVSS 4.0 und einen konkreten Behebungsweg für jede Schwachstelle.
  • Eine Zusammenfassung für die Leitung in der Sprache des Geschäftsrisikos, bereit für das Gespräch mit Vorstand und Prüfer.
  • Eine Sitzung zur Besprechung der Ergebnisse mit dem Team des Kunden.
  • Einen Retest der Korrekturen und eine schriftliche Bestätigung, dass die Schwachstellen behoben sind.

9. Annahmen und Bedingungen

  • Der Kunde stellt Testkonten, Zugang zu den Umgebungen und die Mobile-Builds vor Arbeitsbeginn bereit.
  • Der Kunde erklärt, dass er berechtigt ist, den Test der genannten Assets zu beauftragen.
  • Jede Änderung des Umfangs während der Arbeit erfordert eine schriftliche Abstimmung (Change Request).
  • Alles unterliegt einer NDA. Nach Abschluss werden die Testdaten gemäß der vereinbarten Aufbewahrungsrichtlinie gelöscht.
Möchten Sie einen solchen Umfang für Ihre Infrastruktur?

Vereinbaren Sie eine kostenlose, 30-minütige Beratung, unverbindlich. Nach dem Gespräch mit einem Berater haben Sie einen ersten Entwurf eines sinnvollen Umfangs.

Nächster
Der Umfang eines Penetrationstests: die eine Seite, die entscheidet, ob der Test sein Geld wert war