Häufig gestellte Fragen

Antworten zu Legalität, Ablauf, Scope, Risiken, Bericht und Paketen der externen Schwachstellenanalyse.

Ist die Analyse legal?

Ja. Vor jeder Analyse werden Scope, Zeitraum und schriftliche Autorisierung festgelegt. Ohne ausdrückliche Freigabe wird nichts getestet.

Können meine Systeme durch die Analyse ausfallen?

Die Analyse wird bewusst schonend geplant und auf externe, nicht-invasive Prüfungen beschränkt. Ein Restrisiko kann bei technischen Prüfungen nie vollständig ausgeschlossen werden; deshalb werden Scope, Zeitfenster und Intensität vorab gemeinsam abgestimmt.

Was wird genau geprüft?

Geprüft werden die im Scope definierten extern erreichbaren Ziele: beispielsweise Websites, Mailserver, DNS, VPN-Zugänge, APIs, offene Ports und deren Konfigurationen.

Wie lange dauert eine Analyse?

Je nach Umfang dauert eine Analyse typischerweise zwischen 3 und 10 Werktagen. Im Erstgespräch nenne ich Ihnen einen realistischen Zeitrahmen für Ihren konkreten Scope.

Was bekomme ich am Ende?

Sie erhalten einen Bericht mit Executive Summary bzw. Kurzbewertung, technischen Findings, Risikoeinordnung, Auswirkung und konkreten Handlungsempfehlungen. Je nach Paket ist ein Abschlussgespräch enthalten.

Was bedeutet Nachtest innerhalb von 30 Tagen?

Im Enterprise-Paket ist ein Nachtest enthalten: Nachdem Ihr Team die Schwachstellen behoben hat, prüfe ich innerhalb von 30 Tagen nach Berichtübergabe erneut, ob die Maßnahmen greifen.

Bieten Sie auch die Behebung der Schwachstellen an?

Mein Fokus liegt auf Analyse, Bewertung und Bericht. Die Behebung übernimmt in der Regel Ihr IT-Team oder IT-Dienstleister. Die Empfehlungen sind so formuliert, dass die Umsetzung nachvollziehbar ist.

Werden meine Daten vertraulich behandelt?

Ja. Ergebnisse werden vertraulich behandelt und ausschließlich an die vereinbarten Ansprechpartner übermittelt. Auf Wunsch kann eine NDA geschlossen werden.

Was zählt als Domain oder IP-Adresse?

Ein Scan-Ziel ist eine IP-Adresse oder Domain, zum Beispiel Ihre Website, Ihr Mailserver oder ein VPN-Zugang. Alle Dienste und Ports, die unter diesem Ziel erreichbar sind, werden im vereinbarten Umfang geprüft.

Was unterscheidet Pentest-Light von einem vollständigen Penetrationstest?

Pentest-Light konzentriert sich auf die externe Angriffsoberfläche und eine schonende Prüfung. Interne Tests, Social Engineering, Source-Code-Audits, physische Tests und aktive Exploitation sind nicht enthalten, sofern sie nicht separat vereinbart werden.

Brauche ich technische Vorkenntnisse?

Nein. Der Bericht enthält technische Details für Ihr IT-Team, aber auch eine verständliche Zusammenfassung und priorisierte Empfehlungen für Entscheidungen auf Geschäftsführungsebene.

Kann die Analyse remote durchgeführt werden?

Ja. Die Analyse externer Angriffsflächen wird remote durchgeführt. Für Unternehmen aus Kempten und dem Allgäu bin ich zusätzlich regional ansprechbar.

Ihre Frage ist nicht dabei?

Schreiben Sie mir kurz, was Sie prüfen lassen möchten. Ich melde mich innerhalb von 24 Stunden.

Kontakt aufnehmen