Erfahren Sie, wie Sie Kundenerwartungen managen und eine klare Kommunikation während eines Penetrationstests sicherstellen können, vom Scoping bis zum Reporting.

Set clear expectations with your client for a smooth penetration testing journey. Define the scope, objectives, and timeline upfront. Discuss potential risks and legal considerations openly. Keep them in the loop with regular updates, and educate them on the process. Collaborate on findings and remediation plans. After testing, provide a thorough debriefing, and offer post-engagement support. Transparent communication ensures a successful and mutually beneficial engagement.

A well-known example is the penetration test conducted on the Maroochy Water Services in Australia. This case highlighted the importance of clear communication between the testing team and the client, especially regarding the potential impacts and vulnerabilities found. The testers discovered critical vulnerabilities in the SCADA system, leading to significant improvements in the system's security. This case underscores the importance of thorough testing and clear, detailed reporting to the client about the vulnerabilities and recommended actions.

Last updated on 26. Aug. 2024

Wie gehen Sie mit den Kundenerwartungen während eines Penetrationstests um?

Bereitgestellt von KI und der LinkedIn Community

Penetrationstests oder ethisches Hacking sind ein wertvoller Service, der Unternehmen dabei hilft, Schwachstellen in ihren Systemen und Netzwerken zu identifizieren und zu beheben. Die Durchführung eines erfolgreichen Penetrationstests erfordert jedoch mehr als nur technische Fähigkeiten und Werkzeuge. Dazu gehört auch, die Kundenerwartungen zu managen und eine klare Kommunikation während des gesamten Auftrags sicherzustellen. In diesem Artikel lernen Sie einige Best Practices für die Verwaltung der Kundenerwartungen während eines Penetrationstests kennen, vom Scoping bis zum Reporting.

Top-Expert:innen in diesem Artikel

Von der Community unter 18 Beiträgen ausgewählt. Mehr erfahren

1 Definieren Sie den Umfang und die Ziele

Der erste Schritt bei der Verwaltung der Kundenerwartungen besteht darin, den Umfang und die Ziele des Penetrationstests zu definieren. Das bedeutet, dass Sie sich auf Art, Umfang und Tiefe des Tests sowie auf die Zielsysteme, Netzwerke und Anwendungen einigen müssen. Sie sollten auch die Ziele und Ergebnisse des Tests besprechen, z. B. die Identifizierung von Risiken, Compliance-Problemen oder Verbesserungsmöglichkeiten. Durch die Definition des Umfangs und der Ziele können Sie Missverständnisse, schleichenden Umfang und unrealistische Erwartungen des Kunden vermeiden.

Fügen Sie Ihre Sichtweise hinzu

Geraldo Alcantara, CISSP, CCISO, CCSK

Pentester | Cybersecurity | CISSP | CCISO | CEH Master | CCSK | CASP+ | Pentest+ | eWPTX | CRTP | eCPPT | eMAPT | eWPT | DCPT | Security+ | 34x CVEs | MBA | LPIC-1 | AZ-900 | ISFS | EHF
Beitrag melden
Set clear expectations with your client for a smooth penetration testing journey. Define the scope, objectives, and timeline upfront. Discuss potential risks and legal considerations openly. Keep them in the loop with regular updates, and educate them on the process. Collaborate on findings and remediation plans. After testing, provide a thorough debriefing, and offer post-engagement support. Transparent communication ensures a successful and mutually beneficial engagement.

Übersetzt

Gefällt mir
Kai Springs

IT Partner - Passionate about Cybersecurity | Small Business Owner| Technology Accessibility Enthusiast
Beitrag melden
Every customer's environment is unique, and needs will be different; but managing their expectations begins with understanding their current policies and frameworks they follow. I explain that the pen test gives us a sample report of where we are at with risk management and how it will help us identify how we can help the customer fill in the gaps afterwords (what's missing from practice or what can/should be improved right away). Provide the findings to the client, identify what needs to be prioritized, and follow up to ensure there's a plan for customer deliverables to be met.

Übersetzt

Gefällt mir
Mohammed Nabeel Usman

Msc, Mphil , Phd inview Cyber Security
Beitrag melden
Define the scope and objectives Establish the rules of engagement Communicate the methodology and deliverables Provide regular updates and feedback Deliver a comprehensive report and presentation Follow up and maintain relationship Here’s what else to consider

Übersetzt

Gefällt mir
Nithin Hewavitharana (Niki)

Full Stack Developer | Crafting Scalable & High-Performance Web Applications | Expert in Front-End & Back-End Development | Proficient in Modern Frameworks & Technologies | Cloud Integration | Electronic Enthusiast 🛠️
Beitrag melden
Absolutely, here's a concise breakdown: Clear Communication: Understand client goals and define the scope clearly. Documentation: Detailed SoW outlining objectives, methods, and limitations. Regular Updates: Keep the client informed of progress. Risk Assessment: Categorize and prioritize findings. Post-Engagement: Debrief, deliver a comprehensive report, offer recommendations. Educational Approach: Explain findings and offer training opportunities. Flexibility: Be adaptable to scope changes and unexpected findings. Professionalism: Maintain a respectful and responsive attitude. Follow-up Support: Offer assistance post-report delivery.

Übersetzt

Gefällt mir
Mike Q. Hainsworth, MBA

Business & Property Entrepreneur, Director Incommsec Ltd, Founder of Anti-Coach solving problems with Mindset developing people from within, CEO and Co-Founder of Joint Commonwealth LTD.
Beitrag melden
Relationship and Rapport. Absolutely define scope, set expectations. What we have found is some clients will say they want a full engagement, but when we start getting detailed they will pull back and say 'well let's not go quite that far...' Sometimes you have to listen to the subtext of the answer.

Übersetzt

Gefällt mir

2 Festlegen der Einsatzregeln

Der nächste Schritt besteht darin, die Einsatzregeln oder die Bedingungen für den Penetrationstest festzulegen. Dazu gehören die Definition der Rollen und Verantwortlichkeiten beider Parteien, des Zeitrahmens und des Zeitplans des Tests, der Kommunikationskanäle und -häufigkeit, der Eskalationsverfahren sowie der rechtlichen und ethischen Grenzen. Sie sollten auch die schriftliche Genehmigung und Zustimmung des Kunden einholen, um den Test durchzuführen, und sicherstellen, dass Sie alle geltenden Gesetze und Vorschriften einhalten. Durch die Festlegung der Einsatzregeln können Sie sicherstellen, dass der Test auf sichere, legale und professionelle Weise durchgeführt wird.

Fügen Sie Ihre Sichtweise hinzu

Jephthah Antwi
Beitrag melden
One thing I have found helpful is being able get the client a report that can easily help address vulnerabilities and make decisions with a report that is very easy to understand and use. I usually leverage a lot of visuals in reports to help them quickly identify systems to focus on for remediation.

Übersetzt

Gefällt mir
Nithin Hewavitharana (Niki)

Full Stack Developer | Crafting Scalable & High-Performance Web Applications | Expert in Front-End & Back-End Development | Proficient in Modern Frameworks & Technologies | Cloud Integration | Electronic Enthusiast 🛠️
Beitrag melden
Certainly, here's a condensed version: Scope Definition: Clearly define what's included and excluded. Authorized Activities: Specify allowed actions and tools. Legal Compliance: Ensure adherence to laws and policies. Communication Protocols: Define reporting and updates. Data Handling Rules: Establish data protection protocols. Timeline and Schedule: Set clear engagement timelines. Escalation Procedures: Outline critical issue escalation. Roles and Responsibilities: Define involved parties' duties. Confidentiality: Stress confidentiality and non-disclosure. Exit Strategy: Plan for conclusion and post-assessment support. Contingency Plans: Prepare for unforeseen situations.

Übersetzt

Gefällt mir

3 Kommunizieren Sie die Methodik und die Ergebnisse

Ein weiterer wichtiger Schritt ist die Kommunikation der Methodik und der Ergebnisse des Penetrationstests. Dies bedeutet, dass Sie die Schritte und Techniken erläutern müssen, die Sie zum Ausführen des Tests verwenden, z. B. Aufklärung, Scannen, Ausnutzung und Nachbereitung. Sie sollten den Kunden auch über die erwarteten Ergebnisse informieren, z. B. Berichte, Ergebnisse, Empfehlungen und Nachweise. Durch die Kommunikation der Methodik und der Ergebnisse können Sie dem Kunden Transparenz und Rechenschaftspflicht bieten und Ihre Kompetenz und Glaubwürdigkeit unter Beweis stellen.

Fügen Sie Ihre Sichtweise hinzu

Nithin Hewavitharana (Niki)

Full Stack Developer | Crafting Scalable & High-Performance Web Applications | Expert in Front-End & Back-End Development | Proficient in Modern Frameworks & Technologies | Cloud Integration | Electronic Enthusiast 🛠️
Beitrag melden
Methodology Communication: Approach Overview: Summarize the testing approach. Detailed Steps: Outline specific testing techniques. Risk Assessment: Explain how risks will be evaluated. Compliance Alignment: Highlight industry standards compliance. Deliverables Communication: Report Structure: Explain report sections and summaries. Findings Documentation: Detail identified issues. Severity Classification: Define risk severity levels. Recommendations: Present actionable mitigation steps. Presentation/Debrief: Offer explanation sessions. Post-Assessment Support: Specify ongoing support.

Übersetzt

Gefällt mir
Sujaykumar Adoor

Founder @HacFy | 🏅 2X LinkedIn Top Voice | Security Researcher | Pentester | Cloud Security | SOC | GRC
Beitrag melden
Explain the testing methodology that will be used, including the tools and techniques involved. Clearly outline the expected deliverables, such as interim reports, a final report, and any presentations. Ensure the client understands what to expect at each stage of the process.

Übersetzt

Gefällt mir

4 Regelmäßige Updates und Feedback bereitstellen

Während des Penetrationstests sollten Sie dem Kunden regelmäßig Updates und Feedback geben. Dies bedeutet, dass über den Fortschritt und den Status des Tests berichtet wird, z. B. über die erledigten Aufgaben, die aufgetretenen Probleme und die erzielten Ergebnisse. Sie sollten den Kunden auch über kritische oder risikoreiche Ergebnisse informieren, z. B. über Datenschutzverletzungen, Systemkompromittierungen oder geschäftliche Auswirkungen. Durch regelmäßige Updates und Feedback können Sie den Kunden auf dem Laufenden halten und auf alle auftretenden Bedenken oder Fragen eingehen.

Fügen Sie Ihre Sichtweise hinzu

Nithin Hewavitharana (Niki)

Full Stack Developer | Crafting Scalable & High-Performance Web Applications | Expert in Front-End & Back-End Development | Proficient in Modern Frameworks & Technologies | Cloud Integration | Electronic Enthusiast 🛠️
Beitrag melden
Scheduled Reports: Regularly share progress and findings. Highlight Key Points: Emphasize significant discoveries. Risks and Actions: Communicate risks and mitigation steps. Adherence to Timeline: Confirm project progress. Feedback Mechanisms: Open Channels: Encourage feedback through various avenues. Structured Sessions: Arrange formal feedback sessions. Act on Feedback: Implement actionable suggestions. Continuous Improvement: Use feedback for future enhancements. Efficient Communication: Conciseness: Keep updates focused and brief. Documentation: Use reports, emails, or presentations. Prompt Responses: Address urgent matters promptly. Acknowledgment: Recognize and respond to feedback.

Übersetzt

Gefällt mir

5 Liefern Sie einen umfassenden Bericht und eine Präsentation

Der letzte Schritt besteht darin, dem Kunden einen umfassenden Bericht und eine Präsentation zu liefern. Das bedeutet, dass Sie einen detaillierten und strukturierten Bericht erstellen müssen, der den Umfang, die Ziele, die Methodik, die Ergebnisse und die Empfehlungen des Penetrationstests zusammenfasst. Sie sollten dem Kunden auch die wichtigsten Ergebnisse und Empfehlungen klar und prägnant präsentieren, indem Sie visuelle Hilfsmittel, Diagramme, Grafiken und Screenshots verwenden. Durch die Bereitstellung eines umfassenden Berichts und einer Präsentation können Sie den Wert und die Auswirkungen des Penetrationstests demonstrieren und dem Kunden umsetzbare Erkenntnisse und Anleitungen liefern.

Fügen Sie Ihre Sichtweise hinzu

Mike Q. Hainsworth, MBA

Business & Property Entrepreneur, Director Incommsec Ltd, Founder of Anti-Coach solving problems with Mindset developing people from within, CEO and Co-Founder of Joint Commonwealth LTD.
Beitrag melden
Key element. Otherwise what's the point of it for the customer. If they've brought in an 'expert' to help then the advise afterwards is critical to moving forward.

Übersetzt

Gefällt mir
Sujaykumar Adoor

Founder @HacFy | 🏅 2X LinkedIn Top Voice | Security Researcher | Pentester | Cloud Security | SOC | GRC
Beitrag melden
Upon completion of the testing, provide a detailed report that includes an executive summary, findings, vulnerabilities discovered, risk ratings, and recommended remediation actions. Follow this up with a presentation to discuss the findings, answer questions, and ensure the client fully understands the results.

Übersetzt

Gefällt mir

6 Follow-up und Pflege der Beziehung

Nachdem Sie den Bericht und die Präsentation geliefert haben, sollten Sie die Beziehung zum Kunden fortsetzen und pflegen. Das bedeutet, Feedback und Zufriedenheit vom Kunden einzuholen und auf alle Probleme oder Fragen einzugehen, die auftreten können. Sie sollten dem Kunden auch Unterstützung und Hilfe bei der Umsetzung der Empfehlungen anbieten und die Wirksamkeit und die Ergebnisse der Abhilfemaßnahmen überwachen. Durch die Nachverfolgung und Pflege der Beziehung können Sie sicherstellen, dass der Kunde mit dem Penetrationstest zufrieden und zufrieden ist, und Vertrauen und Loyalität für zukünftige Engagements aufbauen.

Fügen Sie Ihre Sichtweise hinzu

Mike Q. Hainsworth, MBA

Business & Property Entrepreneur, Director Incommsec Ltd, Founder of Anti-Coach solving problems with Mindset developing people from within, CEO and Co-Founder of Joint Commonwealth LTD.
Beitrag melden
This is where the long term relationship builds from. There's a difference between transactional service delivery and contractual service delivery. Needless to say contractual builds over time. If you do it right.

Übersetzt

Gefällt mir

7 Hier erfahren Sie, was Sie sonst noch beachten sollten

Dies ist ein Bereich, in dem Beispiele, Geschichten oder Erkenntnisse geteilt werden können, die in keinen der vorherigen Abschnitte passen. Was möchten Sie noch hinzufügen?

Fügen Sie Ihre Sichtweise hinzu

Lamine T.

Head of Growth & Partnerships at Evina | We protect 1 billion users worldwide every day | Safeguarding Mobile Payments - Direct Carrier Billing / VAS & Mobile Money
Beitrag melden
A well-known example is the penetration test conducted on the Maroochy Water Services in Australia. This case highlighted the importance of clear communication between the testing team and the client, especially regarding the potential impacts and vulnerabilities found. The testers discovered critical vulnerabilities in the SCADA system, leading to significant improvements in the system's security. This case underscores the importance of thorough testing and clear, detailed reporting to the client about the vulnerabilities and recommended actions.

Übersetzt

Gefällt mir
Alexander Antukh

CISO | EMBA | QTE | Mentor | ISO 3103 enthusiast
Beitrag melden
Make sure the client understands that a well-done pentest does not necessarily equal to a list of critical findings. Be transparent about the scope, methodology, time constraints, and deliverables, and provide visibility about what was not tested.

Übersetzt

Gefällt mir

Cybersecurity

+ Folgen

Diesen Artikel bewerten

Wir haben diesen Artikel mithilfe von KI erstellt. Wie finden Sie ihn?

Sehr gut Geht so

Diesen Artikel melden

Alle anzeigen

Wie gehen Sie mit den Kundenerwartungen während eines Penetrationstests um?

1

2

3

4

5

6

7

1 Definieren Sie den Umfang und die Ziele

2 Festlegen der Einsatzregeln

3 Kommunizieren Sie die Methodik und die Ergebnisse

4 Regelmäßige Updates und Feedback bereitstellen

5 Liefern Sie einen umfassenden Bericht und eine Präsentation

6 Follow-up und Pflege der Beziehung

7 Hier erfahren Sie, was Sie sonst noch beachten sollten

Cybersecurity

Diesen Artikel bewerten

Vielen Dank für Ihr Feedback

Weitere Artikel zu Cybersecurity

Relevantere Lektüre

Wie gehen Sie mit den Kundenerwartungen während eines Penetrationstests um?

1

2

3

4

5

6

7

1 Definieren Sie den Umfang und die Ziele

2 Festlegen der Einsatzregeln

3 Kommunizieren Sie die Methodik und die Ergebnisse

4 Regelmäßige Updates und Feedback bereitstellen

5 Liefern Sie einen umfassenden Bericht und eine Präsentation

6 Follow-up und Pflege der Beziehung

7 Hier erfahren Sie, was Sie sonst noch beachten sollten

Cybersecurity

Diesen Artikel bewerten

Vielen Dank für Ihr Feedback

Andere Kenntnisse ansehen