Externer Penetration Test – Scoping Form

Dieses Formular dient der preislichen Einschätzung von externen Penetration Testing Projekten. Bitte geben Sie keine sensitiven Informationen wie beispielsweise Zugangsdaten an.

Im Anschluss erhalten Sie ein Angebot inkl. Leistungsbeschreibung.

Bitte geben Sie den Projektansprechpartner an.
Bitte geben Sie die Email-Adresse des Projektansprechpartners an.
Bitte geben Sie die vollständige Firmierung an.
Bitte geben Sie den Zeitraum so konkret wie möglich an.
Bitte geben Sie die genaue(n) Zertifizierung(en) an.
Bei einem “Remote”-Test wird der Test aus den Räumlichkeiten des Testers durchgeführt. Während des Testzeitraums, steht der Tester via Telefon/Mail/Slack für Fragen zur Verfügung.
Bei einem “vor Ort”-Test kommt der Tester in Ihre Räumlichkeiten und nutzt Ihre Infrastruktur. Der Tester ist dann während des Projektzeitraums vor Ort ansprechbar. Die Auswahl “vor Ort” führt automatisch zu einer täglichen Reisekostenpauschale.
Black-Box: Der Test findet ohne weitere Informationen statt. Der Tester beschafft sich alle Informationen (z.B. Dokumentationen, Accounts etc.) zu den Zielsystemen eigenständig (mit Ausnahme des Scopes). Dies simuliert einen Angreifer aus dem Internet am besten.

Gray-Box: Der Test findet mit Hilfe bereitgestellter Accounts, Dokumentation und einem Ansprechpartner für Fragen statt. Dies führt zu einer effizienteren Nutzung der Projektzeit, da Zeit für Recherche eingespart werden kann.
Eine separate Test-Umgebung wird grundsätzlich empfohlen, ist aber nicht zwingend notwendig. Im Falle von Produktivumgebungen, werden weitere Maßnahmen zur Reduzierung des Denial-of-Service (DoS)-Risikos vorgenommen. Je nach Komplexität der Infrastruktur werden dazu Reserve-Tage an Pufferzeit einkalkuliert, die bei Nichtgebrauch in Test-Tage umgewandelt werden.
Durch einen Penetration Test auf Produktivumgebungen kann es immer zu ungewollten Nebeneffekten wie z.B. Verfügbarkeitsproblemen kommen. I.d.R. werden diese soweit wie möglich vermieden. Sollten Sie jedoch besonders sensitive Applikationen (in Bezug auf die Verfügbarkeit) einsetzen, so geben Sie hier bitte alle Einschränkungen bzgl. des Testzeitraums an, wie beispielsweise Uhrzeiten oder Wochentage. Bitte beachten Sie, dass eine Einschränkung auf Wochenende, oder Nachtarbeit zu einem Zuschlag führt.
Bitte geben Sie die Größe des zu betrachtenden Netzwerks möglichst genau an. IP-Bereiche (IPv4 und IPv6) können zu Subnetzangaben zusammengefasst werden. Bitte geben Sie auch alle zu überprüfenden Domains an. Sollen alle Subdomains einer angegebenen Domain getestet werden, geben Sie bitte eine Wildcard Domain wie beispielsweise *.customer.com an.
Bitte geben Sie nur den oder die Hersteller der Firewall Lösung(en) an. Eine konkrete Versionsinformation ist nicht notwendig.
Bitte geben Sie alle (Web-)Applikationen innerhalb des zu betrachtenden Scopes an, die einen authentisierten Bereich anbieten. Fügen Sie zu jeder Applikation einen kurzen Use-Case hinzu, der beschreibt um was für eine Art Applikation es sich handelt und wofür diese genutzt wird.
Eine Ergebnispräsentation “vor Ort” (i.d.R. 1 Tag) führt zu einer einmaligen Reisekostenpauschale für den Tag der Präsentation.
Eine Ergebnispräsentation “Remote” wird mittels Zoom Konferenz abgehalten. Hier entfallen die Reisekosten.