Mobile App Pentest – Scoping Form

Ansprechpartner: *

Bitte geben Sie den Projektansprechpartner an.

Email: *

Bitte geben Sie die Email-Adresse des Projektansprechpartners an.

Kunde: *

Bitte geben Sie die vollständige Firmierung an.

Wann ist der geplante Durchführungszeitpunkt / Projektbeginn? *

Bitte geben Sie den Zeitraum so konkret wie möglich an.

Ist der Penetration Test Teil einer Zertifizierung oder regulatorischen Prüfung? *

Bitte geben Sie die genaue(n) Zertifizierung(en) an.

Wo soll der Penetration Test durchgeführt werden? *

Remote
Vor Ort

Bei einem “Remote”-Test wird der Test aus den Räumlichkeiten des Auftragnehmers durchgeführt. Während des Testzeitraums, steht der Tester via Telefon/Mail/Slack für Fragen zur Verfügung.
Bei einem “vor Ort”-Test kommt der Auftragnehmer in Ihre Räumlichkeiten und nutzt Ihre Infrastruktur. Der Auftragnehmer ist dann während des Projektzeitraums vor Ort ansprechbar. Die Auswahl “vor Ort” führt automatisch zu einer täglichen Reisekostenpauschale.

Wie soll der Penetration Test durchgeführt werden? *

Black-Box
Gray-Box

Black-Box: Der Test findet ohne weitere Informationen statt. Der Tester beschafft sich alle Informationen (z.B. Dokumentationen, Accounts etc.) zu den Zielsystemen eigenständig (mit Ausnahme des Scopes). Dies simuliert einen Angreifer aus dem Internet am besten.

Gray-Box: Der Test findet mit Hilfe bereitgestellter Accounts, Dokumentation und einem Ansprechpartner für Fragen statt. Dies führt zu einer effizienteren Nutzung der Projektzeit, da Zeit für Recherche eingespart werden kann.

Gibt es eine Testumgebung, auf der der Penetration Test durchgeführt werden kann? *

Ja
Nein

Eine separate Test-Umgebung wird grundsätzlich empfohlen, ist aber nicht zwingend notwendig. Im Falle von Produktivumgebungen, werden weitere Maßnahmen zur Reduzierung des Denial-of-Service (DoS)-Risikos vorgenommen. Je nach Komplexität der Infrastruktur werden dazu Reserve-Tage an Pufferzeit einkalkuliert, die bei Nichtgebrauch in Test-Tage umgewandelt werden.

Gibt es Einschränkungen bzgl. des Testzeitraums? *

Durch einen Penetration Test auf Produktivumgebungen kann es immer zu ungewollten Nebeneffekten wie z.B. Verfügbarkeitsproblemen kommen. I.d.R. werden diese soweit wie möglich vermieden. Sollten Sie jedoch besonders sensitive Applikationen (in Bezug auf die Verfügbarkeit) einsetzen, so geben Sie hier bitte alle Einschränkungen bzgl. des Testzeitraums an, wie beispielsweise Uhrzeiten oder Wochentage. Bitte beachten Sie, dass eine Einschränkung auf Wochenende, oder Nachtarbeit zu einem Zuschlag führt.

Auf welcher Plattform läuft die App? *

Android
iOS
Beides (zwei Apps)

Ist die App bereits im Google Play/iOS App Store erhältlich? *

Bitte geben Sie die Bezeichnung/URL der Apps im Google Play und Apple App Store an.

Wird das App-Backend durch eine Web-Application-Firewall geschützt? *

Bitte geben Sie nur den oder die Hersteller der Firewall Lösung(en) an. Eine konkrete Versionsinformation ist nicht notwendig.

Wünschen Sie eine Ergebnispräsentation nach Projektabschluss? *

Ja. Vor Ort.
Ja. Remote.
Nein.

Die Option “vor Ort” (i.d.R. 1,5 PT inkl. Vorbereitung) führt zu einer einmaligen Reisekostenpauschale für den Tag der Präsentation.
Die Option “Remote” (i.d.R 1 PT inkl. Vorbereitung) wird mittels Zoom oder Microsoft Teams Konferenz abgehalten. Hier entfallen die Reisekosten.
Die Option “Nein” beinhaltet nur die schriftliche Dokumentation.

Soll der Penetration Test regelmäßig wiederholt werden? *

Nein (einmaliger Test)
Monatlich
Quartalsweise
Jährlich

Weitere Wünsche und Kommentare: