Pentest
Pentest-Report lesen und verstehen
Ein Pentest-Report ist kein Roman. So lesen Sie ihn richtig, und setzen die Empfehlungen effizient um.
Sarah Brunner 20. Februar 2026 1 Min. Lesezeit
Nach jedem Penetration Test erhalten Sie einen Report mit Findings, Risikobewertungen und Empfehlungen. Viele Kunden fragen sich: Wo anfangen?
Aufbau eines typischen Reports
Ein professioneller Pentest-Report hat drei Ebenen:
- Management Summary: Eine Seite, die den Gesamtzustand zusammenfasst. Für CISOs und Geschäftsleitung.
- Findings mit Risikobewertung: Jedes Finding mit CVSS-Score, Beschreibung, Proof-of-Concept und Empfehlung.
- Technischer Anhang: Screenshots, Logs, Tools und Methodik.
Priorisierung
Nicht jedes Finding muss sofort behoben werden. Fokussieren Sie auf:
- Kritisch/Hoch: Sofort beheben (innerhalb 1–2 Wochen)
- Mittel: In den nächsten Sprint einplanen
- Niedrig: In die Roadmap aufnehmen
Der häufigste Fehler
Den Report lesen, nicken, und nichts tun. Ein Pentest ohne Follow-up ist Geldverschwendung. Planen Sie die Remediation gleich bei der Auftragserteilung mit ein.