Skip to main content
Skip table of contents

Vorgehen bei Penetrationstests

Dieser Artikel enthält grundlegende Richtlinien zu Penetrationstests (Pentests). Kunden dürfen den Pentest durchführen und das Ergebnis an imc weiterleiten (via Projektmanager, Account Manager oder imc Service Desk). Das Ergebnis eines Pentests ist in der Regel ein Dokument, das mehrere Findings mit Angabe einer Kategorie (niedrig, mittel, hoch) enthält.

Zu Dokumentationszwecken erstellt imc ein Service Desk Ticket (Typ: Support Request), das so lange offen bleibt, bis alle Findings geklärt / gelöst sind. Die Abstimmung erfolgt hierbei mit dem imc Security Team.

Der dem Ticket zugewiesene Support Agent gibt einen Überblick über alle erfassten Findings und koordiniert das Feedback der imc internen Abteilungen (hauptsächlich Hosting und Product Development).

In der Regel gibt es mehrere Feedback-Möglichkeiten:

  • LMS-Software benötigt Codeänderungen (Software Defect)
    ➡️ wird für einen der nächsten Patches über ein separates Softwaredefekt-Ticket eingeplant

  • Die Hosting-Infrastruktur benötigt einige Änderungen (Infrastrukturänderungen)
    ➡️ wird so bald wie möglich eingeplant

  • Der gemeldete Befund ist ungültig oder wird von imc nicht behoben (invalid / won't fix)
    ➡️ imc gibt dem Kunden eine angemessene Rückmeldung mit einer Erklärung, warum der Befund ungültig ist oder von imc nicht behoben wird.

  • Der gemeldete Befund steht in keinem Zusammenhang mit der Software oder den Dienstleistungen von imc (außerhalb von imc)
    ➡️ imc wird ein angemessenes Feedback geben.

Über das Service-Desk-Ticket kann der Support-Mitarbeiter weitere Informationen vom Kunden anfordern, falls die gemeldeten Befunde nicht eindeutig sind. Darüber hinaus ist es möglich, regelmäßige oder bedarfsgesteuerte Anrufe für Status-Updates zu vereinbaren.

Das Service Desk-Ticket ist abgeschlossen (Status Resolved), wenn imc ein angemessenes Feedback zu allen gemeldeten Befunden gegeben hat und alle entsprechenden Fixes ausgeliefert wurden.

Zusätzliche Informationen

Der Pentest als Teil der Rollout-Phase wird vom Projektteam koordiniert. Falls Fixes nach Projektabschluss und Übergabe an den Support geliefert werden müssen, leitet das Projektteam die notwendigen Tickets an das Supportteam weiter, so dass für Kunden sichtbare Tickets in imc Service Desk erstellt werden können.

Wenn der Kunde während der Projektphase einen Pentest durchführt, ohne dass dies im Projektplan vorgesehen ist, lassen sich Auswirkungen auf den Projektzeitplan nicht vermeiden. Beispiel: Wenn ein Kunde eine Woche vor dem Go-Live einen Pentest durchführt, so wäre es unrealistisch zu erwarten, dass etwaige gefundene Fehler innerhalb von 2 Tagen behoben sind.

Die innerhalb eines Projektes erforderlichen Pentests müssen sorgfältig geplant werden. Das bedeutet auch, dass ggf. nicht alle Findings vor dem Go-Live behoben werden können. Nur bestätigte und „kritische“ Findings, die Maßnahmen seitens imc erfordern (Änderung der Infrastruktur oder Korrektur der Software), haben Priorität.

Häufig gestellte Fragen

Führt imc einen eigenen Pentest durch und wie oft?
Ja, imc führt mindestens zwei Pentests pro Jahr für das aktuelle Standard-Release durch. Diese Pentests werden vollständig von einer externen Sicherheitsfirma durchgeführt. Zusätzlich führt das imc Security Team regelmäßige interne Pentests gegen Testumgebung aus.

Gibt imc die Ergebnisse des eigenen Pentests weiter?
Ja, die Ergebnisse der Pentests (Management Summary) werden dem Kunden auf Anfrage (Service Desk, Account Manager, Project Manager).

Dürfen Kunden Pentests für ihre Instanz durchführen?
Ja, Kunden können nach Ankündigung (2 Wochen Vorlaufzeit) einen Pentest für ihre eigene LMS-Instanz durchführen. Dies wird während der Projektphase empfohlen, ist aber auch nach dem Go-Live möglich (erfordert mehr Koordination). Jegliche technische Unterstützung oder Koordinationsunterstützung kann als zusätzliche Beratungsdienstleistung angefordert werden. Dieser Service kann auch Teil des Implementierungsprojekts sein. Bitte beachten Sie, dass imc für einem solchen Fall keinen Full-Service anbietet und die Verantwortung für die Durchführung des Pentests beim Kunden liegt.

Wie sollten Kunden Pentest-Ergebnisse an imc melden?
Der finale Bericht zum Pentest kann als Service Desk Ticket an den Support (nach Go-Live) oder an den Projektleiter (vor Go-Live / während der Projektphase) übermittelt werden. In der Regel benötigt imc den vollständigen Bericht (als PDF-Dokument) zur detaillierten Überprüfung der Ergebnisse. Der imc Support oder Projektleiter leitet den Bericht an das imc Security Team weiter und gibt über das Ticketsystem entsprechendes Feedback und Updates.

Wie werden gültige Befunde von imc behoben?
Gültige Findings (Software Defect oder Hosting-Probleme) werden entsprechend der Priorität der gemeldeten Befunde behoben. Wenn ein Pentest während der Projektphase durchgeführt wird, muss der Projektplan eine angemessene Zeit für die Bereitstellung von Korrekturen und Änderungen vor dem Go-Live berücksichtigen, um eine Verschiebung des Go-Live-Datums zu vermeiden.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close