Dieser Artikel enthält grundlegende Richtlinien zu Penetrationstests (Pentests). Kunden dürfen den Pentest durchführen und das Ergebnis an Scheer IMC weiterleiten (via Projektmanager, Account Manager oder Scheer IMC Service Desk). Das Ergebnis eines Pentests ist in der Regel ein Dokument, das mehrere Findings mit Angabe einer Kategorie (niedrig, mittel, hoch) enthält.
Zu Dokumentationszwecken erstellt Scheer IMC ein Service Desk Ticket (Typ: Support Request), das so lange offen bleibt, bis alle Findings geklärt / gelöst sind. Die Abstimmung erfolgt hierbei mit dem Scheer IMC Security-Team.
Der dem Ticket zugewiesene Support Agent gibt einen Überblick über alle erfassten Findings und koordiniert das Feedback der imc internen Abteilungen (hauptsächlich Hosting und Product Development).
In der Regel gibt es mehrere Feedback-Möglichkeiten:
-
LMS-Software benötigt Codeänderungen (Software Defect)
➡️ wird für einen der nächsten Patches über ein separates Softwaredefekt-Ticket eingeplant -
Die Hosting-Infrastruktur benötigt einige Änderungen (Infrastrukturänderungen)
➡️ wird so bald wie möglich eingeplant -
Der gemeldete Befund ist ungültig oder wird von Scheer IMC nicht behoben (invalid / won't fix)
➡️ Scheer IMC gibt dem Kunden eine angemessene Rückmeldung mit einer Erklärung, warum der Befund ungültig ist oder von Scheer IMC nicht behoben wird. -
Der gemeldete Befund steht in keinem Zusammenhang mit der Software oder den Dienstleistungen von Scheer IMC (außerhalb von imc)
➡️ Scheer IMC wird ein angemessenes Feedback geben.
Über das Service-Desk-Ticket kann der zuständige Support-Mitarbeiter weitere Informationen vom Kunden anfordern, falls die gemeldeten Befunde nicht eindeutig sind. Darüber hinaus ist es möglich, regelmäßige oder bedarfsgesteuerte Anrufe für Status-Updates zu vereinbaren.
Das Service Desk-Ticket ist abgeschlossen (Status Resolved), wenn Scheer IMC ein angemessenes Feedback zu allen gemeldeten Befunden gegeben hat und alle entsprechenden Fixes ausgeliefert wurden.
Zusätzliche Informationen
Der Pentest als Teil der Rollout-Phase wird vom Projektteam koordiniert. Falls Fixes nach Projektabschluss und Übergabe an den Scheer IMC Support geliefert werden müssen, leitet das Projekt-Team die notwendigen Tickets an das Support-Team weiter, so dass für Kunden sichtbare Tickets in Scheer IMC Service Desk erstellt werden können.
Wenn der Kunde während der Projektphase einen Pentest durchführt, ohne dass dies im Projektplan vorgesehen ist, lassen sich Auswirkungen auf den Projektzeitplan nicht vermeiden. Beispiel: Wenn ein Kunde eine Woche vor dem Go-Live einen Pentest durchführt, so wäre es unrealistisch zu erwarten, dass etwaige gefundene Fehler innerhalb von 2 Tagen behoben sind.
Die innerhalb eines Projektes erforderlichen Pentests müssen sorgfältig geplant werden. Das bedeutet auch, dass ggf. nicht alle Findings vor dem Go-Live behoben werden können. Nur bestätigte und „kritische“ Findings, die Maßnahmen seitens Scheer IMC erfordern (Änderung der Infrastruktur oder Korrektur der Software), haben Priorität.
Häufig gestellte Fragen
Führt Scheer IMC einen eigenen Pentest durch und wie oft?
Ja, Scheer IMC führt mindestens zwei Pentests pro Jahr für das aktuelle Standard-Release durch. Diese Pentests werden vollständig von einer externen Sicherheitsfirma durchgeführt. Zusätzlich führt das Scheer IMC Security Team regelmäßige interne Pentests gegen die Testumgebung aus.
Gibt Scheer IMC die Ergebnisse des eigenen Pentests weiter?
Ja, die Ergebnisse der Pentests (Management Summary) werden dem Kunden auf Anfrage (Service Desk, Account Manager, Project Manager).
Dürfen Kunden Pentests für ihre Instanz durchführen?
Ja, Kunden können nach Ankündigung (2 Wochen Vorlaufzeit) einen Pentest für ihre eigene LMS-Instanz durchführen. Dies wird während der Projektphase empfohlen, ist aber auch nach dem Go-Live möglich (erfordert mehr Koordination). Jegliche technische Unterstützung oder Koordinationsunterstützung kann als zusätzliche Beratungsdienstleistung angefordert werden. Dieser Service kann auch Teil des Implementierungsprojekts sein. Bitte beachten Sie, dass Scheer IMC für einem solchen Fall keinen Full-Service anbietet und die Verantwortung für die Durchführung des Pentests beim Kunden liegt.
Wie sollten Kunden Pentest-Ergebnisse an Scheer IMC melden?
Der finale Bericht zum Pentest kann als Service Desk Ticket an den Scheer IMC Support (nach Go-Live) oder an den Projektleiter (vor Go-Live / während der Projektphase) übermittelt werden. In der Regel benötigt Scheer IMC den vollständigen Bericht (als PDF-Dokument) zur detaillierten Überprüfung der Ergebnisse. Der Scheer IMC Support oder Projektleiter leitet den Bericht an das Scheer IMC Security-Team weiter und gibt über das Ticketsystem entsprechendes Feedback und Updates.
Wie werden gültige Findings von Scheer IMC behoben?
Gültige Findings (Software Defect oder Hosting-Probleme) werden entsprechend der Priorität der gemeldeten Befunde behoben. Wenn ein Pentest während der Projektphase durchgeführt wird, muss der Projektplan eine angemessene Zeit für die Bereitstellung von Korrekturen und Änderungen vor dem Go-Live berücksichtigen, um eine Verschiebung des Go-Live-Datums zu vermeiden.