PTDoc – Dokumentation und Berichtserstellung für Penetrationstests

Die binsec GmbH setzt für ihre Penetrationstests auf PTDoc®, ein spezialisiertes Tool zur strukturierten Durchführung von Penetrationstests und professionellen Berichtserstellung. Entwickelt wurde PTDoc von der binsec systems GmbH.

Die Idee zu PTDoc entstand während des Wachstums des binsec-Teams: Wie lässt sich die Qualität konstant hochhalten, obwohl einzelne Penetrationstester unterschiedliche persönliche Schwerpunkte setzen? Und wie stellt man sicher, dass das Ergebnis eines Pentests immer identisch bleibt – unabhängig davon, welcher Senior Penetration Tester den Auftrag durchführt?

Vor PTDoc stand binsec vor der typischen Herausforderung: Soll man Berichte in Word schreiben oder mit LaTeX erstellen? Anfangs fiel die Entscheidung auf LaTeX, wodurch zwar technisch saubere, aber optisch eher „typische“ LaTeX-Dokumente entstanden. Mit PTDoc hat sich dies grundlegend geändert – heute werden daraus professionell gestaltete Reports, die im Hintergrund weiterhin auf umfangreichem LaTeX-Code basieren, jedoch über eine komfortable Oberfläche gesteuert werden können.

Kernidee des Tools ist es, für unterschiedliche Zielsysteme – etwa Active Directory, mobile Anwendungen (z. B. Android Apps) oder Netzwerke – eine einheitliche und standardisierte Vorgehensweise bereitzustellen. Das binsec-Team pflegt und erweitert die Methodik kontinuierlich und integriert etablierte Standards wie den OWASP Testing Guide, MASVS oder OSSTMM. Auf diese Weise wird eine gleichbleibend hohe Qualität sowie die exakte Wiederholbarkeit von Penetrationstests sichergestellt.

In den letzten Jahren hat sich gezeigt, dass durch diese strukturierte Vorgehensweise regelmäßig Schwachstellen identifiziert werden, die bei vorherigen Tests übersehen wurden. Ein Kunde formulierte es sogar so, dass er alle früheren Prüfungen anderer Anbieter nicht mehr als „richtige“ Penetrationstests bezeichnet.

PTDoc deckt alle drei Phasen der Pentest-Dokumentation ab:

  • Durchführung des Tests – das strukturierte Abarbeiten der definierten Vorgehensweise.
  • Erstellung der Findings – inklusive Beschreibung für den Management-Teil, detaillierter technischer Analyse, Risikobewertung (qualitativ per Ampelsystem oder quantitativ per CVSS) sowie Verwaltung von Screenshots und Evidences.
  • Berichtsgenerierung – automatische Erstellung eines konsistenten, revisionssicheren Berichts.

Auch das Nachtesten ist integriert: Stellt der Pentester fest, dass ein Kunde eine Schwachstelle behoben hat, dokumentiert er den Proof of Fix direkt im Finding. Beim erneuten Berichtsbau wird das Finding automatisch als behoben markiert und auch die Management-Zusammenfassung entsprechend aktualisiert.

Darüber hinaus unterstützt PTDoc die Erstellung von deutschen und englischen Berichten. Damit ist es für Kunden besonders einfach, Reports auf Wunsch auch in beiden Sprachen zu erhalten.

Fazit: Mit PTDoc können sich Pentester vollständig auf ihre eigentliche Arbeit – die Durchführung des Tests – konzentrieren. Gleichzeitig ist das Erstellen der Berichte einfach und schnell geworden, sodass Kunden ihre Ergebnisse zeitnah nach Abschluss des Pentests erhalten.

NIS2 und Penetrationstests – Pflicht oder Kür?

Die neue NIS2-Richtlinie der EU ist seit Anfang 2023 in Kraft. Sie betrifft nicht mehr nur klassische KRITIS-Betreiber, sondern auch eine breite Palette „wichtiger Einrichtungen“, darunter:

  • mittelgroße und große Unternehmen in Energie, Transport, Finanzwesen, Gesundheitswesen,
  • Hosting-Provider, Rechenzentren, DNS-Dienste,
  • (fast) jedes Tech-Unternehmen, das „wesentliche Dienste“ erbringt.

Die NIS2 schreibt Penetrationstests nicht explizit vor, verlangt aber Maßnahmen, deren Umsetzung ohne Penetrationstests kaum sinnvoll und prüfbar ist. Artikel 21 der Richtlinie definiert eine zentrale Pflicht:

Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.

Die Richtlinie nennt Penetrationstests nicht namentlich, aber sie impliziert sie mehrfach, nämlich durch die regelmäßige Prüfungen der Wirksamkeit der Maßnahmen und nach dem Stand der Technik ist das eben die Durchführung eines Penetrationstests.

Datenschutz beim Pentest: Was an personenbezogenen Daten wirklich anfällt

Was genau an personenbezogenen Daten bei einem Penetrationstest verarbeitet wird, hängt stark vom Testgegenstand ab. Grundsätzlich kann man aber die folgenden Kategorien unterscheiden.

1. Ansprechpartner beim Kunden

Ohne geht’s nicht: Der Pentester braucht Ansprechpersonen. Typischerweise werden hier Name, Position, dienstliche Mailadresse und Telefonnummer verarbeitet – in Mails, im Kalender, im Bericht. Diese Informationen sind meist ohnehin öffentlich (z. B. im Impressum oder auf LinkedIn) und dienen nur der Kommunikation. Sie werden immer verarbeitet, sind aber unkritisch.

2. Weitere Mitarbeitende des Unternehmens

Sobald das Zielsystem ein internes Netzwerk ist – vor allem mit Active Directory –, kommt man an weiteren personenbezogenen Daten kaum vorbei. Namen, Benutzernamen, oft auch Passwort-Hashes oder sogar Klartextpasswörter landen temporär auf dem Pentest-System. Das ist kein Zufall, sondern Teil der Aufgabe: Rechteausweitung, horizontale Bewegungen, Domäne-Übernahmen.

Was dabei wichtig ist: Es besteht keinerlei Grund, personenbezogene Daten dauerhaft zu speichern oder auf weitere Systeme des Dienstleisters zu übertragen. Alles, was lokal verarbeitet wird, bleibt lokal. Nur der Bericht enthält Auszüge – und auch da gilt: So wenig wie nötig. Identitäten lassen sich anonym oder pseudonymisiert darstellen.

3. Kundendaten des Auftraggebers

Wenn produktive Systeme getestet werden – zum Beispiel ein Onlineshop – kann es passieren, dass echte Kundendaten kurz sichtbar werden. Ziel ist es nicht, diese Daten zu speichern, sondern Schwachstellen zu identifizieren: Kann man z. B. fremde Bestellungen einsehen? Wenn ja, werden einzelne Datensätze für den Moment verarbeitet. Das lässt sich nicht vermeiden, ist aber so minimalinvasiv wie möglich.

Empfehlung: AV-Vertrag bei produktiven Daten

Sobald interne Systeme oder produktive Umgebungen getestet werden, sollte ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Entscheidend ist: Datenminimierung. Der Pentest soll nicht Daten sammeln, sondern Schwachstellen aufzeigen. Und das geht auch, ohne ganze Datenbanken zu kopieren.

Nach Subdomains einer Domain online suchen

Subdomains verraten oft, welche internen Systeme, Webseiten oder Plattformen ein Unternehmen betreibt. Das Auffinden von Subdomains ist ein wichtiger Bestandteil von Sicherheitsanalysen, Penetrationstests oder allgemeinen Recherchen, weil dadurch mögliche Angriffspunkte entdeckt werden können, die sonst verborgen bleiben.

Der SubDomainFinder von binsec.tools identifiziert Subdomains einer Domain, indem verschiedene Methoden kombiniert werden:

  • Er greift auf die CertWatch-Datenbank von binsec.tools zurück – eine Sammlung öffentlicher SSL/TLS-Zertifikate, in denen oft Subdomains auftauchen.
  • Zusätzlich werden DNS-Abfragen durchgeführt, bei denen ein vordefiniertes Subdomain-Wörterbuch verwendet wird, um häufig genutzte Subdomains systematisch zu testen.
  • Darüber hinaus werden gezielte Suchanfragen an google.com gestellt, um weitere Subdomains zu finden, die in öffentlichen Suchergebnissen auftauchen und sonst vielleicht übersehen würden.

Wie ist meine IP-Adresse? <- ohne Werbung, ohne Nutzer-Tracking

Auf binsec.tools ist nun auch ein Tool online, dass die eigene öffentliche IPv4- und IPv6-Adresse anzeigt. Technisch keine neue Meisterleistung, aber ohne Werbung und ohne Tracking: Wie ist meine IP-Adresse?

Von einer Linux-Shell kann man auch

$ curl https://ip.binsec.tools/

aufrufen und erhält seine IP-Adresse als JSON format zurück:

{"ip": "93.207.237.237", "version": 4}

bzw dediziert die IPv4 oder IPv6-Adresse anfordern:

$ curl https://ip4.binsec.tools/
$ curl https://ip6.binsec.tools/

oder halt im Browser:

https://binsec.tools/lookup/whatismyip/


Die Fake „Ausschreibung der Emirates Group“ vendor.registration@theemirategroup.com

Am 11. Februar 2025 erhielt die binsec GmbH eine „Ausschreibung der Emirates Group“ von vendor.registration@theemirategroup.com:

Dear Valued Vendor,
Greetings from Emirates Group,
We invite you to register as a vendor with Emirates Group. A leading aviation company in UAE. Our goal is to build a diverse and qualified vendor base to support our business needs. This will open up opportunities to provide goods and services to our projects and developments.
Our projects are open for all companies. And this is a special consideration towards your participation for the ongoing registration
To register, Kindly confirm your interest by requesting for Vendor Questionnaire and EOI.
We look forward to potentially working with you!
Best Regards
Mr. Sameh Bakier
Vendor Coordinator Group Procurement & Contract
Shared Services Center of The Emirates Group

Wenn man auf diese E-Mail antwortet und dabei behauptet, interessiert zu sein, erhält man eine E-Mail mit drei PDF-Dokumenten, darunter beispielsweise die Emirates Vendor Assessment Policy. Tatsächlich sehen diese Dokumente gut und authentisch aus. Die Mail enthält auch eine „Vendor Regisgtration Acceptance Form“:

Sie verlangen also eine Zahlung von AED 57.850 (entspricht 15.000 €), um den Prozess zu starten. Die Domain, von der die E-Mails gesendet werden, ist theemirategroup.com, die Original-Domain von The Emirates Group ist theemiratesgroup.com. In der Domain fehlt ein „s“…

kostenloser online Test für TLS, auf einem anderen Port als 443

Du suchst nach einem kostenlosen Online-Tool, um die SSL/TLS-Konfiguration auf einem bestimmten benutzerdefinierten Port zu prüfen, der nicht 443 ist? Dann probiere SSLCheck von binsec.tools aus – da kannst du den zu testenden Port angeben, z. B. 8443. Der SSLScan von binsec.tool gibt einen Überblick über die Protokolle und Chiffren der TLS-Konfiguration und prüft das Sicherheitsniveau. Es unterstützt sogar das Testen von StartTLS für SMTP, IMAP und LDAP.

binsec.tools – WebCompScan

WebCompScan von binsec.tools ermöglicht es die auf Websites eingesetzten Technologien zu identifizieren und zu überprüfen, ob diese veraltet oder anfällig sind.

Zu den Technologien, die das Tool WebCompScan erkennen kann zählen unter anderem CMS-Systeme, Webserver, Programmiersprachen, JavaScript-Libraries, aber auch angebotene Zahlungsmittel.

Zur Erkennung der Technologien greift es auf Open Source Datenbanken mit Regex-Patterns zurück. Die zu prüfende Website wird automatisiert in einem Browser aufgerufen und mit Hilfe der Patterns wird überprüft, ob die verschiedenen Bestandteile der Website Hinweise für bekannte Technologien enthalten. Dabei werden neben HTTP-Headern und dem HTML-Quellcode der Website auch das Document Object Model (DOM) und die JavaScript-Variablen während der Ausführung anaylsiert.

In einigen Fällen können auf diese Weise auch Versionsinformation zu den eingesetzten Softwarekomponenten gewonnen werden. Diese werden im nächsten Schritt mit einer Open Source Datenbank zu bekannten Schwachstellen geprüft. Ebenso wird geprüft, ob die Softwarekomponenten noch vom Hersteller unterstützt werden oder bereits End of Life sind.

Im Prinzip sind all diese Informationen öffentlich, binsec.tools kombiniert sie jedoch zu einem kostenlosem Pentest Tool.

Launching – binsec.tools | Online Tools for Penetration Testing

Die binsec Gruppe startet binsec.tools:

https//binsec.tools | Online Tools for Penetration Testing

Online sind die ersten drei Tools SSLCheck, WebCompScan und DNSCheck.

  • SSLCheck: Das SSLCheck-Modul zeigt die verfügbaren SSL/TLS-Protokolle, Chiffren und zusätzliche Zertifikatsinformationen an. Der Scan führt mehrere SSL/TLS-Verbindungen zur Zieldomäne aus.
  • WebCompScan: WebCompScan durchsucht die angegebene URL und versucht, die verwendeten Technologien mithilfe verschiedener Methoden anhand der verfügbaren Informationen wie DOM, Header und vielem mehr zu finden. Dieser Scan ist nicht invasiv, da er wie jeder andere Browser nur die Website durchsucht.
  • DNSCheck: Der DNSCheck führt Sicherheits- und Validierungsprüfungen für die angegebene DNS-Domäne durch. Diese Prüfung ist nicht invasiv und führt Standard-DNS-Lookups durch.