Die binsec GmbH setzt für ihre Penetrationstests auf PTDoc®, ein spezialisiertes Tool zur strukturierten Durchführung von Penetrationstests und professionellen Berichtserstellung. Entwickelt wurde PTDoc von der binsec systems GmbH.
Die Idee zu PTDoc entstand während des Wachstums des binsec-Teams: Wie lässt sich die Qualität konstant hochhalten, obwohl einzelne Penetrationstester unterschiedliche persönliche Schwerpunkte setzen? Und wie stellt man sicher, dass das Ergebnis eines Pentests immer identisch bleibt – unabhängig davon, welcher Senior Penetration Tester den Auftrag durchführt?
Vor PTDoc stand binsec vor der typischen Herausforderung: Soll man Berichte in Word schreiben oder mit LaTeX erstellen? Anfangs fiel die Entscheidung auf LaTeX, wodurch zwar technisch saubere, aber optisch eher „typische“ LaTeX-Dokumente entstanden. Mit PTDoc hat sich dies grundlegend geändert – heute werden daraus professionell gestaltete Reports, die im Hintergrund weiterhin auf umfangreichem LaTeX-Code basieren, jedoch über eine komfortable Oberfläche gesteuert werden können.
Kernidee des Tools ist es, für unterschiedliche Zielsysteme – etwa Active Directory, mobile Anwendungen (z. B. Android Apps) oder Netzwerke – eine einheitliche und standardisierte Vorgehensweise bereitzustellen. Das binsec-Team pflegt und erweitert die Methodik kontinuierlich und integriert etablierte Standards wie den OWASP Testing Guide, MASVS oder OSSTMM. Auf diese Weise wird eine gleichbleibend hohe Qualität sowie die exakte Wiederholbarkeit von Penetrationstests sichergestellt.
In den letzten Jahren hat sich gezeigt, dass durch diese strukturierte Vorgehensweise regelmäßig Schwachstellen identifiziert werden, die bei vorherigen Tests übersehen wurden. Ein Kunde formulierte es sogar so, dass er alle früheren Prüfungen anderer Anbieter nicht mehr als „richtige“ Penetrationstests bezeichnet.
PTDoc deckt alle drei Phasen der Pentest-Dokumentation ab:
- Durchführung des Tests – das strukturierte Abarbeiten der definierten Vorgehensweise.
- Erstellung der Findings – inklusive Beschreibung für den Management-Teil, detaillierter technischer Analyse, Risikobewertung (qualitativ per Ampelsystem oder quantitativ per CVSS) sowie Verwaltung von Screenshots und Evidences.
- Berichtsgenerierung – automatische Erstellung eines konsistenten, revisionssicheren Berichts.
Auch das Nachtesten ist integriert: Stellt der Pentester fest, dass ein Kunde eine Schwachstelle behoben hat, dokumentiert er den Proof of Fix direkt im Finding. Beim erneuten Berichtsbau wird das Finding automatisch als behoben markiert und auch die Management-Zusammenfassung entsprechend aktualisiert.
Darüber hinaus unterstützt PTDoc die Erstellung von deutschen und englischen Berichten. Damit ist es für Kunden besonders einfach, Reports auf Wunsch auch in beiden Sprachen zu erhalten.
Fazit: Mit PTDoc können sich Pentester vollständig auf ihre eigentliche Arbeit – die Durchführung des Tests – konzentrieren. Gleichzeitig ist das Erstellen der Berichte einfach und schnell geworden, sodass Kunden ihre Ergebnisse zeitnah nach Abschluss des Pentests erhalten.
